強化DNS安全成當務之急

近年來，網路上經常出現針對特定目標所發動的分散式阻斷攻擊（DDoS），而且它們的目標不只是鎖定許多使用者所依賴的網站和電子郵件伺服器，以網路名稱服務（DNS）為目標的攻擊也越來越多。

情況有多嚴重？根據DDoS廠商Arbor Networks的2014年全球基礎設施安全調查報告指出，以DNS為DDoS攻擊對象的比例高達77％，比起去年增加了7％，在應用層出現的各種攻擊類型中，僅次於排名第一的HTTP（87％）。

另外，在微軟公布的2013年度安全情報的報告中，也特別將DNS攻擊名列雲端安全的首要威脅。

有很多網路攻擊會針對DNS服務，主要是因為DNS伺服器是非常普遍的網路服務，當我們要存取各種網站時，大多是透過輸入網址方式連過去，過程中需要透過DNS服務幫忙解譯，才能將這些網址轉換為IP位址，所以DNS伺服器是否正常運作、提供查詢網域名稱的服務，對整個網路的應用是很重要的。

不過，一般來說，許多企業對於DNS伺服器並沒有辦法提供足夠的安全防護，雖然我們可以利用一些網路安全產品來保護它們，例如防火牆、IPS設備或是防護DDoS攻擊的設備，但這些資安系統所要關照的層面是很廣的，例如必須囊括全部的網路服務，像是網站瀏覽會用到的HTTP/HTTPS、電子郵件伺服器的SMTP和POP3，並無法專精在DNS安全上的強化。

DNS服務已成為主要網路攻擊的目標之一

當企業受到DNS攻擊，可能會面臨什麼樣的狀況？像是網路中斷、用戶無法正常供存取網站服務，或是被擅自導引到其他網路位置上，而不是原來所要連向的目的，當這樣的攻擊出現時，若無法有效處理，將會影響用戶的觀感，也會拖累企業形象。

然而，DNS攻擊其實不是新興的網路安全威脅，為什麼最近受到很大的重視？

主要是因為去年歐洲反垃圾郵件組織Spamhaus，遭遇了史上最大的DDoS攻擊，高達300 Gbps的網路流量湧入該組織的網站，主要是因為開放性DNS解析伺服器（open DNS resolver，可回應任何IP位址的查詢請求）的問題所致，所以面臨了DNS反射攻擊（DNS Reflection Attack）和DNS放大攻擊（DNS Amplification Attack）。

能發動DNS反射攻擊和DNS放大攻擊，其實是跟DNS的架構有很大的關係。攻擊者會對開放式DNS伺服器發出DNS查詢的請求，然後將自己發出查詢的來源IP位址偽造成所要攻擊的對象，而DNS查詢通常會要求一筆很大型的網域名稱記錄集，這將導致伺服器產生回應時，所傳回去的資料量通常會比初始查詢高出好幾倍。同理，如果有心人士透過操控殭屍網路的方式，綁架多臺電腦對開放式DNS伺服器提出DNS查詢請求，就有可能從不同來源的網路位置，產生極大的網路攻擊流量，而在Spamhaus當時所面臨的攻擊中，總共有3萬臺開放式DNS伺服器以這種方式被誤用。

這種攻擊之所以會實現，有許多專家認為跟下列因素有關：首先，偽造來源IP位址的網路流量並未妥善管制；其次是，網路上的開放式DNS伺服器數量太多。

而在國內，近年來也有一些跟DDoS攻擊與DNS安全性有關的大型資安事件，例如同樣發生在去年的臺菲鍵盤開戰事件，菲律賓海巡射殺我國漁民，網友發動鍵盤開戰，對菲律賓政府網站執行DDoS攻擊，並且有臺灣駭客侵入菲國DNS，取得該國大量網站的帳號密碼，隨即於網路公布這些資訊。

今年1月，中國境內也出現大規模網站無法存取的事件，原因是DNS被劫持。當地用戶連到許多以.com與.net為網域名稱的網站時，會被導引到美國Dynamic Internet Technologies公司的IP位址。

最近一個月內，全球也出現重大的DNS攻擊事件，例如，Google提供給大眾的公用DNS伺服器8.8.8.8，也面臨DNS劫持（DNS Hijacking）長達22分鐘，當時所有使用該DNS服務的網路流量，都被綁架到巴西和委內瑞拉境內。

出現以安全性為主的DNS產品

類似的DNS網路服務受攻擊的事件層出不窮，發生頻率越來越密集，但出錯的原因千奇百怪，強化DNS自身安全性的需求也因此增長。而除了設法改善DNS服務的可靠度、減少系統弱點之外，直接在DNS伺服器整合專屬的安全性機制，以因應各式各樣的DNS攻擊，已經成為許多網路與資安廠商發展的重點之一。

不過這樣的應用需求，過去是屬於DDI（DNS, DHCP and IP Address Management）產品的範疇，安全性只是這類產品的一部分功能，像是BlueCatDNS/DHCP Server、Infoblox Trinzic DDI。

最近幾年，市面上也出現一些主打安全DNS的產品，例如Fortinet在2012年與一家研發DNS安全產品的Nominum公司合作，推出了FortiDNS系列設備，Infoblox去年初也基於既有的DDI產品，推出可強化安全性的選購模組DNS Firewall，年中則在電信級的DNS快取設備IB-4030上，支援DNS Firewall，到了年底，該公司正式推出內建多種DNS威脅防護能力的安全DNS產品Advanced DNS Protection（ADP）。

DNS設備內建加速卡，協助過濾異常網路流量

ADP本身就是DNS硬體設備，而這系列產品的推出，目的是為了提升DNS本身的保護機制。因此，這系列的設備會針對連入的網路流量，進行有效的過濾，而且並不只是判斷DNS服務存取是否有異常，也可涵蓋到偵測一些存取系統本身服務的攻擊。Infoblox技術顧問張哲綱表示，經過ADP內含的加速卡過濾後，DNS設備所面對的是乾淨流量，提供給用戶的服務也是正常的，可防止DNS自身變成攻擊的跳板。

基於這樣的處理方式，就算DNS設備面臨DDoS攻擊，由於ADP能判斷出正常的查詢請求，也就能先一步捨棄異常的網路流量，不會等到龐大的網路流量佔滿DNS設備的處理器和記憶體才進行處理，導致整個DNS伺服器的運作停擺。

而且，由於ADP並非透過限制回應速率（Responsive Rate Limiting）的作法來對付DDoS攻擊，所以DNS查詢也不會遭到限制，而使得整個網路的存取變慢。

除了強化本身的體質，針對新興的DNS攻擊，ADP也可以和防火牆、IPS等網路安全設備一樣，例如，自動定期更新威脅防護規則──可連至Infoblox架設的Threat-rule Server，取得由原廠分析、研究的威脅防護規則，以儘快減緩攻擊的影響，不必等到DNS系統修補程式發布，就能抵禦。

就實際規格而言，ADP是以PT（Protect Threat）來命名的一系列產品，分成PT-1400、PT-2200、PT-4000等三款，它們的功能都一樣，但彼此的差異在效能──每秒可應付的DNS查詢量（qps），以PT-4000來說，可達到20萬qps。

代理Infoblox的達友科技資深產品經理黃繼民表示，ADP著重於來自外部來的DNS攻擊，例如DNS DDoS、DNS放大攻擊、DNS反射攻擊等，設備內建的這張加速處理網卡，可以偵測DNS型態及相關的網路型態攻擊，並予以丟棄。