在互联网全球化进程日益加快的今天,数据和网络基础设施已经成为企业或组织的核心,员工、合作伙伴和客户之间的联系、重要的业务进程都越来越依赖于互联网的支撑,而提供IP地址和域名转换的DNS系统,是实现网络应用必不可少的前提,对确保企业互联网化运作可谓功不可没。
DNS作为网络基础设施的一个根本部分,关系到企业的生产力,但正是因为DNS应用的这种普及性和不可替代性,它又是一个主要的攻击途径。虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避常见及专业的网络攻击,但遗憾的是,大多数企业并没有对DNS安全起到足够的重视,使企业的数据、资产和信誉都处在风险之中。思科 2016年度安全报告指出,近91.3%的“已知不良”恶意软件被发现使用DNS作为主要手段,但68%的企业却忽略了这个问题,并没有对DNS解析器进行监测,思科非常形象地把这称作“DNS盲点”——DNS是互联网上最常见的协议,但它却成为了最容易被忽视的。
为什么是DNS?攻击者会抓住任何互联网服务或协议的漏洞来发动攻击,这当然也包括DNS。思科2016年安全报告显示,恶意软件一般通过DNS实现命令与控制(Command and Control)信道、窃取数据和重定向流量等三个目的。
攻击者曾使用很多信道与他们的僵尸网络或恶意主机通信,比如TCP、IRC或HTTP等,但通过这些通道的恶意软件流量都可以被防火墙等网络安全设备或方案检测到并阻止。但对于DNS而言情况却并非如此。由于DNS服务的不可替代性,而企业又缺乏对DNS安全的重视,所以几乎所有类型的网络都会允许 DNS数据报文不受限制地访问网络,而不对其流量进行过滤或检查。恶意软件正是利用了这一点,通过在DNS协议中构建隧道,进行命令控制和数据渗漏。比如通过DNS响应来接收指令,并利用DNS查询请求,传送窃取到的数据,如用户或企业的敏感信息。利用DNS隧道技术的攻击近年来逐渐上升,规模也越来越大,比如2013年针对Target、2014年针对Sally Beauty和家得宝的攻击,都是将窃取的数据伪装在DNS查询到数据包中外泄出去;而针对POS(Point of Sale销售点)的恶意软件族NewPosThings在今年四月也出现了新的变种Multigrain,客户端感染Multigrain恶意软件后,Multigrain会使用精心设计的DNS请求包告诉攻击者已经成功在目标主机上进行了安装,之后它会抓取目标机上的信用卡数据(如账号密码等),将数据进行加密后,每隔5分钟使用DNS查询将新的数据发送给攻击者。除了隧道技术,当客户端与受感染或恶意的DNS服务器进行交互的时候,正常的域名请求响应可能因为DNS缓存投毒或DNS重定向而被劫持,引导至恶意网站或被恶意代码感染。
当然,除了恶意软件,还有很多网络攻击也离不开DNS,比如APT攻击、垃圾邮件、僵尸网络和挂马网站等,它们都在利用DNS伺机攻击企业的网络。根据 Forrester(一家独立的技术和市场调研公司)最新发布的亚太地区漏洞管理趋势调研报告显示:在过去的一年中,80%的公司曾遭受至少一次的攻击,最常见的是钓鱼和基于DNS的攻击。
尽管DNS是很多攻击的源头,但大多数企业并没有对DNS基础设施进行监控。对于他们来说,DNS 可能仅是一种实用工具,是在后面运行的系统,只要DNS能正常运行,那些隐藏在DNS流量之下的危险就可以忽视不管了。不能任由DNS躺在那里,门户大开了。为此US-CERT(United States Computer Emergency Readiness Team美国计算机应急小组)提出应控制企业内网到外网的DNS流量来保证DNS请求和响应的安全性:即只能向企业内部被授权的DNS缓存域名服务器发起请求和接收响应,不允许直接使用外网DNS系统。具体措施包括自建企业DNS缓存服务器,对企业DNS流量进行监控和过滤,除了内网DNS缓存域名服务器和授权域名服务器,对所有向53端口发送和接收的UDP和TCP流量进行阻止和过滤。除了这些具体措施,国内DNS解决方案提供商泰策也一再强调DNS 基础设施建设的重要性,呼吁企业尽快建立自己的DNS系统:一方面对DNS流量进行必要的监控和管理,这是检测潜在恶意网络活动的一个重要工具;另一方面对DNS数据报文进行分析和处理,阻断对恶意链接的访问,避免垃圾邮件、挂马网站、僵尸网络和钓鱼网站的侵害。此外,落实DNS基础设施建设也不仅仅是一项未雨绸缪的举措,DNS数据中有大量的信息可向企业提供网络内部发生的情况,在企业遭受基于DNS的安全威胁时,DNS就有了更多的用武之地,大量的 DNS数据记录可帮助网络安全人员分提取有效信息、进行必要的取证和防护处理。总之,DNS是所有在线服务的立足之本,DNS安全涉及企业安全根本,重视 DNS,正是此刻。