日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

一說(shuō)到域名系統(tǒng)(DNS)，你可能自然而然地想到域名以及運(yùn)行互聯(lián)網(wǎng)連接的技術(shù)細(xì)節(jié)。你可能在擔(dān)心針對(duì)你網(wǎng)站發(fā)動(dòng)的拒絕服務(wù)攻擊，或者有人劫持、篡改網(wǎng)站。

雖然那些問(wèn)題無(wú)疑很要緊，但是DNS不再僅僅用于查詢(xún)網(wǎng)站URL;它還被軟件用來(lái)核查許可證，被視頻服務(wù)用來(lái)規(guī)避防火墻，而且常常被黑客用來(lái)竊取貴公司的數(shù)據(jù)。另外，你的員工可能在給其設(shè)備歡快地添加免費(fèi)的DNS服務(wù)，這至少意味著你沒(méi)有完全控制網(wǎng)絡(luò)配置。DNS是你基礎(chǔ)設(shè)施中的一個(gè)根本部分，關(guān)系到企業(yè)生產(chǎn)力，但它又是一個(gè)主要的攻擊途徑，你對(duì)發(fā)生的情況可能知之甚少。

DNS是互聯(lián)網(wǎng)上最常見(jiàn)的協(xié)議，但是它可能也是最容易被忽視的。數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)檢查電子郵件、網(wǎng)絡(luò)瀏覽器、P2P軟件、甚至Tor所使用的協(xié)議，卻常常忽視DNS。Cloudmark公司首席技術(shù)官Neil Cook說(shuō)：“沒(méi)人非常關(guān)注DNS數(shù)據(jù)包，盡管DNS是一切系統(tǒng)的基礎(chǔ)。DLP在Web和電子郵件方面做了大量的工作，但是任由DNS躺在那里，門(mén)戶(hù)大開(kāi)?！?/strong>

去年，專(zhuān)業(yè)美容用品公司Sally Beauty泄密事件中丟失的數(shù)據(jù)在偽裝成DNS查詢(xún)的數(shù)據(jù)包中外泄出去，不過(guò)Cook指出了一些意料不到卻合法的使用;“Sophos使用DNS隧道機(jī)制來(lái)獲得病毒特征;我們甚至將它用于許可?！?/p>

許多廠(chǎng)商正開(kāi)始提供DNS工具，從Infoblox的硬件設(shè)備到OpenDNS的安全DNS服務(wù)，不一而足。Palo Alto Networks公司正開(kāi)始提供DNS檢查服務(wù)，英國(guó)域名注冊(cè)機(jī)構(gòu)Nominet剛推出了其Turing DNS可視化工具，幫助公司企業(yè)發(fā)現(xiàn)DNS流量中的異常，而Cloudmark可分析DNS行為模式，幫助發(fā)現(xiàn)電子郵件中通向隱藏有惡意軟件的主機(jī)的鏈接。另外還有眾多面向常見(jiàn)監(jiān)控工具的插件，讓你能夠基本了解情況。

盡管DNS流量是許多攻擊的源頭，但是很少有公司對(duì)DNS流量進(jìn)行任何監(jiān)控。使用DNS隧道機(jī)制的不僅僅是在銷(xiāo)售點(diǎn)系統(tǒng)上運(yùn)行的惡意軟件，它們?cè)谝恍┕糁蝎@取客戶(hù)信用卡數(shù)據(jù)，比如針對(duì)Sally Beauty、家得寶和Target的攻擊。DNS對(duì)惡意軟件而言是最常見(jiàn)的指揮與控制渠道，還被用來(lái)獲取惡意軟件從貴公司竊取的數(shù)據(jù)。

Infoblox公司的DNS首席架構(gòu)師Cricket Liu說(shuō)：“DNS經(jīng)常被用作偷偷經(jīng)由隧道讓數(shù)據(jù)滲入公司或從公司外泄數(shù)據(jù)的一條渠道，而編寫(xiě)惡意軟件的人使用DNS經(jīng)由隧道外泄這種數(shù)據(jù)的原因是，DNS實(shí)在太缺乏監(jiān)控了，大多數(shù)人根本不知道在其DNS基礎(chǔ)設(shè)施上執(zhí)行哪種查詢(xún)?！?/p>

還有個(gè)問(wèn)題是，有人使用DNS避開(kāi)網(wǎng)絡(luò)安全控制;有可能是員工規(guī)避網(wǎng)絡(luò)限制、安全政策或內(nèi)容過(guò)濾，也可能是攻擊者避免被人發(fā)現(xiàn)。

DNS攻擊是個(gè)普遍性問(wèn)題

獨(dú)立研究公司Vanson Bourne最近針對(duì)美國(guó)和英國(guó)企業(yè)開(kāi)展了一項(xiàng)調(diào)查，結(jié)果發(fā)現(xiàn)，75%的企業(yè)表示遇到過(guò)DNS攻擊(包括因DNS而起的拒絕服務(wù)和DNS劫持以及數(shù)據(jù)竊取)，49%在2014年遇到過(guò)攻擊。令人擔(dān)憂(yōu)的是，44%聲稱(chēng)很難證明有必要往DNS安全方面投入成本，因?yàn)楦邔庸芾戆嘧記](méi)有認(rèn)識(shí)到這個(gè)問(wèn)題。

Nominet的首席技術(shù)官Simon McCalla表示，那是由于，他們認(rèn)為DNS是一種實(shí)用工具?！皩?duì)大多數(shù)CIO來(lái)說(shuō)，DNS是在后面運(yùn)行的系統(tǒng)，對(duì)他們來(lái)說(shuō)不是優(yōu)先事項(xiàng)。只要DNS在正常運(yùn)行，他們就很高興。然而，大多數(shù)CIO沒(méi)有認(rèn)識(shí)到這點(diǎn)，DNS里面有大量的信息可以向他們表明其網(wǎng)絡(luò)內(nèi)部發(fā)生的情況?！?/p>

Liu直言不諱：“讓我覺(jué)得驚訝的是，很少有企業(yè)組織肯花心思對(duì)其DNS基礎(chǔ)設(shè)施進(jìn)行任何一種監(jiān)控。DNS根本沒(méi)有引起重視，可是TCP/IP網(wǎng)絡(luò)離開(kāi)了DNS就無(wú)法正常運(yùn)行。這是不為人知的關(guān)鍵?！盠iu堅(jiān)稱(chēng)：“落實(shí)監(jiān)控DNS基礎(chǔ)設(shè)施的機(jī)制并不深?yuàn)W;現(xiàn)在外面有許多機(jī)制可以幫助了解DNS服務(wù)器在處理哪些查詢(xún)以及響應(yīng)。你其實(shí)應(yīng)該進(jìn)行監(jiān)控，因?yàn)镈NS基礎(chǔ)設(shè)施與負(fù)責(zé)在網(wǎng)絡(luò)上實(shí)際傳送數(shù)據(jù)包的路由和交換基礎(chǔ)設(shè)施一樣重要?！?/p>

他發(fā)現(xiàn)，演示這種威脅通常足以引起管理層的注意?！耙坏┐蠖鄶?shù)CIO看到如何借助網(wǎng)絡(luò)里面的一臺(tái)中招機(jī)器，就能在該端點(diǎn)設(shè)備與互聯(lián)網(wǎng)上的服務(wù)器之間建立起一條雙向通道，就會(huì)認(rèn)識(shí)到對(duì)此需要采取一些措施。這實(shí)際上就是面對(duì)這個(gè)嚴(yán)峻現(xiàn)實(shí)的問(wèn)題?！?/p>

處理DNS安全

首先，你不要再把DNS想成單單涉及網(wǎng)絡(luò)，而是想成它是“管道的一部分”(part of the plumbing)，OpenDNS首席執(zhí)行官David Ulevitch說(shuō)(思科正在收購(gòu)該公司)。

“過(guò)去網(wǎng)絡(luò)操作人員運(yùn)行你的DNS，他們?cè)陉P(guān)注DNS時(shí)著眼于確保防火墻開(kāi)著，沒(méi)有阻止他們認(rèn)為是連接關(guān)鍵部分的對(duì)象，而不是將DNS視作是安全政策、訪(fǎng)問(wèn)控制和審計(jì)的關(guān)鍵部分。但是如今我們生活每個(gè)網(wǎng)絡(luò)操作人員必須是安全從業(yè)人員的環(huán)境下。”

如果你積極主動(dòng)地管理DNS，可以在員工(和攻擊者)無(wú)法規(guī)避的層面來(lái)實(shí)施網(wǎng)絡(luò)控制措施。你在DNS層面可以比使用Web代理系統(tǒng)或者進(jìn)行深層數(shù)據(jù)包檢查更有效地發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)攻擊及惡意軟件指揮和控制系統(tǒng)，你還能在第一時(shí)間發(fā)現(xiàn)攻擊，而不是幾天之后才發(fā)覺(jué)。

Liu說(shuō)：“DNS是一種很好的預(yù)警系統(tǒng)。眼下你基本上可以假定，你的網(wǎng)絡(luò)上就有被感染的設(shè)備。DNS是拉設(shè)絆網(wǎng)(tripwire)的好地方，那樣當(dāng)惡意軟件及其他惡意程序潛入到你的網(wǎng)絡(luò)上，你很容易發(fā)現(xiàn)它的存在及其活動(dòng)，可以采取一些措施盡量減小它造成的破壞?！蹦闵踔林灰獙ふ翌?lèi)似的行為模式，就可以查看感染的傳播范圍有多廣。

OpenDNS和Infoblox之類(lèi)的服務(wù)還能查看你網(wǎng)絡(luò)之外的情況。Ulevitch說(shuō)：“很容易建立一個(gè)基準(zhǔn)，了解正?；顒?dòng)是什么樣子，然后進(jìn)行異常檢測(cè)。假設(shè)你是得克薩斯州的一家石油天然氣企業(yè)，亞洲某國(guó)出現(xiàn)的一個(gè)新域名指向歐洲的IP地址，又沒(méi)有其他石油公司關(guān)注該域名。為什么你就應(yīng)該是試驗(yàn)品呢?”

你還要監(jiān)控常見(jiàn)地址在你網(wǎng)絡(luò)上是如何解析的――黑客會(huì)試圖將Paypal等網(wǎng)站的鏈接發(fā)往自己的惡意網(wǎng)站，并監(jiān)控你的外部域指向何處。特斯拉公司的網(wǎng)站最近被重向至黑客搭建的欺騙網(wǎng)頁(yè)時(shí)，黑客還控制了這家公司的推特帳戶(hù)(并利用該帳戶(hù)向伊利諾伊州一家小型計(jì)算機(jī)維修店打去洪水般的電話(huà))，攻擊者還更改了用來(lái)解析域名的域名服務(wù)器。監(jiān)控其DNS也許可以在用戶(hù)開(kāi)始在推特上發(fā)布被黑網(wǎng)站的圖片之前，給特斯特提個(gè)醒：哪里出了岔子。

Ulevitch指出，至少要記住這一點(diǎn)：DNS是你所有在線(xiàn)服務(wù)的立足之本。“改進(jìn)DNS的門(mén)檻很低很低。DNS通常被認(rèn)為是成本中心;人們并不把錢(qián)投入到足夠可靠的基礎(chǔ)設(shè)施或性能足夠高的設(shè)備，所以很難應(yīng)對(duì)很大的事務(wù)量?！?/p>

不是說(shuō)只有你被DNS攻擊盯上時(shí)，DNS才顯得重要。“企業(yè)應(yīng)當(dāng)關(guān)注DNS性能，因?yàn)樗鼤?huì)給你在網(wǎng)上開(kāi)展的一切工作帶來(lái)重大影響。每當(dāng)你發(fā)送電子郵件或者打開(kāi)應(yīng)用程序，其實(shí)就在提出DNS請(qǐng)求。如今，網(wǎng)頁(yè)很復(fù)雜，裝入一個(gè)頁(yè)面需要提出10多個(gè)DNS請(qǐng)求并不罕見(jiàn)。僅僅為了處理裝入頁(yè)面的DNS部分，這個(gè)過(guò)程就有可能多出整整1秒或更久?！?/p>

處理企業(yè)問(wèn)題

監(jiān)控DNS還讓你可以獲得大量信息，了解貴企業(yè)網(wǎng)絡(luò)之外的其他信息。Ulevitch指出：“在當(dāng)下，網(wǎng)絡(luò)邊界變得稍縱即逝，服務(wù)輕而易舉就能采用。營(yíng)銷(xiāo)主管可能注冊(cè)使用Salesforce服務(wù);如果你看一下DNS，就能發(fā)現(xiàn)這個(gè)情況。你能發(fā)現(xiàn)多少員工在使用Facebook。你能發(fā)現(xiàn)出現(xiàn)在網(wǎng)絡(luò)中的設(shè)備，無(wú)論設(shè)備是用于核查許可證，還是在偷偷外泄數(shù)據(jù)。就算你有一百個(gè)辦公室，照樣能查明誰(shuí)在連接設(shè)備。”

他指出，這里的設(shè)備不僅僅指?jìng)€(gè)人電腦;打印機(jī)、電視機(jī)和物聯(lián)網(wǎng)設(shè)備也在日益連接到企業(yè)網(wǎng)絡(luò)上。“我想讓電視機(jī)打電話(huà)給大本營(yíng)嗎?如果你瞧一瞧三星隱私政策，表明電視機(jī)內(nèi)置麥克風(fēng)，可能隨時(shí)聽(tīng)偵聽(tīng);我在企業(yè)董事會(huì)會(huì)議室里果真需要這種設(shè)備嗎?也許我應(yīng)該實(shí)施DNS政策，那樣電視機(jī)無(wú)法打電話(huà)給大本營(yíng)。”

Infoblox的Liu同意這一觀點(diǎn)?！拔锫?lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)常常不是非常關(guān)注安全。你需要確保設(shè)備連接到應(yīng)該連接的地方;要是有人把別的設(shè)備接到你的物聯(lián)網(wǎng)設(shè)備上，它們本該無(wú)法訪(fǎng)問(wèn)你的內(nèi)部網(wǎng)絡(luò)。DNS是一個(gè)有用的節(jié)點(diǎn)，可以監(jiān)控那種訪(fǎng)問(wèn)?！?/p>

Ulevitch指出，又由于你已經(jīng)在使用DNS，監(jiān)控它并不會(huì)干擾什么?！巴ǔＴ诎踩I(lǐng)域，大多數(shù)技術(shù)沒(méi)有使用的原因是，需要花力氣來(lái)確保它們對(duì)用戶(hù)績(jī)效沒(méi)有產(chǎn)生負(fù)面影響?！?/p>

他表示，實(shí)際上需要一個(gè)充分的理由表明沒(méi)必要這么做?！鞍踩矫嬗幸恍┗镜淖罴褜?shí)踐，其中一條是獲得網(wǎng)絡(luò)可見(jiàn)性。無(wú)法查看網(wǎng)絡(luò)上的流量，無(wú)異于瞎搞一通。想方設(shè)法檢查DNS流量是確保安全狀況很牢靠的一個(gè)根本要求。不知道網(wǎng)絡(luò)上發(fā)生的情況簡(jiǎn)直就是玩忽職守?！?/p>

英文：Why you need to care more about DNS