DNS一直是互聯(lián)網(wǎng)架構(gòu)中脆弱的一環(huán),2009年的多省“斷網(wǎng)”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業(yè)DNS服務(wù)器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡(luò)服務(wù)的手段之一。除了DNS供應(yīng)商自身的問題,用戶配置不當(dāng)也會給DNS服務(wù)器帶來安全隱患。
DNS一直是互聯(lián)網(wǎng)架構(gòu)中脆弱的一環(huán),2009年的多省“斷網(wǎng)”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業(yè)DNS服務(wù)器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡(luò)服務(wù)的手段之一。除了DNS供應(yīng)商自身的問題,用戶配置不當(dāng)也會給DNS服務(wù)器帶來安全隱患。
據(jù)業(yè)內(nèi)人士介紹,最近幾年網(wǎng)絡(luò)資源及服務(wù)成本日益降低,特別是帶寬成本大幅下降,DNS攻擊流量屢創(chuàng)新高。攻擊者控制殭尸網(wǎng)絡(luò)送出大量的DNS查詢封包,送至網(wǎng)站的解析服務(wù)器,使其難于應(yīng)付最終導(dǎo)致網(wǎng)絡(luò)服務(wù)被阻斷(Direct DNS Attack)。這是今后任何一家企業(yè)都可能面臨的問題。
在具體環(huán)境下,配置不當(dāng)也會帶來隱患。DNS安全擴(kuò)展協(xié)議(DNSSEC, DNS Security Extensions)主要目的在于強(qiáng)化DNS服務(wù)驗證,而要達(dá)成這個協(xié)議則必須開啟DNS擴(kuò)展名機(jī)制(EDNS0, Extension Mechanisms for DNS)的功能,但具有諷刺意味的是,如果開啟這個功能卻不知如何進(jìn)行安全設(shè)置,則反而會讓它變成一個安全漏洞。EDNS0本應(yīng)成為安全配置的“標(biāo)配”,但實際使用中卻由于人們?nèi)狈Π踩婪兜囊庾R將其遺漏。
例如在DNS軟件BIND 8.3.0與BIND 9.0.0以后的版本、提供DNS服務(wù)的Windows Server 2003,EDNS0都是默認(rèn)開啟,這些功能美其名曰可以滿足多任務(wù)的處理需求,但事實上整體效果并不突出,而且可能造成DNS Server遭受DDoS攻擊。盡管這是自1996年以來就存在的漏洞,但直到2012年,仍有全球性的DNS 服務(wù)商遭殃,最后的受害者毫無疑問是使用該服務(wù)的客戶。
既然這不是新手法,為什么至今仍有不少頗具規(guī)模的大企業(yè)被攻擊呢?這主要由于兩個方面的原因:一方面是基礎(chǔ)網(wǎng)絡(luò)仍沿用過去老舊架構(gòu);另一方面是相關(guān)人員缺乏信息安全意識。過去由于缺乏對信息安全的前瞻性認(rèn)識,因而得不到重視,網(wǎng)絡(luò)基礎(chǔ)架構(gòu)以業(yè)務(wù)能力為主,而非著重安全,因此在遭到安全攻擊時無法快速應(yīng)對。此外在人員意識方面,對于 DNS的配置安全也未受到重視。
針對這個問題,安全專家提出以下四點建議:
1. 徹底檢查DNS服務(wù)器配置,關(guān)閉不需要的服務(wù);
2. 持續(xù)監(jiān)控DNS流量,了解自身網(wǎng)絡(luò)能承載的流量;
3. 通過日常的監(jiān)控,比對不正常流量發(fā)生的狀況;
4. 做好災(zāi)難救援方案。據(jù)了解,即使是跨國DNS服務(wù)供貨商,可以為成千上萬的客戶服務(wù),其后臺服務(wù)卻可能僅用數(shù)百臺設(shè)備,造成狀況發(fā)生時無法立即切換、備援。
要杜絕針對DNS服務(wù)器的攻擊,一方面要進(jìn)行基礎(chǔ)網(wǎng)絡(luò)安全建設(shè)的升級,另一方面是通過后續(xù)安全配置和監(jiān)控來改善。專家建議,企業(yè)還可以使用專業(yè)DDoS防御供貨商的服務(wù),得到更完整的安全防護(hù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:DNS攻擊難防的原因
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189219.html