英文原文:Don’t Forget DNS Server Security
去年8月,一些訪問者試圖瀏覽紐約時報網站時卻出乎意料的發現該網站掛掉了。
中斷源並不是停電或者甚至拒絕服務***。而是敘利亞電子軍實施的對紐約時報網站的DNS進行劫持的一次***。
這次***只是2013年衆多針對DNS基礎設施***的案例之一,安全專家並不希望今年還是如此,言外之意是呼籲相關組織需要對DNS安全威脅保持警惕。
就在上個月,域名註冊和主機服務商Namecheap受到了分佈式DDOS***,目標就是Namecheap的DNS平臺,此次***影響的大約300個網站。除了DDOS之外,***者也能危機域名服務器,將DNS查詢重定向到一個被控制的域名服務器上。
領導IBM X-Force的安全架構師Michael Hamelin提到:”DNS提供商經常是***的目標,原因在於他們是可擾亂一個組織的所有服務(Web、Mail、Chat等等)的中心節點。DNS服務器是互聯網的路標,一旦被打亂,組織重要服務(Web、Mail、Chat等)就不可訪問。如果DNS提供商掛掉,意味着數千個客戶的網絡信息暫時在互聯網上消失。
具體到這次紐約時報的情況,***發生於有人訪問到了墨爾本 IT 系統的一個代理賬號,他更改了 nytimes.com 和 twitter.co.uk 等其他一些域名的 DNS 記錄。“這類密碼竊取可能有着深遠的影響,” Hamelin 表示,他建議 DNS 提供商採用雙因素認證並且 “啓用 IP 限制,要求所有更改都必須在網內進行”。
“組織機構需要明白,雖然他們把服務器託管和 DNS 外包出去,但不代表服務商就會採取充足的安全措施來提供非常可靠而安全的服務。”他說,“組織機構需要有遭受 DNS ***的心理準備並且實施對策,如使用兩套不同的 DNS 系統和/或不同的託管服務商。”
“由於它本身的性質,DNS 是網絡基礎架構中較弱的一環,” NSFOCUS的高級產品經理 Vann Abernethy 表示,他補充說自去年以來公司在 DNS 上遭受的 DDoS ***和 DNS 造成的擁堵都有所增加。“不僅有它本質的原因,也因爲它處於最弱的一環,因此DNS常常是***的誘人目標。”
“有很多種 DDoS ***的變體都可以用來對付 DNS 服務器,如 DNS Query Flood ——一種針對單一架構的資源消耗***,” Abernethy 說,“並且常常突然出現新的變體。”
其中有一個技術是通過大量的發包***受害者必須聯繫到的DNS認證服務器,該技術類似於DNS放大***,主要是依靠依賴於***者發送一個帶有僞造的子域名的請求,受害者的DNS服務器是無法解析這個子域名。
幸運的是,有許多行動組織能夠採取措施提供DNS的安全性。出售DNS安全服務的廠商Secure64的副總Mark Beckett建議新手不要使用開放的解析器。
“開放的解析器允許互聯網上的任何人查詢一個DNS解析器並且會被殭屍網絡利用從事破壞活動”,“也不用讓冒用的IP地址退出你的網絡。組織結構必 須設置外出的過濾條件來達到只有只有他們內部網絡地址空間的IP地址才能退出他們的網絡。這樣會消除一個被感染的機器遭受spoof***的可能性”
如果可能的話,他也建議組織在他們的DNS服務器啓用速率限制能力,還有通過監視網絡去檢測任何突然的高峯DNS數據包速率或入站出站的DNS流量。
“更早的發現***可以使組織採用防禦措施(例如在路由器或防火牆上阻斷***運輸上流)在***變得更加嚴重,並對用戶和網絡造成影響之前” 他說。
DNS相關***將繼續是2014的主題,Hamelin說,有很多方法去保護組織免受挾持的DNS服務器或它的客戶端的***。
“***者主要集中在ROI[投資回報率],***一個DNS 服務器是個很好的方法造成很大影響而不花多少力氣,” 他說