移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

兵来将挡:三种常见DNS报复打击及应对编制

时间:2013-09-02 10:09来源:TuZhiJiaMi企业信息安全专家 点击:
DNS办事器可以或许将IP地址翻译成域名,这就是为甚么你可以在浏览器输进域名来拜候我们的网站,而不需要记住IP地址。 当DNS被报复打击时,可能产生各类环境,不外,报复打击者常常利用两
Tags网络威胁(394)DNS服务器(11)应对方法(1)  

  DNS办事器可以或许将IP地址翻译成域名,这就是为甚么你可以在浏览器输进域名来拜候我们的网站,而不需要记住IP地址。

  当DNS被报复打击时,可能产生各类环境,不外,报复打击者常常利用两种编制来操纵被报复打击的DNS办事器。起首,报复打击者可以做的第一件工作是重定向所有进站流量到他们选择的办事器。这使他们可以或许策动更多的报复打击,或汇集包含敏感信息的流量日记。

  报复打击者可以做的第二件工作是捕获所有进站电子邮件。更首要的是,第二种做法还承诺报复打击者发送电子邮件,操纵受害者企业的域名和其杰出的名誉。让工作更糟的是,报复打击者还可以选择同时做上述两种报复打击行动。

  专注于流量治理和DNS的Dyn公司首席手艺官Cory von Wallenstein在一篇博客文章中介绍了三种常见的DNS报复打击类型和应对编制。

  第一种DNS报复打击类型被称为缓存中毒报复打击,这类报复打击产生在报复打击者成功将歹意DNS数据注进到递回DNS办事器(由良多ISP运作)以后。从收集拓扑的角度来看,这行类型的DNS办事器是最接近用户的办事器,是以,对这些办事器的报复打击将会直接影响到连接这些办事器的特定用户。

  我们有禁止这类报复打击的有效编制,并且,DNSSEC等尺度可以或许供给额外的呵护。假定DNSSEC不成行,另外一种解决编制就是限制需要呵护的名称办事器上的递回。递回用来肯定办事器是仅措置其保留在缓存中的数据,仍是办事器会到互联网与其他办事器通信来找出最好谜底。

  第二种类型的DNS报复打击需要报复打击者掌控一个或多个授权DNS办事器。授权DNS托管是Dyn公司向Twitter供给的办事类型。不外,Dyn没有成为黑客集体叙利亚电子戎行(SEA)的方针,所以其向Twitter供给的办事在周二的事务中没有遭到影响。

  假定报复打击者可以或许报复打击授权DNS办事器,这类报复打击的影响将是全球性的。当然SEA比来的一次报复打击中没有如许做,但此前呈现过。

  在2009年,Twitter蒙受了伊朗收集戎行的报复打击。该组织点窜了DNS记实,并重定向流量到他们节制的办事器。该组织之所以可以或许点窜DNS设置,是因为他们报复打击了一个Twitter员工的电子邮件账户,然后利用该账户来授权DNS更改。

  抵抗这些类型的报复打击的编制凡是包含:高强度暗码,和基于IP的ACL(可接管拜候节制列表)。别的,还应当对员工进行完全的培训,来避免社会工程学。

  第三种类型的DNS报复打击也是很毒手的标题问题。这类报复打击是报复打击者报复打击域本身的注册,然后利用这类拜候来更改分派到它的DNS办事器。

  这也恰是SEA报复打击的做法,在报复打击Twitter和纽约时报时,他们获得了MelbourneIT的拜候权,该注册机构负责这两个方针域名,然后,报复打击者把授权DNS办事器改成他们本身的办事器。企业最好将授权办事器托管在企业内部,从而对其完全节制。

------分隔线----------------------------

推荐内容