DNS一直是互聯(lián)網(wǎng)架構中脆弱的一環(huán),2009年的多省“斷網(wǎng)”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業(yè)DNS服務器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡服務的手段之一。除了DNS供應商自身的問題,用戶配置不當也會給DNS服務器帶來安全隱患。
DNS一直是互聯(lián)網(wǎng)架構中脆弱的一環(huán),2009年的多省“斷網(wǎng)”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業(yè)DNS服務器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡服務的手段之一。除了DNS供應商自身的問題,用戶配置不當也會給DNS服務器帶來安全隱患。
據(jù)業(yè)內人士介紹,最近幾年網(wǎng)絡資源及服務成本日益降低,特別是帶寬成本大幅下降,DNS攻擊流量屢創(chuàng)新高。攻擊者控制殭尸網(wǎng)絡送出大量的DNS查詢封包,送至網(wǎng)站的解析服務器,使其難于應付最終導致網(wǎng)絡服務被阻斷(Direct DNS Attack)。這是今后任何一家企業(yè)都可能面臨的問題。
在具體環(huán)境下,配置不當也會帶來隱患。DNS安全擴展協(xié)議(DNSSEC, DNS Security Extensions)主要目的在于強化DNS服務驗證,而要達成這個協(xié)議則必須開啟DNS擴展名機制(EDNS0, Extension Mechanisms for DNS)的功能,但具有諷刺意味的是,如果開啟這個功能卻不知如何進行安全設置,則反而會讓它變成一個安全漏洞。EDNS0本應成為安全配置的“標配”,但實際使用中卻由于人們缺乏安全防范的意識將其遺漏。
例如在DNS軟件BIND 8.3.0與BIND 9.0.0以后的版本、提供DNS服務的Windows Server 2003,EDNS0都是默認開啟,這些功能美其名曰可以滿足多任務的處理需求,但事實上整體效果并不突出,而且可能造成DNS Server遭受DDoS攻擊。盡管這是自1996年以來就存在的漏洞,但直到2012年,仍有全球性的DNS 服務商遭殃,最后的受害者毫無疑問是使用該服務的客戶。
既然這不是新手法,為什么至今仍有不少頗具規(guī)模的大企業(yè)被攻擊呢?這主要由于兩個方面的原因:一方面是基礎網(wǎng)絡仍沿用過去老舊架構;另一方面是相關人員缺乏信息安全意識。過去由于缺乏對信息安全的前瞻性認識,因而得不到重視,網(wǎng)絡基礎架構以業(yè)務能力為主,而非著重安全,因此在遭到安全攻擊時無法快速應對。此外在人員意識方面,對于 DNS的配置安全也未受到重視。
針對這個問題,安全專家提出以下四點建議:
1. 徹底檢查DNS服務器配置,關閉不需要的服務;
2. 持續(xù)監(jiān)控DNS流量,了解自身網(wǎng)絡能承載的流量;
3. 通過日常的監(jiān)控,比對不正常流量發(fā)生的狀況;
4. 做好災難救援方案。據(jù)了解,即使是跨國DNS服務供貨商,可以為成千上萬的客戶服務,其后臺服務卻可能僅用數(shù)百臺設備,造成狀況發(fā)生時無法立即切換、備援。
要杜絕針對DNS服務器的攻擊,一方面要進行基礎網(wǎng)絡安全建設的升級,另一方面是通過后續(xù)安全配置和監(jiān)控來改善。專家建議,企業(yè)還可以使用專業(yè)DDoS防御供貨商的服務,得到更完整的安全防護。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標題:DNS攻擊難防的原因
本文網(wǎng)址:http://m.lukmueng.com/html/support/1112189219.html
相關文章
