DNSSEC 代表域名系统安全扩展,是一种用于保护 IP 网络上使用的域名系统 (DNS) 信息的技术。它为 DNS 数据的源站提供身份验证,有助于防范攻击和保护数据完整性。
DNSSEC 的工作原理
DNS 将域名或网站名称转换为互联网协议 (IP) 地址。这些是唯一标识符,可帮助全球计算机快速访问信息。DNS 安全增加了一组扩展以增强保护
这些安全扩展包括:
- DNS 数据的源站身份验证:这可确保数据的接收者可以验证源站。
- 经过身份验证的存在否定:这告诉解析程序(负责将域名转换为 IP 地址)某个域名不存在。
- 数据完整性:这可向数据接收者确保,在传输过程中未更改数据。
为什么我们需要 DNS 安全性?
DNS 可帮助将 Web 流量指向正确的目的地。它被所有人使用,无处不在,所有互联网流量都会流经它。因此,它是一个高度敏感的系统,它会面对网络攻击者的许多威胁,攻击目的是控制 DNS,感染并从中提取所有数据。
许多现代企业通常易受 DNS 服务器安全风险影响,因为他们只使用几个 DNS 服务器。因此,这可能使他们无法防范体积攻击,借助这种攻击,大量网站流量可能会导致服务器崩溃,从而阻止用户找到网站。
除了损害 DNS 的工作方式之外,恶意攻击还可能试图利用运行 DNS 服务的服务器上的安全漏洞,提取宝贵的数据,比如密码、用户名和其他个人信息。
这些攻击为公司带来了严重问题,并使 DNS 安全成为确保在线安全的关键组件。
常见的 DNS 安全威胁
如果没有完备的 DNSSEC,企业可能会面临以下风险:
- 分布式拒绝服务 (DDoS) 攻击:DDoS 利用多个系统的安全漏洞(例如受恶意软件攻击的漏洞),并将大量流量发送到网站或基于 Web 的应用程序。这些可能会导致服务器崩溃并使网站或应用程序无法使用。这些攻击可能会影响客户,并可能导致收入损失。如今的 DDoS 攻击变得越来越复杂,会更深入地攻击应用程序层,而以前它们只影响外部网络和传输层。
- 放大攻击:在这种攻击中,黑客利用 DNS 服务器中的漏洞将较小的查询变成较大的查询,从而使服务器崩溃。放大攻击是一种反射攻击,涉及使用多个 UDP(用户数据报协议)数据包向公共 DNS 发起泛洪攻击。这些数据包被放大,目的是使服务器崩溃。术语“反射”是指 DNS 解析程序引发对虚假 IP 地址的响应,该地址在攻击中作为 DNS 查询发送。
借助 Akamai 实现快速安全的 DNS
Akamai 的Fast DNS 基于云的解决方案可提供全天候的 DNS 可用性,并有助于抵御大规模 DDoS 攻击。它可用作主要或次要 DNS 服务,构建在全球分布式网络上,并提供高度可扩展的平台以实现出色保护。
Fast DNS 可将用户定向到高性能 DSN 网络来提高响应速度,从而加速 DNS 解析。Akamai Intelligent Platform™ 使用全球数千台服务器来抵御大规模 DDoS 攻击,从而有助于: