事件响应必备：DNS攻击与防御矩阵

2023年3月6日作者：GoUpSec

攻击者采用了哪些DNS攻击技术，哪些组织可以帮助事件响应团队检测、缓解和预防这些技术？FIRST近日发布的DNS攻击与防御矩阵提供了答案。

DNS作为互联网基础架构的一项核心服务，安全问题严峻，各种攻击层出不穷。F5发布的数据显示，DNS/DDoS攻击已经成为主要网络安全威胁之一。并且攻击手段逐渐变得复杂和隐蔽，如DNS隧道、DNS流量劫持攻击等，对网络安全和数据隐私提出了更高的要求。

不仅是攻击技术的多样化和复杂化，DNS攻击的检测、缓解和预防所涉及的实体和措施同样趋于复杂化，这给处理DNS攻击事件的企业事件响应团队带来不小难度。

面对以上挑战，由来自政府、商业和教育组织的计算机安全事件响应团队(CSIRT)组成的协会FIRST推出了DNS攻击与防御矩阵。

FIRST目前在全球拥有600多名成员。在众多特殊兴趣小组(SIG)中，DNS滥用兴趣小组负责编制了DNS攻击与防御矩阵。

“CERT不断接到雪片般飞来的DNS滥用报告，同时又严重依赖DNS分析和基础设施来保护网络。”DNS滥用兴趣小组指出：“DNS攻击与防御矩阵从全球事件响应社区的角度解读检测和缓解DNS滥用的国际习惯规范，这对于开放互联网的稳定性、安全性和弹性至关重要。”

21种DNS攻击技术

DNS攻防矩阵定义了21种DNS滥用技术，包括DNS欺骗、本地递归解析器劫持、DNS作为拒绝服务攻击载体或命令控制通信通道、二级域名恶意注册等。

为帮助用户、事件响应团队和不同利益相关者提升DNS安全事件响应效率，DNS攻击防御矩阵提供了“检测”、“缓解”和“预防”三个版本。例如，在DNS缓存中毒事件中，事件响应团队可以通过“缓解矩阵”查看哪些实体可以帮助缓解事件。”

以下为三个版本的局部截图：

检测：

缓解：

预防：

DNS攻防矩阵涉及的实体（利益相关者）包括从注册商、注册管理机构和各种提供商（托管、应用程序服务、威胁情报）到CSIRT和ISAC（信息共享和分析中心）以及执法和公共安全机构的所有DNS安全利益相关者。

值得注意的是，DNS攻防矩阵目前不包括攻击者可能与DNS攻击技术结合使用的其它技术，也没有涵盖事件响应者在处理DNS攻击时可以探索的相关政策、政府和司法途径。

DNS安全五大趋势

未来，DNS安全将呈现以下五大发展趋势：

（1）全球化趋势：DNS安全问题是全球性问题，需要全球范围内的安全协作和共享，未来DNS安全将更多呈现国际化、全球化的趋势。

（2）多维度保护：未来DNS安全需要多种技术手段的协同应用，例如DNSSEC、HTTPS等，将多个安全点的保护形成全面地多维度保护。

（3）智能化趋势：随着人工智能和机器学习技术的不断发展，未来DNS安全将更加智能化、自适应和自我防御。

（4）DANE与DoH趋势：新兴的DNS技术DANE和DoH，它们可以帮助解决DNS缓存污染、欺骗、劫持等问题，未来会越来越多地应用到实际领域。

（5）强调人员教育：未来DNS安全也将越来越重视人员教育，为管理员和用户提供更好的安全意识和知识，使他们能够更好地应对DNS安全挑战。

DNS安全是互联网安全的重点之一，随着互联网快速发展，未来DNS将更加全球化、多维度、智能化，DNS安全防御也需要不断引入新技术、新手段，加强协作和共享，本文介绍的DNS攻击与防御矩阵也将随之更新和扩展，是事件响应团队必备的参考工具之一。

参考链接：

关键词： DNS 攻击