DNS一直被认为是最重要的互联网服务之一，几乎所有的网络服务都依托于DNS服务。但相较于DNS服务的重要性，企业/家庭/个人在做网络安全防护时，却没有对其充分重视，导致了DNS成为了攻击基础架构的重要环节。

(资料图片)

作为世界上最大、最受信任的云交付平台，Akamai承载着全球15%-30%的互联网Web流量。面对层出不穷的DNS攻击，Akamai建议用户要保持积极主动，培养良好的安全做法，定期进行软件更新。同时，Akamai推出了DNS数据渗透检测算法，以及安全DNS解决方案和边缘平台—Edge DNS，确保为所有数字资产和用户提供出色的网络安全保护。

面对恶意DNS攻击，用户不能掉以轻心

Akamai每天观察到近七万亿次DNS请求，并将恶意DNS事务分为三大类：网络钓鱼、恶意软件以及命令和控制。

首先是网络钓鱼，根据福布斯2023年网络安全趋势预测，网络钓鱼在2023年仍然是许多黑客的首选工具，而技术的进步使黑客更容易进行。

他们可以使用现成的数字图形、应用社会工程数据和网络钓鱼工具，包括一些通过机器学习实现自动化的工具来发起攻击。同时，网络钓鱼通常伴随着恶意勒索软件，由于公司或组织的领导层拥有更有价值的数据信息，并且缺乏安全培训，往往会成为黑客攻击的首要目标。

其次是恶意软件，在Akamai新一期的《互联网现状/安全性》报告中，Akamai对全球家庭用户和企业面临的恶意DNS流量进行了全面分析。

报告发现，QSnatch成为亚太地区最大的僵尸网络威胁：专门针对 QNAP（企业用于备份或文件存储的网络连接存储 (NAS) 设备）的恶意软件QSnatch是2022年迄今为止亚太地区企业环境中最大的僵尸网络威胁。亚太地区近60%的受影响设备感染了QSnatch，仅次于北美。

再次是命令和控制（C2）流量，根据 Akamai的数据，在任意给定季度，全球有10%至16%的企业会在其网络中遇到C2流量。C2流量的存在表明可能有攻击正在进行中，或已发生数据泄露，而威胁则包括窃取信息的僵尸网络、初始访问代理等。

Akamai APJ安全技术与战略总监Reuben Koh

当然，对于黑客而言，攻击手段并不是单一的。Akamai亚太地区及日本安全技术和战略总监Reuben Koh 表示：“在Akamai的最新发现中，当攻击者合作开展攻击或在一次攻击中结合使用多种工具时，他们的得手率会提高。C2基础架构对于这些攻击的成功至关重要，因为它们可以用于通信，以及促进下载攻击负载和下一阶段的恶意软件，以继续推进攻击。”

面对DNS攻击，家庭用户也同样不能掉以轻心。对于攻击者而言，攻击家庭用户更容易而且更快，攻击者不仅试图滥用计算机等传统设备，而且还试图滥用手机和物联网设备。

Reuben表示：“家庭用户在其网络遭到入侵时可能失去所有数据，除了这种个人层面的后果外，如果他们的设备成为大规模僵尸网络的一部分，攻击者可以调动僵尸设备，并在用户不知情的情况下进行网络犯罪活动，比如发送垃圾邮件，甚至对企业发动DDoS攻击，这会产生更为隐蔽的严重后果。”

算法+平台服务，确保数字资产和网络安全

面对恶意DNS事务，Akamai保持积极主动，培养良好的安全做法，确保所有数字资产和用户提供出色的网络安全保护。同时也为企业和家庭用户给出建议：

企业应首先实现对所有软件和硬件资产的监测，并绘制出企业数据历程中每一步的所有关键漏洞以及所需的控制措施，比如防范DDoS、恶意软件攻击和采集以及横向移动和渗透。

最佳做法包括保持更新所有系统和软件，实施反恶意软件和多重身份验证，并在任何时候都对用户和设备实施最低权限访问。对于较大的企业或要求更复杂的企业，请让专业供应商提供帮助，同时也要积极监控性能和异常事件。

家庭用户应采取积极措施，确保定期进行软件更新，安装反恶意软件和对家庭WIFI网络使用WPA2 AES或WPA3加密，从而保护所有设备。消费者还应该对任何潜在的可疑网站、下载内容和通过电子邮件或短信发送的消息保持高度警惕。

魔高一尺，道高一丈。Akamai还推出了DNS数据渗透检测算法和安全DNS解决方案和边缘平台—Edge DNS，来帮助企业和家庭应对恶意DNS事务。

DNS数据渗透检测算法用于持续分析来自部署了Akamai云安全Web网关的客户的DNS流量日志。如果检测到新威胁，Akamai会主动提醒受影响的客户，并将与渗透相关的域添加到Akamai的威胁情报中，以便后续保护所有客户。

Edge DNS则是基于云的解决方案，具备高可用性、快速响应和可抵御DDoS攻击三大特性。可全天侯提供DNS服务，提高DNS响应速度，并拥有足够的恢复能力来抵御最大型的DDoS攻击。依托于全球分布式 Anycast网络，可将其作为主要或辅助DNS服务加以实施，根据需要取代或增强现有的DNS基础设施。

在现网的实际应用中，DNS数据渗透检测算法和Edge DNS都得到了市场的认可。以Edge DNS为例，借助Edge DNS，Intuit（财捷集团）全年都能提供快速的响应，尤其是当流量在报税季激增到正常流量的3倍时，也能从容应对。这意味着，人们不需要等待页面加载，就可以在报税、对账或查询账户余额时，获得流畅、快速的在线和移动体验。

关键词：