目录:
4月,一名荷兰黑客因所谓的有史以来最大的分布式拒绝服务攻击而被捕。 该攻击是由反垃圾邮件组织Spamhaus进行的,据欧盟IT安全机构ENISA称,Spamhaus基础设施的负载达到每秒300吉比特,是以前的记录的三倍。 它还导致了严重的Internet拥塞,并阻塞了全世界的Internet基础结构。
当然,DNS攻击并非罕见。 但是,尽管Spamhaus案中的黑客只是要伤害他的目标,但更大范围的攻击也指出了许多人所说的Internet基础设施的主要缺陷:域名系统。 结果,最近对核心DNS基础结构的攻击使技术人员和商人都争先恐后地寻求解决方案。 那么你呢? 重要的是要知道您拥有哪些支持自己公司的DNS基础架构的选项,以及DNS根服务器的运行方式。 因此,让我们看一下其中的一些问题,以及企业可以采取哪些措施来保护自己。 (了解有关DNS中的DNS的更多信息:一种统治所有协议的协议。)
现有基础设施
域名系统(DNS)是互联网遗忘的时代。 但是,这并不是什么老新闻。 随着网络攻击威胁的不断变化,多年来,DNS受到了大量审查。 在起步阶段,DNS不提供任何形式的身份验证来验证DNS查询的发送者或接收者的身份。
实际上,多年来,非常核心的名称服务器或根服务器已受到广泛而多样的攻击。 如今,它们在地理上是多种多样的,并由不同类型的机构(包括政府机构,商业实体和大学)运营,以保持其完整性。
令人震惊的是,过去一些攻击取得了一定的成功。 例如,对根服务器基础结构的严重攻击发生在2002年(请在此处阅读有关此报告)。 尽管它并没有对大多数Internet用户产生明显的影响,但是它确实引起了FBI和美国国土安全部的注意,因为它高度专业并且针对性强,影响了13台运行中的根服务器中的9台。 专家说,如果持续了一个多小时,结果可能是灾难性的,使Internet的DNS基础结构的元素几乎毫无用处。
击败互联网基础设施中不可或缺的部分将为成功的攻击者提供强大的力量。 结果,自那以来,大量的时间和投资已用于确保根服务器基础结构安全的问题。 (您可以在此处查看显示根服务器及其服务的地图。)
保护DNS
除了核心基础结构之外,考虑您自己企业的DNS基础结构在抵御攻击和失败方面的稳定性也同样重要。 例如(在某些RFC中已声明)名称服务器应该驻留在完全不同的子网或网络上是很常见的。 换句话说,如果ISP A完全中断,并且您的主域名服务器离线,那么ISP B仍将向您提出请求的任何人提供您的关键DNS数据。
域名系统安全扩展(DNSSEC)是企业保护自己的名称服务器基础结构的最流行方法之一。 这些是附加组件,可确保连接到名称服务器的计算机与它所说的一样。 DNSSEC还允许进行身份验证,以识别请求来自何处,以及验证数据本身在途中未更改。 但是,由于域名系统具有公共性,因此所使用的加密方法不能确保数据的机密性,如果基础架构的某些部分因某些描述而失败,则加密方法也不具有可用性的任何概念。
许多配置记录用于提供这些机制,包括RRSIG,DNSKEY,DS和NSEC记录类型。 (有关更多信息,请查看12个DNS记录说明。)
只要DNSSEC可用于提交查询的计算机和发送查询的计算机,就可以使用RRISG。 该记录与请求的记录类型一起发送。
包含签名信息的DNSKEY可能如下所示:
ripe.net具有DNSKEY记录257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS(或委托签署人)记录用于帮助验证信任链,以便父级和子级区域可以更加舒适地进行通信。
NSEC或下一个安全条目实质上会跳到DNS条目列表中的下一个有效条目。 这是一种可用于返回不存在的DNS条目的方法。 这很重要,因此只有配置的DNS条目才是可信的。
NSEC3是一种改进的安全机制,可帮助减轻字典式攻击,已于2008年3月在RFC 5155中获得批准。
DNSSEC接待
尽管许多支持者已投资部署DNSSEC,但并非没有批评者。 尽管它具有帮助避免诸如中间人攻击之类的攻击的能力,在中间人攻击中,查询可能被劫持,并且不知不觉地将其不正确地馈给了生成DNS查询的对象,但存在与现有Internet基础结构某些部分的兼容性问题。 主要问题是DNS通常使用带宽消耗较少的用户数据报协议(UDP),而DNSSEC使用较重的传输控制协议(TCP)来回传递其数据,以提高可靠性和可靠性。 每周7天,一天24小时,每天都要处理数百万个DNS请求的旧DNS基础结构的大部分可能无法增加流量。 即便如此,许多人仍然认为DNSSEC是迈向保护Internet基础设施的重要一步。
虽然生活没有任何保证,但是花一些时间考虑自己的风险可能会避免将来造成许多代价高昂的麻烦。 例如,通过部署DNSSEC,您可以增强对部分关键DNS基础结构的信心。