Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能且经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展业务。
域名系统 (DNS) 是互联网的基础组成部分。DNS 用于将人类可读的域名(如 www.example.com)转换为机器可读的 Internet 协议 (IP) 地址,如 168.192.123.145。DNS 允许用户使用熟悉的名称来访问网站,而不必输入一长串数字。
尽管 DNS 基础架构至关重要,但在其最初的设计中,并未考虑到如何抵御黑客用于获取 IT 系统访问权限或中断 IT 运营的多种网络威胁。DNS 安全是实施安全措施和协议来抵御域名系统中的漏洞的任务。
域名系统的基础知识
DNS 协议通常被称为“互联网电话簿”,因为它可以将网站名称(域名)与一串数字(IP 地址)相匹配,使计算机能够快速地找到网站的正确地址。
每个网站的名称和 IP 地址都存储在位于世界某个地方的权威域名服务器上。为了加快连接速度并避免权威服务器出现拥塞,DNS 系统还会使用递归 DNS 服务器(即,DNS 解析器),这些服务器通常由互联网服务提供商 (ISP) 提供。当某个用户在浏览器中键入网站的名称时,该用户的设备会首先联系附近的递归 DNS 服务器,以请求获取网站的 IP 地址。
由于递归 DNS 服务器会保留许多常用网站的 IP 地址的缓存,因此它们通常可以通过即时提供正确地址来响应 DNS 查询。如果递归服务器没有当前地址,那么它将联系其他递归 DNS 服务器,或者最终联系权威域名服务器以获取准确的 DNS 记录。此过程通常速度非常快,因此大多数用户都不会察觉到 DNS 进程的存在。
然而,DNS 容易受到许多网络威胁的影响,这些威胁可能会中断 DNS 响应并造成服务器崩溃或运行速度下降,进而导致页面加载速度缓慢或用户无法访问互联网上的站点。
DNS 安全面临的主要威胁
常见的 DNS 安全威胁包括:
- DDoS 攻击和泛洪攻击:分布式拒绝服务 (DDoS) 攻击会向 DNS 服务器发送海量的 DNS 记录查询请求,导致这些服务器不堪重负,进而运行速度下降或发生崩溃。DDoS DNS 攻击通常会利用僵尸网络,该网络由感染了恶意软件的计算机组成,攻击者可以控制这些计算机,并指挥它们向 DNS 服务器发送海量流量。
- NXDOMAIN DDoS 攻击:此方法通过请求不存在或无效的记录来使系统过载,并导致 DNS 服务器和支持基础架构运行速度下降或发生崩溃,从而使 DNS 服务器不堪重负。
- DNS 隧道:由于 DNS 是一种受信任的通信协议,因此许多 IT 环境都允许 DNS 流量自由进出其网络。而攻击者会利用这种信任,将 DNS 用作隐蔽的通信渠道来逃避防火墙的检测。DNS 隧道使网络犯罪分子能够从 IT 环境中窃取敏感数据,或者控制 IT 系统中遭到入侵的设备并与其进行通信。
- DNS 欺骗式攻击或 DNS 缓存中毒:这种类型的 DNS 安全威胁会将经过伪造的 DNS 数据引入 DNS 解析器的缓存中,导致 DNS 服务器返回错误的域 IP 地址。此技术通常用于分发恶意软件和勒索软件或者用于窃取登录凭据。
- DNS 劫持:此技术使网络犯罪分子能够使用遭到入侵或恶意的 DNS 服务器将用户发送到虚假的恶意域,而不是他们要寻找的地址。
- 域名封锁:攻击者可以通过与服务器建立基于 TCP 的连接,并持续发送垃圾数据包或随机数据包来耗尽其所有带宽,从而“封锁”DNS 解析器。这会导致服务器无法响应合法请求。
为什么 DNS 安全至关重要
DNS 安全是全面网络安全计划的关键组成部分。由于 DNS 是互联网不可或缺的组成部分,因此未能提供 DNS 安全保障可能会导致企业遭受各种网络攻击——包括数据泄露、多种类型的勒索软件,以及大规模 DDoS 攻击,这些攻击能够中断业务并威胁到企业的盈利能力。随着 IT 环境变得更加分散,并且由于数以百万计的物联网设备将攻击面扩大到传统网络边界之外,DNS 安全变得比以往任何时候都更加重要。出色的 DNS 安全保障可以帮助企业防范数据丢失、隐私威胁和业务中断。
DNS 安全的运作方式
DNS 安全解决方案提供了多道防线来保护 DNS 运行。先进的 DNS 安全解决方案会利用机器学习、AI 和增强型安全协议来实时检测并抵御威胁。卓越的 DNS 安全技术依赖于高级威胁情报,这些情报可自动检测 DNS 流量中的异常情况、自动执行事件响应,并与其他网络安全系统进行集成。
DNS 安全最佳实践
要增强 DNS 安全保障,企业和 IT 团队可以采用几种关键做法。
- DNS安全扩展 (DNSSEC):此安全协议通过允许对响应的真实性进行验证,为 DNS 系统增加了一层额外的安全保障。域名系统安全扩展协议通过使用数字签名来防止攻击者篡改 DNS 数据或对这些数据投毒,从而确保查找中返回的 DNS 记录准确无误并且未遭到恶意修改。
- DNS 过滤:此技术可筛选并阻止对不需要或恶意网站的 DNS 请求,以降低恶意软件感染和数据外泄的风险。
- DNS 防火墙:DNS 防火墙可以阻止对已知恶意域的请求,并提供用于阻止 DDoS 或放大攻击的速率限制功能。
- 安全 DNS 服务器:支持“通过传输层安全协议 (TLS) 查询 DNS (DoT)”或“通过 HTTPS 查询 DNS (DoH)”的 DNS 服务器可对 DNS 流量进行加密,从而防止攻击者操纵或窃听 DNS 流量。
- 定期更新:定期更新 DNS 服务器并应用安全补丁可帮助防范已知的 DNS 安全漏洞和威胁。
- 安全意识:针对可能遇到的威胁类型(尤其是网络钓鱼消息)对最终用户进行培训,可以显著降低攻击得逞的发生率。
- 提高容量:为了有效抵御 DDoS DNS 攻击,企业可以通过部署多个冗余的 DNS 服务器来增加额外容量,以便在一台服务器遭受攻击时仍然能够处理请求。
常见问题
大多数 DNS 威胁都属于以下四种攻击媒介之一。容量耗尽型攻击会向 DNS 服务器发送大量请求,导致这些服务器运行速度下降或发生崩溃。协议滥用攻击会以意外的方式使用 DNS 来窃取数据或进行网络钓鱼攻击活动。隐蔽型或慢速渗透型 DNS 攻击会通过持续发送逐渐耗尽 DNS 服务器容量的特定请求来降低其性能或中断服务。漏洞利用威胁会利用 DNS 服务、协议或操作系统中的缺陷或漏洞。
DNS 数据外泄是一种技术,它使黑客能够通过将数据嵌入 DNS 数据包中来窃取 IT 系统中的数据。由于安全服务和防火墙通常信任 DNS 通信并且不会对其进行过滤,因此隐藏在 DNS 流量中的数据不太可能触发安全告警。