DNS协议爆出新漏洞,请查收这份原理解析及处理建议

2020/7/13 11:00:59 人评论 次浏览 分类:学习教程

DNS NXNSAttack漏洞原理解析:

NXNSAttack是通过利用DNS协议中递归查询过程的一个缺陷,造成递归DNS服务器和被攻击权威DNS服务器的流量放大,最终可导致递归DNS服务器或权威DNS服务器的正常服务能力受到影响。

此漏洞是利用了 DNS尽力而为的容错NS使用机制而发起攻击,波及众多DNS系统:BIND、Unbound、PowerDNS等均受到影响。
在这里插入图片描述
以上如图所示

NXNSAttack涉及如下角色:

查询终端:发起域名(例如:sd1.attacker.com)查询的终端。

递归DNS服务器:简称服务器(A),负责响应查询终端发起的域名解析请求,会根据服务器(B)的响应结果进行大量迭代查询。

被控制的权威DNS服务器:简称服务器(B),将域名(sd1.attacker.com)授权给服务器(C)(victim.com)。为了达到攻击目的,服务器(B)中会配置大量针对查询域名的子域授权记录, 服务器(B)通过响应服务器(A)的迭代查询,将这些子域授权记录发送给服务器(A)。

被攻击的权威DNS服务器:简称服务器(C),提供(victim.com)域名区域内域名的解析,服务器(C)会接收到来自服务器(A)的大量查询,造成流量激增,正常服务受到影响。

NXNSAttack涉及如下攻击过程:

(1)查询终端向服务器(A)发送域名查询请求,服务器(A)会按照DNS递归协议流程将域名查询发送到服务器(B)。

(2)当服务器(B)接收到服务器(A)的域名请求后,会回复含有大量NS记录的响应到服务器(A)。

(3)服务器(A)会根据服务器(B)响应的大量NS记录,向服务器(C)发起大量查询,导致服务器(A)和服务器(C)的流量激增。

ZDNS的处理建议:

本次NXNSAttack攻击的关键条件为攻击者拥有“被控制的权威DNS服务器”,这就使得互联网DNS服务器和封闭的内网DNS服务器(非互联网)的安全风险程度具有较大差异。针对不同情况,互联网域名系统国家工程研究中心(ZDNS)给出如下建议:

对于内网DNS服务器,由于其无法访问互联网,攻击者拥有内网可访问的“被控制的权威DNS服务器”难度更大,针对内网DNS服务器可以根据具体情况择机进行DNS服务软件版本的升级。

对于互联网DNS服务器,会造成两个方面的影响,一方面攻击权威DNS服务器,一方面是攻击递归DNS服务器:

对于递归DNS服务器

首先要将递归DNS服务器的软件更新到修复次漏洞的版本。如未能及时升级,应加强DNS服务器“递归并发连接数”、“QPS、CPU、网卡流量”等监控、告警,出现异常时,通过DNS解析日志进行排查,确定攻击来源,并进行限速、访问控制等防护措施。

对于权威DNS服务器

权威DNS服务器除加强监控和巡检外,还建议选择专业云解析服务商进行互联网域名解析托管,增强权威DNS的抗DDoS能力。例如,可以考虑选择使用ZDNS 云解析服务。

对于使用ZDNS产品客户

针对此DNS协议漏洞,ZDNS已迅速响应,并进行了技术分析,提供了升级补丁。客户可以联系ZDNS服务热线:400-6688-876获取服务支持。
DNS作为互联网核心基础服务,一旦遭受攻击,会给整个网络带来巨大的损失。因为域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障。除了此次利用NXNSAttack漏洞的攻击外,常见DNS的攻击手段还包括:

在这里插入图片描述
近年来面向网络基础设施发起的攻击数量增长迅猛,而针对DNS发起的DDoS攻击就占据了其中50%以上,所以安全DNS的重要性进一步凸显。此次DNS协议中的安全漏洞再次敲响了警钟,重视并加强DNS系统安全,建设安全DNS成为企业信息化建设核心任务,刻不容缓!

相关资讯

    暂无相关的资讯...

共有访客发表了评论 网友评论

验证码: 看不清楚?
    -->