大多企业仍然容易受到DNS缓存中毒攻击

安全
到目前为止,只有不到0.02%的互联网采用了DNSSEC协议,DNSSEC协议在顶级域名方面取得了进展,但一项新研究显示,整体DNSSEC协议部署只占互联网的一小部分,让大部分企业都容易受到DNS缓存中毒攻击。

到目前为止,只有不到0.02%的互联网采用了DNSSEC协议,DNSSEC协议在顶级域名方面取得了进展,但一项新研究显示,整体DNSSEC协议部署只占互联网的一小部分,让大部分企业都容易受到DNS缓存中毒攻击。

根据Infoblox和测试服务公司收集的数据显示,不到0.02%的DNS区域启用了DNSSEC,而有96%因为DNSSEC签名过期而没有通过验证。

DNS缓存中毒攻击威胁在一年前由知名研究人员Dan Kaminsky发现,而DNSSEC协议被认为是抵御DNS缓存中毒攻击的最佳防御。尽管Infoblox调查发现DNSSEC协议部署今年攀升了340%,但仍然有很长的路要走。

Infoblox公司架构副总裁同时也是DNS专家Cricket Liu表示,这次调查还首次研究了现有的DNSSEC 协议部署是否上升以及运行情况,“关于DNSSEC协议部署的奇怪的现象就是,我们看到数据持续上升,但都是从极小的数字到更小的比率,”Liu表示, “这是我们第一次检查在这些DNSSEC协议区域验证数据的能力,而几乎有四分之一没有通过验证,因为签名过期,这很令人失望。”

他表示,这些企业可能一直在将DNSSEC作为实验,“这也就是说,加上一些工具,会让DNSSEC协议变得很难运行,”他说道,“四分之一的区域过期说明,DNSSEC协议的重新签名并不是自动的,大家设置好DNSSEC协议来进行实验,然后就不闻不问了。”

与此同时,Kaminsky一直致力于让DNSSEC协议部署更加简单,他近日发布了一个免费的工具包,Phreebird Suite1.0,该工具包可以让企业尝试使用DNSSEC协议,同时也向他们证明这个协议并不难部署。Phreebird Suite 1.0是一个位于DNS服务器前面的实时DNSSEC代理服务器,并且对其响应进行数字签名。

Infoblox调查还发现,在所有DNS域名服务器中,将近有75%的服务器位于单个授权区域,这样容易出现单点故障,“这是很糟糕的事情,”Liu表示。如果路由基础设施出现问题或者故障,那么将会失去互联网业务。

一些网络目前仍然缺乏的是DNSSEC协议需要的基本网络配置。Liu表示:将近20%的域名不允许TCP查询,而26.4%不支持DNS协议的扩展机制。

Infoblox建议企业为部署DNSSEC协议做好准备,升级到最新版本的BIND,使用端口随机化,隔离内部和外部域名服务器,并且隔离授权DNS域名服务器和递归DNS域名服务器。

【编辑推荐】

  1. DNS安全防护解决方案
  2. 不再恐惧 DNSPod安全系数升级的背后
责任编辑:佟健 来源: IT168
相关推荐

2020-04-07 11:22:47

DNS缓存中毒网络攻击网络安全

2019-02-01 09:10:01

2018-08-30 11:01:04

2018-08-22 13:35:37

2019-07-19 17:19:19

网络安全银行软件

2023-08-17 15:40:52

2022-04-12 14:37:26

区块链桥区块链货币

2023-10-30 07:46:21

2016-09-20 23:44:43

2013-10-30 13:19:12

2022-11-18 09:51:33

2010-11-09 17:19:41

2023-12-14 15:32:17

2021-02-19 09:23:37

僵尸网络DDoS攻击安卓设备

2020-12-09 15:59:31

微软漏洞Windows

2022-12-01 08:00:00

2018-08-31 22:38:00

2009-11-14 09:35:42

2014-12-10 16:39:59

2015-09-16 11:53:21

点赞
收藏

51CTO技术栈公众号