ICANN敦促业界使用DNSSEC,应对DNS劫持攻击

举报
沃通WoTrus 发表于 2019/03/05 11:28:52 2019/03/05
【摘要】 HTTPS保证客户端和服务器之间通信的机密性和完整性,沃通CA(www.wosign.com)建议域名所有者敦促服务商对DNS请求进行HTTPS加密,强制所有和DNS服务器相关的链接使用TLS协议。

HTTPS证书申请

上周五,负责互联网域名系统(DNS)基础设施的ICANN(互联网名称与数字地址分配机构)发布了预警,警告DNS系统面临风险,敦促域名所有者和DNS服务商尽快迁移使用DNSSEC。


什么是DNSSEC

DNSSEC代表域名系统安全扩展,这是DNS协议的扩展,允许域名所有者对DNS记录进行数字签名。加密签名DNS记录的私有签名密钥通常仅由合法域名所有者持有,因此加密签名DNS记录可防止未经授权的第三方修改DNS条目。ICANN官员表示,DNSSEC可以阻止在过去两个月上了头条新闻的那些DNS攻击事件


使用DNSSEC应对DNS劫持攻击

在今年年初,美国网络安全公司FireEye透露了由伊朗威胁行为者进行的长达数月的活动,他们侵入了网络托管和域名注册商帐户,更改属于私营公司和政府机构的电子邮件域名DNS记录。这种攻击 - 称为DNS劫持 - 允许欺诈者将合法流量重定向到他们自己的恶意服务器,他们在那里执行中间人攻击以拦截登录凭据,然后将流量转发回合法的电子邮件服务器。


美国国土安全部发布了有关这些攻击的警报,敦促政府机构和私营公司审查其DNS记录是否存在恶意入侵。信息安全调查记者Brian Krebs在另一份报告中也提到FireEye检测到的DNS劫持事件,他们揭示了一个严峻的现状:黑客组织似乎已经意识到,与攻击邮件服务器或对员工进行spearphishing相比,篡改DNS记录似乎更加容易。


现在,ICANN也注意到了这些攻击,希望规避对整个DNS系统的进一步攻击。尽管DNSSEC已经存在了二十年,但根据APNIC的数据,DNSSEC的采用率几乎不到19.3%。该组织希望域名所有者和技术行业更加努力地采用DNSSEC,以期制止或限制未来的DNS劫持攻击。因为用户本能地信任他们在浏览器输入的网站就是他们将要访问的网站,所以DNS劫持将是整个互联网的真正威胁。


用HTTPS加密保护DNS请求

虽然DNSSEC将有助于确保DNS解析结果的合法性,但DNS解析只是互联网安全通信的一部分,DNSSEC无法完全保护域名。一方面DNS解析完成后,DNSSEC无法确保客户端与目标IP之间通信的机密性或完整性;另一方面,DNSSEC扩展功能在DNS服务商中普及率并不高。而HTTPS保证客户端和服务器之间通信的机密性和完整性,并且Web浏览器具有严格且不断发展的HTTPS强制策略。因此,沃通CA(www.wosign.com)建议域名所有者敦促服务商对DNS请求进行HTTPS加密,强制所有和DNS服务器相关的链接使用TLS协议。沃通SSL证书 由全球信任顶级根签发,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,适用于各类HTTPS加密应用场景。


消息来源ZDnet,沃通翻译整理



【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。