網(wǎng)絡(luò)域名管理者互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)近日發(fā)布消息稱�,DNS基礎(chǔ)設(shè)施的關(guān)鍵部分存在持續(xù)且重大的安全更新����。ICANN通過域名系統(tǒng)(DNS)來監(jiān)督管理全球的互聯(lián)網(wǎng)通信地址�����,系統(tǒng)將用戶在瀏覽器中輸入的地址轉(zhuǎn)換成為唯一的數(shù)字地址����,從而讓用戶訪問對(duì)應(yīng)的網(wǎng)站���。不過ICANN本周五發(fā)布公告稱��,DNS基礎(chǔ)設(shè)施正成為“惡意活動(dòng)”的攻擊目標(biāo)�����。
針對(duì)此類DNS攻擊���,ICANN呼吁全面部署“域名系統(tǒng)安全擴(kuò)展”(DNSSEC)����。 DNSSEC是一種對(duì)數(shù)據(jù)進(jìn)行數(shù)字“簽名”的有效技術(shù)�����,可以阻止受害者重定向至惡意網(wǎng)站�。通過部署DNSSEC,可以有效阻止“中間人”攻擊方式����。通過這種攻擊方式,欺詐者可以將受害者重定向至精心制作的虛假網(wǎng)站����,并誘騙他們提供登錄憑證、付款信息以及其他個(gè)人信息�����。
雖然ICANN承認(rèn)他們提出的解決方案(包括全面部署DESSEC)無法解決所有互聯(lián)網(wǎng)的安全問題����,但應(yīng)該可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。不過目前DESSEC的部署情況并不樂觀���,財(cái)富1000強(qiáng)企業(yè)中DNSSEC的使用量低至3%����。雖然這個(gè)數(shù)字現(xiàn)在增加到20%��,但距離全面部署仍有很長的路要走���。
什么是DNSSEC
隨著互聯(lián)網(wǎng)應(yīng)用的不斷深化�,DNS已然成為網(wǎng)絡(luò)攻擊的熱點(diǎn)目標(biāo)�����,典型攻擊包括DDoS攻擊����、放大攻擊、遞歸攻擊�、緩存投毒、修改域名注冊(cè)信息�、隧道攻擊��、資源鎖定攻擊等�,越來越多的基于DNS的攻擊已經(jīng)嚴(yán)重影響到用戶的網(wǎng)絡(luò)安全�����,使用戶的數(shù)據(jù)�、資產(chǎn)和信譽(yù)都處于風(fēng)險(xiǎn)之中。
以緩存投毒(Cache Poisoning)為例���,通過向DNS服務(wù)器的本地緩存中注入非法數(shù)據(jù)��,將用戶正常的域名訪問請(qǐng)求引導(dǎo)至攻擊者服務(wù)器����,而黑客將在 DNS 系統(tǒng)中發(fā)現(xiàn)的漏洞(如漏洞VU#800113)與技術(shù)進(jìn)步相結(jié)合���,大大縮短了劫持DNS 查找過程的任一步驟所需的時(shí)間�����,從而可以更快地取得對(duì)會(huì)話的控制以實(shí)施某種惡意操作(如將用戶引導(dǎo)至惡意網(wǎng)站等)�,若要在技術(shù)上消除這樣的安全隱患�����,一個(gè)有效的解決方案是以端到端的形式部署一種稱為 DNS 安全擴(kuò)展 (DNS Security Extensions, DNSSEC) 的安全協(xié)議。
DNSSEC是將一個(gè)特殊簽名添加到root�、TLD和授權(quán)名字服務(wù)器,從而為該區(qū)域建立一條信任鏈�。DNSSEC能使區(qū)域確保DNS請(qǐng)求的應(yīng)答沒有被篡改���,簡言之��,DNSSEC是通過將公鑰密碼系統(tǒng)引入DNS的層次結(jié)構(gòu)���,從而為域名系統(tǒng)生成一個(gè)開放的全球公鑰基礎(chǔ)設(shè)施(PKI),以此提高DNS的安全性��。
