DNS安全

Posted 2020-11-01

一、DNS放大攻击
域名系统（Domain Name System，DNS）是因特网的一项核心服务。它作为可以将域名和IP地址相互映射的一个分布式数据库。能够使人更方便地访问互联网，而不用去记忆那些难以记住的IP地址。DNS使用的TCP和UDP端口号都是53，主要使用UDP协议。
通常，DNS响应数据包会比查询数据包大，因此攻击者利用普通的DNS查询请求就能够发起放大攻击，并将攻击流量放大2~10倍。攻击者向广泛的开放DNS解析器发送dig查询请求，将OPT RR字段中的UDP报文大小设置为很大的值（如4096），并将请求的源IO地址伪造成攻击目标的IP地址。DNS解析器收到查询请求后，会将解析结果发送给被攻击目标。当大量的解析结果涌向目标时，就会导致目标网络拥堵和缓慢，造成拒绝服务攻击。
发动DNS放大攻击也需要先进行扫描，以获得带昂的开放DNS解析器的地址，并向这些开发DNS解析器发送位置源地址的查询命令来放大攻击流量。

二、攻击DNS服务
当DNS服务的可用性受到威胁时，互联网上的大量设备都会受影响甚至无法正常运行。针对DNS服务的攻击方式主要有DNS QUERY洪水攻击和DNS NXDOMAIN洪水攻击两种。

1、DNS QUERY洪水攻击。
-------是指向DNS服务器发送大量查询请求以达到拒绝服务效果的一种攻击方法。
这个过程会消耗一定的计算和网络资源。如果攻击者利用大量受控主机不断发送不同域名的解析请求，那么DNS服务器的缓存会被不断刷新，而大量解析请求不能命中缓存又导致DNS服务器必须消耗额外的资源进行迭代查询，导致DNS响应缓慢甚至完全拒绝服务。

2、DNS NXDOMAIN洪水攻击
DNS NXDOMAIN是DNS QUERY洪水攻击的一种变种攻击方式，区别在于后者是向DNS服务器查询一个真实存在的域名，而前者是向DNS服务器查询一个不存在的域名。
在进行DNS NXDOMAIN洪水攻击时，DNS服务器会进行多次域名查询，同时，齐欢唱会被大量NXDOMAIN记录所填满，导致正常用户的DNS解析请求的速度变慢。一部分DNS服务器在获取不到域名的解析结果时，还会再次进行递归查询。进一步增加了DNS服务器的资源消耗。

三、DNS信息污染
客户端发起正常的一次DNS请求，得到的是一个异常或者不真实的DNS信息。（采取udp的连接方式）
原因可能出现在上级DNS服务器，或者是域内存在中间人攻击。