針對網域名稱系統 (DNS) 的攻擊數量眾多且多種多樣,因此組織必須依賴多層攻擊 保護措施,如流量監控、威脅情報和高階網路防火牆,協同行動。隨著 NXDOMAIN 攻擊的增加,組織需要加強其 DNS 防禦。
隨著 發布 Shield NS53, Akamai 加入了越來越多的安全供應商行列,提供能夠防禦 NXDOMAIN 攻擊的 DNS 工具. 這項新服務將 Akamai 的邊緣 DNS 技術在雲端擴展到本地部署。
在 NXDOMAIN 攻擊(也稱為 DNS Water Torture DDoS 攻擊)中,攻擊者透過大量不存在(因此有 NX 前綴)或無效域和子網域的請求淹沒 DNS 伺服器。 DNS 代理伺服器在查詢 DNS 權威伺服器時耗盡了大部分(如果不是全部)資源,以至於該伺服器不再有能力處理任何請求(無論是合法的還是偽造的)。更多的垃圾查詢到達伺服器意味著需要更多的資源(伺服器 CPU、網路頻寬和記憶體)來處理它們,並且合法請求需要更長的時間來處理。當人們由於 NXDOMAIN 錯誤而無法訪問網站時,這可能意味著 客戶流失、收入損失和聲譽受損.
Akamai 產品管理總監 Jim Gilbert 表示,NXDOMAIN 多年來一直是常見的攻擊媒介,並且正在成為更大的問題。 Akamai 去年發現,其前 40 名金融服務客戶的整體 DNS 查詢中有 50% 包含 NXDOMAIN 記錄。
加強 DNS 保護
雖然理論上可以透過增加更多容量來防禦DNS 攻擊(更多資源意味著需要更大、更長的攻擊才能擊垮伺服器),但對於大多數組織來說,這不是一種經濟上可行或可擴展的技術方法。但他們可以透過其他方式加強 DNS 保護。
企業防禦者需要確保他們了解自己的 DNS 環境。這意味著記錄 DNS 解析器目前部署的位置、本機和雲端資源如何與其交互,以及它們如何利用進階服務(例如 Anycast 和 DNS 安全協定)。
Akamai 的 Gilbert 表示:「企業希望將其原始 DNS 資產保留在本地,可能有充分的合規性原因。」他指出,Shield NS53 允許企業添加保護控制,同時保持現有 DNS 基礎設施完好無損。
保護 DNS 也應該成為整體分散式阻斷服務 (DDoS) 預防策略的一部分,因為許多 DDoS 攻擊都是從 DNS 漏洞開始的。據 Akamai 稱,去年近三分之二的 DDoS 攻擊使用了某種形式的 DNS 漏洞。
在購買任何產品之前,安全經理需要了解他們正在評估的潛在解決方案的範圍和限制。例如,雖然 Palo Alto 的 DNS 安全服務涵蓋了除 NXDOMAIN 之外的廣泛 DNS 漏洞利用,但客戶只有擁有供應商的新一代防火牆並訂閱其威脅防禦服務,才能獲得廣泛的保護。
DNS 防禦也應與強大的威脅情報服務結合起來,以便防禦者能夠快速識別和回應潛在的攻擊並減少誤報。 Akamai、Amazon Web Services、Netscout、Palo Alto 和 Infoblox 等供應商經營大型遙測收集網絡,幫助其 DNS 和 DDoS 保護工具發現攻擊。
網絡安全與基礎設施安全局 制定了一系列建議行動 其中包括向其 DNS 管理員的帳戶添加多重身份驗證,以及監控證書日誌並調查任何差異。
