高校DNS安全可靠性的八条建议 |
| 时间:2023-07-25 11:13:01 来源:互联网 作者: |
当前,有大量高校遭到了针对DNS的恶意攻击,攻击原理为:伪造与DNS服务器相同子网的原地址对DNS服务器请求域名解析,当伪造的原地址不存时就会引起DNS服务器进行大量的ARP请求,从而将系统资源消耗殆尽。遭受同样的攻击但业务受的影响程度却不同,一方面是很多高校启用了路由上的原地址检测功能(uRPF)使得攻击数据包不能到达DNS服务器,另外一方面和各个高校DNS的安全可靠性部署策略有关,我们对这些策略进行了归纳总结给出以下八条建议供大家参考。
由于权威服务器必须直接暴露到互联网,因此权威服务器更容易遭受来自互联网的攻击。而递归服务器无需对外暴露IP地址,所以我们可以将递归服务器和权威服务器分离,并且权威服务器只允许对我们自己的权威域进行解析,不允许解析其他互联网域名,可以大幅度降低攻击带来的风险。
DNS协议规定,权威域名发布时可以发布多个NS服务器,客户端会自动选择可用且较优的NS服务器,因此推荐至少部署两台独立的权威服务器,有条件的用户可以选择在不同的运营商线路或者公有云发布第二、第三权威服务器。
与权威解析类似,递归解析时,客户端会首先访问第一个DNS服务器,如果不可用则会访问第二个,这是一种协议本身支持的高可靠模式,所以建议给用户下发的递归DNS直接使用多台服务器的不同IP地址不要采用HA模式的虚拟IP。
网络核心服务推荐使用单独的子网不和其他应用混用。管理员可以更加方便地配置路由策略,封禁攻击源地址,拦截攻击流量,快速响应各类攻击,而无需担心新增策略会影响其他业务。
域名请求和响应日志中包含有大量域名解析行为信息,包括源地址、域名、解析类型、解析结果等。通过对源地址、域名的聚合分析,可以很快得出攻击行为的特征、来源等信息,进而有针对性地对攻击来源进行封禁。
无论是DNS反射放大攻击、DNS递归攻击,或者是DDoS攻击,其攻击形态往往都伴随着巨量的域名解析请求。因此权威DNS和递归DNS都应该开启域名解析的限速,丢弃超速报文,从源头上阻断DNS攻击。
目前很多校园网内传播的病毒、木马,以及大量的校内终端和虚机被劫持为“肉鸡”进行挖矿、攻击等活动,其源头大都是校园网内用户终端访问挂马、病毒网站,导致病毒传播。因此,通过互联网威胁情报,或使用商业的威胁域名库可以很大程度上阻断病毒传入校园网,同时也避免师生在使用网银等敏感业务时访问到钓鱼网站,遭受财产损失和信息泄漏。
上述七点建议可以有效增强DNS的可靠性和安全性,但是更值得我们注意的是我们的系统能被内部攻破,所以从管理的角度讲我们要对管理端口做IP地址限制、对管理通道采用加密传输方式、对管理员账号认证方式做严格限制、对管理员操作做好日志和审计工作。同时也建议有条件的用户积极引入新的DNS安全特性如DNSSEC,保障域名权威安全。 |
|
|
|
