DNS攻击日益增多怎么办?ICANN有新招!
若要通过互联网联系他人,就必须在计算机中键入一个地址(以名称或数字表示)。该地址必须是唯一的,这样计算机才能确定彼此的位置。在键入名称时,必须首先由某个系统将该名称转换为数字,然后才能建立连接。该系统称为域名系统 (Domain Name System, DNS) ,它将类似于www.icann.org 的名称转换为数字,这些数字称为互联网协议 (Internet Protocol,IP) 地址。
ICANN(网络域名管理者互联网名称与数字地址分配机构)在全球范围内对寻址系统进行协调,以确保所有地址都是唯一的。如果没有这种协调,就不会拥有统一的全球互联网。
近日ICANN本周五发布公告称,DNS基础设施正成为“恶意活动”的攻击目标。针对此类DNS攻击,ICANN呼吁全面部署“域名系统安全扩展”(DNSSEC)。
什么是DNSSEC
DNSSEC是将一个特殊签名添加到root、TLD和授权名字服务器,从而为该区域建立一条信任链。DNSSEC能使区域确保DNS请求的应答没有被篡改,简言之,DNSSEC是通过将公钥密码系统引入DNS的层次结构,从而为域名系统生成一个开放的全球公钥基础设施(PKI),以此提高DNS的安全性。
随着互联网应用的不断深化,DNS已然成为网络攻击的热点目标,典型攻击包括DDoS攻击、放大攻击、递归攻击、缓存投毒、修改域名注册信息、隧道攻击、资源锁定攻击等,越来越多的基于DNS的攻击已经严重影响到用户的网络安全,使用户的数据、资产和信誉都处于风险之中。
以缓存投毒(CachePoisoning)为例,通过向DNS服务器的本地缓存中注入非法数据,将用户正常的域名访问请求引导至攻击者服务器,而黑客将在 DNS 系统中发现的漏洞(如漏洞VU#800113)与技术进步相结合,大大缩短了劫持DNS 查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作(如将用户引导至恶意网站等),若要在技术上消除这样的安全隐患,一个有效的解决方案是以端到端的形式部署一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的安全协议。
通过部署DNSSEC,可以有效阻止“中间人”攻击方式。通过这种攻击方式,欺诈者可以将受害者重定向至精心制作的虚假网站,并诱骗他们提供登录凭证、付款信息以及其他个人信息。
开发 DNSSEC 技术的目的之一是通过对数据进行数字“签名”来抵御此类攻击,从而使你确信数据有效。但是,为了从互联网中消除该漏洞,必须在从根区域到最终域名(例如,www.icann.org)的查找过程中的每一步部署该项技术。对根区域进行签名(在根区域部署 DNSSEC )是整个过程中的必要步骤。需要说明的是,该技术并不对数据进行加密。它只是验证你所访问的站点地址是否有效。
完全部署 DNSSEC 可以确保最终用户连接到与特定域名相对应的实际网站或其他服务。尽管这不会解决互联网的所有安全问题,但它确实保护了互联网的关键部分(即目录查找),从而对其他保护“会话”的技术进行了补充,并且为尚待开发的安全改进技术提供了平台。
虽然ICANN承认他们提出的解决方案(包括全面部署DESSEC)无法解决所有互联网的安全问题,但应该可以有效降低网络安全风险。不过目前DESSEC的部署情况并不乐观,财富1000强企业中DNSSEC的使用量低至3%。虽然这个数字现在增加到20%,但距离全面部署仍有很长的路要走。
参考来源:
cnBeta.COM
icann
- End -
征题正在火热进行中!
(晋级赛Q1即将于3月10日开启,敬请期待!)
热门文章阅读
热门课程推荐
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com