提升DNS安全 限制DDoS攻击

栏目: 编程工具 · 发布时间: 6年前

早期数据显示,2018年里大型分布式拒绝服务(DDoS)攻击相对平静,但这是否意味着2019年会延续这一风平浪静的趋势呢?尽管谁都知道网络安全预测不易,还是有专家指出,DNS安全的发展令网络罪犯只有改变策略才能苟延残喘。

提升DNS安全 限制DDoS攻击

NS1共同创始人兼首席执行官 Kris Beevers 称:当前市场的关注重点不在大型DDoS攻击上,但背后的暗战从来没缺席。虽然小型高针对性DDoS攻击是网络安全领域常见特征,但2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击 工具 的难度。

InfoBlox工程执行副总裁兼首席DNS架构师 Cricket Liu 也这么认为:

提升DNS安全,让黑客更难以利用DNS服务器进行DDoS攻击的一个重要方面是所谓RRL(响应速率限制)的实现。实现RRL后某IP地址对单个域名的解析请求只会得到DNS服务器有限次数的响应,可以降低用流量洪水淹没受害者的可能性。

另一个提升DNS安全的进展是DNSSEC的普及。DNSSEC是防止DNS请求/响应伪造的一套系统,要求服务器经可信证书验证和签名。Liu表示,DNSSEC的采纳持续增长,但不同国家和顶级域名间的采纳并不均衡。比如说,.com和.net的DNSSEC采纳率就远低于其子域名,而瑞典和比利时的采纳率非常之高。

对使用公共DNS解析的个人和公司企业而言,安全消息不断向好。谷歌、Open DNS和Quad9等托管的公共递归DNS服务器就采用了RRL和DNSSEC技术处理所有交易。

注:“递归”DNS服务器用于向客户端响应具体URL的地址。“权威”DNS服务器则提供IP地址映射,供递归DNS服务器用于响应查询请求。

Quad9是由供应商联盟运营的非盈利服务,其执行总监 John Todd 称:该服务目前在全球82个国家运营有137个服务器。这些服务器采用各种各样的技术,每天封堵的恶意事件超过1000万起,有些天甚至高达4000万起之多。

所用技术之一就是增强DNS查询安全的DNSSEC,另一个是通过援引19家合作伙伴的聚合威胁情报馈送来封锁已知恶意URL解析,例如已确知装载了恶意软件或网络钓鱼链接的网站。

随着互联网用户越来越关注流量安全,Quad9的采纳率也开始增加,增长率近乎每周25%。安全是核心,DNSSEC、对冗余的需求,还有公共和私有云基础设施技术栈的统一趋势,都是未来将要发生的大事件。

至于近期DNS安全的进一步改善,可以关注DNS命名实体身份验证(DANE)。

IETF RFC 6698 中描述的DANE允许将证书信息放入对查询的响应中,以便查询者了解该响应是否受到合法证书的保护。从不太道德的证书颁发机构获取假证书相对容易,DANE可以挫败这种欺骗手法。这是一种有趣又有用的DNS应用,还有助于驱动DNSSEC的采纳。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C语言基础

C语言基础

安博教育集团 / 2012-2 / 37.00元

《C语言基础》深入浅出地介绍了C语言程序设计的基础知识,内容涉及C语言基础、算法基础、变量、数据类型、运算符、输入/输出相关函数、选择结构、循环结构、各种表达式、数组、字符串、指针、函数、结构体、ISO C99的扩展语法等。全书内容丰富,结构严谨,层次清晰,语言生动,论述精准而深刻,实例丰富而实用。 《C语言基础》不仅适合用做计算机职业培训的首选教材,也可作为普通高校教材使用,更是C语言初学......一起来看看 《C语言基础》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具