DNS协议爆出新漏洞,安全DNS建设刻不容缓7186
发表时间:2020-06-09 14:40作者:ZDNS 近日,DNS协议中的又一安全漏洞——NXNSAttack被发现。通过此安全漏洞,攻击者可以发起放大的大规模DDoS攻击,对被攻击者的业务造成不良影响甚至瘫痪。DNS安全的问题也因此再次成为人们关注的焦点。 DNS NXNSAttack漏洞原理解析 NXNSAttack是通过利用DNS协议中递归查询过程的一个缺陷,造成递归DNS服务器和被攻击权威DNS服务器的流量放大,最终可导致递归DNS服务器或权威DNS服务器的正常服务能力受到影响。 此漏洞是利用了 DNS尽力而为的容错NS使用机制而发起攻击,波及众多DNS系统:BIND、Unbound、PowerDNS等均受到影响。 如上图所示
NXNSAttack涉及如下角色: 查询终端:发起域名(例如:sd1.attacker.com)查询的终端。 递归DNS服务器:简称服务器(A),负责响应查询终端发起的域名解析请求,会根据服务器(B)的响应结果进行大量迭代查询。 被控制的权威DNS服务器:简称服务器(B),将域名(sd1.attacker.com)授权给服务器(C)(victim.com)。为了达到攻击目的,服务器(B)中会配置大量针对查询域名的子域授权记录, 服务器(B)通过响应服务器(A)的迭代查询,将这些子授权记录发送给服务器(A)。 被攻击的权威DNS服务器:简称服务器(C),提供(victim.com)域名区域内域名的解析,服务器(C)会接收到来自服务器(A)的大量查询,造成流量激增,正常服务受到影响。
NXNSAttack涉及如下攻击过程: (1)查询终端向服务器(A)发送域名查询请求,服务器(A)会按照DNS递归协议流程将域名查询发送到服务器(B)。 (2)当服务器(B)接收到服务器(A)的域名请求后,会回复含有大量NS记录的响应到服务器(A)。 (3)服务器(A)会根据服务器(B)响应的大量NS记录,向服务器(C)发起大量查询,导致服务器(A)和服务器(C)的流量激增。 ZDNS的处理建议 本次NXNSAttack攻击的关键条件为攻击者拥有“被控制的权威DNS服务器”,这就使得互联网DNS服务器和封闭的内网DNS服务器(非互联网)的安全风险程度具有较大差异。针对不同情况,互联网域名系统国家工程研究中心(ZDNS)给出如下建议: 对于内网DNS服务器,由于其无法访问互联网,攻击者拥有内网可访问的“被控制的权威DNS服务器”难度更大,针对内网DNS服务器可以根据具体情况择机进行DNS服务软件版本的升级。 对于互联网DNS服务器,会造成两个方面的影响,一方面攻击权威DNS服务器,一方面是攻击递归DNS服务器: Ø 对于递归DNS服务器 首先要将递归DNS服务器的软件更新到修复次漏洞的版本。如未能及时升级,应加强DNS服务器“递归并发连接数”、“QPS、CPU、网卡流量”等监控、告警,出现异常时,通过DNS解析日志进行排查,确定攻击来源,并进行限速、访问控制等防护措施。 Ø 对于权威DNS服务器 权威DNS服务器除加强监控和巡检外,还建议选择专业云解析服务商进行互联网域名解析托管,增强权威DNS的抗DDoS能力。例如,可以考虑选择使用ZDNS 云解析服务。 Ø 对于使用ZDNS产品客户 针对此DNS协议漏洞,ZDNS已迅速响应,并进行了技术分析,提供了升级补丁。客户可以联系ZDNS服务热线:400-6688-876获取服务支持。
ZDNS的处理建议 DNS作为互联网核心基础服务,一旦遭受攻击,会给整个网络带来巨大的损失,DNS安全问题逐年增加,常见DNS的攻击手段还包括: 近年来,面向网络基础设施发起的攻击增长迅猛,而针对DNS发起的DDoS攻击就占据了其中50%以上。因为域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障,所以安全DNS的重要性进一步凸显。此次DNS协议中的安全漏洞再次敲响了警钟,重视并加强DNS系统安全,建设安全DNS成为企业信息化建设核心任务,刻不容缓! |