日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

域名系統(tǒng)(DNS)是我們的信任根源，也是互聯(lián)網(wǎng)最重要的部分之一。它是一項(xiàng)關(guān)鍵任務(wù)服務(wù)，因?yàn)槿绻l(fā)生故障，企業(yè)的網(wǎng)站隨之宕機(jī)。

為通河等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及通河網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都網(wǎng)站建設(shè)、做網(wǎng)站、通河網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

DNS是含有名稱和數(shù)字的虛擬數(shù)據(jù)庫(kù)。它是對(duì)企業(yè)來(lái)說(shuō)很關(guān)鍵的其他服務(wù)的基石。這包括電子郵件、網(wǎng)站訪問(wèn)、IP語(yǔ)音(VoIP)和文件管理。

你希望鍵入域名后，確實(shí)進(jìn)入到預(yù)期的目的地。只有在實(shí)際攻擊發(fā)生、成為新聞，DNS漏洞才備受關(guān)注。比如在2018年4月，為Myetherwallet管理域名的公共DNS服務(wù)器被劫持，客戶被重定向到網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。許多用戶稱賬戶中金額變少，這才引起了公眾對(duì)DNS漏洞的極大關(guān)注。

DNS已存在很長(zhǎng)時(shí)間導(dǎo)致了安全問(wèn)題。按照設(shè)計(jì)，它是網(wǎng)絡(luò)上的一項(xiàng)開(kāi)放服務(wù)，未得到適當(dāng)?shù)谋O(jiān)控，傳統(tǒng)的安全解決方案也無(wú)法提供有效的保護(hù)。

DNS緩存中毒是什么?

DNS服務(wù)器存在著漏洞，攻擊者可以鉆空子來(lái)接管服務(wù)器。DNS緩存中毒攻擊是黑客最常用的攻擊方法之一。

攻擊者控制DNS服務(wù)器后，可以篡改緩存信息，這就是DNS中毒。通過(guò)垃圾郵件或網(wǎng)絡(luò)釣魚(yú)電子郵件發(fā)送的URL中經(jīng)常能找到DNS緩存中毒的代碼。這類電子郵件會(huì)試圖提醒用戶注意需要立即引起注意的事件，因而需要點(diǎn)擊所附的URL，進(jìn)而感染計(jì)算機(jī)。橫幅廣告和圖片常用于將用戶重定向到這些受感染的網(wǎng)站。

然后你試圖訪問(wèn)金融網(wǎng)站或任何其他網(wǎng)站時(shí)，攻擊者可以通過(guò)將你重定向到虛假網(wǎng)站，控制你訪問(wèn)的網(wǎng)站。攻擊者可以將你引到某個(gè)網(wǎng)頁(yè)，該網(wǎng)頁(yè)啟動(dòng)腳本，可以將惡意軟件、擊鍵記錄程序或蠕蟲(chóng)下載到你的設(shè)備上。

DNS服務(wù)器訪問(wèn)其他DNS服務(wù)器的緩存，這就是它傳播的方式，規(guī)模可能非常龐大。

DNS緩存中毒的風(fēng)險(xiǎn)

DNS中毒的主要風(fēng)險(xiǎn)是竊取數(shù)據(jù)。醫(yī)院、金融機(jī)構(gòu)網(wǎng)站和在線零售商是常見(jiàn)的目標(biāo)，很容易被欺騙，這意味著任何密碼、信用卡或其他個(gè)人信息都可能受到危及。此外，在你的設(shè)備上安裝擊鍵記錄程序的風(fēng)險(xiǎn)可能導(dǎo)致你訪問(wèn)的其他網(wǎng)站暴露用戶名和密碼。

另一個(gè)重大風(fēng)險(xiǎn)是，如果互聯(lián)網(wǎng)安全提供商的網(wǎng)站被欺騙，那么用戶的計(jì)算機(jī)可能暴露在病毒或特洛伊木馬等另外的威脅面前，這是由于不會(huì)執(zhí)行有效的安全更新。

據(jù)EfficientIP聲稱，DNS攻擊每年的平均成本是2236萬(wàn)美元，其中23%的攻擊來(lái)自DNS緩存中毒。

防止DNS緩存中毒攻擊

企業(yè)可以采取多個(gè)措施來(lái)防止DNS緩存中毒攻擊。一個(gè)措施是，DNS服務(wù)器應(yīng)該配置成盡量少依賴與其他DNS服務(wù)器的信任關(guān)系。采用這種配置方式將使攻擊者極難使用他們自己的DNS服務(wù)器來(lái)破壞目標(biāo)服務(wù)器。

應(yīng)該采取的另一個(gè)措施是應(yīng)將DNS服務(wù)器設(shè)置成只有所需的服務(wù)才被允許運(yùn)行。不需要的額外服務(wù)在DNS服務(wù)器上運(yùn)行只會(huì)增加攻擊途徑。

安全人員還應(yīng)確保使用的是最新版本的DNS。較新版本的BIND具有加密安全事務(wù)ID和端口隨機(jī)化等功能，有助于防止緩存中毒攻擊。

對(duì)最終用戶進(jìn)行教育對(duì)于防止這種攻擊也很重要。最終用戶應(yīng)接受培訓(xùn)，學(xué)會(huì)識(shí)別可疑網(wǎng)站，如果在連接到網(wǎng)站之前收到SSL警告，不點(diǎn)擊“忽略”按鈕。他們還應(yīng)接受相應(yīng)的教育，學(xué)會(huì)識(shí)別通過(guò)社交媒體帳戶發(fā)來(lái)的網(wǎng)絡(luò)釣魚(yú)郵件或網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

為防止緩存中毒攻擊應(yīng)采取的其他措施還有：只存儲(chǔ)與請(qǐng)求的域名有關(guān)的數(shù)據(jù)，并限制響應(yīng)，只提供關(guān)于請(qǐng)求的域名的信息。

DNSSEC是解決方案

緩存中毒工具可用于幫助企業(yè)防止這種攻擊。最廣泛使用的緩存中毒預(yù)防工具是DNSSEC(域名系統(tǒng)安全擴(kuò)展)。它由互聯(lián)網(wǎng)工程任務(wù)組開(kāi)發(fā)，提供安全的DNS數(shù)據(jù)身份驗(yàn)證。

部署后，計(jì)算機(jī)將能夠確認(rèn)DNS響應(yīng)是否合法，而目前無(wú)法確定響應(yīng)是真還是假。它還能夠驗(yàn)證域名根本不存在，這有助于防止中間人攻擊。

DNSSEC將驗(yàn)證根域名，這有時(shí)稱為“簽署根”。最終用戶試圖訪問(wèn)網(wǎng)站時(shí)，其計(jì)算機(jī)上的stub解析器從遞歸名稱服務(wù)器請(qǐng)求該網(wǎng)站的IP地址。服務(wù)器請(qǐng)求該記錄后，它還請(qǐng)求區(qū)域DNSEC密鑰。然后，密鑰將用于驗(yàn)證IP地址記錄與權(quán)威服務(wù)器上的記錄相同。

接下來(lái)，遞歸名稱服務(wù)器將驗(yàn)證地址記錄來(lái)自權(quán)威名稱服務(wù)器。然后，它將驗(yàn)證該記錄是否已被篡改，并解析正確的域名來(lái)源。如果來(lái)源被人篡改，那么遞歸名稱服務(wù)器將不允許連接到該網(wǎng)站。

DNSSEC正變得越來(lái)越普遍。許多政府機(jī)構(gòu)和金融機(jī)構(gòu)都要求使用DNSSEC，因?yàn)榘l(fā)布未簽名區(qū)域無(wú)視DNS弱點(diǎn)，并使你的系統(tǒng)易遭到各種欺騙攻擊。企業(yè)考慮部署它以保護(hù)數(shù)據(jù)非常重要。

網(wǎng)頁(yè)標(biāo)題：如何保護(hù)你的基礎(chǔ)設(shè)施遠(yuǎn)離DNS緩存中毒?
網(wǎng)站URL：http://www.dlmjj.cn/article/ccohhii.html