分享
什么是 DNS 劫持?
在 DNS 劫持攻击中,第三方可能会将贵公司的网站访问者悄无声息地转向虚假网站,以窃取登录凭据和其他数据,而您的消费者毫不知情。劫持者还可能从公司电子邮件中窃取信息,发起复杂的网络钓鱼或其他攻击,让这些攻击看起来仿佛来源于您的域名。除了数据安全风险和品牌受损之外,这类行为还会带来严重的隐私问题,尤其是在欧盟《通用数据保护条例》(GDPR) 等法规下。
DNS 劫持如何发生?
从本质上讲,DNS 就相当于互联网的地址簿。当用户在网页浏览器中输入域名时,DNS 会将其转换为对应的互联网协议 (IP) 地址(一串唯一数字),供浏览器识别流量的去向。
DNS 至关重要的原因:
连接到
网站
内部和外部 API
应用程序和电子邮件
- VoIP 和即时通讯
- 云集成
- 身份验证和控制 - O365、DMARC、SPF、Google、DNSSEC
DNS 劫持是指恶意行为者通过更改 DNS 记录、重定向查询或控制 DNS 服务器来破坏此过程,导致合法请求被发送到不同托管环境中的恶意网站。这类情况可能源于 DNS 提供商账户被盗用、DNS 服务器存在安全漏洞,或网络基础设施防护不当,例如路由器仍使用默认凭据。
DNS 劫持与其他基于 DNS 的威胁
DNS 劫持与域劫持
通过域劫持或域名劫持,攻击者可以窃取注册商凭证或通过欺诈手段转移所有权,从而完全控制域。DNS 劫持只是操纵解析路径,并不一定更改域所有权;与 DNS 劫持不同,域劫持则允许攻击者修改 DNS 设置、转移域或勒索赎金,从而造成长期的服务中断。另一方面,反向域劫持是一种法律纠纷策略,某些人虚假宣称拥有商标权,从合法所有者手中夺取域,这与 DNS 劫持或域劫持无关。有关更多信息,请参阅网络域名抢注、拼写错误抢注和其他域纠纷对企业的影响。
DNS 劫持与 DNS 投毒
在 DNS 投毒攻击中,网络犯罪分子会将伪造的 DNS 记录注入 DNS 解析器的缓存中。这会导致解析器返回错误的 IP 地址,从而拦截用户并将其重定向至恶意网站。被污染的记录通常会在缓存刷新后失效。
通过 DNS 劫持或投毒来重定向流量,攻击者可以诱骗用户访问恶意网站。DNS 投毒尤其危险,因为它允许攻击者拦截并操纵通信,从而促成中间人攻击。另一方面,DNS 劫持主要通过将用户重定向到攻击者控制的目标位置,使其在不知情的情况下输入凭据或下载恶意软件。
中间人攻击
用户与网站之间的原始连接会被中间人拦截并篡改
域劫持与域影子攻击
域遮蔽是另一种基于 DNS 的威胁,威胁行为者利用被盗用的凭据访问域设置。与更改现有 DNS 记录不同,他们会在域所有者不知情的情况下创建新的恶意子域。与重定向整个域的 DNS 劫持不同,域影子攻击会保持主域正常运行,从而使检测更加困难。这些恶意子域通常被用于网络钓鱼或传播恶意软件。进一步了解攻击者可以利用子域的其他方式。
DNS 劫持的三种攻击途径
在网络安全领域,“向量”指的是执行某项操作的具体方式或路径。黑客实施 DNS 劫持通常会利用三大主要攻击途径。
这种方法利用了域管理系统中访问控制和权限管理的薄弱环节。通常,网络犯罪分子会获取注册商门户网站的用户名和密码,而该网站未启用双重身份验证或 IP 验证。这样一来,他们就能更改账户中各域的名称服务器,从而控制网站内容。
注册表本身可能已被攻破。2016 年,巴西一家注册机构就曾发生类似事件,当时 36 个巴西银行域被重定向到高度仿真的虚假网站,持续长达 6 小时。这些欺诈网站甚至持有以银行名义颁发的有效数字证书,成功欺骗了客户,并让客户的电脑感染了伪装成银行浏览器安全插件更新的恶意软件。
这种攻击方式源于域名注册商或 DNS 提供商系统内部的安全漏洞。在某些情况下,域注册与 DNS 托管由同一服务商提供;而在另一些情况下,企业则会分别选择不同的服务提供商。攻击者正是借助这些弱点(无论通过窃取凭证、配置错误,还是社会工程手段)来操纵 DNS 设置并重定向流量。
如何阻止 DNS 劫持
当 DNS 劫持发生时,建议立即采取行动。以下是应对此类安全漏洞的关键步骤:
- 通过访问您的域注册商或 DNS 提供商账户重新掌控 DNS 环境,并撤销攻击者所做的任何更改。确保所有 DNS 记录指向正确的服务器,以恢复正常连接。
- 更改域注册商和 DNS 账户的密码,并启用双重身份验证,以防止未经授权的访问。
- 删除恶意 DNS 记录。如果攻击者篡改了 DNS 记录,请将恶意记录替换为您的网站或服务的正确信息。这将阻止用户被重定向到有害网站。
- 将事件告知内部团队、合作伙伴和客户。告知他们,在问题得以解决之前,切勿访问受影响的网站。
- 在更正 DNS 记录和设置后,监控 DNS 流量,查看是否存在进一步篡改和异常活动的迹象。
- 进行彻底的安全核查,以查明劫持事件是如何发生的。这可能包括加强防御,例如保护您的 DNS 提供商、网络和账户,以防止未来发生类似事件。
如何降低 DNS 劫持的风险
虽然了解如何阻止 DNS 劫持很重要,但更关键的是预防其发生。请考虑以下策略,以防范 DNS 劫持:
- 确保您的域注册商和 DNS 提供商账户受到强密码、唯一密码、双重身份验证和单点登录 (SSO) 的保护。这可以防止对您的 DNS 设置进行不当访问。
- 实施域名系统安全扩展 (DNSSEC),通过验证 DNS 响应的真实性来增加额外的安全层。
- 使用证书管理解决方案,定期审查安全套接字层 (SSL) 和传输层安全 (TLS) 证书,以确保它们有效、配置正确并按时续订。这有助于在发生 DNS 劫持时,防止攻击者冒充您的网站。
- 通过更改默认密码、使用强加密措施,并保持所有固件及时更新,来保护您的路由器、服务器和内部网络。从而限制那些可能被利用来入侵您 DNS 的薄弱环节。
- 定期审核 DNS 记录和流量,查找任何异常变化。及早发现可疑活动,有助于在安全漏洞扩大之前及时阻断风险。
- 选择信誉良好的 DNS 提供商,确保其具备提供强大安全措施和持续监控的能力。值得信赖的供应商能够及时发现漏洞,并在潜在威胁升级前向您发出预警。
注册局锁如何帮助防范域劫持
保护您的企业,防范 DNS 劫持
CSC 能够帮助您应对多种威胁。DomainSecSM 为您提供一份全面的安全疏漏概览,让您清晰识别那些可能使您暴露在攻击风险之下的薄弱点。全球数百家顶级企业皆采用我们的安全服务,包括我们版本的注册局锁 MultiLock,以保护其组织和品牌。这些解决方案是在遭遇攻击时帮助您最大限度降低风险的最有效方式。
常见问题解答
DNS 攻击是指任何试图利用 DNS 漏洞来破坏服务、重定向流量或窃取敏感信息的行为。DNS 劫持便是其中一类,网络犯罪分子通过控制 DNS 设置来操纵用户访问网站与在线服务的路径。
DNS 劫持是通过控制 DNS 设置(通常通过入侵域注册商、DNS 提供商或路由器)来将流量重定向至恶意目的地的行为。另一方面,DNS 欺骗是一种更广泛的攻击方式,攻击者通过伪造 DNS 响应来误导用户,而无需更改任何 DNS 记录。这类攻击可以通过缓存投毒(向 DNS 解析器注入虚假数据)或实时拦截(在请求发出时操纵 DNS 响应)来实现。DNS 劫持使攻击者能够持续控制 DNS 解析,而 DNS 欺骗通常是一种短暂的欺骗手段,只针对单个 DNS 查询进行操控。
DNS 劫持是通过更改 DNS 设置来重定向用户;而 DNS 隧道则是一种滥用 DNS 请求、秘密传输数据的技术,通常用于绕过安全控制或窃取信息。与篡改现有 DNS 记录的 DNS 劫持不同,DNS 隧道通常要求攻击者注册自己的域,并将其配置为传输被窃数据的通信通道。
相关资源
Registry Lock and DNS Explained
A Basic Overview of DNSSEC
DNS: The Neglected Building Block, Part 4 – The Growing Threat of DNS Hijacking and Domain Shadowing
DNS Hijacking: The Iranian Cyber Security Threat That May Be Overlooked
CSC Alerts Companies to Increased DNS Hijacking
Global DNS Hijacking and How CSC Secures Your Digital Assets
咨询
所有标有 * 的字段均为必填项。
