一說到域名系統(tǒng)(DNS)，你可能自然而然地想到域名以及運行互聯網連接的技術細節(jié)。你可能在擔心針對你網站發(fā)動的拒絕服務攻擊，或者有人劫持、篡改網站。

雖然那些問題無疑很要緊，但是DNS不再僅僅用于查詢網站URL;它還被軟件用來核查許可證，被視頻服務用來規(guī)避防火墻，而且常常被黑客用來竊取貴公司的數據。另外，你的員工可能在給其設備歡快地添加免費的DNS服務，這至少意味著你沒有完全控制網絡配置。DNS是你基礎設施中的一個根本部分，關系到企業(yè)生產力，但它又是一個主要的攻擊途徑，你對發(fā)生的情況可能知之甚少。

DNS是互聯網上最常見的協(xié)議，但是它可能也是最容易被忽視的。數據泄露防護(DLP)系統(tǒng)檢查電子郵件、網絡瀏覽器、P2P軟件、甚至Tor所使用的協(xié)議，卻常常忽視DNS。Cloudmark公司首席技術官Neil Cook說：“沒人非常關注DNS數據包，盡管DNS是一切系統(tǒng)的基礎。DLP在Web和電子郵件方面做了大量的工作，但是任由DNS躺在那里，門戶大開。”

去年，專業(yè)美容用品公司Sally Beauty泄密事件中丟失的數據在偽裝成DNS查詢的數據包中外泄出去，不過Cook指出了一些意料不到卻合法的使用;“Sophos使用DNS隧道機制來獲得病毒特征;我們甚至將它用于許可。”

許多廠商正開始提供DNS工具，從Infoblox的硬件設備到OpenDNS的安全DNS服務，不一而足。Palo Alto Networks公司正開始提供DNS檢查服務，英國域名注冊機構Nominet剛推出了其Turing DNS可視化工具，幫助公司企業(yè)發(fā)現DNS流量中的異常，而Cloudmark可分析DNS行為模式，幫助發(fā)現電子郵件中通向隱藏有惡意軟件的主機的鏈接。另外還有眾多面向常見監(jiān)控工具的插件，讓你能夠基本了解情況。

盡管DNS流量是許多攻擊的源頭，但是很少有公司對DNS流量進行任何監(jiān)控。使用DNS隧道機制的不僅僅是在銷售點系統(tǒng)上運行的惡意軟件，它們在一些攻擊中獲取客戶信用卡數據，比如針對Sally Beauty、家得寶和Target的攻擊。DNS對惡意軟件而言是最常見的指揮與控制渠道，還被用來獲取惡意軟件從貴公司竊取的數據。

Infoblox公司的DNS首席架構師Cricket Liu說：“DNS經常被用作偷偷經由隧道讓數據滲入公司或從公司外泄數據的一條渠道，而編寫惡意軟件的人使用DNS經由隧道外泄這種數據的原因是，DNS實在太缺乏監(jiān)控了，大多數人根本不知道在其DNS基礎設施上執(zhí)行哪種查詢。”

還有個問題是，有人使用DNS避開網絡安全控制;有可能是員工規(guī)避網絡限制、安全政策或內容過濾，也可能是攻擊者避免被人發(fā)現。

DNS攻擊是個普遍性問題

獨立研究公司Vanson Bourne最近針對美國和英國企業(yè)開展了一項調查，結果發(fā)現，75%的企業(yè)表示遇到過DNS攻擊(包括因DNS而起的拒絕服務和DNS劫持以及數據竊取)，49%在2014年遇到過攻擊。令人擔憂的是，44%聲稱很難證明有必要往DNS安全方面投入成本，因為高層管理班子沒有認識到這個問題。

Nominet的首席技術官Simon McCalla表示，那是由于，他們認為DNS是一種實用工具。“對大多數CIO來說，DNS是在后面運行的系統(tǒng)，對他們來說不是優(yōu)先事項。只要DNS在正常運行，他們就很高興。然而，大多數CIO沒有認識到這點，DNS里面有大量的信息可以向他們表明其網絡內部發(fā)生的情況。”

Liu直言不諱：“讓我覺得驚訝的是，很少有企業(yè)組織肯花心思對其DNS基礎設施進行任何一種監(jiān)控。DNS根本沒有引起重視，可是TCP/IP網絡離開了DNS就無法正常運行。這是不為人知的關鍵。”Liu堅稱：“落實監(jiān)控DNS基礎設施的機制并不深奧;現在外面有許多機制可以幫助了解DNS服務器在處理哪些查詢以及響應。你其實應該進行監(jiān)控，因為DNS基礎設施與負責在網絡上實際傳送數據包的路由和交換基礎設施一樣重要。”

他發(fā)現，演示這種威脅通常足以引起管理層的注意。“一旦大多數CIO看到如何借助網絡里面的一臺中招機器，就能在該端點設備與互聯網上的服務器之間建立起一條雙向通道，就會認識到對此需要采取一些措施。這實際上就是面對這個嚴峻現實的問題。”

處理DNS安全

首先，你不要再把DNS想成單單涉及網絡，而是想成它是“管道的一部分”(part of the plumbing)，OpenDNS首席執(zhí)行官David Ulevitch說(思科正在收購該公司)。

“過去網絡操作人員運行你的DNS，他們在關注DNS時著眼于確保防火墻開著，沒有阻止他們認為是連接關鍵部分的對象，而不是將DNS視作是安全政策、訪問控制和審計的關鍵部分。但是如今我們生活每個網絡操作人員必須是安全從業(yè)人員的環(huán)境下。”

如果你積極主動地管理DNS，可以在員工(和攻擊者)無法規(guī)避的層面來實施網絡控制措施。你在DNS層面可以比使用Web代理系統(tǒng)或者進行深層數據包檢查更有效地發(fā)現網絡釣魚攻擊及惡意軟件指揮和控制系統(tǒng)，你還能在第一時間發(fā)現攻擊，而不是幾天之后才發(fā)覺。

Liu說：“DNS是一種很好的預警系統(tǒng)。眼下你基本上可以假定，你的網絡上就有被感染的設備。DNS是拉設絆網(tripwire)的好地方，那樣當惡意軟件及其他惡意程序潛入到你的網絡上，你很容易發(fā)現它的存在及其活動，可以采取一些措施盡量減小它造成的破壞。”你甚至只要尋找類似的行為模式，就可以查看感染的傳播范圍有多廣。

OpenDNS和Infoblox之類的服務還能查看你網絡之外的情況。Ulevitch說：“很容易建立一個基準，了解正常活動是什么樣子，然后進行異常檢測。假設你是得克薩斯州的一家石油天然氣企業(yè)，亞洲某國出現的一個新域名指向歐洲的IP地址，又沒有其他石油公司關注該域名。為什么你就應該是試驗品呢?”

你還要監(jiān)控常見地址在你網絡上是如何解析的――黑客會試圖將Paypal等網站的鏈接發(fā)往自己的惡意網站，并監(jiān)控你的外部域指向何處。特斯拉公司的網站最近被重向至黑客搭建的欺騙網頁時，黑客還控制了這家公司的推特帳戶(并利用該帳戶向伊利諾伊州一家小型計算機維修店打去洪水般的電話)，攻擊者還更改了用來解析域名的域名服務器。監(jiān)控其DNS也許可以在用戶開始在推特上發(fā)布被黑網站的圖片之前，給特斯特提個醒：哪里出了岔子。

Ulevitch指出，至少要記住這一點：DNS是你所有在線服務的立足之本。“改進DNS的門檻很低很低。DNS通常被認為是成本中心;人們并不把錢投入到足夠可靠的基礎設施或性能足夠高的設備，所以很難應對很大的事務量。”

不是說只有你被DNS攻擊盯上時，DNS才顯得重要。“企業(yè)應當關注DNS性能，因為它會給你在網上開展的一切工作帶來重大影響。每當你發(fā)送電子郵件或者打開應用程序，其實就在提出DNS請求。如今，網頁很復雜，裝入一個頁面需要提出10多個DNS請求并不罕見。僅僅為了處理裝入頁面的DNS部分，這個過程就有可能多出整整1秒或更久。”

處理企業(yè)問題

監(jiān)控DNS還讓你可以獲得大量信息，了解貴企業(yè)網絡之外的其他信息。Ulevitch指出：“在當下，網絡邊界變得稍縱即逝，服務輕而易舉就能采用。營銷主管可能注冊使用Salesforce服務;如果你看一下DNS，就能發(fā)現這個情況。你能發(fā)現多少員工在使用Facebook。你能發(fā)現出現在網絡中的設備，無論設備是用于核查許可證，還是在偷偷外泄數據。就算你有一百個辦公室，照樣能查明誰在連接設備。”

他指出，這里的設備不僅僅指個人電腦;打印機、電視機和物聯網設備也在日益連接到企業(yè)網絡上。“我想讓電視機打電話給大本營嗎?如果你瞧一瞧三星隱私政策，表明電視機內置麥克風，可能隨時聽偵聽;我在企業(yè)董事會會議室里果真需要這種設備嗎?也許我應該實施DNS政策，那樣電視機無法打電話給大本營。”

Infoblox的Liu同意這一觀點。“物聯網設備在設計時常常不是非常關注安全。你需要確保設備連接到應該連接的地方;要是有人把別的設備接到你的物聯網設備上，它們本該無法訪問你的內部網絡。DNS是一個有用的節(jié)點，可以監(jiān)控那種訪問。”

Ulevitch指出，又由于你已經在使用DNS，監(jiān)控它并不會干擾什么。“通常在安全領域，大多數技術沒有使用的原因是，需要花力氣來確保它們對用戶績效沒有產生負面影響。”

他表示，實際上需要一個充分的理由表明沒必要這么做。“安全方面有一些基本的最佳實踐，其中一條是獲得網絡可見性。無法查看網絡上的流量，無異于瞎搞一通。想方設法檢查DNS流量是確保安全狀況很牢靠的一個根本要求。不知道網絡上發(fā)生的情況簡直就是玩忽職守。”

英文：Why you need to care more about DNS