针对域名系统 (DNS) 的攻击数量众多且多种多样,因此组织必须依赖多层攻击 保护措施,如流量监控、威胁情报和高级网络防火墙,协同行动。随着 NXDOMAIN 攻击的增加,组织需要加强其 DNS 防御。
随着 发布 Shield NS53, Akamai 加入了越来越多的安全供应商行列,提供能够防御 NXDOMAIN 攻击的 DNS 工具. 这项新服务将 Akamai 的边缘 DNS 技术在云中扩展到本地部署。
在 NXDOMAIN 攻击(也称为 DNS Water Torture DDoS 攻击)中,攻击者通过大量不存在(因此有 NX 前缀)或无效域和子域的请求淹没 DNS 服务器。 DNS 代理服务器在查询 DNS 权威服务器时耗尽了大部分(如果不是全部)资源,以至于该服务器不再有能力处理任何请求(无论是合法的还是伪造的)。更多的垃圾查询到达服务器意味着需要更多的资源(服务器 CPU、网络带宽和内存)来处理它们,并且合法请求需要更长的时间来处理。当人们由于 NXDOMAIN 错误而无法访问该网站时,这可能意味着 客户流失、收入损失和声誉受损.
Akamai 产品管理总监 Jim Gilbert 表示,NXDOMAIN 多年来一直是常见的攻击媒介,并且正在成为一个更大的问题。 Akamai 去年发现,其前 40 名金融服务客户的整体 DNS 查询中有 50% 包含 NXDOMAIN 记录。
加强 DNS 保护
虽然理论上可以通过增加更多容量来防御 DNS 攻击(更多资源意味着需要更大、更长的攻击才能击垮服务器),但对于大多数组织来说,这不是一种经济上可行或可扩展的技术方法。但他们可以通过其他方式加强 DNS 保护。
企业防御者需要确保他们了解自己的 DNS 环境。这意味着记录 DNS 解析器当前部署的位置、本地和云资源如何与其交互,以及它们如何利用高级服务(例如 Anycast 和 DNS 安全协议)。
Akamai 的 Gilbert 表示:“企业希望将其原始 DNS 资产保留在本地,可能有充分的合规性原因。”他指出,Shield NS53 允许企业添加保护控制,同时保持现有 DNS 基础设施完好无损。
保护 DNS 也应该成为整体分布式拒绝服务 (DDoS) 预防策略的一部分,因为许多 DDoS 攻击都是从 DNS 漏洞开始的。据 Akamai 称,去年近三分之二的 DDoS 攻击使用了某种形式的 DNS 漏洞。
在购买任何产品之前,安全经理需要了解他们正在评估的潜在解决方案的范围和局限性。例如,虽然 Palo Alto 的 DNS 安全服务涵盖了除 NXDOMAIN 之外的广泛 DNS 漏洞利用,但客户只有拥有供应商的下一代防火墙并订阅其威胁防御服务,才能获得广泛的保护。
DNS 防御还应与强大的威胁情报服务结合起来,以便防御者能够快速识别和响应潜在的攻击并减少误报。 Akamai、Amazon Web Services、Netscout、Palo Alto 和 Infoblox 等供应商运营大型遥测收集网络,帮助其 DNS 和 DDoS 保护工具发现攻击。
网络安全与基础设施安全局 制定了一系列建议行动 其中包括向其 DNS 管理员的帐户添加多重身份验证,以及监控证书日志并调查任何差异。
