域名解析系统存在哪些自身缺陷
域名解析系统存在以下自身缺陷:
单点故障:DNS采用层次化的树形结构,由树叶走向树根就可以形成一个完全合格域名(Fully Qualified Domain Name, FQDN),DNS服务器作为该FQDN唯一对外的域名数据库和对内部提供递归域名查询的系统,其安全和稳定就存在单点故障的风险。
无认证机制:DNS没有提供认证机制,查询者在收到应答时无法确认应答信息的真假,黑客可以将一个虚假的IP地址作为应答信息返回给请求者,从而引发DNS欺骗。
DNS本身漏洞:DNS是域名软件,它在提供高效服务的同时也存在许多安全性漏洞。现已证明在DNS版本4和版本8上存在缺陷,攻击者利用这些缺陷能成功地进行DNS欺骗攻击。
缓存中毒:DNS使用超高速缓存,当一个名称服务器收到有关域名和IP的映射信息时,它会将该信息存放在高速缓存中。这种映射表是动态更新的,但刷新有一个周期,假冒者如果在下次更新之前成功修改了这个映射表,就可以进行DNS欺骗。
信息泄露:DNS的默认设置允许任何人进行区传送(区传送一般用于主服务器和辅服务器之间的数据同步),而区传送可能会造成信息泄露。
不安全的动态更新:随着DHCP的出现,客户计算机由DHCP服务器动态分配IP地址,使原来手工更新其A(Address)记录和PTR(反向解析)记录变得很难管理,为此提出了DNS的动态更新,即DNS客户端在IP地址或名称出现更改的任何时候都可利用DNS服务器来注册和动态更新其资源记录。但黑客可以利用IP欺骗伪装成DNS服务器信任的主机对区数据进行添加、删除和替换。
加强域名解析服务器安全的措施有以下这些:
采用DNS转发器:DNS转发器是为其余DNS服务器实现DNS查找的DNS服务器。采用DNS转发器的关键目的是减轻DNS处置的压力,把查询要求从DNS服务器转给转发器,从DNS转发器潜在地更大DNS高速缓存中获益。
基于特征的DNS攻击检测:针对已知的攻击模式,保护方案采用特征检测,拦截和响应攻击。确保DNS服务器在面对已知威胁时能够在不被篡改的情况下保持运行。
威胁情报:面对不断变化和更新的攻击手段,威胁适应技术借助威胁情报进行防御。通过对新技术的研究和分析,以及客户自身网络环境的变化,威胁适应技术可以自动升级以应对新的攻击。重要的是,威胁适应技术的安全升级不需要补丁或离线,大大保证了业务的连续性。
刷新DNS服务器缓存:使用该方法可以防止类似缓存投毒攻击,防止缓存投毒攻击只需要刷新DNS服务器缓存即可,将解析记录的TTL值配置为相对较小的数值,缩短缓存存在时间,从而便可以避免持续被投毒攻击影响。
解析锁定:使用解析锁定可以对抗域名劫持攻击,以保证DNS服务器不被修改,甚至解析也无法随意变更。选择正规专业的DNS服务商,可以获得性能较为强大的域名解析和域名监测服务,及时发现域名异常状态并快速解决。
安装SSL证书:SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。