互联网名称与数字地址分配机构(ICANN)的首席技术官大卫·康拉德(David Conrad)最近在我们与其他互联网组织合作的网络研讨会上发表了主题演讲。以下是他对域名系统(DNS)生态系统,其漏洞和缓解威胁的解释的摘要。
我们知道,互联网很大程度上取决于DNS。它类似于Internet的电话簿,将域名转换为IP地址,因此用户可以轻松地查找带有名称而不是数字字符串的网站。DNS不是一个单独的实体,它包含协议,名称空间和服务。其生态系统扩展到包括软件,资源调配和其他。
DNS协议(于1983年发明)旨在采用一种简单的查询-响应行为来实现轻量级。为了使DNS能够扩展,它采用树状结构进行设计;域的每个分支和级别(例如顶级域)都可以独立管理。随着DNS生态系统中结构的扩展和多个部分(软件,注册表,网络运营商,托管提供商等)的出现,DNS的复杂性增加了安全性方面的挑战。
大卫分享道:“ DNS是Internet的重要组成部分,DNS生态系统庞大,复杂,并且具有无数能力不同的参与者,从而导致(非常大的)攻击面。”
当DNS最初被开发和定义时,没有防止数据损坏的保护措施,安全性并不是重点。以下是一些DNS生态系统漏洞及其缓解措施。
| 进攻 | 攻击类型 | 减轻 |
|---|---|---|
| DNS协议 | DNS缓存中毒 | DNS安全扩展(DNSSEC) |
| 隐私妥协 | DNS-over-HTTPS和DNS-over-TLS数字证书 | |
| DNS名称空间 | 同形文字(ҫscdbs.com)和错别字(cssdbs.com) | 使国际域名(IDN)和不安全站点更加明显的接口,以及最终用户的警惕 |
| DNS服务 | DNS劫持 | 域名系统 |
| 分布式拒绝服务(DDoS) | DDoS缓解服务 | |
| 注册商或注册人 | 帐户被盗以修改域数据 | 注册管理机构和注册服务商锁定 |
我们已经看到最近的事件在各个方面损害了DNS:
MyEtherWallet.com:通过路由系统攻击和DNS缓存中毒的组合对DNS协议和服务的攻击将用户重定向到俄罗斯的一个站点,并窃取了15万美元。
与COVID 19相关的攻击:对DNS名称空间的攻击,域注册激增,其中一小部分与COVID-19相关的名称主要用于网络钓鱼,恶意软件分发和垃圾邮件,其中绝大多数显然是托管名称。
DNSpionage和Sea Turtle:对DNS设置和名称空间的攻击,顶级域名注册管理机构和注册服务商受到威胁,很可能是由于未打补丁的系统所致。
DNS提供了对Internet功能至关重要的普遍存在的服务。这与庞大的攻击面相结合,使DNS生态系统成为攻击的极好(且频繁)的目标。它不断发展以提高其效率,安全性和功能,例如DNSSEC。但是DNS的每个部分及其更大的生态系统都有其自身的漏洞集合,从DNS协议本身的错误到DNS如何部署以进行操作。因此,要修复这些漏洞,就需要生态系统中的所有参与者(从注册人到注册表,DNS运营商到软件开发人员,最终用户到政府)参与其中,以确保DNS和Internet的安全。
