2005年定义了新规范,以解决DNS缺乏安全性的问题。 DNS安全扩展(DNSSEC3)提供原始身份验证,数据完整性和经过身份验证的拒绝存在。但是,规范并未涉及可用性或机密性。 DNSSEC的主要目标是排除DNS欺骗或DNS缓存中毒。
DNSSEC的采用仍然是一项长期挑战,实施进展缓慢。根据ISOC4,.com中仅有约0.5%的区域已签署。这是因为与DNS相比,DNSSEC很复杂,会给DNS带来计算和通信开销,并且需要对组织进行重大的基础架构更改。
由于DNS协议中缺少内置的安全机制,所以应该首先考虑DNS基础结构保护。具体而言,DNS安全性需要重新考虑周边安全性。许多组织通过配置DNS防火墙和/或可行的DNS服务器来解决DNS安全问题,使得外围无人看管。
但由于以下原因,这种方法是不够的:
1、容量ddos攻击。正如Mirai所证明的那样,这些攻击威胁到整个基础设施,并可能使互联网管道饱和。在网络内部配置安全解决方案对这些威胁毫无用处。一个可行的周边安全解决方案是保护网络的关键。
2、有状态设备的风险。DNS防火墙和DNS服务器跟踪会话状态,因此无法承受和处理消耗其所有资源并导致故障的大量攻击。无状态周边安全解决方案可以防止体积泛滥。
3、是时候缓解了。DNS防火墙或DNS服务器需要双向部署,因为它们跟踪DNS请求和DNS操作的响应。他们通常依靠错误的DNS响应进行攻击检测,这可能导致更长的缓解时间。在此期间,允许不良请求进入受保护的服务器。在某些情况下,表示攻击的错误响应只需要很长时间。对于因错误请求而过载的递归DNS服务器尤其如此。周边安全解决方案基于Ingress的检测和缓解可防止请求的DNS被输入DNS服务器。
没有正确保护DNS基础设施就像为网络罪犯留下一个开放的窗口,让他们可以免费访问您的网络和资源,并冒着在线业务可用性的风险。 DNS始终是安全性中最薄弱的环节吗?如果您了解风险并实施正确的保护措施,就不用担心。
作者:Radware
来源:https://blog.radware.com/security/2018/08/dns-attack-security-challenges/
原文链接:https://www.dns.com/news/880.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23490
