恶意强势行为方继续成为互联网关键部分及其域名系统安全基础设施的重大风险,以至于互联网名称数分配公司正呼吁加强社区努力安装更强DNS安全技术
CANN请求全方位部署域名系统安全扩展DNSSEC系统)所有无保域名DNS系统常调用互联网电话簿是全球互联网基础设施的一部分,它翻译通用语言域名和IP地址,计算机访问网站或发送邮件需要这些地址。DNSSEC除DNS外加层安全
DNSSEC技术自2010年前后出现,但没有广泛应用,据DNSS注册员使用率不足20%亚太区域区域互联网地址注册APNIC系统
DNSSEC应用滞后,因为它被视为可选性并可能需要权衡安全功能,Kris Beevers说,DNSS供应商NS1的共同创建者兼CEO
DNSSEC通过加密签名DNS记录验证其真实性,防止可能损及DNS查询回答完整性的攻击
包括冗余ds搭建或动态响应dNS流量管理功能固态DNSSEC实现破损基本功能,如地理路由, 难以跨多商实现, 表示性能差和终端用户可用性减少
DNSSEC全员部署确保终端用户连接到实际网站或与特定域名相对应的其他服务,ICANN说 : “ 虽然这将无法解决互联网上所有安全问题,但它确实保护它中关键部分-目录查找-补充 ssl(as:ssss)等其他技术-保护“conversation”和提供平台有待开发安全改善-ICANN说 /ICANN
内发布iNSSEC技术使用量增加,ICANN指出最近公开报告显示多维攻击模式使用不同方法
部分攻击以dNS为对象, 未经授权修改域名授权结构, 用攻击者控制的机器地址取代预期服务器地址指向dNS系统的特殊攻击类型只有在dNSSEC不使用时才有效,
企业潜在目标 — — 特别是那些通过应用捕捉或暴露用户和企业数据的企业 — — 听ICANN的警告并施压DNS和注册商使其DNSSA和其他域安全最佳做法易于实现和标准化贝弗斯说 : 最起码,他们应该和供应商安全团队合作审核它们的实施ICAN网络核对表并推广其他最佳做法, 诸如DNS传输网络冗余保护避免DOS攻击DNS基础设施