DNS一直是互聯網架構中脆弱的一環,2009年的多省“斷網”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業DNS服務器的攻擊成為攻擊者阻斷企業網絡服務的手段之一。除了DNS供應商自身的問題,用戶配置不當也會給DNS服務器帶來安全隱患。
DNS一直是互聯網架構中脆弱的一環,2009年的多省“斷網”事件,2010年的百度被“黑”事件,都是由于DNS受攻擊引起的。目前,針對企業DNS服務器的攻擊成為攻擊者阻斷企業網絡服務的手段之一。除了DNS供應商自身的問題,用戶配置不當也會給DNS服務器帶來安全隱患。
據業內人士介紹,最近幾年網絡資源及服務成本日益降低,特別是帶寬成本大幅下降,DNS攻擊流量屢創新高。攻擊者控制殭尸網絡送出大量的DNS查詢封包,送至網站的解析服務器,使其難于應付最終導致網絡服務被阻斷(Direct DNS Attack)。這是今后任何一家企業都可能面臨的問題。
在具體環境下,配置不當也會帶來隱患。DNS安全擴展協議(DNSSEC, DNS Security Extensions)主要目的在于強化DNS服務驗證,而要達成這個協議則必須開啟DNS擴展名機制(EDNS0, Extension Mechanisms for DNS)的功能,但具有諷刺意味的是,如果開啟這個功能卻不知如何進行安全設置,則反而會讓它變成一個安全漏洞。EDNS0本應成為安全配置的“標配”,但實際使用中卻由于人們缺乏安全防范的意識將其遺漏。
例如在DNS軟件BIND 8.3.0與BIND 9.0.0以后的版本、提供DNS服務的Windows Server 2003,EDNS0都是默認開啟,這些功能美其名曰可以滿足多任務的處理需求,但事實上整體效果并不突出,而且可能造成DNS Server遭受DDoS攻擊。盡管這是自1996年以來就存在的漏洞,但直到2012年,仍有全球性的DNS 服務商遭殃,最后的受害者毫無疑問是使用該服務的客戶。
既然這不是新手法,為什么至今仍有不少頗具規模的大企業被攻擊呢?這主要由于兩個方面的原因:一方面是基礎網絡仍沿用過去老舊架構;另一方面是相關人員缺乏信息安全意識。過去由于缺乏對信息安全的前瞻性認識,因而得不到重視,網絡基礎架構以業務能力為主,而非著重安全,因此在遭到安全攻擊時無法快速應對。此外在人員意識方面,對于 DNS的配置安全也未受到重視。
針對這個問題,安全專家提出以下四點建議:
1. 徹底檢查DNS服務器配置,關閉不需要的服務;
2. 持續監控DNS流量,了解自身網絡能承載的流量;
3. 通過日常的監控,比對不正常流量發生的狀況;
4. 做好災難救援方案。據了解,即使是跨國DNS服務供貨商,可以為成千上萬的客戶服務,其后臺服務卻可能僅用數百臺設備,造成狀況發生時無法立即切換、備援。
要杜絕針對DNS服務器的攻擊,一方面要進行基礎網絡安全建設的升級,另一方面是通過后續安全配置和監控來改善。專家建議,企業還可以使用專業DDoS防御供貨商的服務,得到更完整的安全防護。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:DNS攻擊難防的原因
相關文章
