为什么说DNS安全很重要?涉及DNS的常见攻击有哪些?

几乎所有网络流量都需要标准dns查询,这为 DNS 攻击(例如 DNS 劫持和路径攻击)创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本,收集敏感的用户信息并使企业承担重大责任。防御 DNS 威胁的最著名方法之一是采用 DNSSEC 协议。,
什么是 DNSSEC?,与许多 Internet协议一样,DNS 系统的设计并未考虑到安全性,并且包含一些设计限制。这些限制与技术进步相结合,使攻击者很容易出于恶意目的劫持 DNS 查找,例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。,,DNS 安全扩展 (DNSSEC) 是为缓解此问题而创建的安全协议。DNSSEC 通过对数据进行数字签名来防止攻击,以帮助确保其有效性。为了确保安全查找,签名必须在 DNS 查找过程的每个级别进行。,这个签名过程类似于某人用笔在法律文件上签名;该人使用其他人无法创建的唯一签名进行签名,法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。,DNSSEC 跨 DNS 的所有层实施分层数字签名策略。例如,在“google.com”查找的情况下,根 DNS 服务器将为.COM 域名服务器签署一个密钥,然后 .COM 域名服务器将为 google.com 的权威域名服务器签署一个密钥。,虽然始终首选提高安全性,但 DNSSEC 旨在向后兼容,以确保传统 DNS 查找仍然正确解析,尽管没有增加安全性。DNSSEC 旨在与SSL / TLS等其他安全措施一起使用,作为整体 Internet 安全策略的一部分。,DNSSEC 创建了一个一直到根区域的父子信任链。这个信任链不能在 DNS 的任何层受到损害,否则请求将变得容易受到路径上的攻击。,要关闭信任链,需要验证根区本身(证明没有篡改或欺诈),而这实际上是通过人工干预来完成的。有趣的是,在所谓的根区签名仪式中,来自世界各地的选定个人会面以公开且经过审核的方式签署根 DNSKEY RRset。,
涉及 DNS 的常见攻击有哪些?,DNSSEC 是一种功能强大的安全协议,但遗憾的是它目前并未被普遍采用。除了 DNS 是大多数 Internet 请求不可或缺的一部分这一事实之外,这种缺乏采用加上其他潜在的漏洞,使得 DNS 成为恶意攻击的主要目标。攻击者已经找到了许多针对和利用 DNS 服务器的方法。以下是一些最常见的:,
防御基于 DNS 的攻击的最佳方法是什么?,除了 DNSSEC,DNS 区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础设施是克服DDoS 攻击的一种简单策略。简而言之,如果您的名称服务器可以处理比您预期多几倍的流量,那么基于容量的攻击就更难压倒您的服务器。,Anycast 路由是另一个可以破坏 DDoS 攻击的便捷工具。Anycast 允许多台服务器共享一个 IP 地址,因此即使一台 DNS 服务器关闭,仍然会有其他服务器启动并提供服务。另一种保护 DNS 服务器的流行策略是 DNS 防火墙。,
什么是 DNS 防火墙?,DNS 防火墙是一种工具,可以为 DNS 服务器提供许多安全和性能服务。DNS 防火墙位于用户的递归解析器和他们试图访问的网站或服务的权威名称服务器之间。防火墙可以提供速率限制服务来关闭试图压倒服务器的攻击者。如果服务器确实因攻击或任何其他原因而停机,DNS 防火墙可以通过提供来自缓存的 DNS 响应来保持运营商的站点或服务正常运行。,除了其安全功能外,DNS 防火墙还可以提供性能解决方案,例如更快的 DNS 查找和降低 DNS 运营商的带宽成本。,
DNS 作为安全工具,DNS 解析器也可以配置为为其最终用户(浏览 Internet 的人)提供安全解决方案。一些 DNS 解析器提供内容过滤等功能,可以阻止已知分发恶意软件和垃圾邮件的网站,以及阻止与已知僵尸网络通信的僵尸网络保护。许多这些安全的 DNS 解析器都是免费使用的,用户可以通过更改其本地路由器中的单个设置来切换到这些递归 DNS服务之一。,
DNS 查询是私有的吗?,另一个重要的 DNS 安全问题是用户隐私。DNS 查询未加密。即使用户使用像1.1.1.1这样不跟踪他们活动的 DNS 解析器,DNS 查询也会以明文形式在 Internet 上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。,缺乏隐私会影响安全,在某些情况下还会影响人权;如果 DNS 查询不是私人的,那么政府审查互联网和攻击者跟踪用户的在线行为变得更容易。DNS over TLS 和 DNS over HTTPS是加密 DNS 查询的两个标准,以防止外部各方能够读取它们。还与其他组织合作以帮助提高 DNS 安全性——例如,帮助 Mozilla 在其 Firefox 浏览器中启用 DNS over HTTPS 以保护用户。,
,几乎所有网络流量都需要标准DNS查询,这为 DNS 攻击(例如 DNS 劫持和路径攻击)创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本,收集敏感的用户信息并使企业承担重大责任。防御 DNS 威胁的最著名方法之一是采用 DNSSEC 协议。,这个签名过程类似于某人用笔在法律文件上签名;该人使用其他人无法创建的唯一签名进行签名,法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。,

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《为什么说DNS安全很重要?涉及DNS的常见攻击有哪些?》
文章链接:https://zhuji.vsping.com/330941.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。