「idc是什么缩写」DNS安全威胁及未来发展趋势的研究

  随着互联网日新月起的快速发展,对于互联网的“中枢神经系统”DNS现已成为最为重要的基础服务。DNS(domain name system,域名系统)是互联网上最为关键的基础设施,其主要作用是将易于记忆的主机名称映射为枯燥难记的 IP 地址,从而保障其他网络应用顺利执行。DNS 服务已经深入到互联网的各个角落,成为互联网上不可或缺的关键一环。DNS 主要包括 3 个组成部分,分别是:域名空间(domain name space)和资源记录(resource record);名字服务器(name server);解析器(resolver),如图示:


「idc是什么缩写」DNS安全威胁及未来发展趋势的研究
「idc是什么缩写」DNS安全威胁及未来发展趋势的研究
「idc是什么缩写」DNS安全威胁及未来发展趋势的研究

图3.CNNIC权威部门调查问卷结果

  然而近年来对互联网安全性的研究主要集中在信息安全方面,通常使用认证(authentication)和加密(encryption) 等手段来保证信息的机密性(confidentiality)和完整性(integrity),但这是以互联网基础设施安全可靠为前提的,针对关键设施的安全事件频繁发生(如DNS 欺骗和路由重定向)使得这一假设受到前所未有的挑战,暴露出各种各样的漏洞。现今IT支撑系统变得越来越复杂,网站系统、APP应用、邮件系统、财务系统、ERP系统等层出不穷,由于DNS系统传统上是薄弱环节网络攻击事件频发,DNS作为互联网络的第一道大门也遭受到了一系列的攻击,导致互联网通信收到严重影响,尽管已经有30多年的历史,DNS仍然是整个互联网中最脆弱的一环。

  DNS安全事件回顾

  2009年5月19日南方六省断网事件。游戏私服私斗打挂dnspod,殃及暴风影音域名解析,进一步殃及电信运营商本地DNS服务器,从而爆发六省大规模断网的事故。

  2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(IranianCyber Army)劫持,然后导致无法访问。事件持续时间8小时。

  2011年9月5日,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。

  2012年2月16日,黑客组织匿名者(Anonymous)对外宣称,将在3月31日攻击DNS的13个根服务器,以达到让全球互联网瘫痪的目的。

  2013年8月25日CN域被攻击事件。cn域dns受到DDoS攻击而导致所有cn域名无法解析。

  2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染。

  2015年11月30日DNS根服务器攻击事件。13个根服务器大都受到了攻击,攻击者对根服务器发起了针对两个特定域名的数十亿次无效查询请求。

  2015年12月14日土耳其国家域遭攻击。黑客组织匿名者(Anonymous)宣布自己是40Gbps DDoS的网络攻击发起人,并表示该攻击跟反ISIS行动相关。

  由此可见,应将DNS域名系统的安全稳定从网络安全角度的重要性提升至最高级别。

  二、DNS安全威胁

  作为当前全球最大最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,再加上人为攻击和破坏,DNS系统面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。


「idc是什么缩写」DNS安全威胁及未来发展趋势的研究
「idc是什么缩写」DNS安全威胁及未来发展趋势的研究

图5. 脆弱性示意图

  2.针对DNS的DDoS攻击

  DDoS (Distributed Denial ofservice)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。主要表现特征如下:

  2.1按攻击发起者分类

  僵尸网络:控制僵尸网络利用真实DNS协议栈发起大量域名查询请求。

  模拟工具:利用工具软件伪造源IP发送海量DNS查询。

  2.2按攻击特征分类

  Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS查询请求。

  资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的。


「idc是什么缩写」DNS安全威胁及未来发展趋势的研究
「idc是什么缩写」DNS安全威胁及未来发展趋势的研究

图6. DNS欺骗示意图

  3.3 DNS信息劫持 :攻击者监听DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端。

  3.4 DNS重定向 :将DNS名称查询重定向到恶意DNS服务器。


「idc是什么缩写」DNS安全威胁及未来发展趋势的研究
「idc是什么缩写」DNS安全威胁及未来发展趋势的研究

图6. DNS安全评估有向图

  2.基于DNS域名系统关键路由点防护

  DNS域名系统防护关键路由的第一要点为如何定位。DNS关键路由发现需要对目标NS服务器进行分布式路由探测,然后将探测结果进行分析和综合,最终找到大部分路由的汇接点。探测结果的准确性依赖于测试机的分布情况,测试机分布越广泛,探测结果就越准确。通过对 DNS 系统的关键路由进行防护,能够有效分析造成网络时延的成因并定位故障点,极大改善整个互联网的性能和QoS服务质量,并对互联网关键基础设施的规划建设和安全防护起到很好的指导作用。

  3.DNS 异常检测和安全防护

「idc是什么缩写」DNS安全威胁及未来发展趋势的研究


热门推荐
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。