互联网名称与数字地址分配机构(ICANN)的首席技术官David Conrad于近日在我们与其它互联网机构合作的网络研讨会上发表了主题演讲。下文概括了他对域名系统(DNS)生态系统及其漏洞和防范措施的详细说明。
我们所知的互联网很大程度上依赖DNS运行。DNS类似于互联网的电话薄,将域名转化为IP地址,让用户无需使用一长串数字,只需用名字即可快速搜索网站。DNS并非单个实体,它由互联网协议、命名空间和服务组成;其生态系统不断扩展,涵盖软件、服务配置其它。
DNS协议于1983年发明,目的是用简单的查询响应模式,让互联网使用更轻松便捷。树形结构设计提供了升级空间;每层域名,例如顶级域名都可独立管理。随着DNS生态系统不断扩展,内容日趋多元化——包括软件、注册局、网络运营商、托管服务提供商和其它——复杂的DNS系统面临的安全性挑战也越来越多。
David分享道:“DNS是互联网至关重要的一环,庞大而复杂的DNS生态系统拥有无数水平参差不齐的参与者,构成了(非常)大的攻击面。”
最初开发和制定DNS时并未制定针对数据损坏的防护措施,安全性也不是当时关注的重点。下表列出了DNS生态系统的漏洞及防范措施。
近期DNS遭受过的各个方面的攻击:
- MyEtherWallet.com
通过路由系统攻击和DNS缓存投毒的方式,攻击DNS协议和服务,将用户重定向至一个俄罗斯网站,导致15万美元被盗。
- 与新冠肺炎相关的攻击
攻击DNS命名空间。域名注册量激增,其中一小部分与新冠肺炎相关的域名主要用于网络钓鱼、恶意软件传播和发送垃圾邮件,其中绝大部分明显为停靠域名。
- DNSpionage恶意软件与海龟
攻击DNS服务开通和命名空间,顶级域名的注册局与注册商被攻击,极大可能是因未修补的系统而引起的。
DNS提供了广泛使用的互联网核心服务,再加上较大的攻击面,使DNS生态系统成为绝佳(和频繁的)的攻击目标。尽管它有不断升级,以期提高效率、安全性和功能,如DNSSEC。但从DNS协议本身的漏洞到DNS在运营时的部署方式来看,DNS的各部分及其大型生态系统都有各自的漏洞。因此,修补漏洞需要生态系统中的各方共同参与,从注册商到注册局、DNS运营商到软件开发商、终端用户到政府,缺一不可,如此才能确保DNS和互联网的安全性。
点击此处观看网络研讨会视频,了解David Conrad的完整发言和细节。 >>
来源:freebuf.com 2020-09-25 12:58:57 by: CSCDigitalBrandServices
请登录后发表评论
注册