什么是DNS?
简而言之,域名系统可以使用互联网。作为重要的目录检索功能,可以将文本网站转换为我们的设备连接到网站、电子邮件和其他互联网应用程序的数字互联网地址。
组织在DNS中发布网站,使人们能够轻松地在互联网上找到。如果客户因DNS故障无法访问您的网站,可能会遭受财务、声誉或其他形式的损失。如果你的DNS不能操作,你在网上看不见。
DNS对Internet的运行至关重要,因此DNS不仅可以作为攻击目标,还可以作为攻击工具使用DNS载攻击,以DNS通过防火墙流向和来自网络为前提。
网络工程师为了更完全地保护网络,必须考虑DNS漏洞和防御措施。
观察到DNS攻击。
调查的主要发现,过去12个月有一半以上的受访者经历了某种形式的恶意软件和恐吓软件的攻击,其中约15%表示了某种形式的声誉和财务损失。
2016年思科安全报告显示,并非所有恶意软件和恐吓软件都使用DNS,但超过90%的恶意软件使用DNS与恶意软件作者的命令和控制中心联系。通过这种方式,安装在感染设备上的恶意软件可以接受攻击说明,下载恶意软件更新并导出网络内部收集的敏感信息。因此,监控DNS和防火墙保护DNS可以导致恶意软件或恐吓软件的活动和扩散。
除了渗透这样的恶意软件和恐吓软件外,回答者还表示被拒绝或分布拒绝服务(DoS/DDoS)攻击反映了DDoS、域劫持和DNS缓存中毒。当攻击者在回应真实或权威服务器前回应给出目标的查询时,可能会发生DNS缓存中毒。毒害DNS服务器缓存并不一件容易的事情,因为响应中的其他参数必须补充查询。但是,这种攻击可以劫持没有戒心的用户来冒充网站,强大的域名劫持攻击也可以劫持。这些操作你或你父亲区域的DNS服务器信息。
防御措施。
给出这些DNS攻击媒体,对于DNS和使用DNS的其他网络和计算要素的攻击媒体的多样性,需要多种战略来有效防御。当与其他DNS和传统的网络安全战略一起使用时,这些战略中的许多战略也有助于深度防御方法。
一半以上的回答者已经完全实施了访问控制列表(ACL)、DoS/DDoS保护,查询监控取证功能,基于角色部署的基本安全措施,包含渗透范围。约一半的回答者实施了DNS服务器的强化,其他30%的回答者计划在2年内实施。
超过四分之一的受访者完全实现了DNS防火墙的功能,这是检测和阻止恶意软件与命令和控制中心联系的有效方法。DNS防火墙战略使战略的执行能够阻止这样的查询和重定向查询回答,将设备连接到缓和门户进行补救。近75%的受访者计划在两年内实施DNS防火墙解决方案,这应该有助于抵御这种最普遍的DNS攻击。
今后两年,40%的受访者支持或计划支持DNS安全扩张。
DNSSEC提供了DNS分辨率相关的数字签名,使用户能够对此类响应进行身份验证,从而大大降低了通过缓存中毒可能导致的域的可能性。尽管DNSEC的早期实现很难初始化和维护,但如今,许多开源和商业产品使大部分或全部密码设置和维护自动化。遗憾的是,我们发现这种对复杂性的看法仍然普遍存在。因为只有不到20%的受访者同意或者强烈同意DNSSEC的签名和验证容易维护。
今天的DNS安全状态。
综上所述,显然,IT和运营工程师和管理人员都在关注DNS安全和对更广泛的网络安全的影响。他们意识到DNS提供的漏洞是重要的网络服务,也是需要在整个网络和网络防火墙上开放传输的必要网络协议。尽管获得了这种认可,但DNS安全措施的实施相对温和。很多人基本上都实行了基本的控制措施,尽管所有人都采取了这样的措施。
尽管在保护网络安全方面具有公认的价值,但大多数人仍未大量实施其他更复杂的控制措施,如DNS防火墙和DNSSEC。DNSSEC的复杂性和DNS防火墙的配置和维护的不确定性,至今抑制了配置。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
