首页 软件演示 安装教程 价格 帮助文档 更新日志

登录 立即注册

新闻资讯

新闻资讯 / DNS生态系统,其漏洞和威胁缓解

DNS生态系统,其漏洞和威胁缓解

时间 : 2020-09-27 11:27:05

互联网名称与数字地址分配机构(ICANN)的首席技术官大卫·康拉德(David Conrad)最近在我们与其他互联网组织合作的网络研讨会上发表了主题演讲。以下是他对域名系统(DNS)生态系统,其漏洞和缓解威胁的解释的摘要。

我们知道,互联网很大程度上取决于DNS。它类似于Internet的电话簿,将域名转换为IP地址,因此用户可以轻松地查找带有名称而不是数字字符串的网站。DNS不是一个单独的实体,它包含协议,名称空间和服务。其生态系统扩展到包括软件,资源调配和其他。

DNS协议(于1983年发明)旨在采用一种简单的查询-响应行为来实现轻量级。为了使DNS能够扩展,它采用树状结构进行设计;域的每个分支和级别(例如顶级域)都可以独立管理。随着DNS生态系统中结构的扩展和多个部分(软件,注册表,网络运营商,托管提供商等)的出现,DNS的复杂性增加了安全性方面的挑战。

大卫分享道:“ DNS是Internet的重要组成部分,DNS生态系统庞大,复杂,并且具有无数能力不同的参与者,从而导致(非常大的)攻击面。”

当DNS最初被开发和定义时,没有防止数据损坏的保护措施,安全性并不是重点。以下是一些DNS生态系统漏洞及其缓解措施。

进攻攻击类型减轻
DNS协议DNS缓存中毒DNS安全扩展(DNSSEC)
隐私妥协DNS-over-HTTPS和DNS-over-TLS数字证书
DNS名称空间同形文字(ҫscdbs.com)和错别字(cssdbs.com)使国际域名(IDN)和不安全站点更加明显的接口,以及最终用户的警惕
DNS服务DNS劫持域名系统
分布式拒绝服务(DDoS)DDoS缓解服务
注册商或注册人帐户被盗以修改域数据注册管理机构和注册服务商锁定


我们已经看到最近的事件在各个方面损害了DNS:

  • MyEtherWallet.com:通过路由系统攻击和DNS缓存中毒的组合对DNS协议和服务的攻击将用户重定向到俄罗斯的一个站点,并窃取了15万美元。

  • 与COVID 19相关的攻击:对DNS名称空间的攻击,域注册激增,其中一小部分与COVID-19相关的名称主要用于网络钓鱼,恶意软件分发和垃圾邮件,其中绝大多数显然是托管名称。

  • DNSpionage和Sea Turtle:对DNS设置和名称空间的攻击,顶级域名注册管理机构和注册服务商受到威胁,很可能是由于未打补丁的系统所致。

DNS提供了对Internet功能至关重要的普遍存在的服务。这与庞大的攻击面相结合,使DNS生态系统成为攻击的极好(且频繁)的目标。它不断发展以提高其效率,安全性和功能,例如DNSSEC。但是DNS的每个部分及其更大的生态系统都有其自身的漏洞集合,从DNS协议本身的错误到DNS如何部署以进行操作。因此,要修复这些漏洞,就需要生态系统中的所有参与者(从注册人到注册表,DNS运营商到软件开发人员,最终用户到政府)参与其中,以确保DNS和Internet的安全。