網絡域名管理者互聯(lián)網名稱與數(shù)字地址分配機構(ICANN)近日發(fā)布消息稱��,DNS基礎設施的關鍵部分存在持續(xù)且重大的安全更新��。ICANN通過域名系統(tǒng)(DNS)來監(jiān)督管理全球的互聯(lián)網通信地址,系統(tǒng)將用戶在瀏覽器中輸入的地址轉換成為唯一的數(shù)字地址�����,從而讓用戶訪問對應的網站���。不過ICANN本周五發(fā)布公告稱�,DNS基礎設施正成為“惡意活動”的攻擊目標��。
針對此類DNS攻擊�����,ICANN呼吁全面部署“域名系統(tǒng)安全擴展”(DNSSEC)�����。 DNSSEC是一種對數(shù)據進行數(shù)字“簽名”的有效技術,可以阻止受害者重定向至惡意網站����。通過部署DNSSEC,可以有效阻止“中間人”攻擊方式��。通過這種攻擊方式���,欺詐者可以將受害者重定向至精心制作的虛假網站���,并誘騙他們提供登錄憑證、付款信息以及其他個人信息�����。
雖然ICANN承認他們提出的解決方案(包括全面部署DESSEC)無法解決所有互聯(lián)網的安全問題�,但應該可以有效降低網絡安全風險。不過目前DESSEC的部署情況并不樂觀��,財富1000強企業(yè)中DNSSEC的使用量低至3%����。雖然這個數(shù)字現(xiàn)在增加到20%����,但距離全面部署仍有很長的路要走��。
什么是DNSSEC
隨著互聯(lián)網應用的不斷深化��,DNS已然成為網絡攻擊的熱點目標�����,典型攻擊包括DDoS攻擊����、放大攻擊����、遞歸攻擊、緩存投毒�����、修改域名注冊信息����、隧道攻擊、資源鎖定攻擊等����,越來越多的基于DNS的攻擊已經嚴重影響到用戶的網絡安全�����,使用戶的數(shù)據��、資產和信譽都處于風險之中����。
以緩存投毒(Cache Poisoning)為例���,通過向DNS服務器的本地緩存中注入非法數(shù)據�����,將用戶正常的域名訪問請求引導至攻擊者服務器,而黑客將在 DNS 系統(tǒng)中發(fā)現(xiàn)的漏洞(如漏洞VU#800113)與技術進步相結合��,大大縮短了劫持DNS 查找過程的任一步驟所需的時間�,從而可以更快地取得對會話的控制以實施某種惡意操作(如將用戶引導至惡意網站等),若要在技術上消除這樣的安全隱患�����,一個有效的解決方案是以端到端的形式部署一種稱為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的安全協(xié)議���。
DNSSEC是將一個特殊簽名添加到root�����、TLD和授權名字服務器���,從而為該區(qū)域建立一條信任鏈。DNSSEC能使區(qū)域確保DNS請求的應答沒有被篡改��,簡言之�����,DNSSEC是通過將公鑰密碼系統(tǒng)引入DNS的層次結構��,從而為域名系統(tǒng)生成一個開放的全球公鑰基礎設施(PKI)�����,以此提高DNS的安全性�����。
