您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

DNS 安全漫谈

时间:2019-09-24 14:45:25  来源:  作者:

本文选自《金融电子化》2019年08月刊

作者:大连银行 李兴刚

观点丨DNS 安全漫谈

 

DNS是网络应用的基础设施,它的安全性对于互联网的安全有着举足轻重的影响。随着信息化的高速发展,蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁加剧,网络的稳定运行和应用安全受到了较大的威胁和不良影响。其中针对DNS的攻击也已成为最严重的威胁之一。

DNS系统的风险和安全隐患

一直以来,互联网基础架构的脆弱性有目共睹,域名系统的安全问题一直是互联网门户等业务站点运行的短板。DNS系统具有的公开性、匿名性、集中性使其成为攻击者首选的攻击目标,DNS安全维护迫在眉睫。具体问题如下:

1.利用范围广,难抵御

根据2018网络安全趋势分析报告指出,近91.3%的恶意攻击和持续渗透使用DNS作为主要手段,几乎所有的技防措施都允许DNS协议类型数据报文不受限制的传输,基于DNS的各种攻击方式被广泛应用在攻击链的各个环节,而多数DNS维护团队没有针对且有效的DNS的监控和防护手段。

2.运行风险大,难防护

据中国互联网络信息中心2017年安全统计报告指出,通过从国内近90万台的服务器监测和扫描中发现,57%的重要信息系统存在域名解析风险,其中11.8%的域名处于“较高风险状态”。

3.系统漏洞多,难修复

BIND是最常用的DNS服务软件,具有广泛的使用基础,Internet上的绝大多数DNS服务器都是基于这个软件的。BIND存在着众多的安全性漏洞。中高危漏洞超过70%。除此之外,DNS服务器的自身安全性也是非常重要。目前主流的操作系统如windows、UNIX、linux均存在不同程度的系统漏洞和安全风险,而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分,如果漏洞修复不及时,DNS存在的风险和安全隐患极易被攻击者利用。

DNS安全加固建议

DNS作为网络基础服务,无处不在。它的安全与稳定是保证互联网正常访问的前提条件。不安全的DNS是攻击者窃取企业内部数据或远程控制恶意软件通信的重要途径。DNS安全维护需要做到以下五点:

第一,提升DNS系统防护能力。在目前的网络攻击中,最让运维人员头疼的就是各种针对DNS的攻击。所有DNS攻击都需要基于DNS协议来完成,信息化建设在DNS系统防护需采用多维度的DNS协议防护平台,通过多层次、预先集成的防护策略,提高DNS服务器的性能,确保不会成为网络中的瓶颈。

第二,加强对DNS系统的实时监控。DNS服务是一项实时性要求非常高的服务,准确全面的监控系统是整个DNS服务的运营基础。DNS安全监控需要一整套的监控体系,包括网络流量监控、服务器内核监控模块、解析监控、服务器集群监控等等。

第三,及时加固DNS及操作系统漏洞补丁。DNS域名系统已采用通用系统平台及开源软件如BIND应及时进行漏洞补丁更新,对DNS底层承载系统进行加固,在非必要的情况下关闭除53端口的一切非DNS系统服务端口。并关注软件商发布的最新安全漏洞,升级软件系统。以下漏洞为开源ISCBIND存在的高危漏洞,攻击者可以利用相关漏洞进行攻击渗透,权限提升、非法数据窃取等操作。

第四,确保域名解析服务的独立性。运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供,限制递归服务的服务范围。

第五,进行DNS访问控制策略设计,保障安全隔离。网络层的访问控制被证明是最有效的(攻击者很难绕过去)。网络层访问控制属于基础架构安全,这是最有效最重要的,整个安全防护的基础。访问控制策略部署原则要做到明细允许,默认拒绝。



Tags:DNS 安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
DNS是网络应用的基础设施,它的安全性对于互联网的安全有着举足轻重的影响。随着信息化的高速发展,蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁加剧,网络的稳定运行和应用安全受到了较大的威胁和不良影响。其中针对DNS的...【详细内容】
2019-09-24  Tags: DNS 安全  点击:(136)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条