元器件交易网-中发网全新升级平台
关注我们:
首页 > 业界新闻 > 正文

提升DNS安全 限制DDoS攻击

早期数据显示,2018年里大型分布式拒绝服务(DDoS)攻击相对平静,但这是否意味着2019年会延续这一风平浪静的趋势呢?尽管谁都知道网络安全预测不易,还是有专家指出,DNS安全的发展令网络罪犯只有改变策略才能苟延残喘。

提升DNS安全 限制DDoS攻击0

NS1共同创始人兼首席执行官 Kris Beevers 称:当前市场的关注重点不在大型DDoS攻击上,但背后的暗战从来没缺席。虽然小型高针对性DDoS攻击是网络安全领域常见特征,但2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击工具的难度。

InfoBlox工程执行副总裁兼首席DNS架构师 Cricket Liu 也这么认为:

提升DNS安全,让黑客更难以利用DNS服务器进行DDoS攻击的一个重要方面是所谓RRL(响应速率限制)的实现。实现RRL后某IP地址对单个域名的解析请求只会得到DNS服务器有限次数的响应,可以降低用流量洪水淹没受害者的可能性。

另一个提升DNS安全的进展是DNSSEC的普及。DNSSEC是防止DNS请求/响应伪造的一套系统,要求服务器经可信证书验证和签名。Liu表示,DNSSEC的采纳持续增长,但不同国家和顶级域名间的采纳并不均衡。比如说,.com和.net的DNSSEC采纳率就远低于其子域名,而瑞典和比利时的采纳率非常之高。

对使用公共DNS解析的个人和公司企业而言,安全消息不断向好。谷歌、Open DNS和Quad9等托管的公共递归DNS服务器就采用了RRL和DNSSEC技术处理所有交易。

注:“递归”DNS服务器用于向客户端响应具体URL的地址。“权威”DNS服务器则提供IP地址映射,供递归DNS服务器用于响应查询请求。

Quad9是由供应商联盟运营的非盈利服务,其执行总监 John Todd 称:该服务目前在全球82个国家运营有137个服务器。这些服务器采用各种各样的技术,每天封堵的恶意事件超过1000万起,有些天甚至高达4000万起之多。

所用技术之一就是增强DNS查询安全的DNSSEC,另一个是通过援引19家合作伙伴的聚合威胁情报馈送来封锁已知恶意URL解析,例如已确知装载了恶意软件或网络钓鱼链接的网站。

随着互联网用户越来越关注流量安全,Quad9的采纳率也开始增加,增长率近乎每周25%。安全是核心,DNSSEC、对冗余的需求,还有公共和私有云基础设施技术栈的统一趋势,都是未来将要发生的大事件。

至于近期DNS安全的进一步改善,可以关注DNS命名实体身份验证(DANE)。

IETF RFC 6698 中描述的DANE允许将证书信息放入对查询的响应中,以便查询者了解该响应是否受到合法证书的保护。从不太道德的证书颁发机构获取假证书相对容易,DANE可以挫败这种欺骗手法。这是一种有趣又有用的DNS应用,还有助于驱动DNSSEC的采纳。

声明: 本网站原创内容,如需转载,请注明出处;本网站转载内容(文章、图片、视频等资料)的版权归原网站所有。如我们转载或使用了您的文章或图片等资料的,未能及时和您沟通确认的,请第一时间通知我们,以便我们第一时间采取相应措施,避免给双方造成不必要的经济损失或其他侵权责任。如您未通知我们,我们有权利免于承担任何责任。 我们的联系邮箱:news@cecb2b.com。

买正品元器件就上天交商城!

扫描左侧的二维码

科技圈最新动态一手掌握
每日砸蛋,中奖率100%

责任编辑:文仁露