DNS 网络安全：守护数字世界的关键防线(图文)

近年来，DNS 安全漏洞带来了极其严重的后果。就如境内大量家用路由器 DNS 服务器被篡改情况，影响了遍布我国境内全部省份的 IP 地址 400 万余个，被劫持的涉黄涉赌类域名 190 余个。用户在访问部分网站时被劫持到涉黄涉赌网站，这不仅影响了用户的正常上网体验，也对网络环境造成了极大的污染。
同时，新曝出的 DNS 安全漏洞，如 NXNSAttack，可引发大规模的 DDoS “轰炸”。漏洞影响了 ISC BIND、NLnet Labs Unbound、微软、Cloudflare、Amazon 等多个 DNS 服务商。这种攻击更加高效，放大倍数达到了递归解析器交换的包数的 1620 倍，还会影响 NS 解析器缓存。
而 KeyTrap 漏洞更是严重，自 1999 年以来就存在于广泛使用的标准中，近 25 年来一直未被发现。攻击者利用此漏洞可发动 DoS 攻击，长时间阻断应用程序访问互联网，单个攻击请求可以使响应延迟 56 秒到 16 个小时。利用此攻击将对任何使用互联网的应用程序产生严重后果，包括网络浏览、电子邮件和即时消息等技术可能无法使用，甚至可能完全瘫痪全球互联网的大部分地区。
Windows DNS 服务器曝出的重大安全漏洞，在微软的代码中已经存在了 17 年以上。这样的漏洞可能允许攻击者创建特殊的恶意软件，在 Windows 服务器上远程执行代码，并创建恶意的 DNS 查询，最终可能导致企业和关键部门的基础设施被入侵。
DNS 系统 bug 也曾致全球多家网站掉线，受影响的公司遍布各行各业，故障持续约 1 小时，给人们的生活和工作带来了极大的不便。

二、常见的 DNS 安全漏洞案例

（一）区域传送漏洞

区域传送是 DNS 服务器之间进行数据同步的一种方式，但如果配置不当，就会出现区域传送漏洞。其原理是 DNS 服务器通常分为主服务器、备份服务器和缓存服务器，在主备服务器之间同步数据库时需要使用 “DNS 域传送”。若 DNS 服务器配置不当，可能导致匿名用户获取某个域的所有记录，造成整个网络的拓扑结构泄露给潜在的攻击者。
危害主要包括攻击者可以获取目标域名系统的全部信息，包括所有主机名、IP 地址、子域名等，为恶意攻击者提供重要信息，并且攻击者可通过快速枚举该域内的所有主机信息来筛选攻击目标，进而利用域中的安全薄弱环节进行后续的渗透攻击。
解决方案为严格限制允许区域传送的主机，例如一个主 DNS 服务器应该只允许它的从 DNS 服务器执行区域传送的功能。可以通过两种方式设置，一种是在 options 配置域设置允许进行区域传送的客户端的 IP，如allow-transfer ｛1.1.1.1; 2.2.2.2;｝；另一种是在 zone 配置域设置 TSIG key，如allow-transfer ｛key \"dns1-slave1\"; key \"dns1-slave2\";｝。

（二）NXNSAttack 漏洞

攻击原理是攻击者作为客户端，向解析器发出查询，解析器向攻击者控制的权威域名服务器发出查询，攻击者控制权威域名服务器应答好多个假冒的 ns 记录指向受害者的域名，导致解析器根据返回的 ns 记录向受害者权威域名服务器做出查询，大大占用受害者的资源，形成放大攻击，可造成 DDOS 攻击。
影响范围广泛，众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle (DYN)、Verisign、IBM Quad9 和 ICANN。
相关厂商的应对措施目前尚不明确，但可以在流量设备侧对 DNS 响应包中对满足特定条件的包进行拦截，如含有大量的 NS 转发查询请求、复数指向同一服务器的二级 / 多级子域名请求等，同时不响应非信任服务器的 DNS 查询结果，同传统的防护策略采用流量黑白名单进行防护。

（三）KeyTrap 漏洞

KeyTrap 漏洞由来自德国国家应用网络安全研究中心 ATHENE 的研究人员联合歌德大学法兰克福特分校、弗劳恩霍夫安全信息技术研究所和达姆施塔特工业大学的专家共同发现。该漏洞隐藏在域名系统安全扩展 (DNSSEC) 功能中，自 1999 年以来就存在于广泛使用的标准中，近 25 年来一直未被发现，主要原因是 DNSSEC 验证的复杂性。
影响方面，攻击者仅需发送一个恶意 DNS 数据包，便能使易受攻击的解析器陷入长期拒绝服务 (DoS) 状态，单个攻击请求可以使响应延迟 56 秒到 16 个小时。利用此攻击将对任何使用互联网的应用程序产生严重后果，包括网络浏览、电子邮件和即时消息等技术可能无法使用，甚至可能完全瘫痪全球互联网的大部分地区。
修复情况是受影响的厂商已经推送了修复程序或正在缓解 KeyTrap 风险，如谷歌和 Cloudflare 也都已经开始着手修复其 DNS 服务。Akamai 在 2023 年 12 月至 2024 年 2 月期间开发并部署了针对其 DNSi 递归解析器（包括 CacheServe 和 AnswerX）以及其云和托管解决方案的缓解措施，将加密失败限制在最多 32 个，基本上可以防止攻击者通过耗尽 CPU 资源来延迟或瘫痪网络。

（四）“坐地鸭” 攻击

“坐地鸭” DNS 攻击的方式是网络犯罪分子利用注册商一级的配置缺陷和 DNS 提供商的所有权验证不足，在无法访问域名所有者在 DNS 提供商或注册商的帐户的情况下申请域名。具体来说，注册域名使用或委托注册商以外的供应商提供权威 DNS 服务，且记录的权威名称服务器因缺乏域名信息而无法解析查询 (跛脚授权)，同时 DNS 提供商需要允许在不适当验证所有权或要求访问所有者账户的情况下申请域名。
危害是劫持了超过 35000 个注册域名，攻击者可以在该域名下建立一个恶意网站，并配置 DNS 设置，将 IP 地址记录请求解析到假地址，而合法所有者将无法修改 DNS 记录。多年来，多个俄罗斯网络犯罪团伙一直在使用这一攻击载体，并在垃圾邮件活动、诈骗、恶意软件交付、网络钓鱼和数据外渗中利用被劫持的域名。

三、DNS 安全防护措施

（一）企业的 DNS 安全防护手段

1. 使用专业的 DNS 威胁分析平台

• • 企业可以采用类似易安联的 EnDTA 天织・DNS 威胁分析平台。该平台集 DNS 安全解析、威胁检测和防御、上网行为管理等功能于一体。结合强大的威胁情报中心，能够对用户访问的网站进行精准分类，通过对访问域名的分析判断网络环境是否存在安全威胁，检测并阻止用户访问存在安全风险的网站。

• • 例如，EnDTA 能够依托易安联威胁情报中心的二十余种基于域名威胁情报（APT、挖矿、勒索、僵尸网络、IoC、C2、诈骗等），近实时同步最新威胁情报，实时展示当前所有威胁告警事件。当内网发生威胁时，还可进行失陷资产定位，方便安全事件溯源和处置。

• • 此外，它具备轻量化的资产管理能力，无需在每个终端上安装 Client，即可实现对企业内部的资产可视和资产风险可视。同时支持手动和 API 同步的归属人管理。

2. 配置正确的 DNS 服务器

• • 企业应避免使用不安全的公共 DNS 服务器，对于大型企业或机构，建议使用自建的 DNS 服务器，并进行定期的安全审计和配置更新。确保 DNS 服务器配置正确，能有效降低被攻击的风险。

• • 严格限制允许区域传送的主机，如一个主 DNS 服务器只允许它的从 DNS 服务器执行区域传送的功能。可以通过在 options 配置域设置允许进行区域传送的客户端的 IP，或在 zone 配置域设置 TSIG key。

3. 加强 DNS 服务器的安全防护

• • 对 DNS 服务器进行物理和逻辑上的隔离，确保只有授权的用户能够访问。同时，使用防火墙、入侵检测系统等安全设备，对 DNS 服务器进行实时监控和防护。

• • 定期更新 DNS 软件和补丁，及时关注 DNS 软件的更新和补丁发布，确保 DNS 系统能够抵御最新的安全威胁。对 DNS 服务器进行定期的漏洞扫描和渗透测试，发现并修复潜在的安全漏洞。

（二）用户的 DNS 安全防护手段

1. 更改家用路由器 DNS 地址

• • 用户可以通过更改家用路由器的 DNS 地址来提升网络安全性。在日常的网络使用中，正确设置无线路由器的 DNS，不仅能提升网络访问速度，还能增强网络安全性。

• • 首先，通过浏览器访问路由器的管理界面。通常，在浏览器地址栏输入路由器的 IP 地址（如 192.168.1.1 或 192.168.0.1）并回车，然后输入用户名和密码（默认为 admin 或根据路由器说明书设置）。

• • 接着，在路由器管理界面中找到 “网络设置” 或 “高级设置” 等选项，进一步找到 “DNS 设置” 或 “互联网连接” 部分。在 “首选 DNS 服务器” 和 “备用 DNS 服务器” 两个输入框中，可以选择使用公共 DNS 服务，如 Google 的 8.8.8.8 和 8.8.4.4，或者 Cloudflare 的 1.1.1.1 等。这些公共 DNS 服务通常具有较快的解析速度和较高的可靠性。

• • 输入完 DNS 服务器地址后，点击 “保存” 或 “应用” 按钮，使设置生效。部分路由器在更改 DNS 设置后可能需要重启才能应用新设置。设置完成后，可以通过访问一些网站或使用网络诊断工具来检查 DNS 设置是否成功。

2. 使用安全的 DNS 威胁分析平台

• • 对于个人用户而言，也可以使用一些免费的 DNS 威胁分析平台，虽然功能可能不如企业版强大，但也能在一定程度上提升网络安全性。

• • 例如，易安联的 EnDTA 天织・DNS 威胁分析平台推出了永久免费版，采用极简 SaaS 化部署，不改变现有网络结构，不考虑网络位置和操作系统类型，不限制网络区域数量，分钟级配置即可完成上线，轻松接入。用户可以直接联系销售、商务申请试用，或者发送邮件申请，注明公司名称、联系人、姓名、手机号等信息。本次名额限定 50 个，将优先对使用公司邮箱申请的用户进行审批。

总之，企业和用户都应该重视 DNS 安全问题，采取有效的防护措施，确保网络安全。

四、DNS 安全的未来展望

DNS 安全在网络安全中占据着至关重要的地位，随着互联网的不断发展，其重要性只会日益凸显。
从市场趋势来看，根据相关数据显示，2019 年全球域名系统（DNS）安全软件市场规模达到了 57 亿元，预计 2026 年将达到 100 亿元，年复合增长率（CAGR）为 9.5%。同时，预计 2029 年全球域名系统（DNS）安全软件市场规模将达到 19.6 亿美元，未来几年年复合增长率 CAGR 为 8.9%。这些数据充分表明，DNS 安全市场正处于快速发展阶段，未来将会有更多的资源投入到 DNS 安全领域的研发和创新中。
在技术发展方面，DNS 安全技术将不断演进。下一代 DNS 作为自主可控的、承载万物互联的智能网络中枢，将支撑 IPv6 规模部署、赋能新质互联网发展。例如，DNSSEC 协议通过对数据进行数字签名来增强 DNS 的安全性，确保数据的有效性，这种数字签名在 DNS 查找过程的各个级别完成，类似于有人使用唯一签名对文档进行签名，有助于确保安全查找。DNSSEC 可与 SSL/TLS 等其他安全措施配合使用，并保持向后兼容性。
对于企业而言，未来将更加注重 DNS 安全的整体解决方案。不仅要加强 DNS 服务器的物理和逻辑隔离，使用防火墙、入侵检测系统等安全设备进行实时监控和防护，还会采用更先进的威胁分析平台，如易安联的 EnDTA 天织・DNS 威胁分析平台，实现对网络环境的精准分类和安全威胁检测，提升企业网络的安全性和稳定性。同时，企业也会加强对员工的网络安全培训，提高员工的安全意识，共同维护企业的网络安全。
对于个人用户来说，随着网络安全意识的不断提高，越来越多的用户将更加关注 DNS 安全问题。用户会选择使用安全可靠的公共 DNS 服务，如 Google 的 8.8.8.8 和 8.8.4.4，或者 Cloudflare 的 1.1.1.1 等，同时也会积极使用免费的 DNS 威胁分析平台，提升个人网络的安全性。
总之，DNS 安全是网络安全的重要组成部分，未来需要各方共同努力。政府应加强对 DNS 安全的监管和政策支持，推动 DNS 安全技术的发展和应用；企业应加大对 DNS 安全的投入，采用先进的安全技术和解决方案，保障企业网络的安全；个人用户也应提高网络安全意识，采取有效的安全防护措施，共同维护网络安全，为构建一个安全、稳定、可靠的网络环境贡献力量。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。