当前DNS威胁面临严峻的挑战，几种 DNS 攻击可能会破坏DNS 或网络通信，或者利用DNS 的预期目的来识别目标或恶意攻击系统。没有单一的缓解方法可以消除所有威胁的漏洞;因此，需要多管齐下的缓解策略来减少攻击暴露。下表总结了 DNS 面临的威胁以及每种威胁对应的缓解方法。缓解方法将在下面的章节中进行总结。

威胁

威胁的总结

缓解方法

拒绝

服务

拒绝服务

攻击者向DNS服务器发送大量的TCP、UDP、DNS或其他报文，使其资源被淹没

l 端口/DNS访问控制

l 入站速率限制

l 任播部署

分布式拒绝服务

攻击者从多个源向DNS服务器发送大量的

TCP、UDP、DNS等报文，使其资源被淹没

l 端口/DNS访问控制

l 入站速率限制

l 任播部署

虚假的查询

攻击者发送大量虚假查询，导致递归服务器无法找到权威服务器

l 限制每个客户端未完成查询的数量

缓存

中毒

数据包拦截/欺骗

攻击者向递归DNS服务器发送DNS响应，以毒害其缓存，影响DNS解析的完整性

l 递归服务器上的DNSSEC验证

l 源端口和XID随机化

l Qname大小写操作和响应验证

ID猜测/查询预测

攻击者使用预测的或多种XID值将DNS响应传输到预测的查询。

l 递归服务器上的DNSSEC验证源

l 端口和XID随机化

l Qname大小写操作和响应验证

卡明斯基攻击/名字连锁

攻击者在DNS报文附加部分发送伪造的DNS响应。卡明斯基攻击产生确定性查询以促进攻击。

l 递归服务器上的DNSSEC验证

l 源端口和XID随机化

权威

中毒

非法动态更新

攻击者通过向主DNS服务器发送DNS更新消息，增加、修改或删除目标区域内的资源记录

l 在allow-update、allow-notify、notify-source上使用acl

l 还可以将acl定义为需要为添加的源身份验证提供事务签名

服务器攻击/劫持

攻击者侵入DNS服务器，从而在其他服务器功能之间操纵DNS数据

l 实现主机访问控制

l 使用隐藏主程序禁止检测区域主控器

l 加固服务器操作系统并保持最新

l 限制端口或控制台访问

DNS服务配置错误

配置错误漏洞使DNS服务暴露于不正确的配置

l 使用checkzone和checkconf或类似的工具

l 使用带有错误检查功能的IPAM系统

l 在需要时保留新的备份以便重新加载

服务器/OS攻击

缓冲区溢出和OS级攻击

攻击者利用服务器操作系统漏洞

l 加固操作系统并保持更新

控制通道攻击

攻击者通过访问DNS服务控制通道，破坏DNS服务

l 控制通道acl控制通道键控认证

DNS服务漏洞

攻击者利用DNS服务漏洞

l 监控CERT通知并更新DNS服务

l 不暴露DNS服务版本

解析器/主机攻击

递归DNS重定向

攻击者错误配置解析器，指向非法递归DNS服务器

l 通过DHCP配置DNS服务器

l 监控非法DHCP服务器

l 定期审计每个客户端是否配置错误或异常

Resolver配置类攻击

攻击者侵入设备，在其他设备功能中操纵解析器配置

l 实现主机访问控制

网络侦察

名字猜测

攻击者对名称发出合法的DNS查询，这些查询如果被解析，可能成为进一步的攻击目标

l 避免给主机起过于“吸引人”的名字

非法区域转移

攻击者向权威DNS服务器发起区域转移请求，获取区域资源记录，识别潜在的攻击目标

l 使用acl与TSIG在允许传输;并使用传输源IP地址和端口使用非标准端口进行区域传输

反射器式攻击

反射器的攻击

攻击者欺骗目标的IP地址，并向一个或多个权威DNS服务器发出大量查询，以淹没目标

l 对路由器进行入接口过滤，减少欺骗

l 使用DNS响应速率限制

放大的攻击

攻击者通过查询“大型”资源记录来放大反射器攻击，以增加每次查询到目标的数据流量

l 对路由器进行入接口过滤，减少欺骗

l 使用DNS响应速率限制

数据漏出

DNS隧道

攻击者利用DNS作为传输协议，通过防火墙进行数据传输

l 监视DNS查询以查看频繁查询在给定的客户端和服务器之间特别是对于大型查询或响应有效载荷与数据熵

l 对检测到的隧道事件发出告警，并可选自动关闭隧道

资源定位符

攻击者感染使用DNS定位命令控制中心的内部设备

l DNS防火墙

l 防火墙触发事件的监控和日志记录

摘要

高级持续性威胁

攻击者在网络中部署适应性强的恶意软件，以执行恶意功能来破坏通信和/或窃取信息

l DNS防火墙

l 防火墙触发事件的监控和日志记录