南宫28


 

南宫28歹意软件横行 DNS“功”不行没

日期:2021-07-18 20:44:10 浏览次数:55 分类:下一代DNS 来源:南宫28登录入口 作者:ng28南宫娱乐官网

  DNS作为网络基础设施的一个底子部分,关系到企业的生产力,但正是由于DNS运用的这种普及性和不行代替性,它又是一个首要的进犯途径。虽然许多企业正在竭尽全力地应对网络安全要挟,以期能检测和躲避常见及专业的网络进犯,但惋惜的是,大多数企业并没有对DNS安全起到满足的注重,使企业的数据、财物和诺言都处在风险之中。思科2016年度安全陈述指出,近91.3%的“已知不良”歹意软件被发现运用DNS作为首要手法,但68%的企业却疏忽了这个问题,并没有对DNS解析器进行监测,思科十分形象地把这称作“DNS盲点”——DNS是互联网上最常见的协议,但它却成为了最简单被忽视的。

  为什么是DNS?进犯者会捉住任何互联网服务或协议的缝隙来建议进犯,这当然也包含DNS。思科2016年安全陈述显现,歹意软件一般经过DNS完成指令与操控(Command and Control)信道、盗取数据和重定向流量等三个意图。

  进犯者曾运用许多信道与他们的僵尸网络或歹意主机通讯,比方TCP、IRC或HTTP等,但经过这些通道的歹意软件流量都可以被防火墙等网络安全设备或计划检测到并阻挠。但关于DNS而言状况却并非如此。由于DNS服务的不行代替性,而企业又缺少对DNS安全的注重,所以简直一切类型的网络都会答应DNS数据报文不受约束地拜访网络,而不对其流量进行过滤或查看。歹意软件正是运用了这一点,经过在DNS协议中构建地道,进行指令操控和数据渗漏。比方经过DNS呼应来接纳指令,并运用DNS查询恳求,传送盗取到的数据,如用户或企业的灵敏信息。运用DNS地道技能的进犯近年来逐步上升,规划也越来越大,比方2013年针对Target、2014年针对Sally Beauty和家得宝的进犯,都是将盗取的数据伪装在DNS查询到数据包中外泄出去;而针对POS(Point of Sale销售点)的歹意软件族NewPosThings在本年四月也呈现了新的变种Multigrain,客户端感染Multigrain歹意软件后,Multigrain会运用精心设计的DNS恳求包告知进犯者现已成功在方针主机进步行了装置,之后它会抓取方针机上的信用卡数据(如账号密码等),将数据进行加密后,每隔5分钟运用DNS查询将新的数据发送给进犯者。除了地道技能,当客户端与受感染或歹意的DNS服务器进行交互的时分,正常的域名恳求呼应或许由于DNS缓存投毒或DNS重定向而被劫持,引导至歹意网站或被歹意代码感染。

  当然,除了歹意软件,还有许多网络进犯也离不开DNS,比方APT进犯、垃圾邮件、僵尸网络和挂马网站等,它们都在运用DNS乘机进犯企业的网络。依据Forrester(一家独立的技能和市场调研公司)最新发布的亚太地区缝隙办理趋势调研陈述显现:在曩昔的一年中,80%的公司曾遭受至少一次的进犯,最常见的是垂钓和根据DNS的进犯。

  虽然DNS是许多进犯的源头,但大多数企业并没有对DNS基础设施进行监控。关于他们来说,DNS或许仅是一种实用东西,是在后面运转的体系,只需DNS能正常运转,那些隐藏在DNS流量之下的风险就可以忽视不管了。不能任由DNS躺在那里,门户大开了。为此US-CERT(United States Computer Emergency ReADIness Team美国计算机应急小组)提出应操控企业内网到外网的DNS流量来确保DNS恳求和呼应的安全性:即只能向企业内部被授权的DNS缓存域名服务器建议恳求和接纳呼应,不答应直接运用外网DNS体系。具体措施包含自建企业DNS缓存服务器,对企业DNS流量进行监控和过滤,除了内网DNS缓存域名服务器和授权域名服务器,对一切向53端口发送和接纳的UDP和TCP流量进行阻挠和过滤。除了这些具体措施,国内DNS解决计划供给商泰策也一再强调DNS基础设施建造的重要性,呼吁企业赶快树立自己的DNS体系:一方面临DNS流量进行必要的监控和办理,这是检测潜在歹意网络活动的一个重要东西;另一方面临DNS数据报文进行剖析和处理,阻断对歹意链接的拜访,防止垃圾邮件、挂马网站、僵尸网络和垂钓网站的损害。此外,执行DNS基础设施建造也不仅仅是一项有备无患的行动,DNS数据中有很多的信息可向企业供给网络内部产生的状况,在企业遭受根据DNS的安全要挟时,DNS就有了更多的用武之地,很多的DNS数据记载可协助网络安全人员分提取有用信息、进行必要的取证和防护处理。总归,DNS是一切在线服务的安身之本,DNS安全触及企业安全底子,注重DNS,正是此时。


南宫28