DNS协议爆出新漏洞，安全DNS建设刻不容缓

近日，DNS协议中的又一安全漏洞——NXNSAttack被发现。通过此安全漏洞，攻击者可以发起放大的大规模DDoS攻击，对被攻击者的业务造成不良影响甚至瘫痪。DNS安全的问题也因此再次成为人们关注的焦点。

DNS NXNSAttack漏洞原理解析

NXNSAttack是通过利用DNS协议中递归查询过程的一个缺陷，造成递归DNS服务器和被攻击权威DNS服务器的流量放大，最终可导致递归DNS服务器或权威DNS服务器的正常服务能力受到影响。

此漏洞是利用了 DNS尽力而为的容错NS使用机制而发起攻击，波及众多DNS系统：BIND、Unbound、PowerDNS等均受到影响。

如上图所示

NXNSAttack涉及如下角色:

查询终端：发起域名（例如：sd1.attacker.com）查询的终端。

递归DNS服务器：简称服务器（A），负责响应查询终端发起的域名解析请求，会根据服务器（B）的响应结果进行大量迭代查询。

被控制的权威DNS服务器：简称服务器（B），将域名（sd1.attacker.com）授权给服务器（C）（victim.com）。为了达到攻击目的，服务器（B）中会配置大量针对查询域名的子域授权记录， 服务器（B）通过响应服务器（A）的迭代查询，将这些子授权记录发送给服务器（A）。

被攻击的权威DNS服务器：简称服务器（C），提供（victim.com）域名区域内域名的解析，服务器（C）会接收到来自服务器（A）的大量查询，造成流量激增，正常服务受到影响。

NXNSAttack涉及如下攻击过程：

（1）查询终端向服务器（A）发送域名查询请求，服务器（A）会按照DNS递归协议流程将域名查询发送到服务器（B）。

（2）当服务器（B）接收到服务器（A）的域名请求后，会回复含有大量NS记录的响应到服务器（A）。

（3）服务器（A）会根据服务器（B）响应的大量NS记录，向服务器（C）发起大量查询，导致服务器（A）和服务器（C）的流量激增。

     ZDNS的处理建议

本次NXNSAttack攻击的关键条件为攻击者拥有“被控制的权威DNS服务器”，这就使得互联网DNS服务器和封闭的内网DNS服务器（非互联网）的安全风险程度具有较大差异。针对不同情况，互联网域名系统国家工程研究中心（ZDNS）给出如下建议：

对于内网DNS服务器，由于其无法访问互联网，攻击者拥有内网可访问的“被控制的权威DNS服务器”难度更大，针对内网DNS服务器可以根据具体情况择机进行DNS服务软件版本的升级。

对于互联网DNS服务器，会造成两个方面的影响，一方面攻击权威DNS服务器，一方面是攻击递归DNS服务器：

Ø   对于递归DNS服务器

首先要将递归DNS服务器的软件更新到修复次漏洞的版本。如未能及时升级，应加强DNS服务器“递归并发连接数”、“QPS、CPU、网卡流量”等监控、告警，出现异常时，通过DNS解析日志进行排查，确定攻击来源，并进行限速、访问控制等防护措施。

Ø   对于权威DNS服务器

权威DNS服务器除加强监控和巡检外，还建议选择专业云解析服务商进行互联网域名解析托管，增强权威DNS的抗DDoS能力。例如，可以考虑选择使用ZDNS 云解析服务。

Ø   对于使用ZDNS产品客户

针对此DNS协议漏洞，ZDNS已迅速响应，并进行了技术分析，提供了升级补丁。客户可以联系ZDNS服务热线：400-6688-876获取服务支持。

    ZDNS的处理建议

DNS作为互联网核心基础服务，一旦遭受攻击，会给整个网络带来巨大的损失，DNS安全问题逐年增加，常见DNS的攻击手段还包括：

近年来，面向网络基础设施发起的攻击增长迅猛，而针对DNS发起的DDoS攻击就占据了其中50%以上。因为域名服务故障通常会造成大面积的网络中断，严重程度远大于单个应用系统故障，所以安全DNS的重要性进一步凸显。此次DNS协议中的安全漏洞再次敲响了警钟，重视并加强DNS系统安全，建设安全DNS成为企业信息化建设核心任务，刻不容缓！