為什麼DNS安全很重要
幾乎所有web流量都需要標準DNS查詢,這為DNS攻擊創造了機會,比如DNS劫持和中間人攻擊。這些攻擊可以將網站的入站流量重定向到網站的偽造副本,收集敏感使用者資訊,並使企業承擔重大責任。目前防範DNS威脅的最普遍方法之一是採用DNSSEC協議。 什麼是DNS安全擴充套件(DNSSEC)?
與許多internet協議一樣,DNS系統的設計沒有考慮到安全性,並且存在一些設計限制。這些限制,再加上技術的進步,使得攻擊者很容易劫持DNS查詢以達到惡意目的,例如將使用者傳送到一個可以分發惡意軟體或收集個人資訊的欺詐網站。DNS安全擴充套件(DNSSEC)是一種用於緩解此問題的安全協議。DNSSEC透過對資料進行數字簽名來防止攻擊,以幫助確保資料的有效性。為了確保安全查詢,必須在DNS查詢過程的每個級別進行簽名。
這一簽署過程類似於有人用筆簽署法律檔案;這個人用別人無法建立的僅有簽名,法庭專家可以檢視這個簽名並驗證檔案是由這個人簽名的,這些數字簽名確保資料沒有被篡改。
DNSSEC實現了跨所有DNS層的分層數字簽名策略。例如,在“google.com”查詢的情況下,根DNS伺服器將為.com名稱伺服器簽署一個金鑰,然後.com名稱伺服器將為google.com的權威名稱伺服器簽署一個金鑰。
雖然改進的安全性總是首要的,但是DNSSEC被設計為向後相容,以確保傳統的DNS查詢仍然能夠正確解析,儘管沒有新增安全性。DNSSEC旨在與SSL/TLS等其他安全措施合作,作為整體網際網路安全戰略的一部分。
涉及DNS的常見攻擊有哪些?
DNSSEC是一種功能強大的安全協議,但不幸的是,目前還沒有得到普遍採用。除了DNS是大多數internet請求的一個組成部分之外,這種缺乏採用以及其他潛在的漏洞使得DNS成為惡意攻擊的主要目標。攻擊者已經找到了許多方法來攻擊和利用DNS伺服器,以下是一些最常見的方法:
DNS欺騙/快取中毒:這種攻擊將偽造的DNS資料引入DNS解析器的快取,導致解析器返回不正確的域IP地址。不訪問正確的網站,流量可能被轉移到惡意機器或攻擊者希望的任何地方;通常這將是原始站點的副本,用於惡意目的,如分發惡意軟體或收集登入資訊。
DNS隧道:此攻擊使用其他協議隧道透過DNS查詢和響應。攻擊者可以使用SSH、TCP或HTTP將惡意軟體或竊取的資訊傳遞到DNS查詢中,而大多數防火牆都無法檢測到。
DNS劫持:在DNS劫持中,攻擊者將查詢重定向到不同的域名伺服器。這可以透過惡意軟體或未經授權修改DNS伺服器來實現。雖然結果與DNS欺騙相似,但這是一種根本不同的攻擊,因為它針對的是域名伺服器上的網站DNS記錄,而不是解析器的快取。
NXDOMAIN攻擊:這是一種DNS氾濫攻擊,攻擊者用請求淹沒DNS伺服器,請求不存在的記錄,試圖導致對合法流量的拒絕服務。這可以使用複雜的攻擊工具來完成,這些工具可以為每個請求自動生成僅有的子域。NXDOMAIN攻擊還可以針對遞迴解析器,其目標是用垃圾請求填充解析器的快取。
隨機子域攻擊:在這種情況下,攻擊者向一個合法站點的幾個隨機的、不存在的子域傳送DNS查詢。其目標是為域名的權威域名伺服器建立一個拒絕服務,使其無法從域名伺服器查詢網站。作為一個副作用,服務於攻擊者的ISP也可能受到影響,因為它們的遞迴解析器的快取將載入壞請求。
DNS作為一種安全工具
DNS解析器還可以配置為其終端使用者(瀏覽Internet的人)提供安全解決方案。一些DNS解析器提供了一些功能,比如內容過濾,它可以阻止已知的散佈惡意軟體和垃圾郵件的站點以及殭屍網路保護,它可以阻止與已知殭屍網路的通訊。這些受保護的DNS解析器中有許多是免費使用的,使用者可以透過更改本地路由器中的一個設定切換到這些遞迴DNS服務之一。
如今的網路安全已然成為了大勢所趨,不僅僅DNS伺服器會被攻擊,自身的伺服器有時候也會殃及魚池,大環境驅使下我們不得不採用一些手段來保護自身網路安全,像機房提成防護申請,自身購買CDN都是比較好的方式,當然如果要選購高防產品的話,一定要有足夠的耐心,像我們熟知的 阿里雲和 cloud.tencent.com 騰訊雲都是我們可以在預算充足時,無條件信任的大廠商,當然如果想要價效比也可嘗試中小企青睞的 咖啡雲。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69998889/viewspace-2938439/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 什麼是DNS解析?如何提升DNS解析安全?DNS
- [譯] DNS: 為何重要&如何工作DNS
- 為什麼 OWASP API 安全Top 10 對企業很重要API
- ITAM是什麼?為什麼它很重要?
- 為什麼選擇高防DNS?DNS
- 為什麼有些公司的IT很亂?
- DNS 系列(一):為什麼更新了 DNS 記錄不生效?DNS
- DNS解析為什麼不生效?DNS解析不生效原因分析DNS
- 為什麼凸優化這麼重要?優化
- 為什麼去中心化很重要?中心化
- 為什麼Web3如此重要?Web
- 什麼是客戶分析,為什麼它很重要?
- 為什麼凸最佳化這麼重要?
- 為什麼資料備份那麼重要?
- 為什麼BI對企業這麼重要?
- 【Learning eBPF-1】什麼是 eBPF?為什麼它很吊?eBPF
- 我們為什麼很難堅持下去
- 為什麼要雲mes?SAAS很重要
- 為什麼代理伺服器很重要?伺服器
- 為什麼區塊鏈橋很重要?區塊鏈
- iOS應用加固為什麼也那麼重要?iOS
- 為什麼Scrum變得不那麼重要了? - LogRocketScrum
- 什麼是DNS,什麼是HostsDNS
- 雲同步: 什麼是雲同步以及為什麼它是如此重要?
- 為什麼DNS使用UDP而不是TCP詳解!DNSUDPTCP
- 為什麼選擇高防DNS雲解析?(一)DNS
- 為什麼許可權授權很難?- osohq
- Python為什麼發展這麼快速?原因很簡單!Python
- 為什麼TRIZ對製造業很重要?
- 為什麼特徵相關性非常的重要?特徵
- 為什麼GOPROXY對Golang開發如此重要Golang
- 為什麼說seo思維很重要呢?
- 為人處世,最重要的是什麼?
- 為什麼資料視覺化很重要視覺化
- 為什麼企業資料整合很重要
- dns劫持,dns劫持是什麼,該怎麼去預防dns劫持DNS
- 什麼是DNS解析?DNS解析的過程是什麼樣的?DNS
- SSL憑證是什麼?為什麼SSL憑證很重要呢?