转载

DNS攻击不断加剧！如何评估您的DNS提供商？

DNS攻击正在逐渐加剧，您的域名系统（Domain Name System，简称DNS）实施是否真的符合要求？以下是您需要了解的信息，以确保拥有符合自身要求的提供商。

什么是DNS攻击？

所谓“域名系统”（DNS）就是一种将字母域名解释为IP地址的协议。简而言之，它的主要功能是将用户友好的域名转换为计算机友好的IP地址。

即使已经使用了数十年，域名系统（DNS）仍然是互联网的致命弱点。这是因为互联网上几乎所有东西都需要DNS，但DNS服务依赖的协议既不可靠又容易被冒充。出于这两个原因，攻击者将DNS定位为直接攻击或支持其他攻击的跳板。

如今，DNS更是显示出了一种异常紧张的迹象。过去，利用DNS协议的攻击是相当可预测的，且仅限于偶尔的DDoS洪水攻击，但是现在，攻击者可以使用十几种不同的方式来利用DNS，常见的DNS攻击包括：

1）域名劫持——通过采用黑客手段控制域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。

2）缓存投毒——利用控制DNS缓存服务器，把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种，比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，从而改变该ISP内的用户访问域名的响应结果;或者，黑客通过利用用户权威域名服务器上的漏洞，如当用户权威域名服务器同时可以被当作缓存服务器使用，黑客可以实现缓存投毒，将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。

3）DDOS攻击——一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。

4）DNS欺骗——就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

5）DNS放大攻击（DNS amplification attacks）——使用针对无辜的第三方的欺骗性的数据包来放大通讯量，其目的是耗尽受害者的全部带宽。这种虚假通讯的数量可以达到每秒钟数GB，足以阻止任何人进入互联网。

6）零日攻击——在此类攻击中，攻击者利用DNS服务器软件或协议堆栈中以前未知的漏洞。

7）Fast Flux技术——在正常的DNS服务器中，用户对同一个域名做DNS查询，在较长的一段时间内，无论查询多少次返回的结果基本保持不变。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术，攻击者可以将多个IP地址的集合链接到某个特定的域名，并将新的地址从DNS记录中换入换出，回避检测。也就是说在短时间内查询使用Fast-flux技术部署的域名，会得到不同的结果，即Fast Flux技术利用DNS隐藏攻击的来源。

根据IDC最新发布的《2019年全球DNS威胁报告》显示，绝大多数受访者在过去两年中都遭遇了与DNS相关的攻击。平均每家公司上报的攻击次数多达近10起，影响了近一半的受访者网站。

DNS先驱Paul Vixie对DNS的状态感到惋惜，并表示这些攻击还只是冰山一角而已。这也解释了为什么您需要更加认真地保护自己的DNS基础架构，并且各个供应商都相继推出各种产品和服务来提供帮助。但是面对这些供应商，你有选择的权力，具体应该如何做呢？

利用您的ISP提供商的DNS

第一步是使用您的ISP提供的DNS。对于我们许多人来说，这已经成为一种习惯动作。不过，虽然这是阻力最小的路径，但是你可能无法获得太多保护、过滤或威胁监控服务。

使用支持DNSSEC的公共DNS提供商

更好的选择是将ISP提供的DNS替换为支持域名系统安全扩展（DNSSEC）的公共DNS提供商之一。所谓DNNSSEC是用于确定源域名可靠性的数字签名，通过添加DNSSEC记录到域名，可以增强对DNS域名服务器的身份认证，进而帮助防止DNS缓存污染等攻击。不过有了DNSSEC支持固然很好，但是也无法保证您不会受到潜在的攻击。早在2016年，攻击者就想出了将该协议用于DDoS放大攻击的方法。

除DNSSEC外，公共提供商还要为其DNS服务器位置提供易于记忆的IP地址，如1.1.1.1（Cloudflare），8.8.8.8（Google）或9.9.9.9（Quad9）。这些服务对于小型企业以及经常出差并希望为其笔记本电脑提供额外安全层的用户非常有用。下述供应商就提供支持DNSSEC或类似协议的免费DNS服务：

· AdGuard DNS（过滤、DNS加密、基于HTTPS和TLS的DNS）；

· Alternate DNS（过滤和广告拦截）；

· CleanBrowsing（过滤、DNS加密、基于HTTPS和TLS的DNS，另有付费管理项目）；

· Cloudflare（基于HTTP的DNS）；

· Google Public DNS（基于HTTPS和TLS的DNS）；

· Cisco OpenDNS（过滤，另有付费管理项目）；

· Quad9（过滤、DNS加密、基于HTTPS和TLS的DNS）；

·Verisign（另有付费项目）；

审查您的云提供商提供的DNS产品

对于具有一定规模的企业网络而言，接下来的一步就是审查您的云提供商所提供的基本功能。Google有其Cloud DNS，亚马逊有AWS Route 53，而微软也有Azure DNS。这些服务都可以免费试用，但也具有非常复杂的定价方案，可以基于企业对其云服务器的具体查询量确定详细的定价方案。云提供商确实带来了更多安全性，但是如果您想在整个企业中使用单个DNS源，可能就不合适了。

考虑DNS专业提供商

下一步就是考虑一家专业的DNS提供商，如此一来，您将获得比IaaS（基础设施即服务）提供商的内置选项更多的安全保护。这些专业的DNS提供商将提供更高的弹性，因为他们在全球拥有众多DNS服务器位置。此外，通过减少流量包流经网络时的延迟时间，它还能为用户提供更好的性能。鉴于其拥有的巨大流量，专业DNS提供商还可以提供更好地攻击监控和防御能力，以便更为及时地发现并阻止漏洞。

如今，4个最受欢迎的专业DNS提供商及产品分别为：

· Akamai的Enterprise Threat Protector（ETP） ——是一款安全互联网网关 (SIG)，可支持安全团队确保用户和设备在任何位置都能安全地连接到互联网，而不存在其他传统安全解决方案固有的复杂性。它能够主动识别、拦截和抵御恶意软件、勒索软件、网络钓鱼、数据外泄和高级零日攻击等定向威胁。

· NS1 Domain Security Suite ——是DNS服务和功能的转键软件包，旨在保护您的企业和客户免受DNS漏洞利用的侵害。它使用专用DNS实现双DNS网络冗余，使用DNSSEC防止DNS劫持，同时还能提供情报、可见性和控制功能，帮助您的团队及时了解DNS使用情况，从而深入了解外部行为者可能滥用的情况。

· OpenDNS（2015年被Cisco收购）/Cisco Umbrella ——原OpenDNS旗下拥有的一款云计算产品，可以帮助企业客户免遭恶意软件、钓鱼软件、僵尸工具以及其它有针对性网络黑客行为的攻击。

· Cloudflare ——2018年4月，Cloudflare正式推出了1.1.1.1公共DNS服务，号称任何人都可以使用它来加快互联网访问速度并保持连接私密性。Cloudflare声称它将是“互联网上速度最快，隐私优先的消费者DNS服务”。

如果您已经使用过Akamai或Cloudflare的内容分发网络，那么您可能正在使用他们的DNS工具。即使你还没有或是永远不打算用他们的内容网络，了解其中一个产品也是有意义的。

如何评估您的DNS提供商？

1. 了解您的网络瓶颈和DNS问题

首先，你需要了解自己的网络瓶颈在什么地方，以及你需要解决的DNS问题（如果有的话）是什么。对于这些问题，一些免费或廉价的工具和在线服务可以提供帮助。例如，DNSPerf可以通过每分钟从全球200个地点测试每个提供商，向你显示上个月的各种指标。Cloudflare的查询可以在不到12毫秒内得到解答；而GoDaddy的查询则超过47毫秒。DNSBlast等工具可以加载测试您当前的DNS服务器；DNSBenchmark可以在Windows上进行性能测试。

一旦掌握了所有这些数据，你就可以更好地了解自己的流量是如何从选定的DNS提供商处流向最终的网站访问者和其他互联网应用程序的了。如果你的所有客户都在美国，那么你可能已被任何供应商所覆盖。有些供应商在全球范围内拥有更多资源，如果你在这些地点拥有大量流量，这些资源就会派上用场。你应该要了解提供商的DNS服务器位于世界的哪个物理位置上。（一些供应商会羞于回答这个问题）

如果您有一个遍布众多地区的特别复杂的网络，您可能需要借助Dyn的Internet Intelligence工具。（这是已经销售给Oracle的Dyn工具之一，但仍受支持）