4种有助于降低DNS隧道风险的方法
域名系统(DNS)是一种普遍存在的风险,它可以使黑客绕过大部分防火墙,从而进出公司内部网络。域名系统与IP地址相互映射,浏览器可以使用这些地址加载网页。黑客可利用隧道技术,通过这一过程将将攻击数据隐藏在DNS流量中窃取数据。
大多数DNS攻击都集中在欺骗或误导上,攻击者要么向DNS服务器提供虚假信息,要么使其他系统查询恶意的DNS服务器。同时,因为DNS攻击本质上是通过DNS端口走私恶意流量,所以难以检测和解决。
全球审计、税务和咨询公司Mazars的PCI业务负责人Jacob Ansari表示:“利用DNS弱点的攻击可能会误导其他系统连接或错误地信任敌对系统,这与补丁缺失或配置错误等传统漏洞截然不同”。
出现在早期互联网上的原始DNS协议不具有安全功能,如真实性或完整性等等,这使得DNS攻击开始出现。卡内基梅隆软件工程研究所CERT网络态势感知小组的高级技术人员Tim Shimall表示,这可以为网络犯罪分子提供滥用DNS等必要网络服务的渠道,以过滤数据,而不是直接从网络中窃取数据。
Shimall表示,滥用DNS协议很难被发现,因为它与这些服务的预期和要求用途相混合,如同隐藏在人群中,对此,通过应用网络监控工具并建立对所需途径的了解,或许可以遏制DNS隧道的滥用问题。
对于如何防范DNS攻击以及组织内部应该如何解决,可通过以下4种方式:
结合技术和人力解决方案
佛罗里达理工学院计算机工程与科学助理教授兼网络安全项目主席Terrence O’Connor表示,组织应该同时寻求人力和技术解决方案来处理DNS隧道。从人员角度来看,组织可以建立内部的、积极主动的威胁搜寻小组。
威胁搜寻小组可以提高威胁检测和响应时间,分析网络流量日志以识别异常,或者基于历史攻击和工具开发签名。此外,该小组可以向安全部门通报最新的攻击技术,以及他们如何独特地利用DNS进行恶意目的。
从技术角度来看,公司可以启用对抗DNS隧道的安全机制。例如,组织可以使用DNS安全扩展(DNSSEC),这是一种需要对DNS消息进行加密验证的安全机制,O’Connor表示,目前没有任何方法是绝对安全的,但通过人工和技术的结合,足以应对大部分DNS隧道的攻击手段。
Cybrary威胁情报小组主任David Maynor表示,最好的方法是深度防御解决方案,该解决方案将技术方面与提高安全团队的技能相结合,这样,如果工具发出任何警报,他们就可以进行手动分析。
为了识别DNS隧道,组织应该实现提供深度数据包检查的工具,并可以查看和分析DNS数据包,然后可以应用规则来检测违反征求意见标准的字段。Maynor表示,另一种方法是基于异常的网络分析,通过这种方法可以分析网络流的异常行为。例如,工作站突然将DNS流量从网络发送到看似随机的DNS服务器,这就是一个非常危险的信号,安全团队可以对工具表露出的警报做出响应。
监测互联网活动
德克萨斯农工大学圣安东尼奥分校计算与网络安全系副教授Izzat Alsmadi表示,由于DNS服务的敏感性,DNS服务是攻击者的最佳目标,因此组织必须严格监控和提醒其DNS服务的异常活动。
Alsmadi认为,可通过积极主动地监控互联网活动,并屏蔽已知会造成此类问题的IP地址,来应对上述风险。这是一种通用的黑名单方法,但通常难以容纳所有可能的攻击者,因此,重要的是要包括对奇怪或不寻常的DNS查询发出警报的规则。Alsmadi表示,强化本地客户端并确保用户知晓如何避免网络钓鱼活动也很重要,因为大多数DNS攻击都是从利用本地可信客户端或计算机开始的。
Fair Square Medicare创始人兼首席执行官Dan Petkevich表示,他的公司利用技术帮助老年人找到最适合他们医疗需求的保险。由于业务涉及的个人数据水平很高,Fair Square Medicare对DNS隧道的风险很敏感。他认为,防止DNS隧道的最实用的方法之一是持续监测公司系统中经常出现的流量。
Petkevich表示,持续监测能够让组织在一开始就发现可疑活动,并在破坏发生之前阻止其访问网络。在搜索网址时,最好选择采用HTTP或HTTPS协议的网站因为它们能够更安全地抵御这些攻击。作为企业来说,组织的网络开发人员在站中是否包含HTTPS协议至关重要。如今,即使是谷歌也意识到DNS隧道的高风险,因此如果网站没有做好保护数据的准备,往往会发生数据泄露事件。
确保第三方修复其DNS服务器中的错误配置
Ansari认为,一些DNS攻击涉及拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击,攻击者发送大量恶意DNS查询,这些查询可能会淹没DNS基础设施,并导致受害者组织的互联网中断。
其中一些攻击者会利用第三方DNS服务器来攻击受害组织的DNS服务器。Ansari表示,上述这些攻击的解决方案是让第三方来修复其DNS服务器中的错误配置。因此,如果第三方不合作或是被攻击者唆使,错误配置将很难解决。对此,组织可在与第三方的合同中纳入DNS安全事件以及风险管理等等。
员工培训
Maynor表示,由于DNS有许多不同的合法用途,因此,很难判断请求和响应中的数据字段是否有效。基于DNS的复杂性、可信任性和必要性,攻击者可利用字段中的数据构建看似真实的DNS流量,这导致网络内部的攻击者能够以对合法身份泄露数据。”
CSC数字品牌服务公司首席技术官Ihab Shraim表示,因此,为了保护系统免受DNS隧道攻击,公司必须定期对员工进行网络钓鱼、恶意软件和DNS隧道攻击方面的培训。识别并避免社会工程攻击的员工可以阻止DNS隧道攻击。
组织还应培训网络安全团队识别不典型的DNS流量模式。在DNS流量上实现机器学习技术可以帮助安全团队检测模式中的异常。
参考文献:
4 strategies to help reduce the risk of DNS tunneling——Linda Rosencrance