如何在攻擊中使用 DNS
一些威脅包括針對 DNS 基礎架構的攻擊:
- 分散式阻斷服務(DDoS):DNS 基礎設施對於網際網路的運作至關重要。針對 DNS 的 DDoS 攻擊可以透過看似合法的流量使網路飽和,從而使為網站提供服務的 DNS 伺服器無法使用,從而導致網站無法存取。其中一個經典的例子是 2016 年針對 Dyn 的 DDoS 攻擊,其中一支在互聯網連接的攝像機上託管的機器人造成了許多主要網站中斷,包括亞馬遜,Netflix,Spotify 和 Twitter。
- DNS DDoS 放大:DNS 使用 UDP (無連線通訊協定) 進行傳輸,這意味著攻擊者可以偽造 DNS 請求的來源位址,並將回應傳送到自己選擇的 IP 位址。 此外,DNS 回應可以比對應的請求大得多。 DDoS 攻擊者利用這些因素來擴大他們的攻擊,通過向 DNS 服務器發送一個小要求,並將大量響應傳回目標。 這會導致目標主機的 DoS。
- 其他拒絕服務 (DoS) 攻擊:除了基於網路的 DDoS 攻擊之外,在 DNS 伺服器上執行的應用程式也可能成為 DoS 攻擊的目標。這些攻擊旨在利用 DNS 伺服器應用程式的脆弱性,使其無法回應合法請求。
DNS 也可能被濫用並用於網絡攻擊。 濫用 DNS 的例子包括:
- DNS 劫持:DNS 劫持是指任何攻擊,誘騙使用者認為他們正在連線到合法網域,而他們實際上連接到惡意網域。 這可以使用受入侵或惡意的 DNS 伺服器,或誘騙 DNS 伺服器儲存不正確的 DNS 資料(稱為緩存中毒的攻擊)來完成。
- DNS 隧道:由於 DNS 是值得信賴的協議,因此大多數組織允許它自由進入和離開其網路。網路犯罪分子利用 DNS 進行資料洩露,惡意軟體的 DNS 請求包含外洩的資料。由於目標 DNS 伺服器通常由目標網站的擁有者控制,因此攻擊者確保資料到達伺服器,並且會在 DNS 回應封包中傳送回應。
- 使用隨機網域名稱 (DGA) 避免安全性:威脅參與者使用複雜的演算法使用網域生成算法 (DGA) 生成數以千計的全新網域名稱。 然後,受感染電腦上的惡意軟體將使用這些全新的網域來逃避偵測並連接到駭客的外部命令和控制伺服器。傳統的安全解決方案不足以判斷這些網域是否惡意,因此它們只是預設允許它們通過。
DNS 安全性的重要性
DNS 是一個舊的通訊協定,它建立在沒有任何整合式安全性的情況下。 已開發多種解決方案來幫助保護 DNS,包括:
- 聲譽過濾:與其他 Internet 使用者一樣,大多數惡意軟體需要發出 DNS 請求來尋找其正在造訪的網站的 IP 位址。組織可以封鎖或重新導向 DNS 請求到已知惡意網域。
- DNS 檢查:使用DNS 透過DNS 隧道進行資料外洩或使用網域產生演算法進行安全規避,也可以透過次世代防火牆(NGFW) 即時偵測和阻止,次世代防火牆(NGFW) 利用由人工智慧深度學習引擎提供支援的威脅情報。這有助於阻止使用 DNS 進行惡意軟體命令和控制 (C2) 通訊和其他攻擊的複雜惡意軟體。
- 保護通訊協定:DNSSEC 是一種通訊協定,其中包含 DNS 回應的驗證。 由於已驗證的回應無法偽造或修改,因此攻擊者無法使用 DNS 將使用者傳送到惡意網站。
- 保護通道:通過 TLS(DoT)和 DoH(通過 HTTPS 的 DNS)為不安全通訊協定增加安全層。 這可確保要求經過加密和驗證,與傳統 DNS 不同。 通過使用 DoH 和 DoT,用戶可以確保 DNS 響應的隱私,並阻止他們的 DNS 請求的竊聽(這會顯示他們正在訪問的網站)。
分析、威脅情報和威脅搜尋
監控您的 DNS 流量可以為您的安全操作中心 (SOC) 團隊監控和分析公司的安全狀況的豐富資料來源。 除了監控防火牆的 DNS 妥協指標 (IoC) 之外,SOC 團隊還可以尋找相似的網域。
防止惡意使用 DNS 通訊協定
Check Point Quantum 次世代防火牆透過 ThreatCloud 人工智能(其全球威脅情報系統)偵測惡意流量和 DNS 隧道攻擊。ThreatCloud 人工智慧分析 DNS 請求並將判決傳回防火牆 – 即時丟棄或允許 DNS 請求。這可防止透過 DNS 隧道和內部受感染主機與外部 C2 伺服器之間的命令與控制通訊進行資料竊取。
We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.
反映意見