域名系统其实不堪一击
开放DNS 服务器 是引爆整个欧洲互联网的定时炸弹?在Spamhaus遭受攻击的事件中,攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。攻击过程使用了约3万台开放DNS服务器,攻击者向这些开放DNS服务器发送对ripe.net域名的解析请求,并将源IP地址伪造成Spamhaus的IP地址,DNS请求数据的长度约为36字节,而响应数据的长度约为3000字节,经过DNS开放服务器反射将攻击流量轻松放大100倍。攻击者只需要控制一个能够产生3Gbps流量的僵尸网络就能够轻松实施300Gbps的大规模攻击。而攻击过程中,每个DNS服务器发出的流量只需要10Mbps,这样小的攻击流量很难被DNS业务监控系统监测到。事实上,开放DNS服务器在互联网上数目庞大,远不止3万台。互联网如果继续保持开放DNS服务器的无管理状态,利用开放DNS系统发起的DNS反射攻击事件就会越来越多,攻击规模也会越来越大。本次攻击事件让人们意识到:开放DNS服务器是互联网的定时炸弹,如果不加以治理,未来的某一天将会爆发更大规模的DDoS攻击。
中国互联网系统依然脆弱。.CN域名受攻击导致访问延迟或中断,部分网站的域名解析受到影响。攻击影响了超过800万个互联网用户在中国域名.CN注册的网站的访问,其中包括流行的社交网站新浪微博。大量新浪微博用户抓狂,因为出现了首页无法刷新、评论被全部清空等“症状”。独立情报分析专家艾德认为,此次网络攻击暴露出整个中国网络的脆弱性,“如果所有以.CN结尾的网站,因一个简单的拒绝服务攻击就被击垮的话,那么中国互联网系统比我们原先想象的更脆弱。很显然,中国网络安全有待完善和提高。”专家称,日益频发的域名系统安全事件,暴露出域名系统相关技术还不够成熟,需要持续提升完善。
保护域名安全任重道远
如果把一个网站比作一座房子,那么域名就是这座房子的门,而这扇门拥有许多功用,它是别人访问网站的必经之地,同时也是保护网站的重要所在,所以保护好域名的安全,相当于保护一个网站的安全。而DNS,相当于钥匙,在保护域名的安全中起着至关重要的作用。据域名工程中心发布的《2013年互联网根和顶级域名发展报告》显示,截至2013年8月12日,ICANN共收到了来自全球111个国家和机构的1822个新通用顶级域名申请。这也就意味着,在短时间内,像.com一样的千余个新通用顶级域名即将上线,并面向公众开放注册。随着越来越多的域名即将涌现,域名安全问题将因此受到更大的挑战。
据知名科技公司Prolexic的统计,2013年第三季度,DDoS攻击的数量比2012年同期增长了58%,攻击时长延长了13.3%。出于对域名系统战略意义的考虑,美国、德国、日本、韩国等国家都对域名系统给予了高度重视。在基础设施、联动机制、安全意识、立法、国际合作方面,我国政府和互联网行业已有所行动,并将继续加强诸方面的工作。
强化国家域名系统基础设施的建设。据域名工程中心技术监测数据显示,国内的域名服务器总量为100万台左右,活跃域名服务器数量为7万台, 62%以上的权威域名服务器使用开源的Linux系统,微软Microsoft WINDOWS操作系统所占比例在36%左右, 95%以上的域名服务器使用开源的ISC BIND域名解析软件。可以看出,从域名服务器操作系统到域名解析软件,几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小,但也方便黑客借助其软件漏洞进行网络攻击。CNNIC执行主任李晓东建议,要从国家战略高度进一步提升对域名系统的重视程度。面对日益严峻的国际政治形势和网络安全态势,亟须进一步从国家层面加大投入,强化国家域名系统基础设施的建设,在网络带宽、机房环境、运行保障、应急协调等方面确保充足的资源支撑。加大对芯片、操作系统、数据库等基础和关键信息技术攻关的支持力度,对重点领域和关键部门采用的进口信息技术产品和系统进行安全测评,推动国产替代进程,确保自主可控。
域名系统安全联动机制需进一步完善。除了扩充国家域名的绝对数量外,各相关方的配合联动同样非常重要。要定期进行黑客攻击模拟演练,聘请专业的安全人员协助相关运营方进行漏洞查明和修补。采取及时修补漏洞等手段加强信息安全防护,通过增加.CN顶级域名服务器数量、调整服务器部署模式等手段提升服务能力,通过增强在态势感知、信息共享、应急响应等方面的能力打造多位一体的互联网安全监管体系。事先需要制定好应急预案和应对措施,如业务的自身调整、与运营商的沟通和应急措施同步。当DDoS攻击发生时,需要多个部门间快速响应,实施应急方案和及时同步处理结果。
增强域名安全防范意识。国内域名注册商易名中国分析了近年来众多域名安全事件,最终总结了域名被盗流程大致是:盗取邮箱账号和盗取域名所在服务商账号,登录邮箱就可以找回在域名服务商注册域名的密码。通过这一流程不难看出,导致域名被盗的关键还是域名持有者的安全意识,除了增强域名安全防范意识之外,更为科学的验证信息流程也至关重要。
DDoS攻击渐成主流攻击方式
常见的域名安全问题有域名信息更改、域名劫持、中间人攻击等形式。DDoS攻击,即分布式拒绝服务攻击,是目前黑客经常采用而难以防范的攻击手段。黑客一般是通过制作僵尸网络的方式攻击域名,即在计算机中植入特定的恶意程序控制大量“肉鸡”(指可以被黑客远程控制的机器),然后通过相对集中的若干计算机向相对分散的大量“肉鸡”发送攻击指令,引发短时间内流量剧增。知名科技公司Arbor Networks发布的《全球基础设施安全报告》中指出,DDoS攻击在规模上趋于稳定,但却更加复杂。同时,DDoS攻击已经成为高级持续威胁(APT)的一部分,而APT则成为服务提供商和企业的头等大事。
针对应用层的DDoS攻击事件上升趋势明显。华为云安全中心的统计数据显示,针对HTTP应用的DDoS攻击已经占到攻击总量的89.11%。在中国各地区,北京、上海、深圳的DDoS攻击事件最多,占全国总量的81.42%。数据中心一直是DDoS攻击的重灾区。在数据中心,排名前三的被攻击业务分别为电子商务、在线游戏、DNS服务。尤其是针对DNS服务的攻击影响面最广,对互联网基础架构所造成的威胁也最严重。而在WEB攻击的主要目标中,排名前三的被攻击业务分别为电子商务、网页游戏、在线金融业务。针对数据中心的网络层DDoS攻击则直接威胁到网络基础设施(如防火墙、IPS、负载均衡设备),而应用层DDoS攻击则威胁着在线业务。频繁的DDoS攻击导致数据中心运营成本增高,而带宽的可用性降低则导致客户满意度下降甚至流失。
DDoS攻击呈现新趋势。今年3月份针对国际公司Spamhaus的300G超大流量的DDoS攻击,攻击者主要采取的手法就是DNS放大攻击,也叫反射攻击技术(DrDoS),这种攻击技术的特点就是利用互联网上开放的DNS递归服务器作为攻击源,利用“反弹”手法攻击目标机器。在DNS反射攻击手法中,假设DNS请求报文的数据部分长度约为40字节,而响应报文数据部分的长度可能会达到4000字节,这意味着利用此手法能够产生约100倍的放大效应。由于这种攻击模式成本低、效果好、追踪溯源困难,而且由于脆弱的DNS体系具有开放式特点,难以彻底杜绝。
域名安全涉及的是政治与金钱
政治动机、经济犯罪、恶意竞争依然是黑客发起DDoS攻击的主要目的。由于帮助电子邮箱服务供应商过滤垃圾电子邮件和不受欢迎内容,Spamhaus的行为招致黑客的报复性攻击,他们攻击了Spamhaus的域名系统(DNS)服务器。据悉,此次攻击事件的嫌疑人、荷兰黑客斯文·奥拉夫·坎普赫伊斯已经被逮捕。据中国互联网络信息中心称,8月25日凌晨,国家域名解析节点受到拒绝服务攻击,导致部分网站访问缓慢或中断。这是.CN域名近些年来发生的最大一次网络攻击事件,攻击流量远超历史峰值,可能是有组织网络攻击行为。安全公司Prevendra的CEO伯盖斯称,此次中国互联网攻击的肇事者“可能来自中国国内的犯罪集团”。9月24号,CNNIC和工信部揪出了本次攻击事件的始作俑者——一名来自山东青岛的黑客。据调查发现,该黑客本意是要攻击一个游戏私服网站,使其瘫痪,后来他为了更快达到这个目的,直接对.CN的根域名服务器进行了DDoS攻击,发出的攻击流量堵塞了.CN根服务器的出口带宽,致使.CN根域名服务器的解析故障,使得大规模的.CN域名无法正常访问。
敲诈勒索催生黑色产业链。自国内的互联网事业兴起以来,国内有一些常年进行DDoS攻击的组织或个人,胁迫某些“私服”游戏的运营团队并收取“保护费”,如果不合作便采取DDoS暴力攻击,使其无法正常运营。而这些“私服”的运营团队本身业务就涉及侵权,所以他们在遇到DDoS威胁时绝不敢报警或维权,往往被迫接受。这种恶性循环的结果就是这些网络中的恶意胁迫越来越肆无忌惮,这些从事DDoS攻击商业行为的组织或个人也演变成了各式各样的“网络黑帮”,各式黑色产业链也层出不穷。由于当今互联网上DDoS攻击的门槛已经越来越低,雇主可以购买DDoS攻击服务,攻击可指定时间、指定流量、指定攻击效果。总的来说,同行业间的恶意竞争是导致DDoS攻击愈演愈烈的最大原因,同时被攻击后定位攻击者所花费的成本较高也是这类事件层出不穷的重要原因。
2013年域名安全事件回顾
随着域名系统作为互联网中枢神经系统的重要作用日益凸显和互联网应用的日益广泛,域名安全事件也呈现多发趋势。近年来,微软、谷歌、《纽约时报》、Twitter、腾讯、百度、土豆网、大众点评网等国内外知名网站域名相继被攻击、被劫持,小站长、米农域名等被盗事件也比比皆是。回顾2013年,重大域名安全事件不绝于耳,东西方皆无宁日。
有史以来最大的DDoS攻击。2013年3月16日至3月27日,欧洲反垃圾邮件组织Spamhaus遭受了有史以来最大的DDoS(分布式拒绝服务)攻击。攻击强度达到300Gbps。《纽约时报》将其称为“前所未有的大规模网络攻击”。
美多家网站遭叙利亚电子军攻击。今年4月,美联社的Twitter账号被入侵,并给金融市场造成短暂动荡,叙利亚电子军(SEA)声称那次攻击是他们干的。8月28日,包括Twitter、《纽约时报》、《赫芬顿邮报》、CNN、《华盛顿邮报》旗下网站在内的多家美国媒体与网站出现宕机,疑遭SEA攻击。《纽约时报》的网站无法登录,页面显示的信息是“网络错误(DNS)服务器无法连接”,这是DDoS攻击的一个特点。
台菲爆发黑客大战。5月10日,台湾黑客对菲律宾政府网站发起攻击,黑客利用DDoS攻击瘫痪多个菲律宾政府网站。但随即引发菲律宾黑客以同样方式还击,马英九办公室、经济部门等机构部门网站遭到攻击。13日,台湾黑客组织“匿名者-台湾分部”取得DNS控制权,全面控制菲国政府网站、电子邮件,并发表声明,要求菲律宾政府道歉、严惩凶手。最终,菲律宾黑客公开求饶:“请对准菲政府,别再搞我们了。”
DNS中毒攻击入侵IT网站。5月,Websense公司成功检测到一起发生在肯尼亚的DNS中毒攻击事件,这次攻击以包括谷歌、Bing、LinkedIn等在内的知名信息技术网站为攻击目标。在此次攻击事件中,被攻击者利用的DNS记录指向一个关于黑客信息的页面,将网站浏览用户引至恶意网站。这次DNS攻击是所谓的孟加拉黑客集团发起的一次大规模攻击。
土豆网、大众点评网域名遭劫。5月11日,白帽子工程师陈再胜在乌云网站上报告了土豆网出现漏洞,随后,土豆网遭遇域名被劫。6月17日,北京地区用户访问大众点评网域名的时候会被跳转到天猫的促销页面,该访问异常状态一直持续到6月18日凌晨才逐渐恢复。本次网站故障是由于大众点评网的域名服务商新网网站程序存在漏洞,导致新网的其他注册用户可以修改任意新网注册域名的IP指向。
LinkedIn网站域名遭劫持。6月20日,全球最大的职业社交网站LinkedIn发生故障,已确认为域名服务器(DNS)错误。分析称,LinkedIn网站的DNS可能被挟持,其域名会跳转至其他IP地址,怀疑遭到黑客攻击。
谷歌公司巴勒斯坦网站遭遇攻击。8月,谷歌公司在巴勒斯坦的Google网站遭到了黑客的袭击。当用户访问google.ps之后,他们会被直接带到另外一个不同的网站。
荷兰域名服务器失守。8月12日,黑客成功进入SIDN的DRS(域名登记系统),有效地把SIDN的DRS流量导向一个外部域名服务器。荷兰安全公司Fox-IT认为,这次的侵入影响到数千个域名,毫无戒备的用户访问受影响域名时会被转到一个“正在修建中”的网页上,网页则同时会通过一个iframe送出恶意软件。恶意软件是一个黑洞(Black Hole)攻击套件,会通过Java和PDF的漏洞给自己取得电脑访问权。
.CN域名遭受史上最大攻击。2013年8月25日凌晨,.CN域名出现大范围解析故障,.CN的根域授权DNS出现全线故障,导致大面积.CN域名无法解析。经中国互联网络信息中心(CNNIC)确认,国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击,攻击影响了超过800万个互联网用户在中国域名.CN注册的网站的访问。
如何保护DNS服务器?
DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。 使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。 如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。 不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。 它被用做递归查询或者使用转发器。 当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。 随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。 内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。 使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。
3.使用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。 这种DNS服务器不会对其他DNS服务器进行递归 查询。 这让用户不能使用你的公共DNS服务器来解析其他域名。 通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。 例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名服务器。 当网络中的客户机使用这台DNS服务器去解析时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。 DNS解析者可以是未授权DNS域名的只缓存DNS服务器。 你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。 当然,你也 可以让DNS解析者同时被内、外部用户使用。
5.保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。 绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。 DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。 问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话,用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。 WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。 如果你使用的是Windows 2000 DNS服务器,你可以配置它,打开DNS服务器的Properties对话框,然后点击“高级”表。 选择“防止缓存污染”选项,然后重新启动DNS服务器。
6.使DDNS只用安全连接
很多DNS服务器接受动态更新。 动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。 DDNS能够极大地减
轻DNS管理员的管理费用 ,否则管理员必须手工配置这些主机的DNS资源记录。
然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。 一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。
你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。 这很容易做到,你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。 这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。
7.禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间。 主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新 。 从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。 从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而,区域传输并不仅仅针对从DNS服务器。 任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据 库文件。 恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。 你可以配置你的DNS服务器,禁止区域传输请求,或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防范。
8.使用防火墙来控制DNS访问
防火墙可以用来控制谁可以连接到你的DNS服务器上。 对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。 对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。 防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9.在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。
HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制权限。
10.在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。
如何让电脑浏览器不连接一个特定的网站?
首先要有一个前提,就是你的浏览器的主页没有被某些软件锁定,比如360安全卫士的浏览器保护功能。 没有锁定,可以直接打开浏览器的工具菜单,在最下面有一个internet选项,点开它,在“常规”选项卡的上端即可自定义一个或多个主页。 当然了,也可以设置只显示一个没有任何内容的空白页。 这应该就是你想要的答案吧。 锁定的话必须要先解除锁定才可进行上述操作。
DNS域名解析失败是哪里出了问题?
第一个解析失败可以找第二个。 用户使用域名地址,该系统就会自动把域名地址转为IP地址,比如A记录MX记录等等。 1、DNS就是域名服务器?因为DNS可以轮回处理。 2、任何域名都至少有一个DNS,一般是2个。 但为什么要2个以上呢DNS,Domain Name System或者Domain Name Service(域名系统或者余名服务)。 域名系统为Internet上的主机分配域名地址和IP地址,他的任务就是确定域名的解析。 域名服务是运行域名系统的Internet工具。 执行域名服务的服务器称之为DNS服务器,通过DNS服务器来应答域名服务的查询。 这样只要有一个DNS解析正常,就不会影响域名的正常使用
发表评论