作為域名解析的專用工具，DNS服務(wù)器是非常關(guān)鍵的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，因此即使身陷攻擊也不得不為查詢提供持續(xù)響應(yīng)。如果外部 DNS 服務(wù)器不可用，則整個(gè)網(wǎng)絡(luò)都會(huì)脫離Internet。根據(jù)Forrester Research測算，網(wǎng)絡(luò)中斷 24 小時(shí)的平均經(jīng)濟(jì)損失高達(dá) 2700 萬美元。網(wǎng)站宕機(jī) 4 小時(shí)的預(yù)計(jì)成本大約為 210 萬美元。此類服務(wù)中斷的受害者不僅損失收入，丟失客戶，同時(shí)還會(huì)失去品牌價(jià)值。

自2012年第一季度以來，面向DNS基礎(chǔ)架構(gòu)的攻擊數(shù)量增長了200%。是什么導(dǎo)致了這一切？這是因?yàn)镈NS從其本質(zhì)上而言很容易被利用。

?大多數(shù)企業(yè)的防火墻都配置成通過53端口提供DNS服務(wù)，這給攻擊者提供了避開現(xiàn)有防御系統(tǒng)的捷徑。

?由于DNS查詢是非對稱的，它們可以產(chǎn)生比查詢大很多倍的響應(yīng)，這意味著DNS系統(tǒng)本身可能被用于放大攻擊。黑客可以發(fā)送一個(gè)數(shù)據(jù)包，引起一陣放大好幾倍的數(shù)據(jù)響應(yīng)，有效阻止您業(yè)務(wù)的運(yùn)作。

?由于DNS協(xié)議是無狀態(tài)的，攻擊者可以輕松地隱藏其身份。

大型IT組織和服務(wù)提供商別無選擇，只能彌補(bǔ)這些漏洞，因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代，DNS服務(wù)對于現(xiàn)代企業(yè)的幾乎所有重要職能部門都是不可或缺的。若沒有正常運(yùn)行的DNS，智能手機(jī)無法使用，企業(yè)無法運(yùn)營在線業(yè)務(wù)，團(tuán)隊(duì)無法有效溝通，工作效率下滑，客戶滿意度下降，收入減少，企業(yè)聲譽(yù)也岌岌可危。

當(dāng)今威脅趨勢

為了強(qiáng)調(diào) DNS 攻擊為企業(yè)帶來危害的嚴(yán)重性，我們在下面著重說明幾種最常見的威脅。

直接 DNS 放大攻擊，通過發(fā)送特別定制以生成大量響應(yīng)的 DNS 查詢，擁塞 DNS 服務(wù)器出站帶寬。

反射攻擊，使用 Internet 中的第三方 DNS 服務(wù)器（一般為開放式遞歸域名服務(wù)器），通過發(fā)送查詢到該遞歸服務(wù)器（該服務(wù)器會(huì)處理來自任何 IP 地址的查詢）來傳播 DoS 或 DDoS 攻擊。攻擊者將受害者的 IP 地址作為查詢中的源 IP，這樣，域名服務(wù)器會(huì)將所有響應(yīng)發(fā)送到受害者的 IP 地址――很有可能使受害者的服務(wù)器宕機(jī)。

TCP、UDP 和 ICMP 洪水，利用傳輸控制協(xié)議 (TCP)、用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 以及 Internet 控制消息協(xié)議 (ICMP)，通過大量數(shù)據(jù)包來消耗網(wǎng)絡(luò)帶寬和資源。

DNS 緩存中毒，將 Internet 域的虛假地址記錄插入 DNS 查詢。如果 DNS 服務(wù)器接受該記錄，則響應(yīng)后續(xù)請求時(shí)，服務(wù)器的地址都將被此攻擊者控制，傳入的 Web 請求和電子郵件都會(huì)傳輸?shù)焦�擊者的地址�?/p>

協(xié)議異常，將格式錯(cuò)誤的 DNS 數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器線程出現(xiàn)無限循環(huán)，從而致使該服務(wù)器崩潰或停止響應(yīng)。

偵查探測器，不是攻擊。它們只是試圖在發(fā)生大規(guī)模DDoS攻擊或其他類型攻擊之前獲取有關(guān)網(wǎng)絡(luò)環(huán)境的信息。

DNS 隧道，是指通過 DNS 端口 53 挖掘另一個(gè)協(xié)議隧道（防火墻一般允許使用該端口來傳輸非 DNS 流量）。這些攻擊用于數(shù)據(jù)滲漏。

現(xiàn)有安全措施的不足

確實(shí)存在這樣一些安全解決方案，它們宣稱能夠提供DNS保護(hù)，但事實(shí)是，它們的防護(hù)功能是有限的，無法防御DNS攻擊。其中大部分都屬于外部解決方案，都是事后“臨時(shí)搭建”，而非為了防御DNS攻擊而建。這些解決方案都使用了超額配置、數(shù)據(jù)包深度檢查、DDoS通用防護(hù)、簡單速率限制以及云交付等方法。

利用Infoblox實(shí)施全面威脅防護(hù)

目前，只有一種有效的方法可以應(yīng)對網(wǎng)絡(luò)安全面臨的這些DNS威脅：即直接從DNS服務(wù)器內(nèi)部部署防護(hù)。 Infoblox Advanced Protection提供了獨(dú)特的方法防御DNS攻擊。它可以智能地區(qū)分正常的流量與攻擊性流量，并在響應(yīng)正常流量時(shí)自動(dòng)將惡意的DNS流量丟棄。此外，Advanced DNS Protection會(huì)基于威脅分析和研究收到自動(dòng)更新，提供防御新型和新興攻擊的保護(hù)。主要特點(diǎn)包括：

加固DNS服務(wù)器――防御DNS攻擊的最佳保護(hù)

Infoblox高級硬件是針對安全網(wǎng)絡(luò)專用的加固DNS服務(wù)器。用戶可以將其配置成外部授權(quán)服務(wù)器或DNS遞歸服務(wù)器，以防御外部或內(nèi)部攻擊。高級硬件使用新一代可編程的處理器來提供緩解威脅的專用運(yùn)算能力。沒有比DNS服務(wù)器更好的方式來保護(hù)網(wǎng)絡(luò)，防御DNS攻擊了。

獨(dú)特的檢測和緩解方式

Advanced DNS Protection會(huì)持續(xù)監(jiān)控、檢測和丟棄DNS攻擊數(shù)據(jù)包――包括放大、反射、洪水、漏洞、隧道挖掘、緩存中毒和協(xié)議異常――并緩解這些威脅，同時(shí)響應(yīng)正常流量，即使在遭受攻擊的情況下也能提供DNS服務(wù)。此外，系統(tǒng)還會(huì)基于威脅分析和研究收到自動(dòng)更新，以實(shí)時(shí)防御新型和新興DNS攻擊。

對攻擊提供可控管的透明度

通過綜合報(bào)告，Advanced DNS Protection提供網(wǎng)絡(luò)攻擊的集中視圖，提供采取措施所需的情報(bào)信息。這些報(bào)告包含了詳細(xì)信息，如按類別、規(guī)則、嚴(yán)重性、成員趨勢分析和時(shí)間分析列出的事件數(shù)量。用戶可以通過Infoblox Reporting Server訪問這些報(bào)告。

每家企業(yè)都有不同的DNS通信流量模式，根據(jù)季節(jié)、當(dāng)日時(shí)間或地理位置的不同而有所差異。例如，一家在線零售網(wǎng)站在每周一以及假日購物旺季可能會(huì)比一家小型銀行收到DNS流量還要多。而零售網(wǎng)站的速率限制對于銀行而言可能是不同尋常的。Advanced DNS Protection提供可調(diào)整通信閾值，從而使用戶根據(jù)特有的DNS通信流量模式來微調(diào)防護(hù)參數(shù)。通過這種方式，在阻止或丟棄惡意流量的同時(shí)，可以有效響應(yīng)正常流量。

填補(bǔ)DNS安全漏洞正逢其時(shí)

網(wǎng)絡(luò)的正常運(yùn)行在很大程度上取決于用戶在何時(shí)使用DNS特定防護(hù)來實(shí)施安全措施。內(nèi)置安全機(jī)制優(yōu)于臨時(shí)搭建的安全機(jī)制。防御DNS攻擊威脅，那么遭受攻擊的DNS服務(wù)器內(nèi)部就是最佳的防御位置�；�于這些因素而建立的解決方案，目前Infoblox Advanced DNS Protection就是最佳選擇。

標(biāo)簽： ddos dns dns 服務(wù)器 DNS安全 dns查詢 dns服務(wù) dns服務(wù)器 dns系統(tǒng) 安全 電子郵件 防火墻 服務(wù)器 互聯(lián)網(wǎng) 漏洞 企業(yè) 通信 網(wǎng)絡(luò) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。