开源中国

我们不支持 IE 10 及以下版本浏览器

It appears you’re using an unsupported browser

为了获得更好的浏览体验,我们强烈建议您使用较新版本的 Chrome、 Firefox、 Safari 等,或者升级到最新版本的IE浏览器。 如果您使用的是 IE 11 或以上版本,请关闭“兼容性视图”。
别忘记 DNS 服务器的安全性 - 技术翻译 - 开源中国社区

别忘记 DNS 服务器的安全性 【已翻译100%】

标签: DNS
oschina 推荐于 4年前 (共 6 段, 翻译完成于 03-18) 评论 9
收藏  
29
推荐标签: DNS 待读

去年8月,一些访问者试图浏览纽约时报网站时却出乎意料的发现该网站挂掉了。

中断源并不是停电或者甚至拒绝服务攻击。而是叙利亚电子军实施的对纽约时报网站的DNS进行劫持的一次攻击。

这次攻击只是2013年众多针对DNS基础设施攻击的案例之一,安全专家并不希望今年还是如此,言外之意是呼吁相关组织需要对DNS安全威胁保持警惕。

漠天
 翻译得不错哦!

就在上个月,域名注册和主机服务商Namecheap受到了分布式DDOS攻击,目标就是Namecheap的DNS平台,此次攻击影响的大约300个网站。除了DDOS之外,攻击者也能危机域名服务器,将DNS查询重定向到一个被控制的域名服务器上。

领导IBM X-Force的安全架构师Michael Hamelin提到:"DNS提供商经常是攻击的目标,原因在于他们是可扰乱一个组织的所有服务(Web、Mail、Chat等等)的中心节点。DNS服务器是互联网的路标,一旦被打乱,组织重要服务(Web、Mail、Chat等)就不可访问。如果DNS提供商挂掉,意味着数千个客户的网络信息暂时在互联网上消失。

漠天
 翻译得不错哦!

具体到这次纽约时报的情况,攻击发生于有人访问到了墨尔本 IT 系统的一个代理账号,他更改了 nytimes.com 和 twitter.co.uk 等其他一些域名的 DNS 记录。“这类密码窃取可能有着深远的影响,” Hamelin 表示,他建议 DNS 提供商采用双因素认证并且 “启用 IP 限制,要求所有更改都必须在网内进行”。

“组织机构需要明白,虽然他们把服务器托管和 DNS 外包出去,但不代表服务商就会采取充足的安全措施来提供非常可靠而安全的服务。”他说,“组织机构需要有遭受 DNS 攻击的心理准备并且实施对策,如使用两套不同的 DNS 系统和/或不同的托管服务商。”

戴仓薯
 翻译得不错哦!

“由于它本身的性质,DNS 是网络基础架构中较弱的一环,” NSFOCUS的高级产品经理 Vann Abernethy 表示,他补充说自去年以来公司在 DNS 上遭受的 DDoS 攻击和 DNS 造成的拥堵都有所增加。“不仅有它本质的原因,也因为它处于最弱的一环,因此DNS常常是攻击的诱人目标。”

“有很多种 DDoS 攻击的变体都可以用来对付 DNS 服务器,如 DNS Query Flood ——一种针对单一架构的资源消耗攻击,” Abernethy 说,“并且常常突然出现新的变体。”

戴仓薯
 翻译得不错哦!

其中有一个技术是通过大量的发包攻击受害者必须联系到的DNS认证服务器,该技术类似于DNS放大攻击,主要是依靠依赖于攻击者发送一个带有伪造的子域名的请求,受害者的DNS服务器是无法解析这个子域名。

幸运的是,有许多行动组织能够采取措施提供DNS的安全性。出售DNS安全服务的厂商Secure64的副总Mark Beckett建议新手不要使用开放的解析器。

“开放的解析器允许互联网上的任何人查询一个DNS解析器并且会被僵尸网络利用从事破坏活动”,“也不用让冒用的IP地址退出你的网络。组织结构必须设置外出的过滤条件来达到只有只有他们内部网络地址空间的IP地址才能退出他们的网络。这样会消除一个被感染的机器遭受spoof攻击的可能性”


tomahawk
 翻译得不错哦!

如果可能的话,他也建议组织在他们的DNS服务器启用速率限制能力,还有通过监视网络去检测任何突然的高峰DNS数据包速率或入站出站的DNS流量。

“更早的发现攻击可以使组织采用防御措施(例如在路由器或防火墙上阻断攻击运输上流)在攻击变得更加严重,并对用户和网络造成影响之前” 他说。

DNS相关攻击将继续是2014的主题,Hamelin说,有很多方法去保护组织免受挟持的DNS服务器或它的客户端的攻击。

"攻击者主要集中在ROI[投资回报率],攻击一个DNS 服务器是个很好的方法造成很大影响而不花多少力气," 他说

Idiot_s_Sky
 翻译得不错哦!
本文中的所有译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接
我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们
评论(9)
Ctrl/CMD+Enter

大陆深谙DNS污染技术。

引用来自“Kevin19701”的评论

大陆深谙DNS污染技术。

开门 水表
这一点长城防火墙做的非常好
希望有新的技术,取代DNS
分布式域名系统早就有了, 推广困难.

因为现在的 DNS 系统用起来还是不错的, 没甚大大毛病.

安全性方面早就有增强协议 DNSSEC.

NSFOCUS不就是绿盟公司吗? 他们英文的软文都翻译成中文了? NB

引用来自“pollex”的评论

这一点长城防火墙做的非常好

相当的好,你都没法追查,这旁路设备比任何防火墙,流量清洗都牛B

引用来自“Leander”的评论

NSFOCUS不就是绿盟公司吗? 他们英文的软文都翻译成中文了? NB

……
在目前的网络攻击中,最让站长们头疼的一种就是针对DNS的攻击。加强DNS防护能力,急需升级服务器集群,提升程序解析速度。DNSPod新推DNS
解析程序,集成多种防护算法,单机性能最高可以达到1100万Q/s,流量超过1000MB/s,达到10GE网卡极限。该解析程序既可以和前端防护设备配合使用,也可以单独使用,单节点抗攻击能力将达40G,能轻松助抵御目前DNS主流攻击。
顶部