在最初 DNS 的原始設計時並沒有考慮到安全性。DNS 在被創造之後,經歷了一系列的升級,增加了額外的安全措施,例如 DNSSEC 和 DNS over TLS。DNS 起始於 1983 年,在當時網路還相當新奇,它曾是駭客透過 DNS Spoofing 寫入惡意代碼,或獲取個人 credentials 的一個簡單的方式。
對組織和個人而言,DNS Spoofing 是構成欺騙性網路攻擊的眾多方法之一。如果不瞭解網路是如何將您連接到瀏覽器,您可能會誤以為您正在安全的流覽網站。
安全團隊必須隨時保持警戒,不能允許這些偽冒的 IP 位址和伺服器影響任何使用者,尤其是在顯著的位置。
什麼是網域名稱系統(DNS)?
DNS,也稱為網域名稱系統,是架構現代網路的基礎之一。您可以將其視為網路的電話簿 - 更像是手機上的聯絡人清單,將您的聯絡電話與他們各自的姓名相互匹配。
DNS 是 Internet 運作的核心,負責解析或將網路中的 IP 位址轉換回域名。每個設備都有用來連接到網路的 IP 位址。而 DNS 伺服器使您可以查詢域名,例如 facebook.com 而不是記住每個網站的 IP 位址。
什麼是 DNS Spoofing
DNS Spoofing 或 DNS cache poisoning 是一種網路攻擊手法,將偽冒的數據污染 DNS 解析的快取,或更改 DNS 記錄。這種攻擊手法是利用網域伺服器中的漏洞,將網路流量導向到偽冒的網站。
這些攻擊有多種形式。其中一個例子是,當駭客選擇他們的目標網站時,甚至建立了一個偽造的仿真網站,毫無戒心的用戶登入該系統時,他的個人登入帳號密碼無形之中就洩露給犯罪分子了。另一個例子是「中間人攻擊 - Man in The Middle」,使用者和伺服器之間的連線互動,被重新導向了不同的潛在惡意 IP 位址。
DNS Spoofing 的類型
技術上來說,有一些不同的方法來進行 DNS Spoofing。所有形式的攻擊之中,最主要的攻擊方式是透過攻擊並破壞竄改 DNS 記錄,以便在使用者不知情的情況下,將他們者重新導向到惡意網站。
通常,使用DNS Spoofing 進行攻擊有兩種主要方式:
- MITM 中間人攻擊
- 直接入侵 DNS 伺服器
中間人攻擊
中間人攻擊主要存在於電腦網路服務和應用程式之間。從技術上來說,這主要是使用者和伺服器之間的通訊問題,特別是那些不使用加密或身份驗證的通訊。
在這種情境之下,攻擊者會介於用戶端應用程式和伺服器之間,在資訊橫向傳遞時截取或竊聽資訊。攻擊者可以隨意選擇阻斷或更改傳遞的資訊,進而造成服務的完整性或可用性。
從 DNS 的角度來看,攻擊者位於終端使用者應用程式和 DNS 伺服器之間的某個位置,並植入惡意代碼。然後,這可以使 DNS 做出偽冒的回應,讓進行 DNS 查詢的使用者取得偽造的 IP 位址,從而有效地將使用者導向到其他目標。這使得遵循 DNS 協議的所有網路服務,對於這種攻擊幾乎防範之道。但是,保護 DNS 查詢和解析的正確性的工作,還有很長的路要走。
直接入侵 DNS 伺服器
受感染的 DNS 伺服器也可能轉換為 DNS hijacking ( DNS 劫持)或使用者重定向攻擊。這是一種針對網域伺服器系統中的漏洞的域名伺服器的破壞。當您的 DNS 伺服器受到威脅時,許多事情可能會出錯。其中之一是將網路流量重新導向到非法伺服器,在那裡他們可以發起一系列攻擊,包括收集含有敏感數據的流量日誌。
此外,攻擊者將可能攔截所有寄到您組織的電子郵件。發生這種情況時,他們將能夠代表您發送和接收電子郵件,通過利用您身份或公司的商譽信用來獲利。
DNS Spoofing 和 Cache Poisoning 的區別
DNS Spoofing 偽冒
DNS Spoofing 是一種攻擊方式,它會改變組織的域名記錄,以便將流量導向到欺詐性網站。依據 DNS 的原始設計,DNS 解析伺服器無法驗證接收到 DNS 回應的正確性。它能做的最好的事情就是檢查回應是否來自權威主機的 IP 位址。但由於權威主機的 IP 位址可以偽冒,因此網路犯罪分子很容易的重定向來截取用戶的流量。
Cache Poisoning 緩存中毒
Cache Poisoning 更像是對終端用戶攻擊,而不是伺服器攻擊。它會攻擊已被 Cache 緩存的 IP 位址的 Cache 記憶體。這使得 DNS 能夠針對性的回應惡意網站的 IP 位址。如果攻擊者設法讓 DNS 快取伺服器緩存到不正確的 IP 位址,那麼該 DNS 記錄就形同被攻陷。對於依賴該緩存的眾多用戶來說,這種影響可能是非常巨大的。
安全團隊如何避免 DNS 攻擊?
您的安全團隊必須通過執行網路安全評估,和定期修復安全漏洞來保持領先於駭客的戰略地位,以確保您的組織免受 DNS Spoofing 的危害。您可以使用安全檢測工具和協定來阻止網路犯罪分子。
可以導入以下措施:
- 部署 DNS Spoofing 檢測工具
這有助於在發送之前掃描所有必須發送出去的數據,從而保護端點使用者安全產品。
- 導入 DNSSEC 技術
DNSSEC 有助於保持 DNS 註冊商的真實性和防止偽冒。它透過公鑰和數位簽章來驗證 DNS 查詢的真實性。
- 執行 JA3 惡意軟體檢測技術
JA3 惡意軟體檢測技術可通過收集任何可觀察的 SSL 用戶端行為的 fingerprint 指紋,幫助檢測通過 TLS over DNS 的惡意軟體。如果加密的 TLS 通訊是強制時,可以考慮這種方式。
- 端到端加密
加密通訊提供了兩個優勢來防止 DNS 欺騙。首先,它可以保護您的數據免受外部人員的授權訪問。其次,它確保了遠端主機身份的真實性。
立即採取快速行動!
DNS Spoofing 像是癌症般的直接影響易受攻擊的網站。儘管努力遏制此類攻擊,但網路犯罪分子仍不停尋找新的方法來欺騙您的資訊並攻擊用戶和組織。
因此,密切關注 DNS 流量是必要的,並且可以成為資安團隊的豐富數據來源。NetQuest 的 SNS 網路流量感測器可以幫助保護您的 DNS 基礎設施,並使用先進的技術和演算法幫助檢測基於 DNS 偽造攻擊。我們的技術可協助透過 DNS 數據洩露和信譽過濾來檢測惡意傳入流量和 DNS 隧道攻擊。
立即聯繫我們,觀看 NetQuest 與 DNS 相關的可視化感測器 Demo。
Source: https://netquestcorp.com/dns-spoofing-why-is-it-dangerous/ (DNS Spoofing: Why Is It Dangerous?)