最近出现了许多关于修改域名系统(DNS)攻击的新闻报道,因此英国国家网络安全中心(NCSC)提供了缓解措施,以助组织和个人防范此类威胁。
域名系统(DNS)是将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
从用户的角度来看,DNS劫持主要是网络钓鱼和流量拦截,而对组织而言,可能导致失去对域名的控制权。
一份来自Avast遥测数据的报告显示,在2月至6月期间,巴西至少有18万名用户的路由器遭到入侵,DNS设置也发生了变化。到3月底,杀毒软件已经阻止了超过460万次跨站点请求伪造(CSRF)尝试,这些攻击会改变路由器上的DNS设置。
Ixia的研究人员也一直在跟踪针对消费级路由器的DNS劫持活动。他们注意到4月初,DNS劫持攻击频繁,攻击将受害者重定向到虚假的金融机构和网络托管服务提供商网站,如Gmail、PayPal、优步和Netflix等页面。
上周,思科Talos分析得出使用DNS劫持进行网络间谍活动的黑客组织——海龟(Sea Turtle)开始重新活动。在持续至少两年的活动中,海龟主要针对中东和北非的组织,破坏电信公司、IT公司、域名注册商使用的DNS服务。
英国NCSC周五发布了一份文件,概述了DNS劫持所带来的风险,并为组织和个人提供建议。
域名注册帐户是高价值目标,黑客可以通过凭证填充、网络钓鱼等常用技术接管。因此,NCSC建议用户使用独特的强密码以防止网络钓鱼,并启用多因素身份验证。定期检查与帐户关联的详细信息和确保更新,是阻止账户被接管的好方法。限制对帐户的访问权限,还有来自“注册商锁定”服务的额外保护也可降低入侵者控制帐户的风险。
对于运行DNS基础架构的组织,NCSC建议实施访问和更改控制系统,这些系统可以为DNS记录提供备份和还原功能,并强制严格访问管理DNS服务的计算机。NCSC还建议使用SSL监控和DNS安全扩展(DNSSEC)。SSL监控有助于密切关注公司域名的SSL证书,DNSSEC能确保服务器上的DNS记录带有加密签名。
对个人用户而言,使用最新固件更新设备,检查网站是否具有有效证书以及验证DNS设置是降低受到DNS劫持威胁的好方法。一些消费者可用的网络级安全解决方案也可阻止黑客利用漏洞来修改DNS设置。