保护DNS对数字网络安全越来越重要—Vecloud

什么是DNS？
简而言之，域名系统（DNS）使Internet可供我们使用。它用作关键的目录查找功能，可将文本网址转换为我们的设备用来连接到网站，电子邮件和其他Internet应用程序的数字Internet地址。
组织在DNS中发布其网址，以便人们可以轻松地在Internet上找到它们。如果客户由于DNS故障而无法访问您的网站，则可能会遭受财务，声誉或其他形式的损失。如果您的DNS无法操作，则您在网络上是不可见的。
由于DNS对Internet的运行至关重要，因此DNS不仅可以充当攻击目标，而且还可以充当攻击工具-使用DNS来通过网络承载攻击，前提是必须允许DNS通过防火墙流向和来自网络。
网络工程师必须注意考虑DNS漏洞和防御措施，以更完全地保护其网络。
观察到DNS攻击
在调查的主要发现中，有一半以上的受访者在过去的12个月中经历了某种形式的恶意软件或勒索软件攻击，其中约有15％表示某种形式的声誉和/或财务损失。
根据2016年思科安全报告，虽然并非所有恶意软件和勒索软件都使用DNS，但超过90％的恶意软件使用DNS通过Internet与恶意软件作者的命令和控制中心进行联系。通过这种方式，安装在受感染设备上的恶意软件可以接收攻击说明，下载恶意软件更新以及导出从网络内部收集的敏感信息。因此，监视DNS和对DNS进行防火墙保护可以导致检测和预防恶意软件或勒索软件的活动和扩散。
除了此类恶意软件和勒索软件渗透之外，受访者还表示，他们遭受了拒绝或分布式拒绝服务（DoS /
DDoS）攻击，反映了DDoS，域劫持和DNS缓存中毒。当攻击者在“真实”或权威服务器做出响应之前回答给定目标的查询时，可能会发生DNS缓存中毒。毒害DNS服务器缓存并不是一件容易的事，因为响应中的其他参数必须补充查询。但是，这种攻击可以劫持毫无戒心的用户来冒充网站，而强力域名劫持攻击也可以劫持。这些操作您或您的父区域的DNS服务器的信息。
防御措施
给定这些DNS攻击媒介，针对DNS和使用DNS的其他网络以及计算元素的攻击媒介的多样性，因此需要多种策略来有效防御。当与其他DNS和常规网络安全策略一起使用时，这些策略中的许多策略也有助于深度防御方法。
超过一半的受访者已充分实施访问控制列表（ACL），DoS /
DDoS保护，查询监视和取证功能以及基于角色的部署的基本安全措施，以包含渗透范围。将近一半的受访者已实施DNS服务器强化，另有30％的受访者正在实施或计划在两年内实施。
四分之一以上的受访者已完全实现DNS防火墙功能，这是检测和阻止恶意软件尝试与命令和控制中心联系的有效方法。DNS防火墙策略使策略的执行可以阻止此类查询或重定向查询答案，以将设备连接到缓解门户以进行补救。近75％的受访者计划在两年内实施DNS防火墙解决方案，这应该有助于抵御这种最普遍形式的DNS攻击。
在未来两年内，40％的受访者支持或计划支持DNS安全扩展（DNSSEC）。
DNSSEC提供有关DNS分辨率的数字签名，使用户能够对此类响应进行身份验证，从而大大降低了通过缓存中毒可能造成的域劫持的可能性。虽然DNSSEC的早期实现很难初始化和维护，但如今，许多开源和商业产品都使大多数或所有密码设置和维护自动化。不幸的是，我们发现这种对复杂性的看法仍然普遍存在，因为只有不到20％的受访者同意或强烈同意DNSSEC签名或验证易于维护。
当今的DNS安全状态
总而言之，很明显，IT和运营工程师和管理人员都在关注DNS安全及其对更广泛的网络安全的影响。他们意识到DNS所提供的漏洞，这既是一项关键的网络服务，又是要求在其整个网络和网络防火墙中进行开放式传输的必需网络协议。尽管获得了这种认可，但DNS安全措施的实施还是比较温和的。多数人基本上已经执行了基本控制措施，尽管最好所有人都采取这样的措施。
尽管在保护网络安全方面具有公认的价值，但大多数人仍未大量实施其他更复杂的控制措施，例如DNS防火墙和DNSSEC。对于DNSSEC的复杂性以及对DNS防火墙配置和维护的不确定性，至今抑制了部署。
VeCloud微云网络的总部位于香港，并在中国北京和深圳设有分支机构，是一家面向企业提供云交换网络服务为核心业务的技术创新企业。基于创新的云网技术，以及优质的全球网络与IDC数据中心资源，推出了全球直连，快速可达的VeConnect平台，实现网络服务商、IDC数据中心、云服务商以及企业应用服务商的直连互通，为企业提供高效、安全、稳定、可靠的网络连接服务。http://www.vecloud.com/products/it-outsourcing.html