4种有助于降低DNS隧道风险的方法

对于如何防范DNS攻击以及组织内部应该如何解决，可通过以下4种方式：

佛罗里达理工学院计算机工程与科学助理教授兼网络安全项目主席Terrence O’Connor表示，组织应该同时寻求人力和技术解决方案来处理DNS隧道。从人员角度来看，组织可以建立内部的、积极主动的威胁搜寻小组。

威胁搜寻小组可以提高威胁检测和响应时间，分析网络流量日志以识别异常，或者基于历史攻击和工具开发签名。此外，该小组可以向安全部门通报最新的攻击技术，以及他们如何独特地利用DNS进行恶意目的。

从技术角度来看，公司可以启用对抗DNS隧道的安全机制。例如，组织可以使用DNS安全扩展（DNSSEC），这是一种需要对DNS消息进行加密验证的安全机制，O’Connor表示，目前没有任何方法是绝对安全的，但通过人工和技术的结合，足以应对大部分DNS隧道的攻击手段。

Cybrary威胁情报小组主任David Maynor表示，最好的方法是深度防御解决方案，该解决方案将技术方面与提高安全团队的技能相结合，这样，如果工具发出任何警报，他们就可以进行手动分析。

为了识别DNS隧道，组织应该实现提供深度数据包检查的工具，并可以查看和分析DNS数据包，然后可以应用规则来检测违反征求意见标准的字段。Maynor表示，另一种方法是基于异常的网络分析，通过这种方法可以分析网络流的异常行为。例如，工作站突然将DNS流量从网络发送到看似随机的DNS服务器，这就是一个非常危险的信号，安全团队可以对工具表露出的警报做出响应。

德克萨斯农工大学圣安东尼奥分校计算与网络安全系副教授Izzat Alsmadi表示，由于DNS服务的敏感性，DNS服务是攻击者的最佳目标，因此组织必须严格监控和提醒其DNS服务的异常活动。

Alsmadi认为，可通过积极主动地监控互联网活动，并屏蔽已知会造成此类问题的IP地址，来应对上述风险。这是一种通用的黑名单方法，但通常难以容纳所有可能的攻击者，因此，重要的是要包括对奇怪或不寻常的DNS查询发出警报的规则。Alsmadi表示，强化本地客户端并确保用户知晓如何避免网络钓鱼活动也很重要，因为大多数DNS攻击都是从利用本地可信客户端或计算机开始的。

Fair Square Medicare创始人兼首席执行官Dan Petkevich表示，他的公司利用技术帮助老年人找到最适合他们医疗需求的保险。由于业务涉及的个人数据水平很高，Fair Square Medicare对DNS隧道的风险很敏感。他认为，防止DNS隧道的最实用的方法之一是持续监测公司系统中经常出现的流量。

Petkevich表示，持续监测能够让组织在一开始就发现可疑活动，并在破坏发生之前阻止其访问网络。在搜索网址时，最好选择采用HTTP或HTTPS协议的网站因为它们能够更安全地抵御这些攻击。作为企业来说，组织的网络开发人员在站中是否包含HTTPS协议至关重要。如今，即使是谷歌也意识到DNS隧道的高风险，因此如果网站没有做好保护数据的准备，往往会发生数据泄露事件。

Ansari认为，一些DNS攻击涉及拒绝服务（DoS）攻击或分布式拒绝服务（DDoS）攻击，攻击者发送大量恶意DNS查询，这些查询可能会淹没DNS基础设施，并导致受害者组织的互联网中断。

其中一些攻击者会利用第三方DNS服务器来攻击受害组织的DNS服务器。Ansari表示，上述这些攻击的解决方案是让第三方来修复其DNS服务器中的错误配置。因此，如果第三方不合作或是被攻击者唆使，错误配置将很难解决。对此，组织可在与第三方的合同中纳入DNS安全事件以及风险管理等等。

Maynor表示，由于DNS有许多不同的合法用途，因此，很难判断请求和响应中的数据字段是否有效。基于DNS的复杂性、可信任性和必要性，攻击者可利用字段中的数据构建看似真实的DNS流量，这导致网络内部的攻击者能够以对合法身份泄露数据。”

CSC数字品牌服务公司首席技术官Ihab Shraim表示，因此，为了保护系统免受DNS隧道攻击，公司必须定期对员工进行网络钓鱼、恶意软件和DNS隧道攻击方面的培训。识别并避免社会工程攻击的员工可以阻止DNS隧道攻击。

组织还应培训网络安全团队识别不典型的DNS流量模式。在DNS流量上实现机器学习技术可以帮助安全团队检测模式中的异常。