如何应对DNS服务器的威胁

阻止DNS攻击实际上是不可能的,但是这些最佳实践可以极大地减少影响

有个足球雷竞技app |

Florian f (Flowtography)

这本由供应商撰写的技术入门书是由Network World编辑的,目的是消除产品推广,但读者应该注意,有个足球雷竞技app它可能更倾向于提交者的方式。

Gartner预测,到2020年,将有超过300亿台设备连接到物联网(IoT)上,而域名系统(DNS)服务器是保持物联网运行的关键。然而,DNS服务器受到的攻击的数量、频率和种类都在增加,这给企业和物联网等举措带来了巨大风险。好消息是,您可以采取一些步骤来减轻这些攻击。

DNS系统将容易记忆的域名转换成定位全球计算机服务和设备所需的数字IP地址。根据互联网名称和数字地址分配公司(ICANN)的数据,全球有3000万到5000万个DNS服务器。这些服务器正受到四种主要类型的攻击:零日攻击、缓存中毒、拒绝服务(DoS)和分布式拒绝服务(DDoS)。

通过零日攻击,DNS服务器软件或DNS协议栈中先前未发现的漏洞被利用来破坏、迷惑甚至崩溃DNS服务器。

缓存中毒是一种比较值得注意的攻击类型。为了加快连接Internet上各个点的过程,DNS系统在区域缓存中保存了自身的许多本地副本。通过利用漏洞、本地恶意软件或糟糕的DNS服务器配置,外部代理可以将欺骗性的寻址信息注入DNS缓存以发动攻击。相反,在攻击者的控制下,以访问目标站点为目的访问缓存的用户会被重定向到另一个服务器。例如,这可能是一个假冒的电子尾巴网站,提供一个接近目标的官方网站的复制品,欺骗用户泄露财务信息。

DoS,就像它的名字暗示的那样,阻止用户访问一个给定的互联网服务或网站。这通常是通过向受害网站大量发送同时进行的查询来实现的,这会产生大量流量,导致合法用户无法进入该网站。

DDoS是DoS的一种更为复杂的形式。它涉及一个由僵尸计算机组成的网络,通常有数千台,攻击者通过将恶意软件从一台计算机传播到另一台计算机,从受害者手中控制这些计算机。即使是本地网络上的一台受感染的桌面,每秒也能产生超过20万个DNS查询,并且由于停止了大部分的内部服务,几乎会杀死一个DNS服务器。

减轻DNS攻击的最佳实践

考虑到不断变化的性质和不断增长的威胁规模,几乎不可能完全阻止DNS攻击。但是,通过采用以下的最佳实践,你可以显著地将它们最小化:

*使用最新的DNS软件,并确保应用修补程式。互联网系统联盟(ISC)也定期为Berkley Internet Name Domain (BIND)(最广泛使用的DNS服务器)发布更新和补丁。BIND被认为在速度和安全性、易于管理和健壮性以及RFC标准集成和通用适用性之间实现了出色的平衡。但BIND也是最受攻击的DNS服务器,因此企业需要运行最新版本来防止安全漏洞。

*按照ICANN的建议,在DNS服务器中隔离权威和缓存/递归功能。权威服务器应该只接受它们可以授权回答的查询,并禁用递归。这有助于防止DDoS攻击中常见的递归名称服务器反射攻击。

这对于BIND尤其重要,因为在BIND中,关键的权威函数和递归函数都包含在单个DNS引擎的相同代码中。通过在同一设备中使用独立的权威和递归功能合并第二个DNS引擎,可以显著提高关键DNS服务的安全性和可靠性。例如,使用其他DNS引擎,如Unbound和NSD。Unbound是一个验证、递归和缓存DNS解析器,为高性能而设计,而NSD是一个仅授权的高性能名称服务器。

*消除单点故障。为了减轻零日攻击的影响并确保您不会受到全面DoS攻击的攻击,最佳实践建议使用混合DNS策略。一种混合策略通过为每个DNS引擎运行不同类型的算法,使DNS的安全足迹对黑客难以理解。当发布新的安全警报时,网络所有者可以快速而临时地切换到另一个引擎。在DNS程序员为第一个引擎打补丁、测试和验证安全升级时,替代引擎可以继续存在。此外,有了多个DNS引擎,黑客将永远无法确定哪个名称服务器软件在运行——这使得分析DNS网络包足迹以发现其漏洞的任务相当复杂,几乎不可能。

*架构冗余和安全。作为最佳实践部署的一部分,为您的公司环境选择适当的DNS体系结构非常重要。部署策略应该始终包含高可用性和内建机制,以便在发生灾难时轻松恢复。

*实施DNS防火墙。使用DNS防火墙阻止工作站到达恶意网站,以防止基于dn的恶意软件。与此同时,DNS防火墙可以通过将受感染的用户放置在一个有围墙的花园中来防止初始感染,这样系统管理员就可以收到用户可能被感染的通知。

*实施一个高性能的DNS来吸收DDoS攻击。在DDoS攻击中,黑客试图杀死DNS服务器或损坏DNS缓存,以使一些查询无法得到回答。不建议使用DNS查询过滤来解决这个问题,因为这样做会打开安全漏洞。相反,要确保您的DNS基础设施始终能够回答所有DNS查询。

随着移动、云解决方案和联网设备的崛起,DNS攻击不仅会变得越来越普遍和复杂,还会直接影响公司的核心业务。请记住,最好的防御是强大的攻击,现在是部署最佳实践和技术的时候了,这些实践和技术可以使您比攻击者抢先几步,减轻DNS攻击的影响,并确保您的网络能够应对挑战。

efficient entip是增长最快的DDI供应商,通过增强网络服务可用性、安全性和性能,帮助企业提高业务效率和连续性。其DNS、DHCP和IPAM设备和网络配置的统一管理框架被世界各地的客户使用,以降低运营成本,提高网络和安全团队的管理效率。www.efficientip.com

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

版权©2015Raybet2

工资调查:结果在