當(dāng)公司通過互聯(lián)網(wǎng)訪問VoIP和電子郵件時，都依賴于DNS，所以您必須保證您的DNS服務(wù)器免受DNS欺騙攻擊，可以采取DNSSEC(Domain Name System Security Extensions，DNS安全擴(kuò)展)方案來解決岖免。

域名系統(tǒng)(DNS)是我們信任的根源，也是互聯(lián)網(wǎng)最重要的一個組成部分照捡。它是一項關(guān)鍵服務(wù)颅湘，一旦它發(fā)生故障，企業(yè)的網(wǎng)絡(luò)必然受到影響栗精。

DNS是名稱和數(shù)字的虛擬數(shù)據(jù)庫闯参，它是企業(yè)其他關(guān)鍵服務(wù)的支柱，比如：電子郵件悲立、互聯(lián)網(wǎng)站點訪問鹿寨，互聯(lián)網(wǎng)協(xié)議語音(VoIP)和文件管理。

你希望當(dāng)鍵入域名后级历，通過DNS能夠到達(dá)你想去的地方。然而叭披，通常在發(fā)生攻擊之前寥殖，很多企業(yè)對DNS的漏洞沒有過多的關(guān)注玩讳。例如：在2018年4月，管理Myetherwallet域的公共DNS服務(wù)器被劫持嚼贡，客戶被重定向到網(wǎng)絡(luò)釣魚站點熏纯。 許多用戶報告說他們的帳戶中有資金流失，這引起了公眾對DNS漏洞的關(guān)注粤策。

事實上樟澜，DNS的安全問題已存在很長時間。根據(jù)設(shè)計叮盘，DNS是網(wǎng)絡(luò)上的開放式服務(wù)秩贰，之初沒有得到適當(dāng)?shù)谋O(jiān)控，傳統(tǒng)的安全解決方案無法有效保護(hù)柔吼。

如何保護(hù)您的基礎(chǔ)架構(gòu)免受DNS緩存中毒攻擊

什么是DNS緩存中毒?

DNS服務(wù)器存在漏洞毒费，攻擊者可以利用這些漏洞來攻擊它們。 DNS緩存中毒攻擊就是黑客最常用的攻擊方法之一愈魏。

當(dāng)攻擊者控制DNS服務(wù)器后觅玻，他們可以修改緩存信息，這是DNS中毒培漏。通過垃圾郵件或網(wǎng)絡(luò)釣魚電子郵件發(fā)送的URL中溪厘，經(jīng)常可以找到DNS緩存病毒的代碼牌柄。這些電子郵件會嘗試提醒用戶注意畸悬，聲稱這是一份重要郵件，是你需要立即引起注意的事件友鼻。此時傻昙，用戶只要單擊郵件中的URL，病毒就會感染用戶電腦彩扔。此外妆档，一些橫幅廣告和圖片通常用于將用戶重定向到這些受感染的網(wǎng)站。

然后虫碉，當(dāng)用戶通過請求鏈接重定向到虛假站點贾惦，訪問金融站點或者其他任何站點時，攻擊者就可以控制用戶的去向敦捧。攻擊者可將用戶發(fā)送到啟動腳本的頁面须板，該腳本將會把惡意軟件、密鑰記錄器或者蠕蟲下載到用戶的設(shè)備兢卵。

此外习瑰，通過DNS服務(wù)器訪問其他DNS服務(wù)器的緩存，這就是它傳播的方式秽荤，并且可能是非常大規(guī)模的甜奄。

DNS緩存中毒有何風(fēng)險柠横？

DNS緩存中毒的主要風(fēng)險是竊取數(shù)據(jù)。 DNS緩存中毒攻擊的最喜歡的目標(biāo)是醫(yī)院课兄，金融機(jī)構(gòu)網(wǎng)站和在線零售商牍氛。這些目標(biāo)容易被欺騙，這意味著任何密碼烟阐，信用卡或其他個人信息都可能受到損害搬俊。此外，在用戶設(shè)備上安裝密鑰記錄器的風(fēng)險蜒茄，可能會導(dǎo)致用戶訪問其他站點時暴露其用戶名和密碼唉擂。

另一個重大風(fēng)險是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙扩淀，那么用戶的計算機(jī)可能會受到其他威脅(如：病毒或特洛伊木馬)的影響楔敌，因為一旦被攻擊用戶則不會執(zhí)行合法的安全更新。

據(jù)EfficientIP稱驻谆，DNS攻擊的年平均成本為223.6萬美元卵凑，其中23%的攻擊來自DNS緩存中毒。

如何防止DNS緩存中毒攻擊胜臊？

那么勺卢，企業(yè)究竟該如何防止DNS緩存中毒攻擊?筆者認(rèn)為要從以下幾點出發(fā)：

第一，DNS服務(wù)器應(yīng)該配置為盡可能少地依賴與其他DNS服務(wù)器的信任關(guān)系象对。以這種方式配置將使攻擊者更難以使用他們自己的DNS服務(wù)器來破壞目標(biāo)服務(wù)器黑忱。

第二，企業(yè)應(yīng)該設(shè)置DNS服務(wù)器勒魔，只允許所需的服務(wù)運行甫煞。因為在DNS服務(wù)器上運行不需要的其他服務(wù)，只會增加攻擊向量大小冠绢。

第三抚吠，安全人員還應(yīng)確保使用最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機(jī)化等功能弟胀，可以幫助防止緩存中毒攻擊楷力。

第四，用戶的安全教育對于防止這些攻擊也非常重要孵户。最終用戶應(yīng)接受有關(guān)識別可疑網(wǎng)站的培訓(xùn)萧朝，如果他們在連接到網(wǎng)站之前收到SSL警告，則不會單擊“忽略”按鈕夏哭。 他們還應(yīng)始終接受有關(guān)通過社交媒體帳戶識別網(wǎng)絡(luò)釣魚電子郵件或網(wǎng)絡(luò)釣魚的教育检柬。

除此以外，為防止緩存中毒攻擊竖配，還應(yīng)采取的其他措施何址，比如：僅存儲與請求的域相關(guān)的數(shù)據(jù)酱固，并限制您的響應(yīng)僅提供有關(guān)請求的域的信息。

解決方案——DNSSEC

緩存中毒工具可用于幫助組織防止這些攻擊头朱。 最廣泛使用的緩存中毒預(yù)防工具是DNSSEC(域名系統(tǒng)安全擴(kuò)展)。 它由Internet工程任務(wù)組開發(fā)龄减，提供安全的DNS數(shù)據(jù)身份驗證项钮。

部署后，計算機(jī)將能夠確認(rèn)DNS響應(yīng)是否合法希停，而目前無法確定真實或虛假的響應(yīng)烁巫。 它還能夠驗證域名根本不存在，這有助于防止中間人攻擊宠能。

DNSSEC將驗證根域或稱為“簽署根”亚隙。當(dāng)最終用戶嘗試訪問站點時，其計算機(jī)上的存根解析程序违崇，將從遞歸名稱服務(wù)器請求站點的IP地址阿弃。在服務(wù)器請求記錄之后，它還將請求區(qū)域DNSEC密鑰羞延。然后渣淳，密鑰將用于驗證IP地址記錄是否與權(quán)威服務(wù)器上的記錄相同。接下來伴箩，遞歸名稱服務(wù)器將驗證地址記錄是否來自權(quán)威名稱服務(wù)器入愧。然后，它將驗證是否已修改并解析正確的域源嗤谚。如果對源進(jìn)行了修改棺蛛，則遞歸名稱服務(wù)器將不允許對站點進(jìn)行連接。

DNSSEC正變得越來越普遍巩步。許多政府機(jī)構(gòu)和金融機(jī)構(gòu)都在提出DNSSEC要求旁赊，因為發(fā)布未簽名區(qū)域會忽略DNS弱點，并使企業(yè)的系統(tǒng)對各種欺騙攻擊開放渗钉。企業(yè)需考慮部署DNSSEC彤恶，從而保護(hù)數(shù)據(jù)。

我總結(jié)了一些Java架構(gòu)資料鳄橘，歡迎大家前來領(lǐng)取声离，加群即可，群號：957734884