本文来自中科三方,作者/域名安全管理品牌。
据国际知名网络安全机构EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家公司有七次,其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等技术手段,与上一年相比,所有类别的攻击频率都有所增加,尤以DNS劫持最为显著。
什么是DNS劫持?
正如报告指出的那样,在DNS相关攻击类别中,DNS劫持是一种非常常见且危害极大的网络攻击手段,其攻击目的与方式十分直接,就是通过修改域名的NS记录,将域名原本指定的DNS服务器修改为黑客可以操控的DNS,然后便可以通过修改域名解析记录的方式,将域名指向恶意IP从而达到劫持的目的。
DNS劫持可用于DNS域欺骗(攻击者通常目的是为了显示不需要的广告以产生收入)或用于网络钓鱼(为了让用户访问虚网站并窃取用户的数据和凭据)。互联网服务提供商(ISP)也可能通过DNS劫持,以接管用户的DNS请求,收集统计数据并在用户访问未知域名时返回广告或者屏蔽对特定网站的访问。
DNS劫持对业务影响大
DNS一旦被劫持,相关用户访问就没办法获取到正确IP解析,这就很容易造成:
(1)很多用户习惯依赖书签或者易记域名进入,一旦被劫持会使这类用户无法打开网站,导致用户大量流失。
(2)用户流量主要是通过搜索引擎SEO进入,DNS被劫持后会导致搜索引擎蜘蛛抓取不到正确IP,网站就可能被百度屏蔽。
(3)一些域名使用在手机应用APP调度上,如果解析出现劫持就会导致应用APP无法访问,进而出现用户无法访问或者下载的空窗期。
此外,如果域名被劫持到恶意IP,还会给持有者造成严重的经济损失,甚至可能因为恶意IP的违法经营,给域名持有者带来不必要的法律风险。
由此可以看出,DNS劫持的危害非常严重,对用户而言,DNS劫持可能导致银行卡号、手机号码、身份证等敏感信息的泄露。对政府和企业而言,DNS劫持会将用户引导至其他网站,造成用户流失、形象受损、数据失窃等重大安全问题。
防DNS劫持需要“组合拳”
DNS是网络互联互通的关键环节,因而也成为网络犯罪分子获取网络访问权限和窃取数据的首选目标。为保护网站信息安全,各个网站都要组织部署适当的DNS安全解决方案,以提高网络安全性。
那么,要如何防御DNS劫持呢?
DNS对网站安全的作用至关重要,防御DNS劫持不能依靠单一的方式,必须采取多重组合方案提升网站DNS防护能力。
一是,加强域名管理平台安全强度。使用高强度的密码组合,定期修改管理账号和密码,并采用与其他平台不同的密码,避免攻击者通过遍历手段暴力破解,从而取得解析管理权限。
二是,进行域名锁定。域名锁定是应对DNS劫持最有效的手段之一。在加锁期间,无法对DNS解析进行任何修改操作,其中包括对域名服务器的更换,这就从根本上杜绝了攻击者通过修改DNS记录达到劫持域名的目的。
三是,使用高防专业云解析。中科三方云解析支持更低的TTL值设置,可以在最短时间将最新的解析记录同步至全球DNS服务器,从而避免黑客利用过时的DNS缓存进行劫持攻击。此外,中科三方采用最新域名安全监测系统,针对用户域名状态进行24小时无缝监测,可以及时发现域名异常状态并快速解决。
四是,安装SSL证书。较高等级的OV和EV证书具备服务器身份认证和数据传输加密功能,如果网站DNS被劫持,就会因为无法提供正确的网站证书而发出警告提示,从而使劫持被及时发现和终止。同时,通过HTTPS加密协议可确保网站在服务端和客户端的数据传输中不被窃取和篡改。
DNS是网络互联互通的关键环节,因此针对DNS的攻击种类繁多,层出不穷,DNS劫持就是其中最常见危害最大的一种攻击手段,它对用户的信息隐私以及政企网站的数据安全都造成了严重威胁,因此网站管理人员一定要实时关注DNS安全问题,积极做好域名的安全管理和防护,才能有效应对包括DNS劫持在内的各种网络攻击。