DNS攻擊老舊防不了 肇因仍在人與不良架構

DDoS攻擊者的目的在於阻斷服務，手法卻可千變萬化，控制殭屍網路直接阻斷網站服務是其一，此外也會有攻擊企業DNS伺服器的手法。DNS有網路黃頁之稱，功能主要在於解析網域名稱至IP網址，設定得當，則網站使用者便可以透過查詢DNS，正確且快速的連至服務網站，但問題就在於設定不當的DNS伺服器可能會成為安全漏洞。


網路安全領導廠商Nexusguard資安研究員謝輝輝說， 近年來因為網路資源日漸便宜，頻寬成本日趨低廉，DNS攻擊也屢創新攻擊流量的規模。攻擊者控制殭屍網路送出大量的DNS查詢封包，送至網站的名稱伺服器，使其應付不暇終而導致網路服務被阻斷(Direct DNS Attack)，這是任何一家企業都可能面臨到的問題。


在一些特殊狀況裡，也隱藏著一些漏洞。DNS安全擴充協議(DNSSEC, DNS Security Extensions)主要目的在於強化DNS服務驗證，而要達成這個協議則必須開啟EDNS0的功能，但諷刺的是，若開啟此功能卻不知如何安全設定，則反而會讓它變成一個漏洞。謝輝輝認為，EDNS0會是未來安全配置的一種「必須」，但現實生活中卻由於人們缺乏安全防範的意識使其有所闕漏。


例如在DNS軟體BIND 8.3.0與BIND 9.0.0以後的版本、提供DNS服務的Windows Server 2003，其DNS擴充機制（EDNS0, Extension Mechanisms for DNS）都是預設開啟，這些功能美其名可以更多工的處理網路需求，但謝輝輝說，就整體而言並沒有那麼大的效益，但卻可能造成DNS Server被DDoS攻擊的重點。儘管這是自1996年以來就有的舊有漏洞，但綜觀新聞我們可看到，至2012年為止，仍有國際性的DNS 供應商遭殃，結果受害者卻是使用該公司代管服務的客戶。


既然這並非新手法，為什麼直至今日仍有不少具規模的大企業被攻擊成功呢？一是基礎網路為過去舊有架構、二是人員缺乏資安意識。謝輝輝解釋，在過去由於缺乏對資安意識的重視，網路基礎架構以效能為主，並非著重安全，在遭到資安攻擊時難以立即因應。此外在人員意識方面，對於 DNS的設定安全也未受到重視。


他提出以下四點建議：
1. 徹底清查DNS伺服器，不需要的服務必須關閉。
2. 持續監控DNS流量，了解自身網路能因應的流量。
3. 透過日常的監控，比對不正常流量發生的狀況。
4. 做好災難備援。根據研究了解，即使是跨國DNS服務供應商可以提供上千上萬家客戶服務，背後可能卻僅以數百台設備來服務，造成狀況發生時無法立即切換、備援。


要杜絕針對DNS伺服器的攻擊，一是基礎建設對網路安全的升級，二是透過後天設定與監控的改善。他也建議可以透過專業DDoS防禦供應商的服務，得到更完整的安全防護。目前Nexusguard提供的Clear DNS服務便可有效減輕這些DNS攻擊手法，我們可以透過全球流量清理中心進行流量的檢查和過濾，並有足夠的頻寬減輕大流量DDoS攻擊。


針對DNS攻擊雖是老法子，可是有效的原因在於，過去的基礎建設難以改變，還有安全設定的概念也都尚未深植人心，所以安全問題仍然持續發生，僅僅是利用DNS伺服器，手法便可不斷推陳出新，因此企業需要透過長期監控的DDoS防禦專家服務，才能有效杜絕攻擊再度發生。詳情請參閱 http://www.nexusguard.com。