全国dns服务器-为什么说DNS安全很重要?

几乎所有网络流量都需要标准DNS查询,这为 DNS 攻击(例如 DNS 劫持和路径攻击)创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本,收集敏感的用户信息并使企业承担重大责任。防御 DNS 威胁的最著名方法之一是采用 DNSSEC 协议。

什么是 DNSSEC?

与许多 Internet协议一样,DNS 系统的设计并未考虑到安全性,并且包含一些设计限制。这些限制与技术进步相结合,使攻击者很容易出于恶意目的劫持 DNS 查找,例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。

为什么说DNS安全很重要?涉及DNS的常见攻击有哪些?

DNS 安全扩展 (DNSSEC) 是为缓解此问题而创建的安全协议。DNSSEC 通过对数据进行数字签名来防止攻击,以帮助确保其有效性。为了确保安全查找,签名必须在 DNS 查找过程的每个级别进行。

这个签名过程类似于某人用笔在法律文件上签名;该人使用其他人无法创建的唯一签名进行签名,法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。

DNSSEC 跨 DNS 的所有层实施分层数字签名策略。例如,在“google.com”查找的情况下,根 DNS 服务器将为.COM 域名服务器签署一个密钥,然后 .COM 域名服务器将为 google.com 的权威域名服务器签署一个密钥。

虽然始终首选提高安全性,但 DNSSEC 旨在向后兼容,以确保传统 DNS 查找仍然正确解析,尽管没有增加安全性。DNSSEC 旨在与SSL / TLS等其他安全措施一起使用,作为整体 Internet 安全策略的一部分。

DNSSEC 创建了一个一直到根区域的父子信任链。这个信任链不能在 DNS 的任何层受到损害,否则请求将变得容易受到路径上的攻击。

要关闭信任链,需要验证根区本身(证明没有篡改或欺诈),而这实际上是通过人工干预来完成的。有趣的是,在所谓的根区签名仪式中,来自世界各地的选定个人会面以公开且经过审核的方式签署根 DNSKEY RRset。

涉及 DNS 的常见攻击有哪些?

DNSSEC 是一种功能强大的安全协议,但遗憾的是它目前并未被普遍采用。除了 DNS 是大多数 Internet 请求不可或缺的一部分这一事实之外,这种缺乏采用加上其他潜在的漏洞,使得 DNS 成为恶意攻击的主要目标。攻击者已经找到了许多针对和利用 DNS 服务器的方法。以下是一些最常见的:

  • DNS 欺骗/缓存中毒:这是一种攻击,其中将伪造的 DNS 数据引入 DNS 解析器的缓存,导致解析器返回不正确的域IP 地址。流量可以转移到恶意机器或攻击者想要的任何其他地方,而不是访问正确的网站;通常这将是用于恶意目的(例如分发恶意软件或收集登录信息)的原始站点的副本。
  • DNS 隧道:此攻击使用其他协议通过 DNS 查询和响应进行隧道传输。攻击者可以使用 SSH、TCP或HTTP将恶意软件或被盗信息传递到 DNS 查询中,而大多数防火墙都无法检测到。
  • DNS 劫持:在 DNS 劫持中,攻击者将查询重定向到不同的域名服务器。这可以通过恶意软件或未经授权修改 DNS 服务器来完成。虽然结果类似于 DNS 欺骗,但这是一种根本不同的攻击,因为它针对的是域名服务器上网站的DNS 记录,而不是解析器的缓存。
  • NXDOMAIN 攻击:这是一种 DNS 泛洪攻击,攻击者通过请求淹没 DNS 服务器,请求不存在的记录,试图对合法流量造成拒绝服务。这可以使用复杂的攻击工具来完成,这些工具可以为每个请求自动生成唯一的子域。NXDOMAIN 攻击还可以针对递归解析器,目的是用垃圾请求填充解析器的缓存。
  • 幻域攻击:幻域攻击与对 DNS 解析器的 NXDOMAIN 攻击具有相似的结果。攻击者设置了一堆“幻象”域服务器,它们要么响应非常慢,要么根本不响应请求。然后解析器受到对这些域的大量请求的冲击,解析器被捆绑等待响应,导致性能下降和拒绝服务。
  • 随机子域攻击:在这种情况下,攻击者向一个合法站点的多个随机、不存在的子域发送 DNS 查询。目标是为域的权威名称服务器创建拒绝服务,使其无法从名称服务器查找网站。作为副作用,为攻击者服务的 ISP 也可能受到影响,因为他们的递归解析器的缓存将加载错误的请求。
  • 域锁定攻击:攻击者通过设置特殊域和解析器来与其他合法解析器创建 TCP 连接来编排这种形式的攻击。当目标解析器发送请求时,这些域会发回缓慢的随机数据包流,从而占用解析器的资源。
  • 基于僵尸网络的 CPE 攻击:这些攻击是使用 CPE 设备(客户驻地设备;这是服务提供商提供给客户使用的硬件,例如调制解调器、路由器、有线电视盒等)进行。攻击者破坏 CPE,设备成为僵尸网络的一部分,用于对一个站点或域执行随机子域攻击。

防御基于 DNS 的攻击的最佳方法是什么?

除了 DNSSEC,DNS 区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础设施是克服DDoS 攻击的一种简单策略。简而言之,如果您的名称服务器可以处理比您预期多几倍的流量,那么基于容量的攻击就更难压倒您的服务器。

Anycast 路由是另一个可以破坏 DDoS 攻击的便捷工具。Anycast 允许多台服务器共享一个 IP 地址,因此即使一台 DNS 服务器关闭,仍然会有其他服务器启动并提供服务。另一种保护 DNS 服务器的流行策略是 DNS 防火墙。

什么是 DNS 防火墙?

DNS 防火墙是一种工具,可以为 DNS 服务器提供许多安全和性能服务。DNS 防火墙位于用户的递归解析器和他们试图访问的网站或服务的权威名称服务器之间。防火墙可以提供速率限制服务来关闭试图压倒服务器的攻击者。如果服务器确实因攻击或任何其他原因而停机,DNS 防火墙可以通过提供来自缓存的 DNS 响应来保持运营商的站点或服务正常运行。

除了其安全功能外,DNS 防火墙还可以提供性能解决方案,例如更快的 DNS 查找和降低 DNS 运营商的带宽成本。

DNS 作为安全工具

DNS 解析器也可以配置为为其最终用户(浏览 Internet 的人)提供安全解决方案。一些 DNS 解析器提供内容过滤等功能,可以阻止已知分发恶意软件和垃圾邮件的网站,以及阻止与已知僵尸网络通信的僵尸网络保护。许多这些安全的 DNS 解析器都是免费使用的,用户可以通过更改其本地路由器中的单个设置来切换到这些递归 DNS服务之一。

DNS 查询是私有的吗?

另一个重要的 DNS 安全问题是用户隐私。DNS 查询未加密。即使用户使用像1.1.1.1这样不跟踪他们活动的 DNS 解析器,DNS 查询也会以明文形式在 Internet 上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。

缺乏隐私会影响安全,在某些情况下还会影响人权;如果 DNS 查询不是私人的,那么政府审查互联网和攻击者跟踪用户的在线行为变得更容易。DNS over TLS 和 DNS over HTTPS是加密 DNS 查询的两个标准,以防止外部各方能够读取它们。还与其他组织合作以帮助提高 DNS 安全性——例如,帮助 Mozilla 在其 Firefox 浏览器中启用 DNS over HTTPS 以保护用户。

(责任编辑:吴壮钦) 部分网站内容及图片来源于网络,如有侵权或违规内容请联系管理员删除!