近日,国家互联网应急中心(CNCERT)发布了一则家用路由器DNS被篡改导致异常跳转的风险提示,指出有大量家庭用户连接到路由器wifi后,访问正常网站时会跳转至色情、赌博等异常非法页面。经研判,该事件主要由家用路由器的DNS服务器配置被篡改导致。
根据CNCERT的监测数据,受影响的设备单日最高超过70万台,恶意解析次数高达数亿次,不仅严重扰乱了正常的网络秩序,更可能带来重要信息泄露、财产损失等直接风险。
CNCERT在提示中把DNS形象地比喻为互联网中的指路牌,当用户在浏览器输入网址后,DNS系统会把域名翻译成电脑可识别的IP地址,是维持互联网正常运转的不可或缺的一环。正因为DNS如此重要,使其屡屡成为网络攻击的重点目标,此次发生的路由器大规模DNS篡改事件便是其中典型案例。
什么是DNS篡改?为什么如此危险?
在一个完整的DNS解析链条中,用户发起解析请求,会首先请求电脑、手机等终端或路由器中配置的递归DNS服务器。递归DNS再通过迭代查询依次请求根服务器、顶级服务器,最终在权威DNS服务器处获得域名对应的IP地址。递归DNS服务器在获取IP地址后将结果告知终端用户,并在自身缓存一段时间,以供用户下次访问时直接调取。
在这个工作机制中,递归DNS服务器扮演着一个信息代办的角色,其作用至关重要。而此次事件就是通过篡改路由器网关内配置的递归DNS服务器地址,达到劫持用户请求的攻击目的。
当攻击者将路由器配置的递归DNS服务器地址篡改为非法的DNS服务器后,所有连接受控路由器的用户,其解析请求都会被转发到非法的DNS服务器。非法DNS服务器会直接将自身储存的错误记录返回给用户,从而将用户正常的网络访问重定向至色情、赌博等非法网站。
针对递归侧污染,政企应对措施有哪些?
本次安全事件以家用路由器递归DNS服务器地址被篡改、引发大范围解析劫持为特征,属于影响范围较广的突发性DNS安全风险。
然而在日常网络环境中,递归侧更普遍的威胁是DNS缓存污染,这类攻击无需修改网关的递归DNS配置,而是对递归DNS进行投毒,用伪造的记录污染其缓存数据,从而对终端用户实施重定向操作,这不仅会损害用户的权益,也会导致政企单位流量流失、信誉受损。
目前针对递归侧缓存污染,政企单位最有效的防护手段主要有三方面:
一是分布式节点探测
利用专业的探测工具,通过分布全国不同区域、运营商的监测节点,模拟真实用户行为向网站发起访问,这样就能精准定位哪个区域、哪个网络环境下的DNS解析被篡改,从而让网站管理者及时作出响应。
二是DNS缓存强制刷新
缓存污染攻击多发生在递归侧,而非权威DNS服务侧,所以即便发现异常,政企单位也无法直接刷新恶意缓存进行处理。此时,就需要利用专业的DNS缓存加速服务,强制刷新递归DNS中被污染的缓存,重新向权威DNS请求最新数据,从而让被污染区域用户获得真实的访问地址。
三是开启DNSSEC协议
部署DNSSEC协议后,DNS系统就会对DNS解析记录签名和验证。如果解析记录被篡改、伪造,递归DNS服务器就会判定该应答无效将其丢弃,并向用户返回SERVFAIL错误,而不会将用户引导至错误IP,最大程度降低解析篡改给用户和企业带来的影响。
权威侧DNS安全威胁,如何来防御?
除了递归侧的污染外,政企单位更多的是面临来自权威侧的DNS威胁,如DDoS攻击、权威解析记录篡改、域名恶意转移等,因此除了上述针对递归侧的防护措施外,还需搭配高防DNS、域名安全锁定能力来加强权威侧的DNS安全。
高防DNS:相较传统DNS,高防DNS采用了多种DDoS攻击防御手段,如弹性带宽、流量清洗、DDoS防火墙等,可以在遭遇超大流量请求和恶意攻击时自动放大带宽,保证足够的流量冗余,同时能够智能识别恶意流量进行隔离清洗,从而有效应对高并发请求和DDoS攻击威胁。
域名锁定:域名安全锁定服务包含两层防护能力:域名转移锁是通过注册局、注册商层面的技术锁定,防止域名被恶意转移、过户、注销等,规避域名被盗的风险;而高级别的解析记录锁还能够对域名的解析状态进行锁定,从而避免域名的A记录、CNAME记录、NS记录等被篡改,重定向到非法地址。
国科云DNS安全综合解决方案是什么?
针对各类DNS安全威胁,国科云通过云拨测、云加速、云解析和域名安全锁定等产品和服务,打造全方位DNS安全防护体系,从递归侧和权威侧共同夯实政企线上业务第一道防线:
国科云拨测:国科云拨测通过全球分布节点,对DNS解析状态进行全网实时探测,当发现某个区域递归DNS存在缓存过期、域名污染等情况时,将自动强制刷新恶意缓存,恢复DNS解析正常链路,确保业务正常访问。
国科云解析:国科云解析集成了DNSSEC、高防DNS等安全防御机制,能够有效抵御DDoS攻击、恶意域名访问、DNS缓存投毒等各类网络威胁,全方位保障DNS解析服务的安全稳定。
国科云域名锁:国科云提供域名安全锁和高级解析记录锁服务,能够对域名whois信息和解析记录进行双重锁定,有效防范恶意转移过户、误操作、记录篡改等行为,保障政企单位域名资产安全无虞。
……
此次路由器DNS篡改事件,再次凸显了DNS在互联网体系中的关键地位,同时也充分暴露了DNS安全防护的薄弱。当前递归侧污染、权威侧攻击等各类DNS威胁层出不穷,这不仅要求个人用户强化终端安全,更需要政企单位构建系统化、全方位的DNS安全防护体系,共同应对日益复杂的网络威胁挑战,筑牢网络安全的第一道防线。
推荐阅读:
