为何你要更加关注DNS? 75%的企业曾遇DNS攻击

一说到域名系统(DNS)，你可能自然而然地想到域名以及运行互联网连接的技术细节。你可能在担心针对你网站发动的拒绝服务攻击，或者有人劫持、篡改网站。

虽然那些问题无疑很要紧，但是DNS不再仅仅用于查询网站URL;它还被软件用来核查许可证，被视频服务用来规避防火墙，而且常常被黑客用来窃取贵公司的数据。另外，你的员工可能在给其设备欢快地添加免费的DNS服务，这至少意味着你没有完全控制网络配置。DNS是你基础设施中的一个根本部分，关系到企业生产力，但它又是一个主要的攻击途径，你对发生的情况可能知之甚少。

DNS是互联网上最常见的协议，但是它可能也是最容易被忽视的。数据泄露防护(DLP)系统检查电子邮件、网络浏览器、P2P软件、甚至Tor所使用的协议，却常常忽视DNS。Cloudmark公司首席技术官Neil Cook说：“没人非常关注DNS数据包，尽管DNS是一切系统的基础。DLP在Web和电子邮件方面做了大量的工作，但是任由DNS躺在那里，门户大开。”

去年，专业美容用品公司Sally Beauty泄密事件中丢失的数据在伪装成DNS查询的数据包中外泄出去，不过Cook指出了一些意料不到却合法的使用;“Sophos使用DNS隧道机制来获得病毒特征;我们甚至将它用于许可。”

许多厂商正开始提供DNS工具，从Infoblox的硬件设备到OpenDNS的安全DNS服务，不一而足。Palo Alto Networks公司正开始提供DNS检查服务，英国域名注册机构Nominet刚推出了其Turing DNS可视化工具，帮助公司企业发现DNS流量中的异常，而Cloudmark可分析DNS行为模式，帮助发现电子邮件中通向隐藏有恶意软件的主机的链接。另外还有众多面向常见监控工具的插件，让你能够基本了解情况。

尽管DNS流量是许多攻击的源头，但是很少有公司对DNS流量进行任何监控。使用DNS隧道机制的不仅仅是在销售点系统上运行的恶意软件，它们在一些攻击中获取客户信用卡数据，比如针对Sally Beauty、家得宝和Target的攻击。DNS对恶意软件而言是最常见的指挥与控制渠道，还被用来获取恶意软件从贵公司窃取的数据。

Infoblox公司的DNS首席架构师Cricket Liu说：“DNS经常被用作偷偷经由隧道让数据渗入公司或从公司外泄数据的一条渠道，而编写恶意软件的人使用DNS经由隧道外泄这种数据的原因是，DNS实在太缺乏监控了，大多数人根本不知道在其DNS基础设施上执行哪种查询。”

还有个问题是，有人使用DNS避开网络安全控制;有可能是员工规避网络限制、安全政策或内容过滤，也可能是攻击者避免被人发现。

DNS攻击是个普遍性问题

独立研究公司Vanson Bourne最近针对美国和英国企业开展了一项调查，结果发现，75%的企业表示遇到过DNS攻击(包括因DNS而起的拒绝服务和DNS劫持以及数据窃取)，49%在2014年遇到过攻击。令人担忧的是，44%声称很难证明有必要往DNS安全方面投入成本，因为高层管理班子没有认识到这个问题。

Nominet的首席技术官Simon McCalla表示，那是由于，他们认为DNS是一种实用工具。“对大多数CIO来说，DNS是在后面运行的系统，对他们来说不是优先事项。只要DNS在正常运行，他们就很高兴。然而，大多数CIO没有认识到这点，DNS里面有大量的信息可以向他们表明其网络内部发生的情况。”

Liu直言不讳：“让我觉得惊讶的是，很少有企业组织肯花心思对其DNS基础设施进行任何一种监控。DNS根本没有引起重视，可是TCP/IP网络离开了DNS就无法正常运行。这是不为人知的关键。”Liu坚称：“落实监控DNS基础设施的机制并不深奥;现在外面有许多机制可以帮助了解DNS服务器在处理哪些查询以及响应。你其实应该进行监控，因为DNS基础设施与负责在网络上实际传送数据包的路由和交换基础设施一样重要。”

他发现，演示这种威胁通常足以引起管理层的注意。“一旦大多数CIO看到如何借助网络里面的一台中招机器，就能在该端点设备与互联网上的服务器之间建立起一条双向通道，就会认识到对此需要采取一些措施。这实际上就是面对这个严峻现实的问题。”

处理DNS安全

首先，你不要再把DNS想成单单涉及网络，而是想成它是“管道的一部分”(part of the plumbing)，OpenDNS首席执行官David Ulevitch说(思科正在收购该公司)。

“过去网络操作人员运行你的DNS，他们在关注DNS时着眼于确保防火墙开着，没有阻止他们认为是连接关键部分的对象，而不是将DNS视作是安全政策、访问控制和审计的关键部分。但是如今我们生活每个网络操作人员必须是安全从业人员的环境下。”

如果你积极主动地管理DNS，可以在员工(和攻击者)无法规避的层面来实施网络控制措施。你在DNS层面可以比使用Web代理系统或者进行深层数据包检查更有效地发现网络钓鱼攻击及恶意软件指挥和控制系统，你还能在第一时间发现攻击，而不是几天之后才发觉。

Liu说：“DNS是一种很好的预警系统。眼下你基本上可以假定，你的网络上就有被感染的设备。DNS是拉设绊网(tripwire)的好地方，那样当恶意软件及其他恶意程序潜入到你的网络上，你很容易发现它的存在及其活动，可以采取一些措施尽量减小它造成的破坏。”你甚至只要寻找类似的行为模式，就可以查看感染的传播范围有多广。

OpenDNS和Infoblox之类的服务还能查看你网络之外的情况。Ulevitch说：“很容易建立一个基准，了解正常活动是什么样子，然后进行异常检测。假设你是得克萨斯州的一家石油天然气企业，亚洲某国出现的一个新域名指向欧洲的IP地址，又没有其他石油公司关注该域名。为什么你就应该是试验品呢?”

你还要监控常见地址在你网络上是如何解析的――黑客会试图将Paypal等网站的链接发往自己的恶意网站，并监控你的外部域指向何处。特斯拉公司的网站最近被重向至黑客搭建的欺骗网页时，黑客还控制了这家公司的推特帐户(并利用该帐户向伊利诺伊州一家小型计算机维修店打去洪水般的电话)，攻击者还更改了用来解析域名的域名服务器。监控其DNS也许可以在用户开始在推特上发布被黑网站的图片之前，给特斯特提个醒：哪里出了岔子。

Ulevitch指出，至少要记住这一点：DNS是你所有在线服务的立足之本。“改进DNS的门槛很低很低。DNS通常被认为是成本中心;人们并不把钱投入到足够可靠的基础设施或性能足够高的设备，所以很难应对很大的事务量。”

不是说只有你被DNS攻击盯上时，DNS才显得重要。“企业应当关注DNS性能，因为它会给你在网上开展的一切工作带来重大影响。每当你发送电子邮件或者打开应用程序，其实就在提出DNS请求。如今，网页很复杂，装入一个页面需要提出10多个DNS请求并不罕见。仅仅为了处理装入页面的DNS部分，这个过程就有可能多出整整1秒或更久。”

处理企业问题

监控DNS还让你可以获得大量信息，了解贵企业网络之外的其他信息。Ulevitch指出：“在当下，网络边界变得稍纵即逝，服务轻而易举就能采用。营销主管可能注册使用Salesforce服务;如果你看一下DNS，就能发现这个情况。你能发现多少员工在使用Facebook。你能发现出现在网络中的设备，无论设备是用于核查许可证，还是在偷偷外泄数据。就算你有一百个办公室，照样能查明谁在连接设备。”

他指出，这里的设备不仅仅指个人电脑;打印机、电视机和物联网设备也在日益连接到企业网络上。“我想让电视机打电话给大本营吗?如果你瞧一瞧三星隐私政策，表明电视机内置麦克风，可能随时听侦听;我在企业董事会会议室里果真需要这种设备吗?也许我应该实施DNS政策，那样电视机无法打电话给大本营。”

Infoblox的Liu同意这一观点。“物联网设备在设计时常常不是非常关注安全。你需要确保设备连接到应该连接的地方;要是有人把别的设备接到你的物联网设备上，它们本该无法访问你的内部网络。DNS是一个有用的节点，可以监控那种访问。”

Ulevitch指出，又由于你已经在使用DNS，监控它并不会干扰什么。“通常在安全领域，大多数技术没有使用的原因是，需要花力气来确保它们对用户绩效没有产生负面影响。”

他表示，实际上需要一个充分的理由表明没必要这么做。“安全方面有一些基本的最佳实践，其中一条是获得网络可见性。无法查看网络上的流量，无异于瞎搞一通。想方设法检查DNS流量是确保安全状况很牢靠的一个根本要求。不知道网络上发生的情况简直就是玩忽职守。”

英文：Why you need to care more about DNS