資安人 Info Security 領航資安‧駕馭風險
作對事、用對方法、找對夥伴
 
首頁 > 產業快訊
列印
加入我的最愛 轉寄好友 分享 將這篇文章分享到 Plurk 噗浪

DNS攻擊老舊防不了 肇因仍在人與不良架構

作者:本篇文章內容由廠商提供,不代表資安人科技網觀點 -01/30/2013
DDoS攻擊者的目的在於阻斷服務,手法卻可千變萬化,控制殭屍網路直接阻斷網站服務是其一,此外也會有攻擊企業DNS伺服器的手法。DNS有網路黃頁之稱,功能主要在於解析網域名稱至IP網址,設定得當,則網站使用者便可以透過查詢DNS,正確且快速的連至服務網站,但問題就在於設定不當的DNS伺服器可能會成為安全漏洞。


網路安全領導廠商Nexusguard資安研究員謝輝輝說, 近年來因為網路資源日漸便宜,頻寬成本日趨低廉,DNS攻擊也屢創新攻擊流量的規模。攻擊者控制殭屍網路送出大量的DNS查詢封包,送至網站的名稱伺服器,使其應付不暇終而導致網路服務被阻斷(Direct DNS Attack),這是任何一家企業都可能面臨到的問題。


在一些特殊狀況裡,也隱藏著一些漏洞。DNS安全擴充協議(DNSSEC, DNS Security Extensions)主要目的在於強化DNS服務驗證,而要達成這個協議則必須開啟EDNS0的功能,但諷刺的是,若開啟此功能卻不知如何安全設定,則反而會讓它變成一個漏洞。謝輝輝認為,EDNS0會是未來安全配置的一種「必須」,但現實生活中卻由於人們缺乏安全防範的意識使其有所闕漏。


例如在DNS軟體BIND 8.3.0與BIND 9.0.0以後的版本、提供DNS服務的Windows Server 2003,其DNS擴充機制(EDNS0, Extension Mechanisms for DNS)都是預設開啟,這些功能美其名可以更多工的處理網路需求,但謝輝輝說,就整體而言並沒有那麼大的效益,但卻可能造成DNS Server被DDoS攻擊的重點。儘管這是自1996年以來就有的舊有漏洞,但綜觀新聞我們可看到,至2012年為止,仍有國際性的DNS 供應商遭殃,結果受害者卻是使用該公司代管服務的客戶。


既然這並非新手法,為什麼直至今日仍有不少具規模的大企業被攻擊成功呢?一是基礎網路為過去舊有架構、二是人員缺乏資安意識。謝輝輝解釋,在過去由於缺乏對資安意識的重視,網路基礎架構以效能為主,並非著重安全,在遭到資安攻擊時難以立即因應。此外在人員意識方面,對於 DNS的設定安全也未受到重視。


他提出以下四點建議:
1. 徹底清查DNS伺服器,不需要的服務必須關閉。
2. 持續監控DNS流量,了解自身網路能因應的流量。
3. 透過日常的監控,比對不正常流量發生的狀況。
4. 做好災難備援。根據研究了解,即使是跨國DNS服務供應商可以提供上千上萬家客戶服務,背後可能卻僅以數百台設備來服務,造成狀況發生時無法立即切換、備援。


要杜絕針對DNS伺服器的攻擊,一是基礎建設對網路安全的升級,二是透過後天設定與監控的改善。他也建議可以透過專業DDoS防禦供應商的服務,得到更完整的安全防護。目前Nexusguard提供的Clear DNS服務便可有效減輕這些DNS攻擊手法,我們可以透過全球流量清理中心進行流量的檢查和過濾,並有足夠的頻寬減輕大流量DDoS攻擊。


針對DNS攻擊雖是老法子,可是有效的原因在於,過去的基礎建設難以改變,還有安全設定的概念也都尚未深植人心,所以安全問題仍然持續發生,僅僅是利用DNS伺服器,手法便可不斷推陳出新,因此企業需要透過長期監控的DDoS防禦專家服務,才能有效杜絕攻擊再度發生。詳情請參閱 http://www.nexusguard.com。
 
推薦此文章
 
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
 
  輸入圖片數字  
 

你或許會對這些文章有興趣…
研究顯示 : 近七成網站是惡意攻擊的活動跳板 ~ 壽命只有一天11/19/2014
注意Microsoft Windows的SChannel (安全通道)漏洞 趨勢科技提醒大眾11/19/2014
啟動無線 無遠弗屆 - Aruba Networks全無線工作場域 11/19/2014
為雲端應用服務提供安全的通用性單一簽入功能-全新NetIQ CloudAccess 2.1全面上市11/19/2014
合勤科技One Network自動感知能力網路11/19/2014

Information Security 資安人科技網 版權所有,禁止未經授權轉貼節錄
TEL:+886-2-2659-9080 / FAX:+886-2-2659-9069 /
聯絡我們
Globle asmag asmag 台灣 asmag中國
香港商法蘭克福新時代傳媒有限公司台灣分公司
Secutech國際博覽會 Secutech越南 資安人活動網站
  資安人 Info Security