应对DNS投毒攻击的措施有哪些
应对DNS投毒攻击的措施有以下这些:
采用更严格的访问控制:企业应采用更严格的网络访问控制策略,使用双因素或多因素身份验证,以更好地控制哪些用户可以访问他们的网络。定期更改所有可用于更改DNS记录的帐户的密码,包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS运营商的管理面板和DNS注册商帐户,DNS管理平台尽量避免采用与其他平台相同和类似的账号密码,以防止黑客采用遍历手段获取DNS解析和管理权限。
部署零信任方案:零信任方法越来越受欢迎,部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解DNS威胁。建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险,一个是零信任网络访问(ZTNA),它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据Gartner的说法,零信任能提供一个安全且有弹性的环境,具有更大的灵活性和更好的监控。第二个是基于身份的网络分段,这也是一种久经考验的方法,可以限制攻击者在网络中横向移动的能力。
检查/验证DNS记录:建议企业及时检查拥有和管理的所有域名,确保名称服务器引用正确的DNS服务器,这一点至关重要;检查所有权威和辅助DNS服务器上的所有DNS记录,发现任何差异和异常,将其视为潜在的安全事件,及时查找原因并解决。
接入高防服务:在做好以上常规网络安全措施基础之上,广大企业还需要接入更专业的DNS高防服务。中科三方云解析支持高防DNS,可有效应对DDoS攻击、DNS query查询等常见的网络攻击,实时监测域名安全状况,避免因DNS劫持、DNS污染对网站域名带来的影响。
源端口随机:DNS服务器中Bind等软件采用源端口随机性较好的较高版本。源端口的随机性可以有效降低攻击成功的概率,增加攻击难度。