Поддержка

DNS-атаки

Категория: Безопасность

DNS-атаки

При DNS-атаке поддоменов злоумышленник отправляет DNS-запросы для нескольких случайных несуществующих поддоменов одного сайта. Цель состоит в том, чтобы создать отказ в обслуживании для авторитетного сервера имен домена, что делает невозможным поиск веб-сайта с сервера имен. Как побочный эффект ISP, обслуживающий атакующего, также может быть затронут, поскольку кэш рекурсивного резолвера будет загружен плохими запросами.

Атака CPE на основе ботнетов

Эти атаки выполняются с использованием устройств CPE (это оборудование, предоставленное поставщиками услуг для использования их клиентами, такими как модемы, маршрутизаторы, кабельные коробки и т. д.). Злоумышленники захватывают CPE, и устройства становятся частью ботнета, используемого для выполнения случайных атак субдоменов на один сайт или домен.

Каков наилучший способ защиты от атак на основе DNS?

В дополнение к DNSSEC оператор зоны DNS может принять дополнительные меры для обеспечения безопасности своих серверов. Инфраструктура избыточной подготовки - это одна из простых стратегий преодоления DDoS-атак. Проще говоря, если сервер имен может обрабатывать в несколько раз больше трафика, чем ожидается, таким атакам сложнее сокрушить сервер.

Anycast маршрутизация является еще одним удобным инструментом, который может сорвать DDoS-атаку. Anycast позволяет нескольким серверам совместно использовать один IP-адрес, так что даже если один DNS-сервер падает, все равно будут работать другие. Еще одной популярной стратегией защиты DNS-серверов является брандмауэр DNS.

Что такое брандмауэр DNS?

Брандмауэр DNS - это средство, которое может предоставлять ряд служб безопасности и производительности для DNS-серверов. Брандмауэр DNS находится между рекурсивным резолвером пользователя и полномочным сервером имен веб-сайта или службы, к которой они пытаются подключиться. Брандмауэр может обеспечить ограничение скорости обслуживания, чтобы остановить атакующих, пытающихся перегружать сервер. Если сервер испытывает простои в результате атаки или по любой другой причине, брандмауэр DNS может поддерживать сайт или службу оператора, обслуживая ответы DNS из кэша. В дополнение к функциям безопасности брандмауэр DNS может также предоставлять решения для повышения производительности, такие как более быстрый поиск DNS и снижение затрат на пропускную способность для оператора DNS.

DNS как средство безопасности

Резолверы DNS можно настроить для предоставления решений безопасности конечным пользователям (пользователям, просматривающим контент). Некоторые резолверы предоставляют такие функции, как фильтрация содержимого, которая может блокировать сайты, распространяющие вредоносные программы и спам, и защита ботнетов, которая блокирует связь с известными ботнетами. Многие из этих защищенных резолверов DNS можно использовать бесплатно, и пользователь может переключиться на одну из этих рекурсивных служб DNS, изменив один параметр в локальном маршрутизаторе. Cloudflare DNS делает акцент на безопасности.