DNS攻击频发,打造防劫持DNS需强化“数据治理”理念
数字化转型时代,“一物多址,万物互联”正依托于DNS(域名系统)实现,DNS的重要性不言而喻。然而传统DNS协议存在诸多安全隐患,整个明文传输过程几乎没有认证与保护,导致DNS报文易被篡改,缓存系统易被投毒,影响系统的稳定性和可靠性。什么是子域名劫持,企业又如何打造“高安全,高容量,高隐私,高动态,可观测”的防劫持DNS系统?本文为你解析。
导致DNS劫持的常见原因
DNS劫持通常发生在网络中某个节点处,是指在浏览器访问网站时,恶意程序或黑客将域名解析到错误的IP地址,导致用户无法正常访问网站或被导向其他网站。DNS遭到劫持的企业中不乏知名品牌,如MSN、VMware、康奈尔大学等……对于用户来说,导致DNS劫持主要有网络设置问题、路由器劫持以及运营商问题三种常见原因。
与此同时,通过利用DNS区域委派配置上出现的疏忽,攻击者可以狡猾地利用其可信度和被盗资源来绕过安全措施,控制网站的子域。无论是企业还是小企业,若未能确保子域名的安全,都可能导致DNS劫持事件发生,因此打造防劫持DNS至关重要。
防劫持DNS需强调“数据治理”理念
除了作为通信的基本技术核心外,DNS是企业对外提供永续数字服务的第一关键。当前企业对数字化转型进一步深入,现代及边缘应用的部署更加广泛,这对企业DNS这一关键数字基础设施的建设提出了更高的要求。在打造防劫持DNS系统的过程中,企业应采取积极主动的预防策略。
企业可以通过监控CNAME记录、移除宽松的SPF设置、监控SPF策略以及启用DMARC等策略。DNS系统也需要具备足够的抗攻击性,需要能够抵御放大攻击、畸形报文、水滴攻击,枚举等来保护权威服务器;需要能够做到识别内网DNS Tunnel,防止攻击者利用DNS Tunnel 向C2服务器发送指令与信息;在遭受DDOS时候,不应简单的一刀切的方式采取暴力限流措施,而是能够在DDOS防御与提供基础解析服务之间寻求平衡,加强数据分析与洞察,从而建立强大的防劫持DNS防线。
值得注意的是,防劫持DNS并不是一劳永逸的。为此,F5公司集结了数位DNS领域专家编写了《企业DNS建设白皮书》,立足通用,可落地以及前瞻性,为企业提供行之有效的参考指南,从而降低对应用和用户带来的损害。