DNS攻击难防的原因

来源: 51CTO
2013/5/24 16:40:46
DNS一直是互联网架构中脆弱的一环,2009年的多省“断网”事件,2010年的百度被“黑”事件,都是由于DNS受攻击引起的。目前,针对企业DNS服务器的攻击成为攻击者阻断企业网络服务的手段之一。除了DNS供应商自身的问题,用户配置不当也会给DNS服务器带来安全隐患。


分享到: 新浪微博 腾讯微博
本文关键字: DNS 攻击

DNS一直是互联网架构中脆弱的一环,2009年的多省“断网”事件,2010年的百度被“黑”事件,都是由于DNS受攻击引起的。目前,针对企业DNS服务器的攻击成为攻击者阻断企业网络服务的手段之一。除了DNS供应商自身的问题,用户配置不当也会给DNS服务器带来安全隐患。


DNS一直是互联网架构中脆弱的一环,2009年的多省“断网”事件,2010年的百度被“黑”事件,都是由于DNS受攻击引起的。目前,针对企业DNS服务器的攻击成为攻击者阻断企业网络服务的手段之一。除了DNS供应商自身的问题,用户配置不当也会给DNS服务器带来安全隐患。


据业内人士介绍,最近几年网络资源及服务成本日益降低,特别是带宽成本大幅下降,DNS攻击流量屡创新高。攻击者控制殭尸网络送出大量的DNS查询封包,送至网站的解析服务器,使其难于应付最终导致网络服务被阻断(DirectDNSAttack)。这是今后任何一家企业都可能面临的问题。


在具体环境下,配置不当也会带来隐患。DNS安全扩展协议(DNSSEC,DNSSecurity Extensions)主要目的在于强化DNS服务验证,而要达成这个协议则必须开启DNS扩展名机制(EDNS0, Extension Mechanisms forDNS)的功能,但具有讽刺意味的是,如果开启这个功能却不知如何进行安全设置,则反而会让它变成一个安全漏洞。EDNS0本应成为安全配置的“标配”,但实际使用中却由于人们缺乏安全防范的意识将其遗漏。


例如在DNS软件BIND 8.3.0与BIND 9.0.0以后的版本、提供DNS服务的Windows Server 2003,EDNS0都是默认开启,这些功能美其名曰可以满足多任务的处理需求,但事实上整体效果并不突出,而且可能造成DNSServer遭受DDoS攻击。尽管这是自1996年以来就存在的漏洞,但直到2012年,仍有全球性的DNS服务商遭殃,最后的受害者毫无疑问是使用该服务的客户。


既然这不是新手法,为什么至今仍有不少颇具规模的大企业被攻击呢?这主要由于两个方面的原因:一方面是基础网络仍沿用过去老旧架构;另一方面是相关人员缺乏信息安全意识。过去由于缺乏对信息安全的前瞻性认识,因而得不到重视,网络基础架构以业务能力为主,而非着重安全,因此在遭到安全攻击时无法快速应对。此外在人员意识方面,对于DNS的配置安全也未受到重视。


针对这个问题,安全专家提出以下四点建议:


1. 彻底检查DNS服务器配置,关闭不需要的服务;


2. 持续监控DNS流量,了解自身网络能承载的流量;


3. 通过日常的监控,比对不正常流量发生的状况;


4. 做好灾难救援方案。据了解,即使是跨国DNS服务供货商,可以为成千上万的客户服务,其后台服务却可能仅用数百台设备,造成状况发生时无法立即切换、备援。


要杜绝针对DNS服务器的攻击,一方面要进行基础网络安全建设的升级,另一方面是通过后续安全配置和监控来改善。专家建议,企业还可以使用专业DDoS防御供货商的服务,得到更完整的安全防护。

责编:李红燕
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map