标签归档:DNS服务器安全,DNS域名解析,DNS服务器,DNS系统

别忘记 DNS 服务器的安全性

英文原文:Don’t Forget DNS Server Security

去年8月,一些访问者试图浏览纽约时报网站时却出乎意料的发现该网站挂掉了。

中断源并不是停电或者甚至拒绝服务攻击。而是叙利亚电子军实施的对纽约时报网站的DNS进行劫持的一次攻击。

这次攻击只是2013年众多针对DNS基础设施攻击的案例之一,安全专家并不希望今年还是如此,言外之意是呼吁相关组织需要对DNS安全威胁保持警惕。

就在上个月,域名注册和主机服务商Namecheap受到了分布式DDOS攻击,目标就是Namecheap的DNS平台,此次攻击影响的大约300个网站。除了DDOS之外,攻击者也能危机域名服务器,将DNS查询重定向到一个被控制的域名服务器上。

领导IBM X-Force的安全架构师Michael Hamelin提到:”DNS提供商经常是攻击的目标,原因在于他们是可扰乱一个组织的所有服务(Web、Mail、Chat等等)的中心节点。DNS服务器是互联网的路标,一旦被打乱,组织重要服务(Web、Mail、Chat等)就不可访问。如果DNS提供商挂掉,意味着数千个客户的网络信息暂时在互联网上消失。

具体到这次纽约时报的情况,攻击发生于有人访问到了墨尔本 IT 系统的一个代理账号,他更改了 nytimes.com 和 twitter.co.uk 等其他一些域名的 DNS 记录。“这类密码窃取可能有着深远的影响,” Hamelin 表示,他建议 DNS 提供商采用双因素认证并且 “启用 IP 限制,要求所有更改都必须在网内进行”。

“组织机构需要明白,虽然他们把服务器托管和 DNS 外包出去,但不代表服务商就会采取充足的安全措施来提供非常可靠而安全的服务。”他说,“组织机构需要有遭受 DNS 攻击的心理准备并且实施对策,如使用两套不同的 DNS 系统和/或不同的托管服务商。”

“由于它本身的性质,DNS 是网络基础架构中较弱的一环,” NSFOCUS的高级产品经理 Vann Abernethy 表示,他补充说自去年以来公司在 DNS 上遭受的 DDoS 攻击和 DNS 造成的拥堵都有所增加。“不仅有它本质的原因,也因为它处于最弱的一环,因此DNS常常是攻击的诱人目标。”

“有很多种 DDoS 攻击的变体都可以用来对付 DNS 服务器,如 DNS Query Flood ——一种针对单一架构的资源消耗攻击,” Abernethy 说,“并且常常突然出现新的变体。”

其中有一个技术是通过大量的发包攻击受害者必须联系到的DNS认证服务器,该技术类似于DNS放大攻击,主要是依靠依赖于攻击者发送一个带有伪造的子域名的请求,受害者的DNS服务器是无法解析这个子域名。

幸运的是,有许多行动组织能够采取措施提供DNS的安全性。出售DNS安全服务的厂商Secure64的副总Mark Beckett建议新手不要使用开放的解析器。

“开放的解析器允许互联网上的任何人查询一个DNS解析器并且会被僵尸网络利用从事破坏活动”,“也不用让冒用的IP地址退出你的网络。组织结构必 须设置外出的过滤条件来达到只有只有他们内部网络地址空间的IP地址才能退出他们的网络。这样会消除一个被感染的机器遭受spoof攻击的可能性”

 

如果可能的话,他也建议组织在他们的DNS服务器启用速率限制能力,还有通过监视网络去检测任何突然的高峰DNS数据包速率或入站出站的DNS流量。

“更早的发现攻击可以使组织采用防御措施(例如在路由器或防火墙上阻断攻击运输上流)在攻击变得更加严重,并对用户和网络造成影响之前” 他说。

DNS相关攻击将继续是2014的主题,Hamelin说,有很多方法去保护组织免受挟持的DNS服务器或它的客户端的攻击。

“攻击者主要集中在ROI[投资回报率],攻击一个DNS 服务器是个很好的方法造成很大影响而不花多少力气,” 他说

什么是DNS服务器?

DNS服务器是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。

域名系统采用类似目录树的等级结构。域名服务器为客户机、服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。

在Internet上域名与IP地址之间是一对一(或者多对一)的,也可采用DNS轮循实现一对多,域名虽然便于人们记忆,但机器之间只认IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。

目前,市场上的第三方专业DNS解析有:dns盾,dnspod等

DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务 可以将此名称解析为与之相关的其他信息,如IP地址。你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的 最终指向是IP。