早期數(shù)據(jù)顯示�����,2020年里大型分布式拒絕服務(DDoS)攻擊相對平靜���,但這是否意味著2021年會延續(xù)這一風平浪靜的趨勢呢?盡管誰都知道網(wǎng)絡安全預測不易���,還是有專家指出���,DNS安全的發(fā)展令網(wǎng)絡罪犯只有改變策略才能茍延殘喘。
NS1共同創(chuàng)始人兼首席執(zhí)行官 Kris Beevers 稱:當前市場的關注重點不在大型DDoS攻擊上���,但背后的暗戰(zhàn)從來沒缺席��。雖然小型高針對性DDoS攻擊是網(wǎng)絡安全領域常見特征�,但2016年Mirai驅(qū)動的大型DDoS攻擊之后出現(xiàn)的安全投資與改善已經(jīng)大幅增加了域名服務器被利用為攻擊工具的難度�����。
InfoBlox工程執(zhí)行副總裁兼首席DNS架構(gòu)師 Cricket Liu 也這么認為:
提升DNS安全��,讓黑客更難以利用DNS服務器進行DDoS攻擊的一個重要方面是所謂RRL(響應速率限制)的實現(xiàn)���。實現(xiàn)RRL后某IP地址對單個域名的解析請求只會得到DNS服務器有限次數(shù)的響應���,可以降低用流量洪水淹沒受害者的可能性。
另一個提升DNS安全的進展是DNSSEC的普及�����。DNSSEC是防止DNS請求/響應偽造的一套系統(tǒng),要求服務器經(jīng)可信證書驗證和簽名�。Liu表示,DNSSEC的采納持續(xù)增長��,但不同國家和頂級域名間的采納并不均衡���。比如說���,.com和.net的DNSSEC采納率就遠低于其子域名,而瑞典和比利時的采納率非常之高��。
對使用公共DNS解析的個人和公司企業(yè)而言����,安全消息不斷向好。谷歌����、Open DNS和Quad9等托管的公共遞歸DNS服務器就采用了RRL和DNSSEC技術處理所有交易。
注:“遞歸”DNS服務器用于向客戶端響應具體URL的地址����!皺(quán)威”DNS服務器則提供IP地址映射�����,供遞歸DNS服務器用于響應查詢請求�����。
Quad9是由供應商聯(lián)盟運營的非盈利服務�����,其執(zhí)行總監(jiān) John Todd 稱:該服務目前在全球82個國家運營有137個服務器����。這些服務器采用各種各樣的技術,每天封堵的惡意事件超過1000萬起���,有些天甚至高達4000萬起之多�����。
所用技術之一就是增強DNS查詢安全的DNSSEC�����,另一個是通過援引19家合作伙伴的聚合威脅情報饋送來封鎖已知惡意URL解析�,例如已確知裝載了惡意軟件或網(wǎng)絡釣魚鏈接的網(wǎng)站。
隨著互聯(lián)網(wǎng)用戶越來越關注流量安全�,Quad9的采納率也開始增加,增長率近乎每周25%�。安全是核心,DNSSEC�、對冗余的需求,還有公共和私有云基礎設施技術棧的統(tǒng)一趨勢���,都是未來將要發(fā)生的大事件���。
至于近期DNS安全的進一步改善,可以關注DNS命名實體身份驗證(DANE)�����。
IETF RFC 6698 中描述的DANE允許將證書信息放入對查詢的響應中��,以便查詢者了解該響應是否受到合法證書的保護��。從不太道德的證書頒發(fā)機構(gòu)獲取假證書相對容易�,DANE可以挫敗這種欺騙手法。這是一種有趣又有用的DNS應用,還有助于驅(qū)動DNSSEC的采納���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
