如何领先于DNS服务器的威胁

要阻止DNS攻击几乎是不可能的,但是这些最佳实践可以极大地减少影响

足球竞猜app软件 |

网络威胁
Florian f (Flowtography)

这本由供应商编写的技术入门读物由Network World编辑,以消除产品促销,但读者应该注意,它可能足球竞猜app软件会支持提交者的方法。

Gartner预测,到2020年,将有超过300亿台设备通过物联网(IoT)连接,而域名系统(DNS)服务器是保持物联网正常运行的关键。然而,针对DNS服务器的攻击数量、频率和种类都在上升,这使企业和物联网等项目面临巨大风险。好消息是,您可以采取一些步骤来减轻这些攻击。

DNS系统将容易记忆的域名转换为在全球范围内定位计算机服务和设备所需的数字IP地址。根据互联网名称与数字地址分配机构(ICANN)的数据,全球共有3000万至5000万台DNS服务器。这些服务器受到四种主要类型的攻击:零日、缓存中毒、拒绝服务(DoS)和分布式拒绝服务(DDoS)。

在零日攻击中,DNS服务器软件或DNS协议栈中以前未发现的漏洞被利用来破坏、混淆甚至使DNS服务器崩溃。

贮藏物中毒是一种比较明显的攻击类型。为了加快连接互联网上的点的过程,DNS系统在区域缓存中保存了许多自己的本地副本。通过利用漏洞、本地恶意软件或糟糕的DNS服务器配置,外部代理可以向DNS缓存中注入欺诈性的寻址信息,以发起攻击。以访问目标站点为目的访问缓存的用户被重定向到另一个服务器,受攻击者控制。例如,这可能是一个虚假的电子邮件网站,提供了目标的官方网站的接近副本,欺骗用户泄露财务信息。

DoS,顾名思义,就是阻止用户访问特定的互联网服务或网站。这通常是通过同时向受害网站发送大量查询来实现的,造成了如此高的流量,以至于合法用户无法进入该网站。

DDoS是DoS的一种更复杂的形式。它涉及一个由僵尸电脑组成的网络,通常有数千台僵尸电脑,攻击者通过将恶意软件从一台电脑传播到另一台电脑,从受害者手中夺取僵尸电脑。在本地网络中,即使是一个受感染的桌面,每秒也会产生20万次以上的DNS查询,并通过停止DNS服务器的大部分内部服务,几乎杀死DNS服务器。

减少DNS攻击的最佳实践

考虑到不断变化的性质和不断增长的威胁规模,几乎不可能完全阻止DNS攻击。但是,通过采用以下的最佳实践,您可以大大减少它们:

*使用最新的DNS软件,并确保已应用补丁.互联网系统联盟(ISC)也定期发布伯克利互联网域名(BIND)的更新和补丁,BIND是最广泛使用的DNS服务器。BIND被认为在速度和安全性、易于管理和健壮性、RFC标准集成和通用适用性之间提供了良好的平衡。但BIND也是最受攻击的DNS服务器,因此企业需要运行最新版本的DNS服务器以防止安全漏洞。

*按照ICANN的建议,在DNS服务器中隔离权威和缓存/递归功能.权威服务器应该只接受它们可以权威回答并禁用递归的查询。这有助于防止DDoS攻击中常见的递归名称服务器反射攻击。

这在BIND中尤其重要,在BIND中,关键的授权函数和递归函数包含在单个DNS引擎的相同代码中。通过在同一设备中合并具有独立的权威和递归功能的第二个DNS引擎,可以显著提高关键DNS服务的安全性和可靠性。例如,可以使用Unbound和NSD等备选DNS引擎。Unbound是为高性能而设计的验证、递归和缓存DNS解析器,而NSD是唯一的权威高性能名称服务器。

*消除单点故障.为了减轻零日攻击的影响,并确保您不会受到全面DoS攻击的攻击,最佳实践建议使用混合DNS策略。一种混合策略通过为每个DNS引擎运行不同类型的算法,帮助使DNS安全足迹迷惑黑客。当新的安全警报发出时,网络所有者可以快速且临时地切换到另一个引擎。在DNS程序员为第一个引擎打补丁、测试和验证安全升级时,替代引擎可以继续存在。此外,有了多个DNS引擎,黑客将永远无法确定是哪个名称服务器软件在运行——这使得分析DNS网络数据包足迹以发现其漏洞的任务相当复杂,几乎不可能。

*冗余和安全架构.作为最佳实践部署的一部分,为您的公司环境选择适当的DNS体系结构非常重要。部署策略应该始终包括高可用性和在发生灾难时便于恢复的内置机制。

*配置DNS防火墙。防范基于DNS的恶意软件,使用DNS防火墙阻止工作站到达恶意网站。与此同时,DNS防火墙可以将受感染的用户放置在“围墙花园”中,以便系统管理员可以收到用户可能被感染的通知,从而防止初次感染。

*配置高性能DNS,抵御DDoS攻击.在DDoS攻击中,黑客试图杀死DNS服务器或破坏DNS缓存,使一些查询无法得到回答。不建议使用DNS查询过滤来解决这个问题,因为这样做会带来安全漏洞。相反,要确保您的DNS基础设施始终能够回答所有DNS查询。

随着移动、云解决方案和互联网连接设备的兴起,DNS攻击不仅会变得越来越普遍和复杂,还会直接影响公司的核心业务。请记住,最好的防御就是强大的进攻,现在是部署最佳实践和技术的时候了,这些实践和技术可以让您领先攻击者几个步骤,减轻DNS攻击的影响,并确保您的网络准备好迎接挑战。

EfficientIP是一家增长最快的DDI供应商,通过增强网络服务的可用性、安全性和性能,帮助组织提高业务效率和连续性。其对DNS、DHCP和IPAM设备和网络配置的统一管理框架被全球客户采用,以降低运营成本,提高网络和安全团队的管理效率。www.efficientip.com

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

版权©2015足球竞彩网下载

SD-WAN买家指南:向供应商(和您自己)提出的关键问题