域名欺诈:全球互联网有危险吗
在2019年2月下旬,负责管理网络上使用的IP地址和域名的组织互联网名称与数字地址分配机构(ICANN)发布了有关系统性Internet攻击风险的警告。这是您需要了解的风险所在。
什么是DNS?
域名服务(DNS)将域名(例如,用于法国健康保险的域名ameli.fr)链接到IP(互联网协议)地址,本例中为“ 31.15.27.86”。现在,这是一项必不可少的服务,因为它可以轻松记住数字服务的标识符而无需提供其地址。但是,像许多以前的协议类型一样,它被设计为健壮但不安全的。
DNS定义了授权机构可以自由创建域名并与外部进行通信的区域。这种机制的好处是IP地址和域名之间的关联受到严格管理。缺点是有时需要多次查询才能解析名称,换句话说,将其与地址关联。
许多提供Internet服务的组织都有一个或几个域名,这些域名已在此注册服务的供应商处注册。这些服务提供商自己直接或间接在ICANN(一家负责组织互联网的美国组织)中注册。在法国,参考组织是AFNIC,它管理“ .fr”域。
我们通常指的是完全合格的域名或FQDN。实际上,Internet分为顶级域(TLD)。最初的美国领域使按组织类型(商业,大学,政府等)划分领域成为可能。然后,诸如“ .fr”的国家域名迅速出现。最近,ICANN授权了各种顶级域名的注册。与这些顶级域相关的信息保存在分布在全球的13台服务器中,以确保响应的可靠性和速度。
DNS协议在用户的机器和域名服务器(DNS)之间建立通信。该通信允许查询该名称服务器以解析域名,换句话说,获取与域名关联的IP地址。该通信还允许获得其他信息,例如查找与地址关联的域名或查找与域名关联的消息传递服务器,以便发送电子消息。例如,当我们在浏览器中加载页面时,浏览器执行DNS解析以找到正确的地址。
由于数据库的分布式性质,通常联系的第一台服务器不知道域名和地址之间的关联。然后它将通过迭代或递归过程联系其他服务器以获得响应,直到查询了13台根服务器之一为止。这些服务器构成DNS系统的根级别。
为了防止查询数量激增,每个DNS服务器都会在本地存储与域名和地址相关联的响应几秒钟。如果在较短的间隔内发出相同的请求,则此缓存可以更快地响应。
易受攻击的协议
DNS是通用协议,尤其是在公司网络内。因此,它可以使攻击者绕过其保护机制来与受感染的计算机进行通信。例如,这可能允许攻击者控制机器人的网络(僵尸网络)。防御响应依赖于更具体的通信过滤,例如要求系统地使用受害组织控制的DNS中继。与黑名单或白名单相关联的DNS查询中包含的域名分析用于识别和阻止异常查询。
DNS协议还使拒绝服务攻击成为可能。实际上,任何人都可以通过接管IP地址来向服务发出DNS查询。DNS服务器将自然响应错误的地址。该地址实际上是攻击的受害者,因为它收到了不必要的流量。DNS协议还可以进行放大攻击,这意味着从DNS服务器发送到受害者的流量比从攻击者发送到DNS服务器的流量大得多。因此,使受害者的网络链接更容易饱和。
DNS服务本身也可能成为拒绝服务攻击的受害者,就像2016年的DynDNS一样。这触发了级联故障,因为某些服务要依靠DNS的可用性才能起作用。
防范拒绝服务攻击可以采取多种形式。今天最常用的是过滤网络流量以消除多余流量。如有需要,Anycast还是一种不断发展的解决方案,用于复制受攻击的服务。
缓存中毒
过去广泛使用的第三个漏洞是攻击域名和IP地址之间的链接。这使攻击者可以窃取服务器的地址并吸引流量本身。因此,它可以“克隆”合法服务并获得被误导的用户的敏感信息:用户名,密码,信用卡信息等。此过程相对难以检测。
如前所述,DNS服务器具有存储对其发出的查询的响应几分钟的能力,并可以使用此信息直接响应后续查询。所谓的缓存中毒攻击使攻击者能够伪造合法服务器的缓存内的关联。例如,攻击者可以向中间DNS服务器发送查询,并且该服务器将接受与其请求相对应的第一响应。
结果只会持续一小会儿,对受感染服务器的查询将转移到攻击者控制的地址。由于初始协议不包含任何用于验证域地址关联的方法,因此客户无法保护自己免受攻击。
这通常会导致Internet碎片,与受感染DNS服务器通信的客户将被转移到恶意站点,而与其他DNS服务器进行通信的客户将被发送到原始站点。对于原始站点,除了流量减少以外,几乎无法检测到这种攻击。流量的减少可能会对受到破坏的系统造成重大的财务影响。
安全证书
安全DNS(域名系统安全扩展,DNSSEC)的目的是通过允许用户或中间服务器验证域名和地址之间的关联来防止此类攻击。它基于证书的使用,例如用于验证网站有效性的证书(浏览器Web栏中显示的小挂锁)。从理论上讲,证书的验证是检测攻击所需的全部。
但是,这种保护并不完美。“域IP地址”关联的验证过程仍未完成。部分原因是许多寄存器尚未实现必要的基础结构。尽管标准本身是在15年前发布的,但我们仍在等待必要的技术和结构的部署。诸如“让我们加密”之类的服务的出现有助于推广证书的使用,这是安全导航和DNS保护所必需的。但是,注册机构和服务提供商对这些技术的使用仍然不平衡。一些国家比其他国家先进。
尽管确实存在残留漏洞(例如对注册器的直接攻击以获取域和有效证书),但DNSSEC为ICANN最近谴责的攻击类型提供了一种解决方案。这些攻击依赖于DNS欺诈。更准确地说,它们依赖于伪造的寄存器数据库中的DNS记录,这意味着这些寄存器遭到破坏,或者它们可以渗透虚假信息。如果攻击者已计划这样做,则对寄存器数据库的这种修改可以伴随证书的注入。在最坏的情况下,这有可能规避DNSSEC。
DNS数据的这种修改意味着域-IP地址关联数据的波动。可以观察到这种波动,并可能触发警报。因此,攻击者很难完全不被注意。但是由于这些波动可能会定期发生,例如,当客户更换其提供者时,主管必须保持高度警惕,以便做出正确的诊断。
目标机构
对于ICANN谴责的攻击,有两个重要特征。首先,他们活跃了几个月,这表明战略攻击者已经确定并且装备精良。其次,他们有效地瞄准了机构场所,这表明攻击者具有强烈的动机。因此,重要的是仔细研究这些攻击并了解攻击者为纠正漏洞而实施的机制(可能通过加强良好实践来纠正)。
ICANN对DNSSEC协议的推广引起了疑问。显然,它必须变得更加普遍。但是,不能保证这些攻击将被DNSSEC阻止,甚至不能更加难以实施。需要进行其他分析才能更新协议和DNS数据库的安全威胁的状态。