DNS防火墙增强网络安全的完整指南

DNS：互联网的查询枢纽与安全防线

DNS（域名系统）是互联网的查询表，它在域名（如perezbox.com）和IP地址（如184.24.56.17）之间建立桥梁，其中IP地址指向托管该域名的服务器位置。除了作为查询表的核心功能外，DNS还可作为有效的安全控制机制。DNS具有轻量级、无需安装、高效、符合攻击者TTP（战术、技术和程序）以及成本低廉的特点。

攻击缓解战术解析

理解攻击者如何利用域名实施攻击，有助于我们认识DNS的有效性。以下是攻击者常用的几种TTP：

1. 良性网站滥用

攻击者入侵良性网站（域名），将其用于分发恶意软件或进行其他恶意活动（如网络钓鱼、SEO垃圾邮件等）。

2. 恶意网站创建

攻击者创建恶意网站（域名），其唯一目的是分发恶意软件或进行其他恶意活动（如网络钓鱼、SEO垃圾邮件、投放器等）。

3. 命令与控制（C&C）

命令与控制（C&C）是攻击者用于协调攻击的基础设施。有效载荷会回连到C&C服务器以获取下一步指令。

以上场景均利用完全限定域名（FQDN）来呈现网站内容。

实战案例剖析

案例1：2019年Mailgun黑客事件

2019年，多起WordPress黑客攻击利用了一款知名插件中的漏洞。该漏洞影响了数千个网站，包括流行的Mailgun服务。攻击者利用其访问权限在网站上嵌入JS代码，这些代码会向多个不同域名发起调用：hellofromhony[.]org、jqueryextd[.]at、adwordstraffic[.]link。根据请求类型，这些域名会启动不同操作（包括窃取信用卡信息）。嵌入的JS有效载荷会发起DNS请求。

案例2：多服务器管理场景

假设某组织负责管理数百甚至数千台服务器。攻击者绕过防御措施并在网络中横向移动，在此过程中，攻击者在网络中散布设计用于回连到其C&C的投放器。回连过程会发起DNS请求。

案例3：缓解用户行为（网络钓鱼）

用户的点击行为始终是安全链中的薄弱环节。点击链接会发起DNS请求。

DNS的安全效能

上述案例快速说明了如何利用DNS缓解攻击。根据Verizon数据泄露调查报告（DBIR）2012年至2017年的五年数据分析，在11,079起已确认的数据泄露事件中，近三分之一被识别为DNS可缓解的威胁行动（来源：全球网络联盟2018年报告）。拥有具有1/3控制相关性的安全控制措施对任何组织都具有重大影响。

作为互联网运作的支柱，每当查询域名时，DNS都会按设计被触发。考虑上述不同场景，您会迅速意识到DNS是所有请求必须通过的网关。

DNS防火墙（保护性DNS）作为安全控制

DNS防火墙会检查初始查询，验证其安全性，然后才允许其继续进行DNS通信链的后续步骤。市场上有许多优秀的DNS防火墙服务；作者个人使用CleanBrowsing安全过滤器（免费且高效）。

部署地址：

• IPv4地址：185.228.168.9 和 185.228.169.9
• IPv6地址：2a0d:2a00:1::2 和 2a0d:2a00:2::2

如果您运行自己的内部DNS，可以考虑利用响应策略区域（RPZ）。RPZ是一项安全规范和协议，通过为DNS解析器提供关于其处理域名的安全情报来增强安全性。它允许本地DNS解析器限制对恶意或不需要内容的访问，使您能够创建自己的DNS防火墙。

这种部署方案同样适用于大型组织和家庭用户。:)