網絡域名管理者互聯網名稱與數字地址分配機構(ICANN)近日發布消息稱�����,DNS基礎設施的關鍵部分存在持續且重大的安全更新����。ICANN通過域名系統(DNS)來監督管理全球的互聯網通信地址���,系統將用戶在瀏覽器中輸入的地址轉換成為唯一的數字地址��,從而讓用戶訪問對應的網站��。不過ICANN本周五發布公告稱����,DNS基礎設施正成為“惡意活動”的攻擊目標�。
針對此類DNS攻擊����,ICANN呼吁全面部署“域名系統安全擴展”(DNSSEC)����。 DNSSEC是一種對數據進行數字“簽名”的有效技術��,可以阻止受害者重定向至惡意網站���。通過部署DNSSEC��,可以有效阻止“中間人”攻擊方式����。通過這種攻擊方式�,欺詐者可以將受害者重定向至精心制作的虛假網站���,并誘騙他們提供登錄憑證����、付款信息以及其他個人信息����。
雖然ICANN承認他們提出的解決方案(包括全面部署DESSEC)無法解決所有互聯網的安全問題�����,但應該可以有效降低網絡安全風險���。不過目前DESSEC的部署情況并不樂觀�����,財富1000強企業中DNSSEC的使用量低至3%�。雖然這個數字現在增加到20%����,但距離全面部署仍有很長的路要走���。
什么是DNSSEC
隨著互聯網應用的不斷深化����,DNS已然成為網絡攻擊的熱點目標���,典型攻擊包括DDoS攻擊��、放大攻擊�、遞歸攻擊�、緩存投毒����、修改域名注冊信息�����、隧道攻擊���、資源鎖定攻擊等��,越來越多的基于DNS的攻擊已經嚴重影響到用戶的網絡安全�����,使用戶的數據���、資產和信譽都處于風險之中��。
以緩存投毒(Cache Poisoning)為例�,通過向DNS服務器的本地緩存中注入非法數據��,將用戶正常的域名訪問請求引導至攻擊者服務器���,而黑客將在 DNS 系統中發現的漏洞(如漏洞VU#800113)與技術進步相結合����,大大縮短了劫持DNS 查找過程的任一步驟所需的時間��,從而可以更快地取得對會話的控制以實施某種惡意操作(如將用戶引導至惡意網站等)���,若要在技術上消除這樣的安全隱患�,一個有效的解決方案是以端到端的形式部署一種稱為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的安全協議�����。
DNSSEC是將一個特殊簽名添加到root�、TLD和授權名字服務器�,從而為該區域建立一條信任鏈����。DNSSEC能使區域確保DNS請求的應答沒有被篡改�,簡言之�,DNSSEC是通過將公鑰密碼系統引入DNS的層次結構�,從而為域名系統生成一個開放的全球公鑰基礎設施(PKI)�,以此提高DNS的安全性���。
