DNS和安全

=Start=

缘由:

前面在博客中整理了两篇和DNS原理及作用相关的文章,详细介绍了DNS的原理和作用,这里想整理记录一下DNS和安全的关系及其能起到的作用,方便以后参考。

正文:

参考解答:
DNS的重要性:

1、技术角度看
DNS解析是互联网绝大多数应用的实际寻址方式;域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议。

2、资源角度看
域名是互联网上的身份标识,是不可重复的唯一标识资源;互联网的全球化使得域名成为标识一国主权的国家战略资源。

DNS对黑客的几个意义:
  1. 传输命令与控制指令(c&c)
  2. 偷渡数据(steal data)
  3. 重定向流量(hijacking)
  4. 信息收集(zone transfer/domain leak)
DNS对于企业(安全)的重要性:
  • 如果您的内部DNS表现不佳或者不可用,那么您的所有应用程序的性能将会很差或者会明显下降。如果您的内部DNS受到攻击,那么攻击者将对您的网络上的所有服务一目了然并且可以十分容易到达目标服务器。黑客也可能会控制和更新DNS记录,将您的内部流量重定向到他们自己的恶意目的地。
  • 如果您的外部DNS表现不佳或不可用,则客户可能无法联系您的网站或向您的企业发送电子邮件。如果网络体验不佳,客户可能会流逝或转向竞争对手。外部DNS表示您的品牌和互联网的可用性,根据您的业务性质,可能会对您的品牌和收入产生重大影响。不安全的外部DNS可能会悄悄地将您的客户引向恶意网站,欺骗您的网站以窃取客户信息或拦截电子邮件。
  • 如果您的递归DNS表现不佳或者不可用,您的互联网访问就会变得无效或严重退化。这是因为您无法快速解析任何外部网站或资源的IP地址。不安全的递归DNS可能会导致您在不知情的情况下进入恶意或受损目的地。不安全的递归DNS会导致进行恶意软件通过DNS 与命令与控制(C2)通信,另外数据泄露也会经常利用不安全的DNS服务。
DNS在企业安全中可以起到的作用:
  • 在DNS层实施安全防御,可以有效检测和控制类似于WannaCry恶意软件的感染。

 

一些概念补充:

DNS区域传送(DNS zone transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库。这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到,但许多DNS服务器却被错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息,所以说允许不受信任的因特网用户执行DNS区域传送(zone transfer)操作是后果最为严重的错误配置之一。

DNS区域传送漏洞的危害:黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,黑客可以绕过基于网络的访问控制。


DNS劫持,就是指用户访问一个被标记的地址时,DNS服务器故意将此地址指向一个错误的IP地址的行为。范例,网通、电信、铁通的某些用户有时候会发现自己打算访问一个地址,却被转向了各种推送广告等网站,这就是DNS劫持。

DNS污染,指的是用户访问一个地址,国内的服务器(非DNS)监控到用户访问的已经被标记地址时,服务器伪装成DNS服务器向用户发回错误的地址的行为。范例,访问Youtube、Facebook之类网站等出现的状况。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3861.html

《DNS和安全》上有6条评论


  1. 现在威胁情报里面最有用的两个基础数据:PDNS和网络流量。

    检测的话可以利用pdns数据来分析恶意dns。可以是从企业内部去dns数据中分析恶意dns,也可以是从外部pdns威胁分析服务中获取恶意的dns,如思科的opendns服务;防御方法一般可以采用DNS RPZ来sinkhole/blackhole dns请求(前者是返回无害的dns答复给请求,后者是不返回dns答复给请求,从而阻断恶意dns的请求), 或者采用外部的具备安全能力的DNS服务器,如IBM的 9.9.9.9 DNS服务。

    在内部进行安全分析、检测的话:
    进程树,dns, netflow, http, https 握手,这些能记录的都记录上。

发表评论

电子邮件地址不会被公开。 必填项已用*标注