|
加固DNS服务器,应对强悍网络攻击作为域名解析的专用工具,DNS服务器是非常关键的网络基础设施,因此即使身陷攻击也不得不为查询提供持续响应。如果外部 DNS 服务器不可用,则整个网络都会脱离Internet。根据Forrester Research测算,网络中断 24 小时的平均经济损失高达 2700 万美元。网站宕机 4 小时的预计成本大约为 210 万美元。 作为域名解析的专用工具,DNS服务器是非常关键的网络基础设施,因此即使身陷攻击也不得不为查询提供持续响应。如果外部 DNS 服务器不可用,则整个网络都会脱离Internet。根据Forrester Research测算,网络中断 24 小时的平均经济损失高达 2700 万美元。网站宕机 4 小时的预计成本大约为 210 万美元。此类服务中断的受害者不仅损失收入,丢失客户,同时还会失去品牌价值。 自2012年第一季度以来,面向DNS基础架构的攻击数量增长了200%。是什么导致了这一切?这是因为DNS从其本质上而言很容易被利用。 大多数企业的防火墙都配置成通过53端口提供DNS服务,这给攻击者提供了避开现有防御系统的捷径。 由于DNS查询是非对称的,它们可以产生比查询大很多倍的响应,这意味着DNS系统本身可能被用于放大攻击。黑客可以发送一个数据包,引起一阵放大好几倍的数据响应,有效阻止您业务的运作。 由于DNS协议是无状态的,攻击者可以轻松地隐藏其身份。 大型IT组织和服务提供商别无选择,只能弥补这些漏洞,因为在互联网时代,DNS服务对于现代企业的几乎所有重要职能部门都是不可或缺的。若没有正常运行的DNS,智能手机无法使用,企业无法运营在线业务,团队无法有效沟通,工作效率下滑,客户满意度下降,收入减少,企业声誉也岌岌可危。 当今威胁趋势 为了强调 DNS 攻击为企业带来危害的严重性,我们在下面着重说明几种最常见的威胁。 直接 DNS 放大攻击,通过发送特别定制以生成大量响应的 DNS 查询,拥塞 DNS 服务器出站带宽。 反射攻击,使用 Internet 中的第三方 DNS 服务器(一般为开放式递归域名服务器),通过发送查询到该递归服务器(该服务器会处理来自任何 IP 地址的查询)来传播 DoS 或 DDoS 攻击。攻击者将受害者的 IP 地址作为查询中的源 IP,这样,域名服务器会将所有响应发送到受害者的 IP 地址——很有可能使受害者的服务器宕机。 TCP、UDP 和 ICMP 洪水,利用传输控制协议 (TCP)、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP),通过大量数据包来消耗网络带宽和资源。 DNS 缓存中毒,将 Internet 域的虚假地址记录插入 DNS 查询。如果 DNS 服务器接受该记录,则响应后续请求时,服务器的地址都将被此攻击者控制,传入的 Web 请求和电子邮件都会传输到攻击者的地址。 协议异常,将格式错误的 DNS 数据包发送到目标服务器,导致服务器线程出现无限循环,从而致使该服务器崩溃或停止响应。 侦查探测器,不是攻击。它们只是试图在发生大规模DDoS攻击或其他类型攻击之前获取有关网络环境的信息。 DNS 隧道,是指通过 DNS 端口 53 挖掘另一个协议隧道(防火墙一般允许使用该端口来传输非 DNS 流量)。这些攻击用于数据渗漏。 责编:郑雄 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|