網(wǎng)絡(luò)域名管理者互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)近日發(fā)布消息稱,DNS基礎(chǔ)設(shè)施的關(guān)鍵部分存在持續(xù)且重大的安全更新。ICANN通過域名系統(tǒng)(DNS)來監(jiān)督管理全球的互聯(lián)網(wǎng)通信地址���,系統(tǒng)將用戶在瀏覽器中輸入的地址轉(zhuǎn)換成為唯一的數(shù)字地址�,從而讓用戶訪問對應(yīng)的網(wǎng)站。不過ICANN本周五發(fā)布公告稱�����,DNS基礎(chǔ)設(shè)施正成為“惡意活動”的攻擊目標(biāo)����。
針對此類DNS攻擊,ICANN呼吁全面部署“域名系統(tǒng)安全擴展”(DNSSEC)��。 DNSSEC是一種對數(shù)據(jù)進行數(shù)字“簽名”的有效技術(shù)����,可以阻止受害者重定向至惡意網(wǎng)站���。通過部署DNSSEC�,可以有效阻止“中間人”攻擊方式。通過這種攻擊方式��,欺詐者可以將受害者重定向至精心制作的虛假網(wǎng)站���,并誘騙他們提供登錄憑證�、付款信息以及其他個人信息���。
雖然ICANN承認他們提出的解決方案(包括全面部署DESSEC)無法解決所有互聯(lián)網(wǎng)的安全問題���,但應(yīng)該可以有效降低網(wǎng)絡(luò)安全風(fēng)險。不過目前DESSEC的部署情況并不樂觀���,財富1000強企業(yè)中DNSSEC的使用量低至3%����。雖然這個數(shù)字現(xiàn)在增加到20%�,但距離全面部署仍有很長的路要走。
什么是DNSSEC
隨著互聯(lián)網(wǎng)應(yīng)用的不斷深化�����,DNS已然成為網(wǎng)絡(luò)攻擊的熱點目標(biāo)����,典型攻擊包括DDoS攻擊����、放大攻擊�、遞歸攻擊、緩存投毒��、修改域名注冊信息���、隧道攻擊�����、資源鎖定攻擊等����,越來越多的基于DNS的攻擊已經(jīng)嚴重影響到用戶的網(wǎng)絡(luò)安全�����,使用戶的數(shù)據(jù)�����、資產(chǎn)和信譽都處于風(fēng)險之中���。
以緩存投毒(Cache Poisoning)為例�,通過向DNS服務(wù)器的本地緩存中注入非法數(shù)據(jù)��,將用戶正常的域名訪問請求引導(dǎo)至攻擊者服務(wù)器���,而黑客將在 DNS 系統(tǒng)中發(fā)現(xiàn)的漏洞(如漏洞VU#800113)與技術(shù)進步相結(jié)合�����,大大縮短了劫持DNS 查找過程的任一步驟所需的時間����,從而可以更快地取得對會話的控制以實施某種惡意操作(如將用戶引導(dǎo)至惡意網(wǎng)站等)��,若要在技術(shù)上消除這樣的安全隱患����,一個有效的解決方案是以端到端的形式部署一種稱為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的安全協(xié)議。
DNSSEC是將一個特殊簽名添加到root��、TLD和授權(quán)名字服務(wù)器���,從而為該區(qū)域建立一條信任鏈���。DNSSEC能使區(qū)域確保DNS請求的應(yīng)答沒有被篡改�����,簡言之����,DNSSEC是通過將公鑰密碼系統(tǒng)引入DNS的層次結(jié)構(gòu)���,從而為域名系統(tǒng)生成一個開放的全球公鑰基礎(chǔ)設(shè)施(PKI)�,以此提高DNS的安全性����。
