什么是 DNS 安全?
域名系统 (DNS) 安全通过确保 DNS 查询的稳定性来保护用户免受网络威胁,DNS 查询是系统将网站名称转换为 IP 地址的过程。
恶意行为者(也称为威胁行为者)是具备实施网络攻击或其他有害行为能力的实体。那么,这些个人或团体是谁呢?如今,可能性多得数不胜数:
- 试图从受害者处勒索高额赎金的黑客。
- 怀有政治诉求、想要“报复”的政治派别。
- 没有明显意识形态动机的破坏者。
- 流氓国家支持的恐怖主义活动。
真正令人恐惧的是,这些潜在的作案者能够如此善于隐藏自己的身份,同时无情地侵犯他人的身份。
攻击可能来自任何提供 Wi-Fi 的地点,从街上某个住宅地下室工作的个人,到活跃在全球隐蔽地点的网络犯罪团伙。这种出色的伪装能力为他们提供了充足的掩护,使其能避免被发现,从而得以继续实施不法勾当。
DNS 安全围绕四个独立的网络安全流程展开。
DNS 安全扩展 (DNSSEC) 采用数字签名来确认 DNS 数据的真实性。它有助于确保从可验证的合法来源接收传入数据。使用 DNSSEC 有助于防止 DNS 缓存投毒攻击的成功,在此类攻击中,伪造的 IP 地址会将用户重定向到恶意网站。DNS 缓存投毒是 DNS 欺骗攻击的主要类型之一。
DNS 安全性的另一种运作方式是通过广泛使用过滤方法。DNS 过滤策略可以根据用户的需求进行调整。因此,过滤功能为用户提供了很多选择。他们可以阻止具有危险特征的某些网站、域名(和子域名)或整个类别的内容。
加强安全性和提升隐私是遵循 DNS 安全一般原则的主要好处,其体现方式包括以下几个方面。
帮助防范 DDoS 攻击
分布式拒绝服务 (DDoS) 攻击旨在破坏 DNS 流量的正常运行。通过向目标系统发送大量网络流量,使其完全瘫痪。
试想一下,您正遭受着巨大的冲击,就像经营一家路边小餐馆时,突然涌入了成千上万名饥肠辘辘的食客,所有人都要求立刻得到服务。DDoS 攻击也是如此,靠的是其数量上的压倒性力量。
还有 DNS 放大攻击,这种攻击通过使用开放和可用的 DNS 服务器来放大流量,从而破坏网络安全,目的是希望压垮目标互联网服务或域。(当许多被攻陷的计算机以这种方式被利用时,这被称为僵尸网络。)放大攻击利用被伪造的源 IP 地址(该地址属于预定的受害者),将大量不请自来的网络流量指向该受害者。
DNS 安全以多种方式抵御 DDoS 攻击。首先,DNS 安全性强制要求使用数字签名作为接受 DNS 数据传输的前提。它还利用异常检测技术,利用人工智能驱动算法来发现独特的 DNS 威胁。
另一种方法,速率限制,根据经过的时间来限制单个客户端可发出的 DNS 请求数量。DNS 区域验证要求,只有经过确认且有效的 DNS 记录才能被允许加入正常的 DNS 流量。
强化“零信任”原则
要建立真正安全的 DNS,必须使其符合并支持零信任网络安全理念,即“永不信任,始终验证”。这意味着,在请求者的身份经过验证并获得访问授权之前,任何资源(无论看起来多么微不足道)都不会被授予访问权限。
正如 IBM 商业价值研究院发布的零信任安全报告中所述,全面践行零信任理念的公司往往具有一些显著的共同特征。这份报告讨论了“零信任领跑者”,以及大约 23% 的公司为充分发挥零信任实际原则的优势而采取的具体行动。
DNS 解析器在落实零信任的实际原则中发挥着关键作用。解析器充当中介的角色。用户请求某个网站后,DNS 解析器就会处理该请求。然后,它会扫描整个 DNS 基础设施并检查各个 DNS 服务器,以寻找正确的 IP 地址。
如果 DNS 系统未能找到该 IP 地址,DNS 解析器就会访问系统外的权威名称服务器。这些名称服务器通过提供已确认的 IP 地址,为所查询的 IP 地址给出“最终答案”。递归 DNS 解析器随后会将该 IP 地址存入缓存中,以便下次需要时能够安全保存并快速在内部访问。
使用强大的安全工具
资源
IBM NS1 Connect 是一项完全托管的云服务,用于企业 DNS、DHCP、IP 地址管理和应用程序流量导向。
IBM 的云网络解决方案可实现高性能连接,为应用程序和业务提供支持。
使用 IBM Technology Lifecycle Services 整合数据中心支持,以实现云网络等。