DNS安全问题已经随着现今各种网络服务应用成长而不断攀升，不仅可用作发动大规模DDoS攻击的管道，更是被大量利用于各种网络犯罪工具中，造成「由内而外」的安全危机

图片来源: Abor Networks

       从以前到现在，DNS域名系统（以下简称DNS）一直是至关重要的核心网络服务，近年来随着各项新颖的网络应用及服务快速增长，DNS的角色功能相对也变得更为吃重。不过「人怕出名猪怕肥」，DNS也因此被有心者拿来大加利用于网络犯罪，产生出各种以DNS基础的攻击类型，包括DNS服务瘫痪攻击、反射/放大攻击、中间人攻击、伪冒嫁接、恶意程序、殭尸网络、资料外泄通道等等。

       攻击目标除了DNS本体外，多半也会利用DNS作为跳板或藏身管道，进行针对第三方攻击标的。因此，你所需要关切的，不仅是DNS停摆时将对于整体IT网络服务运转的影响冲击，更必须清楚DNS安全问题所将产生的威胁与伤害性。

DNS资安威胁趋势分析

      当2013年发生的Spamhaus遭受300 Gbps大规模DDoS攻击事件，DNS安全问题收到关注，尤其在之后，多起大规模DDoS攻击事件，也同样采取的「DNS型态反射/放大攻击」方式下，企业安全人员开始评估导入对外前端的DDoS防护方案来抵御DNS DDoS攻击，但是这样的防御策略并无法有效提供帮助。由于DNS是一个安全性不甚严谨的服务应用，加上多数企业组织的资安策略，往往忽视了DNS系统环境的组态调校与安全强化，因而造成DNS一直是网络服务链中容易受攻击与恶意利用的组件。

来自内部的DNS威胁

      从近期的攻击趋势来观测，DNS攻击型态的安全威胁，已经不仅止于外部的DNS攻击型态，针对企业内部网络所发动的「由内而外（Inside Out）」攻击事件，频率也在上升。

      例如，网络犯罪者利用DNS容易穿越企业防御机制（如防火墙及入侵防御闸道）的特性，结合各式攻击技术，不断地衍生变化，而产生了基于DNS型态的复合式威胁，交互套用于外部及内部DNS威胁。

      除此之外，由于攻击目的朝向网络地下经济的取向发展，而其中DNS是容易利用，且成本低、效益高的素材，因而受到网络犯罪者的青睐。

来自外部的DNS威胁

       对于外部（面向网际网络）的DNS基础结构威胁型态，还是以造成服务影响的手法为主，首推为DDoS瘫痪服务及Flooding洪水式攻击，另一则是DNS劫持（或称「假冒/嫁接」）方式，以诱骗窃取机敏信息为主。

       由于各领域的企业与组织单位都必须因应广大的网络服务趋势，包括对外服务网站、电子邮件、电商服务、网络金融、行动服务，以及各类的云端服务和物联网应用等，在DNS需求性高且服务量大增的情况下，只要能影响DNS的正常服务，就能达到显著的伤害与威胁效果。

       根据Arbor Networks的2015年年全球基础结构安全报告，DNS是反射/放大攻击中使用的头号协议（81%），而反射和放大攻击是外部DNS的首要威胁。此外，Nexusguard首席科学官Terrence Gareau也解释，DNS攻击事件遽增的主因，在于入门工具得简单，象是现在只要任何有意图犯罪者，都能以较便宜的价格，透过黑市取得DDoS工具，或租用计时计量的攻击云。

        这些攻击利用DNS固有的UDP通讯协议弱点，多半能够穿透或隐蔽企业传统的资安防护系统，使之难以识别处理。而且，在缺少前端防护下，DNS攻击得以接触外部DNS系统结构，让DNS域名主机不得不处理回应非预期的恶意查询。于是，DNS系统在面对以资源耗尽攻击、协议漏洞攻击、或协议异常攻击手法，致使DNS主机的回应变得缓慢而最终崩溃。

        不过，上述这些攻击也可能是烟雾弹或某种探测，藉由对外部DNS发动DDoS攻击来转移注意力，进而在网络上的其他位置窃取数据和进行渗透，属于恶意侵入者所常用的手段。

DNS协定是最常用于反射攻击

       外部DNS系统是最容易受到各种攻击，包括DNS反射、放大攻击、协议异常、漏洞攻击和恶意侦查。依据Arbor Networks 2016年全球基础结构安全报告，DNS是反射/放大攻击中使用的头号协议（84%）。图片来源／Abor Networks

由内而外的DNS威胁

       事实上，现今各单位的内部网络与IT服务应用，几乎都必须透过DNS服务，随着越来越多的应用程序Web化及行动化，内部DNS系统每天的查询回应量，与2013年相比，有几乎百倍的增加，加上内网网络传输频宽大，因此，DNS攻击渗入企业内网所能引发的资安威胁，远甚于外部DNS，一旦瘫痪内部DNS系统，就足以使该单位IT近乎停摆，而如果利用DNS下蛊放毒，更可以不动声色地大量散播。

       另一个挑战则是，内部DNS处于内网环境中，而内网资安防护与监控机制的部署设计上，很难充分涵盖到，因此，近年多起内部DNS资安事件，都是在遭受攻击受害后才得以察觉，不过，对于这个单纯的服务所潜在的资安风险，多数企业IT尚未意识到。

       《思科2016年度安全报告》中即提到，有将近92%的「已知」恶意软件，使用DNS作为主要攻击手段，但由于安全团队和DNS管理者在公司内，通常属于不同IT团队，在缺乏密切互动下，常会被视为安全考量的「盲点」。

       而Infoblox发布的2015年第三季DNS风险指数报告也指出，DNS威胁指数已是全球恶意活动的指标，网络犯罪分子利用DNS发动各式各样的威胁，从简单的恶意程序攻击包、网络钓鱼、DoS/DDoS/DrDoS瘫痪服务攻击、以及资料外泄的基础管道；与2014年第三季比较下，DNS威胁指数上涨18.5%，漏洞利用工具包的比例上升75%，其中，网络钓鱼是漏洞利用工具包的最大威胁。

     不仅如此，恶意程序、僵尸网络及APT攻击，都已利用DNS漏洞进行对黑客所布放的C&C中继主机，取得命令与控制的通信。

当中所采取的技术手段包括：

● 域名生成算法（DGA）：以随机生成大量假冒的域名，并试图与其中某些网域通讯，以连结C&C取得更新或命令；其中，MATSNU恶意程序是此类应用在2015年最严重的威胁代表。

● 快速变动网域（Fast Flux Domain）：透过DNS系统，将恶意域名对应至多个IP位址，并将域名资料更新时间（TTL）缩短，让恶意域名与IP位址的对应可以快速更新、改变。

● 漏洞攻击套件（Exploit Kit）：顾名思义，针对已知或未知的漏洞弱点所量身设计的工具套件，可以进一步混合、生成复合式攻击手段。

DNS与HTTP均是应用层DDoS攻击首恶

在Arbor Networks同一份报告中显示，DNS协议与应用层DDoS攻击的首要目标服务-HTTP，是关联在一起的。图片来源／Abor Networks

如何改善DNS安全的建议

DNS的服务功能简单但特殊，以现今网络服务架构来看，DNS对于网络犯罪者而言是一个非常值得利用的战略位置。但如果要单纯倚赖网络设备或资安防护设备，来解决DNS安全问题，并不是件可达成的任务。

唯一的建议，还是必须从DNS系统本身的安全着手：

1. 经常性的弱点漏洞管理与修补

资安攻击多是从弱点漏洞下手，多数的企业IT虽然认知系统存在弱点漏洞的风险，但受限于在线系统可能因为版本升级及修补的兼容性与可用性影响评估，因此，对于弱点漏洞信息追踪管理，处于消极的态度。常见的标准作业方式为定期更新系统版本，只是更新频率往往间隔许久或缺乏紧急应变政策，而无法及时反应处理。

以2015年所发现的CVE-2015-5477漏洞为例，它被列为严重等级的DoS瘫痪服务弱点，在该漏洞发布的次日，随即有对应的攻击套件产生。换言之，管理者必须开始跟攻击者进行时间赛跑，否则将陷于高风险。

2. 落实存取管控机制

存取管控（Access Control）对于资安管理，是一个重要执行项目，而在DNS的存取管控作业上，有3个要点优先建议：DNS Recursive（DNS递回查询）、Zone Transfer（域名资料传送）、Administrator（管理者）。

● 递回查询是常用的DNS查询方式，现今多数用于帮助终端装置代为查找众多域名信息结果，但它也是最常被前述DNS攻击技术利用的项目。建议管理者应针对DNS Recursive，设定存取控管的网络范围，仅允许针对所要服务的网段，提供递回查询服务。

因为，未受控管的外部DNS容易成为Open Recursive主机，并且被利用作为反射放大攻击的跳板，2013年欧洲反垃圾邮件组织Spamhaus遭此DDoS攻击，流量高达300 Gbps。

此外，管理者应当注意内部是否存在未知的DNS系统装置。因为非法网络装置内建的DNS服务有可能遭恶意程序利用，作为攻击跳板，造成受害单位的主要DNS系统资源耗尽及网络流量爆冲的情况，并且被列入黑名单封锁。

● 域名资料传送是DNS域名主机传送资料的方式，应用于多台DNS系统之间的域名资料（DNS Records）传送同步。建议管理者必须检视所属的DNS系统，应确认域名资料传送的设定存取控制，避免让非法DNS任意透过这种方式探询，取得组织内的主机信息，否则黑客可以藉此摸清楚组织的IT结构，并进行更精准的攻击准备。

● 许多资安事件肇因于管理者未设计存取控制的情况，因此在存取控制上，应避免系统最高管理权限及单一系统主机，共享相同管理者账号，以及限制管理者操作权限、限制管理者操作来源位址、落实管理者密码复杂度等。

      由于管理者的存取控制一旦出现风险，将提供黑客以直接或间接方式取得DNS控制权的机会，并进行DNS系统的域名资料记录窜改，应加以防范。

3. 补强管理信息与记录

       对于DNS攻击的防护上，相关的网管信息及事件记录对于攻击威胁的预防与应变处理有极大的帮助。但在顾虑一般DNS系统服务效能可能受到影响的隐忧，IT管理者往往不愿意启用DNS身上的服务纪录或网管功能；但在处于攻击情况下才开启相关功能，以求取得更明确的信息时，反而成了压垮骆驼的最后一根稻草，加速DNS系统崩溃。

       建议管理者在评估DNS效能承载时应将网管功能与事件记录处理状态考量在内，除了DNS主机的处理器、存储器及网络之外，更应该针对DNS各类型的服务状态与查询回应记录，纳入监测的管理信息中，将有助于管理者查觉攻击发生的异常变化趋势，以及查找异常网域及IP位址来源。

4. 提升DNS自身防护能力

      新一代的DNS系统也逐渐加入，包括DNS Blacklist、DNSSEC、RRL（Response Rate Limiting），以及RPZ（Response Policy Zones）等，可以让DNS有能力面对眼前的攻击。

       但实际上，传统的DNS系统提供服务的同时，又得扛起防护功能，反而制造另一个问题：效能瓶颈；此外，管理者对于这些防护功能的设定也不轻松。

       若要选择方案，建议评估专业的DNS系统设备，目前企业等级的DNS系统已经将DNS安全性设计在内，确保DNS服务的运作稳定及安全防护性。

DNS RPZ运作机制

       RPZ（Response Policy Zone）为ISC组织于其BIND DNS系统所开发的DNS安全功能，有鉴于越来越多恶意程序及殭尸网络利用DNS查询恶意域名的趋势，透过DNS RPZ功能机制，可以更实时向资安信誉评等机构，订阅DNS恶意域名黑名单更新，达到有效的侦测与防护措施。

       DNS RPZ也大幅改善传统利用DNS Blacklist的方法，不只是在恶意资料（黑名单）的资源上，更符合Malware及Botnet的应用类型，而且，防护处理及事件记录的方式，也更符合资安管理需求。