DNSSEC正变得越来越普遍。很多政府机构和金融机构都在提出DNSSEC要求,因为公布未签名区域会忽略DNS弱点,并使企业的系统对各种DDoS攻击开放。企业需思量部署DNSSEC,从而爱护数据。除此以外,为防止缓存中毒袭击,还应采取的其他措施,比如:仅存储与请求的域相关的数据,并限制您的响应仅提供有关请求的域的信息。
怎么保护基础架构免受DDoS攻击-唯嘉利亚云安全
域名系统(DNS)是我们信任的根源,也是互联网最重要的一具组成部分。它是一项关键服务,一旦它发生故障,企业的网络必定受到阻碍。怎么防止DNS缓存中毒袭击?
第一,DNS服务器应该配置为尽大概少地依靠与其他DNS服务器的信任关系。以这种方式配置将使袭击者更难以使用他们自个儿的DNS服务器来破坏目标服务器。另一具重大风险是,假如互联网安全提供商的网站被欺骗,这么用户的计算机大概会受到其他威胁(如:病毒或特洛伊木马)的阻碍,因为一旦被袭击用户则别大概执行合法的安全更新。
部署后,计算机将可以确认DNS响应是否合法,而目前无法确定真实或虚假的响应。 它还可以验证域名全然别存在,这有助于防止中间人袭击。DNS服务器存在漏洞,袭击者能够利用这些漏洞来DDoS攻击它们。 DNS缓存中毒袭击算是黑客最常用的袭击想法之一。
第二,企业应该设置DNS服务器,只允许所需的服务运行。因为在DNS服务器上运行别需要的其他服务,只会增加袭击向量大小。其实,DNS的安全咨询题已存在特不长时刻。依照设计,DNS是网络上的开放式服务,之初没有得到适当的监控,传统的安全解决方案无法有效爱护。
缓存中毒工具可用于关心组织防止这些袭击。 最广泛使用的缓存中毒预防工具是DNSSEC(域名系统安全扩展)。 它由Internet工程任务组开辟,提供安全的DNS数据身份验证。当公司经过互联网访咨询VoIP和电子邮件时,都依靠于DNS,于是您必须保证您的DNS服务器免受DNS欺骗袭击,能够采取DNSSEC(Domain Name System Security Extensions,DNS安全扩展)方案来解决。
第三,安全人员还应确保使用最新版本的DNS。较新版本的BIND具有加密安全事务ID和端口随机化等功能,能够关心防止缓存中毒袭击。
DNS是名称和数字的虚拟数据库,它是企业其他关键服务的支柱,比如:电子邮件、互联网站点访咨询,互联网协议语音(VoIP)和文件治理。
第四,用户的安全教育关于防止这些DDoS攻击也很重要。最后来用户应答应有关识不可疑网站的培训,假如他们在连接到网站之前收到SSL警告,则别大概单击“忽略”按钮。 他们还应始终答应有关经过社交媒体帐户识不网络钓鱼电子邮件或网络钓鱼的教育。
当袭击者操纵DNS服务器后,他们能够修改缓存信息,这是DNS中毒。经过垃圾邮件或网络钓鱼电子邮件发送的URL中,经常能够找到DNS缓存病毒的代码。这些电子邮件会尝试提醒用户注意,声称这是一份重要邮件,是你需要即将引起注意的事件。此刻,用户只要单击邮件中的URL,病毒就会感染用户电脑。此外,一些横幅广告和图片通常用于将用户重定向到这些受感染的网站。