移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

DNS频繁受报复打击 收集安然话语权亟待进步

时间:2014-02-07 09:55来源:TuZhiJiaMi企业信息安全专家 点击:
1月21日,距离大年夜年节还有10天的时候。在大年夜家结束了一年的怠倦糊口,放松神经的时辰,黑客向中国互联网倡议了报复打击。 当天15时20分,中国境内大年夜量用户没法正常拜候域名以
Tags网络安全(375)应用安全(1006)DNS(13)  

  1月21日,距离大年夜年节还有10天的时候。在大年夜家结束了一年的怠倦糊口,放松神经的时辰,黑客向中国互联网倡议了报复打击。

  当天15时20分,中国境内大年夜量用户没法正常拜候域名以“.com”、“.net”等结尾的网站。事务产生后,国度互联网应急中间第一时候启动应急响应机制,一个小时以后,16时50分,用户拜候根基恢复正常。

  国度互联网应急中间发布传递称,初步鉴定此次事务是因为收集报复打击导致我国境内互联网用户经由过程国际顶级域名办事解析时呈现异常,报复打击来历正在进一法度查中。

  截止到记者发稿之日,尚没有组织暗示对此次报复打击负责。东软NetEye安然办事部部长梁迎利在接管《通信财产报》(网)采访时暗示:“此刻,针对DNS倡议的报复打击已成为黑客常常选用的手段。2014年,业界要时刻警戒黑客再次倡议DNS报复打击,同时我们本身要做好防备办法。”

  收集报复打击进级

  DNS作为可以将域名和IP地址彼此映照的一个漫衍式数据库,可以或许令人更便利的拜候互联网,而不消往记住可以或许被机械直接读取的IP数串。

  DNS几近已成为所有互联网的进口,一旦产生故障,用户拜候互联网将呈现标题问题,或打不开原网页,或跳转到另外一个网页。

  在此次DNS故障事务中,包含新浪、百度、腾讯、京东商城等诸多网站的域名均被解析到65.49.2.178这个IP地址上。据体味,该IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。

  “大年夜量互联网公司的域名被解析到这个地址上,很有多是黑客倡议收集报复打击,造成DNS污染,把域名指向不准确的IP地址。”梁迎利奉告记者。

  他进一步向记者诠释了DNS污染的机制。DNS污染,是指黑客决心制造或无意中制造出来的域名办事器分组,把域名指往不准确的IP地址。

  “一般来讲,外间在互联网上一般都有可托赖的域名办事器,但为缩短解析时候,一般的域名城市把外间的域名办事器数据暂存起来,待下次有其他机械要求解析域名时,可以当即供给办事。”他说,“一旦有关网域的局域域名办事器的缓存遭到污染,就会把网域内的电脑引往弊端的办事器或办事器的网址。”

  来自360安然卫士的官方微博显示,本次DNS故障起码导致国内三分之二的网站没法正常打开,影响数千万网平易近。而新浪微博的查询拜访成果也显示,截至当晚19时24分,有84.8%的用户遭受DNS故障。

  良多安然手艺专家在此前接管媒体采访时都暗示,此次DNS故障影响范围和时长的严重程度均属国内初次。

  H3C安然产品总工李彦宾在接管《通信财产报》(网)采访时暗示,“此次黑客倡议的DNS报复打击,手段加倍高超。之前黑客报复打击DNS办事器,直接造成DNS办事器营业的间断。而在此次事务中,黑客把大年夜量公司的域名全数指向一个IP地址,有点匪夷所思。”

  呵护域名系统

  事实上,距离前次DNS故障还不到半年的时候。2013年8月25日,.CN根域名办事器全线故障;2013年7月6日,上海联通DNS设备产生故障,导致2G、3G的手机用户没法上彀。

  缘何DNS报复打击会如斯频繁?梁迎利奉告记者,“DNS和谈从设计之初就没有过量的考虑安然标题问题,和谈本身贫乏需要的安然手艺,没法包管在不合层级之间成立信赖关系,没法对数据的可托性、完全性和奥秘性等安然要求进行验证。是以,报复打击过程相对简单,使得DNS成为黑客首选的报复打击对象。”

  一般来讲,和谈本身的安然不完美,可以经由过程完美认证和加密机制来解决。“但是,这将大年夜大年夜降落DNS系统的响应效力,影响用户的上彀体验。”梁迎利说。

  若何呵护域名系统的安然,梁迎利说,起首,企业应尽快进级DNS系统的band软件;其次,企业可经由过程自建DNS系统,对域名进行备份。

  来自Arbor的第八次《全球根本举措措施安然陈述》显示,一种称为DNS反射/放大年夜DDoS报复打击对依托于Internet是不是存在的组织构成日趋严重的威胁。“黑客报复打击手段日趋进步前辈,使得本年的DNS安然情势加倍严重。”李彦宾奉告记者。

  他也给出了建议:起首,武装企业本身的DNS设备,包管有足够大年夜的带宽和冗余;其次,企业要加强流量清洗工作;最后,防备黑客进侵系统。

  掌控收集安然话语权

  相对之前黑客进行DNS报复打击拔取的二级或更初级别的域名办事器来讲,此次报复打击,黑客拔取了根域名办事器。

  根域名办事器用来治理互联网的主目次。工信部电信研究院互联网中间主任何宝宏在接管媒体采访时暗示,现行DNS系统架构出世于上个世纪80年代,是一个倒树状布局,自顶向下为根域、顶级域、二级域、三级域……,每个域内设置多台权势巨子名字办事器。

  所有顶级域名“.com”、“.cn”、“.net”都在根之下,需要根办事器解析。全球共13个根办事器,1个为主根办事器,放置在美国,其余12个为辅根办事器,此中9个放置在美国,欧洲2个,位于荷兰和瑞典,亚洲1个,位于日本。

  因为我国没有根办事器,也就没有治理权和节制权。是以,事务产生后,良多专家发出了“成立本身的根办事器”的呼吁。李彦宾也向记者暗示,只有成立本身的根办事器,才有可能杜尽此类报复打击的产生。

  犹记得,2004年4月,因为“.ly”域名瘫痪,利比亚从互联网上消掉了3天。当然,这是美国报酬把持的。在“收集战”成为一种新的战争情势时,进步我国的收集安然话语权显得尤其需要。

------分隔线----------------------------

推荐内容