ICANN敦促业界使用DNSSEC,应对DNS劫持攻击
上周五,负责互联网域名系统(DNS)基础设施的ICANN(互联网名称与数字地址分配机构)发布了预警,警告DNS系统面临风险,敦促域名所有者和DNS服务商尽快迁移使用DNSSEC。
什么是DNSSEC?
DNSSEC代表域名系统安全扩展,这是DNS协议的扩展,允许域名所有者对DNS记录进行数字签名。加密签名DNS记录的私有签名密钥通常仅由合法域名所有者持有,因此加密签名DNS记录可防止未经授权的第三方修改DNS条目。ICANN官员表示,DNSSEC可以阻止在过去两个月上了头条新闻的那些DNS攻击事件。
使用DNSSEC应对DNS劫持攻击
在今年年初,美国网络安全公司FireEye透露了由伊朗威胁行为者进行的长达数月的活动,他们侵入了网络托管和域名注册商帐户,更改属于私营公司和政府机构的电子邮件域名DNS记录。这种攻击 - 称为DNS劫持 - 允许欺诈者将合法流量重定向到他们自己的恶意服务器,他们在那里执行中间人攻击以拦截登录凭据,然后将流量转发回合法的电子邮件服务器。
美国国土安全部发布了有关这些攻击的警报,敦促政府机构和私营公司审查其DNS记录是否存在恶意入侵。信息安全调查记者Brian Krebs在另一份报告中也提到FireEye检测到的DNS劫持事件,他们揭示了一个严峻的现状:黑客组织似乎已经意识到,与攻击邮件服务器或对员工进行spearphishing相比,篡改DNS记录似乎更加容易。
现在,ICANN也注意到了这些攻击,希望规避对整个DNS系统的进一步攻击。尽管DNSSEC已经存在了二十年,但根据APNIC的数据,DNSSEC的采用率几乎不到19.3%。该组织希望域名所有者和技术行业更加努力地采用DNSSEC,以期制止或限制未来的DNS劫持攻击。因为用户本能地信任他们在浏览器输入的网站就是他们将要访问的网站,所以DNS劫持将是整个互联网的真正威胁。
用HTTPS加密保护DNS请求
虽然DNSSEC将有助于确保DNS解析结果的合法性,但DNS解析只是互联网安全通信的一部分,DNSSEC无法完全保护域名。一方面DNS解析完成后,DNSSEC无法确保客户端与目标IP之间通信的机密性或完整性;另一方面,DNSSEC扩展功能在DNS服务商中普及率并不高。而HTTPS保证客户端和服务器之间通信的机密性和完整性,并且Web浏览器具有严格且不断发展的HTTPS强制策略。因此,沃通CA(www.wosign.com)建议域名所有者敦促服务商对DNS请求进行HTTPS加密,强制所有和DNS服务器相关的链接使用TLS协议。沃通SSL证书 由全球信任顶级根签发,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,适用于各类HTTPS加密应用场景。
消息来源ZDnet,沃通翻译整理
- 点赞
- 收藏
- 关注作者
评论(0)