DNS 安全及其重要性?
DNS(域名系統(tǒng))有助于將人類可讀的域名轉(zhuǎn)換為IP地址。IP地址非常復(fù)雜,因此無法被普通人的大腦記住或感知。但是域名非常容易閱讀和記憶。讓我們了解域名和IP地址之間的區(qū)別。
| 域名 | IP地址 |
| 域名是可變長度的 | IP地址是固定長度的(4部分) |
| 易于閱讀和記憶 | 難以記住整數(shù) |
| 域名不攜帶任何信息來幫助將數(shù)據(jù)包路由到它們 | 沒有它們嵌入的路由信息 |
現(xiàn)在當(dāng)您理解了域名系統(tǒng)的概念時,您將很容易理解 DNSSEC(域名系統(tǒng)安全擴展)。DNSSEC 是一項技術(shù),旨在保護由IP網(wǎng)絡(luò)上使用的 DNS 承載的信息。它驗證 DNS 數(shù)據(jù)的來源、正向查找區(qū)域,從而充當(dāng)?shù)钟泄舻姆烙鶛C制。該技術(shù)保留并保護了整體數(shù)據(jù)的完整性。
DNSSEC 的工作
DNS 的構(gòu)建類似于電話目錄,但除了告訴您的系統(tǒng)發(fā)送到哪里之外,它還從多個地址接收信息。這種隨機接受地址會在 DNS 安全中造成漏洞,并在任何 IT 基礎(chǔ)設(shè)施內(nèi)形成通道。不僅地址,而且電子郵件服務(wù)器也使用 DNS 來路由消息,這使得它們也很容易受到基礎(chǔ)設(shè)施中安全問題的攻擊。因此,DNSSEC 是所有這些媒體的安全協(xié)議,其中通過在 DNS 之上添加信任層來使用 DNS。
DNSSEC 可防止攻擊者劫持 DNS 查找以實現(xiàn)其任何惡意目的或通過簽名過程進行偽造,方法是分配實際上連一次都無法破解的唯一簽名。任何具有適當(dāng)專業(yè)知識的相關(guān)人員都可以識別簽名并驗證它是否來自經(jīng)過身份驗證的地址。這些簽名足以確保數(shù)據(jù)是否已被篡改。它在 DNS 的所有層中遵循的步驟是 -
根 DNS 服務(wù)器為 .COM NAMESERVER 簽署密鑰??<—–>?.COM NAMESERVER 然后為 Google.com 的權(quán)威名稱服務(wù)器簽署密鑰
DNSSEC 使用一些擴展來加強安全性,例如確保數(shù)據(jù)的接收者驗證來源、經(jīng)過身份驗證的拒絕存在以檢查域名是否存在以及確認(rèn)數(shù)據(jù)完整性以檢查數(shù)據(jù)是否存在任何更改中轉(zhuǎn)。使用?反向查找區(qū)域還迎合了DNS 轉(zhuǎn)發(fā)區(qū)域?的權(quán)威感? ,并有助于將IP地址解析為網(wǎng)絡(luò)資源名稱。
DNS 攻擊及其類型
看這里域名是如何被玩弄的,通過顯示相似的域名來欺騙最終用戶
傳統(tǒng)的 DNS 基礎(chǔ)設(shè)施容易受到更多攻擊,因此迫切需要加固 DNS 層以將風(fēng)險降至最低。網(wǎng)絡(luò)安全開發(fā)人員和工程師夜以繼日地工作以開發(fā)一種方法來識別癥狀并生成更具響應(yīng)性的操作。DNS 攻擊的執(zhí)行意圖各不相同。它可以為了經(jīng)濟、政治利益、黑客滿意度等而進行。但無論意圖如何,每次 DNS 攻擊對任何組織都是毀滅性的。為了更深入地了解它,讓我們來看看吸引越來越多黑客的 DNS 的特性
- 復(fù)雜性——復(fù)雜的 DNS 管理為不可避免的錯誤提供了空間。這為偶爾的錯誤配置或某種操作錯誤創(chuàng)造了可能性。為了使域名與眾不同,世界各地的管理員開始使用外部名稱。這些語法錯誤幫助他們將數(shù)據(jù)僅供一組知道名稱修改的特定人員訪問。
- 漏洞——這是架構(gòu)挑戰(zhàn)之一,被認(rèn)為是設(shè)計中的主要安全缺陷之一。DNS 設(shè)計的弱點需要一些簡單的反作用來處理這些遞歸查詢。但是,如果這些設(shè)計含義按時得到修復(fù),則可以獲得更好的結(jié)果,然后將阻止名稱為遞歸查詢打開。任意IP地址產(chǎn)生的漏洞導(dǎo)致緩存中毒。對于EG。潛在的黑客可以通過保持完全相同的內(nèi)容和真實性級別來創(chuàng)建銀行網(wǎng)站的副本,然后可以竊取數(shù)以千計的銀行帳戶和密碼。
- 具有挑戰(zhàn)性的升級——升級到新軟件需要下載新的源代碼,編譯、測試和安裝它。那么當(dāng)下載程序完成后,就會出現(xiàn)兼容性問題。新版本將與以前的區(qū)域數(shù)據(jù)或文檔不兼容。這逐漸成為管理員的大問題,如果不及時控制,情況會變得更糟。
DNS 攻擊的類型
隨著 IT 領(lǐng)域的發(fā)展,黑客也想出了先進的黑客技術(shù)。談到黑客,提到不同類型的DNS攻擊,就會更清楚DNS查找入侵的級別。這些是 DNS 攻擊的類型
| 容量攻擊 | 協(xié)議攻擊 | 應(yīng)用程序攻擊 | |
| 描述 | 使用大量流量使目標(biāo)帶寬飽和的攻擊。通過使用簡單的放大技術(shù)很容易產(chǎn)生容量攻擊 | 利用第 3 層和第 4 層協(xié)議棧中的弱點使目標(biāo)無法訪問的攻擊 | 利用第 7 層協(xié)議棧弱點的攻擊。它是所有攻擊中最復(fù)雜的,但同時識別和緩解最具挑戰(zhàn)性 |
| 攻擊等級 | 攻擊產(chǎn)生的龐大流量可以完全阻止對終端資源的訪問。攻擊的強度通常以每秒比特數(shù)或數(shù)據(jù)包數(shù)來衡量 | 協(xié)議攻擊消耗被攻擊目標(biāo)的所有處理能力或中間關(guān)鍵資源,如防火墻,導(dǎo)致服務(wù)中斷。 | 應(yīng)用程序攻擊與目標(biāo)建立連接,然后通過獨占進程和事務(wù)來耗盡服務(wù)器資源 |
| 例子 | NTP 放大、DNS 放大、UDP Flood、TCP Flood | 同步洪水,死亡之平 | HTTP Flood,對 DNS 服務(wù)的攻擊 |
DNS 欺騙
除了這些一般的 DNS 攻擊之外,DNS 還容易發(fā)生欺騙活動。這是一種攻擊,其中用戶被導(dǎo)航到看起來像真實網(wǎng)站的虛假網(wǎng)站。作為用戶的你可能在日常工作中也經(jīng)歷過很多次。流量被轉(zhuǎn)移到一個看起來合法但非法的網(wǎng)站,從而引發(fā)多次盜竊。即使單擊或點擊也可以捕獲您的重要憑據(jù),并且只有在您已經(jīng)被盜或在盜竊過程中,您才會知道盜竊的情況。有時,這種欺騙可能會持續(xù)很長時間,您不會得到任何有關(guān)任何行為的提示。
如何擺脫 DNS 攻擊?
在了解了DNS 攻擊的嚴(yán)重性之后,您可能會覺得這種攻擊很難逃脫。但是,如果在正確的時間和正確的方向采取措施,就可以很容易地避免這些攻擊。這些步驟非常重要,尤其是對于那些必須處理用戶敏感信息(如銀行帳戶憑證等)的網(wǎng)站所有者而言。這些預(yù)防措施對他們來說是神奇的:
- 持續(xù)審計 DNS 區(qū)域
在尋找任何其他方法之前,檢查您的 DNS 區(qū)域?qū)⑹亲钣幸娴摹T谀木W(wǎng)站上線后過了很長時間,一些子域已經(jīng)長時間處于非活動狀態(tài)。這些域逐漸成為熱點,或者說是攻擊者最容易受到攻擊的點。因此,定期檢查所有 DNS 公共記錄,審查所有區(qū)域,無論是正向查找區(qū)域、反向查找區(qū)域還是DNS 轉(zhuǎn)發(fā)區(qū)域。
- 更新 DNS 服務(wù)器
使 DNS 服務(wù)器保持最新可以避免吸引更多的攻擊者。為此,如果您的網(wǎng)站由托管服務(wù)提供商托管,則選擇具有能力和資源來測試和嘗試的服務(wù)提供商。
- 隱藏版本號
大多數(shù)攻擊者嘗試通過嘗試不同的版本號查詢來進行攻擊,然后等待與真實版本匹配的版本。DNS 服務(wù)器必須隱藏版本號,以降低攻擊者將版本號與您的相匹配的可能性。
- 區(qū)域轉(zhuǎn)移的限制
許多服務(wù)器都使用復(fù)制 DNS 區(qū)域進行傳輸。攻擊者喜歡執(zhí)行 DNS 區(qū)域傳輸以更深入地了解您的安全基礎(chǔ)設(shè)施。為了防止這種情況,限制區(qū)域傳輸?shù)腎P地址將是首要的解決方案。
- 停用 DNS 遞歸
可以通過禁用 DNS 遞歸來防止 DNS 中毒。但是 DNS 遞歸在您的DNS 服務(wù)器上允許什么?DNS 遞歸允許遞歸查詢在您的服務(wù)器域上運行。通過限制此第三方主機將無法搜索名稱服務(wù)器的查詢。
- 隔離 DNS 服務(wù)器
運行您自己的服務(wù)器或進行專用托管將使您的 DNS 服務(wù)器免受許多攻擊,因為它會得到專門的照顧。所有 DNS 服務(wù)都將為您的單個服務(wù)器運行。專用服務(wù)器托管將幫助您實現(xiàn)這一目標(biāo),并將像保護自己的 DNS 服務(wù)器一樣保護您的 DNS 服務(wù)器。
因此 DNS 入侵的趨勢太多了,在您成為其受害者之前,您必須采取必要的措施來保護您的 DNS 服務(wù)器。及時采取行動可以節(jié)省大量金錢和任何網(wǎng)絡(luò)攻擊帶來的痛苦。
