DNS安全問(wèn)題已經(jīng)隨著現(xiàn)今各種網(wǎng)絡(luò)服務(wù)應(yīng)用成長(zhǎng)而不斷攀升，不僅可用作發(fā)動(dòng)大規(guī)模DDoS攻擊的管道，更是被大量利用于各種網(wǎng)絡(luò)犯罪工具中，造成「由內(nèi)而外」的安全危機(jī)

圖片來(lái)源: Abor Networks

       從以前到現(xiàn)在，DNS域名系統(tǒng)（以下簡(jiǎn)稱(chēng)DNS）一直是至關(guān)重要的核心網(wǎng)絡(luò)服務(wù)，近年來(lái)隨著各項(xiàng)新穎的網(wǎng)絡(luò)應(yīng)用及服務(wù)快速增長(zhǎng)，DNS的角色功能相對(duì)也變得更為吃重。不過(guò)「人怕出名豬怕肥」，DNS也因此被有心者拿來(lái)大加利用于網(wǎng)絡(luò)犯罪，產(chǎn)生出各種以DNS基礎(chǔ)的攻擊類(lèi)型，包括DNS服務(wù)癱瘓攻擊、反射/放大攻擊、中間人攻擊、偽冒嫁接、惡意程序、殭尸網(wǎng)絡(luò)、資料外泄通道等等。

       攻擊目標(biāo)除了DNS本體外，多半也會(huì)利用DNS作為跳板或藏身管道，進(jìn)行針對(duì)第三方攻擊標(biāo)的。因此，你所需要關(guān)切的，不僅是DNS停擺時(shí)將對(duì)于整體IT網(wǎng)絡(luò)服務(wù)運(yùn)轉(zhuǎn)的影響沖擊，更必須清楚DNS安全問(wèn)題所將產(chǎn)生的威脅與傷害性。

DNS資安威脅趨勢(shì)分析

      當(dāng)2013年發(fā)生的Spamhaus遭受300 Gbps大規(guī)模DDoS攻擊事件，DNS安全問(wèn)題收到關(guān)注，尤其在之后，多起大規(guī)模DDoS攻擊事件，也同樣采取的「DNS型態(tài)反射/放大攻擊」方式下，企業(yè)安全人員開(kāi)始評(píng)估導(dǎo)入對(duì)外前端的DDoS防護(hù)方案來(lái)抵御DNS DDoS攻擊，但是這樣的防御策略并無(wú)法有效提供幫助。由于DNS是一個(gè)安全性不甚嚴(yán)謹(jǐn)?shù)姆?wù)應(yīng)用，加上多數(shù)企業(yè)組織的資安策略，往往忽視了DNS系統(tǒng)環(huán)境的組態(tài)調(diào)校與安全強(qiáng)化，因而造成DNS一直是網(wǎng)絡(luò)服務(wù)鏈中容易受攻擊與惡意利用的組件。

來(lái)自內(nèi)部的DNS威脅

      從近期的攻擊趨勢(shì)來(lái)觀測(cè)，DNS攻擊型態(tài)的安全威脅，已經(jīng)不僅止于外部的DNS攻擊型態(tài)，針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)所發(fā)動(dòng)的「由內(nèi)而外（Inside Out）」攻擊事件，頻率也在上升。

      例如，網(wǎng)絡(luò)犯罪者利用DNS容易穿越企業(yè)防御機(jī)制（如防火墻及入侵防御閘道）的特性，結(jié)合各式攻擊技術(shù)，不斷地衍生變化，而產(chǎn)生了基于DNS型態(tài)的復(fù)合式威脅，交互套用于外部及內(nèi)部DNS威脅。

      除此之外，由于攻擊目的朝向網(wǎng)絡(luò)地下經(jīng)濟(jì)的取向發(fā)展，而其中DNS是容易利用，且成本低、效益高的素材，因而受到網(wǎng)絡(luò)犯罪者的青睞。

來(lái)自外部的DNS威脅

       對(duì)于外部（面向網(wǎng)際網(wǎng)絡(luò)）的DNS基礎(chǔ)結(jié)構(gòu)威脅型態(tài)，還是以造成服務(wù)影響的手法為主，首推為DDoS癱瘓服務(wù)及Flooding洪水式攻擊，另一則是DNS劫持（或稱(chēng)「假冒/嫁接」）方式，以誘騙竊取機(jī)敏信息為主。

       由于各領(lǐng)域的企業(yè)與組織單位都必須因應(yīng)廣大的網(wǎng)絡(luò)服務(wù)趨勢(shì)，包括對(duì)外服務(wù)網(wǎng)站、電子郵件、電商服務(wù)、網(wǎng)絡(luò)金融、行動(dòng)服務(wù)，以及各類(lèi)的云端服務(wù)和物聯(lián)網(wǎng)應(yīng)用等，在DNS需求性高且服務(wù)量大增的情況下，只要能影響DNS的正常服務(wù)，就能達(dá)到顯著的傷害與威脅效果。

       根據(jù)Arbor Networks的2015年年全球基礎(chǔ)結(jié)構(gòu)安全報(bào)告，DNS是反射/放大攻擊中使用的頭號(hào)協(xié)議（81%），而反射和放大攻擊是外部DNS的首要威脅。此外，Nexusguard首席科學(xué)官Terrence Gareau也解釋?zhuān)珼NS攻擊事件遽增的主因，在于入門(mén)工具得簡(jiǎn)單，象是現(xiàn)在只要任何有意圖犯罪者，都能以較便宜的價(jià)格，透過(guò)黑市取得DDoS工具，或租用計(jì)時(shí)計(jì)量的攻擊云。

        這些攻擊利用DNS固有的UDP通訊協(xié)議弱點(diǎn)，多半能夠穿透或隱蔽企業(yè)傳統(tǒng)的資安防護(hù)系統(tǒng)，使之難以識(shí)別處理。而且，在缺少前端防護(hù)下，DNS攻擊得以接觸外部DNS系統(tǒng)結(jié)構(gòu)，讓DNS域名主機(jī)不得不處理回應(yīng)非預(yù)期的惡意查詢。于是，DNS系統(tǒng)在面對(duì)以資源耗盡攻擊、協(xié)議漏洞攻擊、或協(xié)議異常攻擊手法，致使DNS主機(jī)的回應(yīng)變得緩慢而最終崩潰。

        不過(guò)，上述這些攻擊也可能是煙霧彈或某種探測(cè)，藉由對(duì)外部DNS發(fā)動(dòng)DDoS攻擊來(lái)轉(zhuǎn)移注意力，進(jìn)而在網(wǎng)絡(luò)上的其他位置竊取數(shù)據(jù)和進(jìn)行滲透，屬于惡意侵入者所常用的手段。

DNS協(xié)定是最常用于反射攻擊

       外部DNS系統(tǒng)是最容易受到各種攻擊，包括DNS反射、放大攻擊、協(xié)議異常、漏洞攻擊和惡意偵查。依據(jù)Arbor Networks 2016年全球基礎(chǔ)結(jié)構(gòu)安全報(bào)告，DNS是反射/放大攻擊中使用的頭號(hào)協(xié)議（84%）。圖片來(lái)源／Abor Networks

由內(nèi)而外的DNS威脅

       事實(shí)上，現(xiàn)今各單位的內(nèi)部網(wǎng)絡(luò)與IT服務(wù)應(yīng)用，幾乎都必須透過(guò)DNS服務(wù)，隨著越來(lái)越多的應(yīng)用程序Web化及行動(dòng)化，內(nèi)部DNS系統(tǒng)每天的查詢回應(yīng)量，與2013年相比，有幾乎百倍的增加，加上內(nèi)網(wǎng)網(wǎng)絡(luò)傳輸頻寬大，因此，DNS攻擊滲入企業(yè)內(nèi)網(wǎng)所能引發(fā)的資安威脅，遠(yuǎn)甚于外部DNS，一旦癱瘓內(nèi)部DNS系統(tǒng)，就足以使該單位IT近乎停擺，而如果利用DNS下蠱放毒，更可以不動(dòng)聲色地大量散播。

       另一個(gè)挑戰(zhàn)則是，內(nèi)部DNS處于內(nèi)網(wǎng)環(huán)境中，而內(nèi)網(wǎng)資安防護(hù)與監(jiān)控機(jī)制的部署設(shè)計(jì)上，很難充分涵蓋到，因此，近年多起內(nèi)部DNS資安事件，都是在遭受攻擊受害后才得以察覺(jué)，不過(guò)，對(duì)于這個(gè)單純的服務(wù)所潛在的資安風(fēng)險(xiǎn)，多數(shù)企業(yè)IT尚未意識(shí)到。

       《思科2016年度安全報(bào)告》中即提到，有將近92%的「已知」惡意軟件，使用DNS作為主要攻擊手段，但由于安全團(tuán)隊(duì)和DNS管理者在公司內(nèi)，通常屬于不同IT團(tuán)隊(duì)，在缺乏密切互動(dòng)下，常會(huì)被視為安全考量的「盲點(diǎn)」。

       而Infoblox發(fā)布的2015年第三季DNS風(fēng)險(xiǎn)指數(shù)報(bào)告也指出，DNS威脅指數(shù)已是全球惡意活動(dòng)的指標(biāo)，網(wǎng)絡(luò)犯罪分子利用DNS發(fā)動(dòng)各式各樣的威脅，從簡(jiǎn)單的惡意程序攻擊包、網(wǎng)絡(luò)釣魚(yú)、DoS/DDoS/DrDoS癱瘓服務(wù)攻擊、以及資料外泄的基礎(chǔ)管道；與2014年第三季比較下，DNS威脅指數(shù)上漲18.5%，漏洞利用工具包的比例上升75%，其中，網(wǎng)絡(luò)釣魚(yú)是漏洞利用工具包的最大威脅。

     不僅如此，惡意程序、僵尸網(wǎng)絡(luò)及APT攻擊，都已利用DNS漏洞進(jìn)行對(duì)黑客所布放的C&C中繼主機(jī)，取得命令與控制的通信。

當(dāng)中所采取的技術(shù)手段包括：

● 域名生成算法（DGA）：以隨機(jī)生成大量假冒的域名，并試圖與其中某些網(wǎng)域通訊，以連結(jié)C&C取得更新或命令；其中，MATSNU惡意程序是此類(lèi)應(yīng)用在2015年最嚴(yán)重的威脅代表。

● 快速變動(dòng)網(wǎng)域（Fast Flux Domain）：透過(guò)DNS系統(tǒng)，將惡意域名對(duì)應(yīng)至多個(gè)IP位址，并將域名資料更新時(shí)間（TTL）縮短，讓惡意域名與IP位址的對(duì)應(yīng)可以快速更新、改變。

● 漏洞攻擊套件（Exploit Kit）：顧名思義，針對(duì)已知或未知的漏洞弱點(diǎn)所量身設(shè)計(jì)的工具套件，可以進(jìn)一步混合、生成復(fù)合式攻擊手段。

DNS與HTTP均是應(yīng)用層DDoS攻擊首惡

在Arbor Networks同一份報(bào)告中顯示，DNS協(xié)議與應(yīng)用層DDoS攻擊的首要目標(biāo)服務(wù)-HTTP，是關(guān)聯(lián)在一起的。圖片來(lái)源／Abor Networks

如何改善DNS安全的建議

DNS的服務(wù)功能簡(jiǎn)單但特殊，以現(xiàn)今網(wǎng)絡(luò)服務(wù)架構(gòu)來(lái)看，DNS對(duì)于網(wǎng)絡(luò)犯罪者而言是一個(gè)非常值得利用的戰(zhàn)略位置。但如果要單純倚賴網(wǎng)絡(luò)設(shè)備或資安防護(hù)設(shè)備，來(lái)解決DNS安全問(wèn)題，并不是件可達(dá)成的任務(wù)。

唯一的建議，還是必須從DNS系統(tǒng)本身的安全著手：

1. 經(jīng)常性的弱點(diǎn)漏洞管理與修補(bǔ)

資安攻擊多是從弱點(diǎn)漏洞下手，多數(shù)的企業(yè)IT雖然認(rèn)知系統(tǒng)存在弱點(diǎn)漏洞的風(fēng)險(xiǎn)，但受限于在線系統(tǒng)可能因?yàn)榘姹旧?jí)及修補(bǔ)的兼容性與可用性影響評(píng)估，因此，對(duì)于弱點(diǎn)漏洞信息追蹤管理，處于消極的態(tài)度。常見(jiàn)的標(biāo)準(zhǔn)作業(yè)方式為定期更新系統(tǒng)版本，只是更新頻率往往間隔許久或缺乏緊急應(yīng)變政策，而無(wú)法及時(shí)反應(yīng)處理。

以2015年所發(fā)現(xiàn)的CVE-2015-5477漏洞為例，它被列為嚴(yán)重等級(jí)的DoS癱瘓服務(wù)弱點(diǎn)，在該漏洞發(fā)布的次日，隨即有對(duì)應(yīng)的攻擊套件產(chǎn)生。換言之，管理者必須開(kāi)始跟攻擊者進(jìn)行時(shí)間賽跑，否則將陷于高風(fēng)險(xiǎn)。

2. 落實(shí)存取管控機(jī)制

存取管控（Access Control）對(duì)于資安管理，是一個(gè)重要執(zhí)行項(xiàng)目，而在DNS的存取管控作業(yè)上，有3個(gè)要點(diǎn)優(yōu)先建議：DNS Recursive（DNS遞回查詢）、Zone Transfer（域名資料傳送）、Administrator（管理者）。

● 遞回查詢是常用的DNS查詢方式，現(xiàn)今多數(shù)用于幫助終端裝置代為查找眾多域名信息結(jié)果，但它也是最常被前述DNS攻擊技術(shù)利用的項(xiàng)目。建議管理者應(yīng)針對(duì)DNS Recursive，設(shè)定存取控管的網(wǎng)絡(luò)范圍，僅允許針對(duì)所要服務(wù)的網(wǎng)段，提供遞回查詢服務(wù)。

因?yàn)椋词芸毓艿耐獠緿NS容易成為Open Recursive主機(jī)，并且被利用作為反射放大攻擊的跳板，2013年歐洲反垃圾郵件組織Spamhaus遭此DDoS攻擊，流量高達(dá)300 Gbps。

此外，管理者應(yīng)當(dāng)注意內(nèi)部是否存在未知的DNS系統(tǒng)裝置。因?yàn)榉欠ňW(wǎng)絡(luò)裝置內(nèi)建的DNS服務(wù)有可能遭惡意程序利用，作為攻擊跳板，造成受害單位的主要DNS系統(tǒng)資源耗盡及網(wǎng)絡(luò)流量爆沖的情況，并且被列入黑名單封鎖。

● 域名資料傳送是DNS域名主機(jī)傳送資料的方式，應(yīng)用于多臺(tái)DNS系統(tǒng)之間的域名資料（DNS Records）傳送同步。建議管理者必須檢視所屬的DNS系統(tǒng)，應(yīng)確認(rèn)域名資料傳送的設(shè)定存取控制，避免讓非法DNS任意透過(guò)這種方式探詢，取得組織內(nèi)的主機(jī)信息，否則黑客可以藉此摸清楚組織的IT結(jié)構(gòu)，并進(jìn)行更精準(zhǔn)的攻擊準(zhǔn)備。

● 許多資安事件肇因于管理者未設(shè)計(jì)存取控制的情況，因此在存取控制上，應(yīng)避免系統(tǒng)最高管理權(quán)限及單一系統(tǒng)主機(jī)，共享相同管理者賬號(hào)，以及限制管理者操作權(quán)限、限制管理者操作來(lái)源位址、落實(shí)管理者密碼復(fù)雜度等。

      由于管理者的存取控制一旦出現(xiàn)風(fēng)險(xiǎn)，將提供黑客以直接或間接方式取得DNS控制權(quán)的機(jī)會(huì)，并進(jìn)行DNS系統(tǒng)的域名資料記錄竄改，應(yīng)加以防范。

3. 補(bǔ)強(qiáng)管理信息與記錄

       對(duì)于DNS攻擊的防護(hù)上，相關(guān)的網(wǎng)管信息及事件記錄對(duì)于攻擊威脅的預(yù)防與應(yīng)變處理有極大的幫助。但在顧慮一般DNS系統(tǒng)服務(wù)效能可能受到影響的隱憂，IT管理者往往不愿意啟用DNS身上的服務(wù)紀(jì)錄或網(wǎng)管功能；但在處于攻擊情況下才開(kāi)啟相關(guān)功能，以求取得更明確的信息時(shí)，反而成了壓垮駱駝的最后一根稻草，加速DNS系統(tǒng)崩潰。

       建議管理者在評(píng)估DNS效能承載時(shí)應(yīng)將網(wǎng)管功能與事件記錄處理狀態(tài)考量在內(nèi)，除了DNS主機(jī)的處理器、存儲(chǔ)器及網(wǎng)絡(luò)之外，更應(yīng)該針對(duì)DNS各類(lèi)型的服務(wù)狀態(tài)與查詢回應(yīng)記錄，納入監(jiān)測(cè)的管理信息中，將有助于管理者查覺(jué)攻擊發(fā)生的異常變化趨勢(shì)，以及查找異常網(wǎng)域及IP位址來(lái)源。

4. 提升DNS自身防護(hù)能力

      新一代的DNS系統(tǒng)也逐漸加入，包括DNS Blacklist、DNSSEC、RRL（Response Rate Limiting），以及RPZ（Response Policy Zones）等，可以讓DNS有能力面對(duì)眼前的攻擊。

       但實(shí)際上，傳統(tǒng)的DNS系統(tǒng)提供服務(wù)的同時(shí)，又得扛起防護(hù)功能，反而制造另一個(gè)問(wèn)題：效能瓶頸；此外，管理者對(duì)于這些防護(hù)功能的設(shè)定也不輕松。

       若要選擇方案，建議評(píng)估專(zhuān)業(yè)的DNS系統(tǒng)設(shè)備，目前企業(yè)等級(jí)的DNS系統(tǒng)已經(jīng)將DNS安全性設(shè)計(jì)在內(nèi)，確保DNS服務(wù)的運(yùn)作穩(wěn)定及安全防護(hù)性。

DNS RPZ運(yùn)作機(jī)制

       RPZ（Response Policy Zone）為ISC組織于其BIND DNS系統(tǒng)所開(kāi)發(fā)的DNS安全功能，有鑒于越來(lái)越多惡意程序及殭尸網(wǎng)絡(luò)利用DNS查詢惡意域名的趨勢(shì)，透過(guò)DNS RPZ功能機(jī)制，可以更實(shí)時(shí)向資安信譽(yù)評(píng)等機(jī)構(gòu)，訂閱DNS惡意域名黑名單更新，達(dá)到有效的偵測(cè)與防護(hù)措施。

       DNS RPZ也大幅改善傳統(tǒng)利用DNS Blacklist的方法，不只是在惡意資料（黑名單）的資源上，更符合Malware及Botnet的應(yīng)用類(lèi)型，而且，防護(hù)處理及事件記錄的方式，也更符合資安管理需求。