2014年3月20日--作为域名解析的专用工具,DNS服务器是非常关键的网络基础设施,因此即使身陷攻击也不得不为查询提供持续响应。如果外部 DNS 服务器不可用,则整个网络都会脱离Internet。根据Forrester Research测算,网络中断 24 小时的平均经济损失高达 2700 万美元。网站宕机 4 小时的预计成本大约为 210 万美元。此类服务中断的受害者不仅损失收入,丢失客户,同时还会失去品牌价值。
自2012年第一季度以来,面向DNS基础架构的攻击数量增长了200%。是什么导致了这一切?这是因为DNS从其本质上而言很容易被利用。
大多数企业的防火墙都配置成通过53端口提供DNS服务,这给攻击者提供了避开现有防御系统的捷径。
由于DNS查询是非对称的,它们可以产生比查询大很多倍的响应,这意味着DNS系统本身可能被用于放大攻击。黑客可以发送一个数据包,引起一阵放大好几倍的数据响应,有效阻止您业务的运作。
由于DNS协议是无状态的,攻击者可以轻松地隐藏其身份。
大型IT组织和服务提供商别无选择,只能弥补这些漏洞,因为在互联网时代,DNS服务对于现代企业的几乎所有重要职能部门都是不可或缺的。若没有正常运行的DNS,智能手机无法使用,企业无法运营在线业务,团队无法有效沟通,工作效率下滑,客户满意度下降,收入减少,企业声誉也岌岌可危。
当今威胁趋势
为了强调 DNS 攻击为企业带来危害的严重性,我们在下面着重说明几种最常见的威胁。
直接 DNS 放大攻击,通过发送特别定制以生成大量响应的 DNS 查询,拥塞 DNS 服务器出站带宽。
反射攻击,使用 Internet 中的第三方 DNS 服务器(一般为开放式递归域名服务器),通过发送查询到该递归服务器(该服务器会处理来自任何 IP 地址的查询)来传播 DoS 或 DDoS 攻击。攻击者将受害者的 IP 地址作为查询中的源 IP,这样,域名服务器会将所有响应发送到受害者的 IP 地址——很有可能使受害者的服务器宕机。
TCP、UDP 和 ICMP 洪水,利用传输控制协议 (TCP)、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP),通过大量数据包来消耗网络带宽和资源。
DNS 缓存中毒,将 Internet 域的虚假地址记录插入 DNS 查询。如果 DNS 服务器接受该记录,则响应后续请求时,服务器的地址都将被此攻击者控制,传入的 Web 请求和电子邮件都会传输到攻击者的地址。
协议异常,将格式错误的 DNS 数据包发送到目标服务器,导致服务器线程出现无限循环,从而致使该服务器崩溃或停止响应。
侦查探测器,不是攻击。它们只是试图在发生大规模DDoS攻击或其他类型攻击之前获取有关网络环境的信息。
DNS 隧道,是指通过 DNS 端口 53 挖掘另一个协议隧道(防火墙一般允许使用该端口来传输非 DNS 流量)。这些攻击用于数据渗漏。
现有安全措施的不足
确实存在这样一些安全解决方案,它们宣称能够提供DNS保护,但事实是,它们的防护功能是有限的,无法防御DNS攻击。其中大部分都属于外部解决方案,都是事后“临时搭建”,而非为了防御DNS攻击而建。这些解决方案都使用了超额配置、数据包深度检查、DDoS通用防护、简单速率限制以及云交付等方法。
利用Infoblox实施全面威胁防护
目前,只有一种有效的方法可以应对网络安全面临的这些DNS威胁:即直接从DNS服务器内部部署防护。 Infoblox Advanced Protection提供了独特的方法防御DNS攻击。它可以智能地区分正常的流量与攻击性流量,并在响应正常流量时自动将恶意的DNS流量丢弃。此外,Advanced DNS Protection会基于威胁分析和研究收到自动更新,提供防御新型和新兴攻击的保护。主要特点包括:
加固DNS服务器——防御DNS攻击的最佳保护
Infoblox高级硬件是针对安全网络专用的加固DNS服务器。用户可以将其配置成外部授权服务器或DNS递归服务器,以防御外部或内部攻击。高级硬件使用新一代可编程的处理器来提供缓解威胁的专用运算能力。没有比DNS服务器更好的方式来保护网络,防御DNS攻击了。
独特的检测和缓解方式
Advanced DNS Protection会持续监控、检测和丢弃DNS攻击数据包——包括放大、反射、洪水、漏洞、隧道挖掘、缓存中毒和协议异常——并缓解这些威胁,同时响应正常流量,即使在遭受攻击的情况下也能提供DNS服务。此外,系统还会基于威胁分析和研究收到自动更新,以实时防御新型和新兴DNS攻击。
对攻击提供可控管的透明度
通过综合报告,Advanced DNS Protection提供网络攻击的集中视图,提供采取措施所需的情报信息。这些报告包含了详细信息,如按类别、规则、严重性、成员趋势分析和时间分析列出的事件数量。用户可以通过Infoblox Reporting Server访问这些报告。
每家企业都有不同的DNS通信流量模式,根据季节、当日时间或地理位置的不同而有所差异。例如,一家在线零售网站在每周一以及假日购物旺季可能会比一家小型银行收到DNS流量还要多。而零售网站的速率限制对于银行而言可能是不同寻常的。Advanced DNS Protection提供可调整通信阈值,从而使用户根据特有的DNS通信流量模式来微调防护参数。通过这种方式,在阻止或丢弃恶意流量的同时,可以有效响应正常流量。
填补DNS安全漏洞正逢其时
网络的正常运行在很大程度上取决于用户在何时使用DNS特定防护来实施安全措施。内置安全机制优于临时搭建的安全机制。防御DNS攻击威胁,那么遭受攻击的DNS服务器内部就是最佳的防御位置。基于这些因素而建立的解决方案,目前Infoblox Advanced DNS Protection就是最佳选择。
关于Infoblox
Infoblox (NYSE:BLOX)提供自动化网络控制解决方案,它们是一种可将终端用户、设备和网络连接起来的基础技术。这些解决方案让逾6,900家企业和服务提供商改造、保护并扩展复杂的网络。Infoblox可帮助人的双手从复杂的网络控制负担中解放出来,降低成本并提高安全性、准确性和正常运行时间。Infoblox总部位于加州圣塔克拉拉,已在全球25个国家开展业务。