在目前的網路基礎設施當中,DNS是最不可或缺的服務之一,當這樣的網路服務被入侵,相關資源設定也遭到竄改時,甚至使用者有可能會因此誤連到惡意偽造的網站,結果導致帳號、密碼、信用卡號等重要個資被竊取,損失慘重。如少了它,我們就必須設法記住一堆難以記憶的IP位址,才能連到提供各種應用服務的後端伺服器,如果DNS無法正常運作、提供服務,許多IT應用甚至可能會因此停擺,因為,許多原本能連到目的地的連線請求,全部都會迷路。
DNS的存在這麼重要,那麼,它本身夠安全嗎?事實上,要建立DNS伺服器很容易,幾乎所有的Unix和Linux作業系統,以及Windows Server作業系統都內建這樣的伺服器功能,取得方式幾近於免費。但所有軟體可能發生的安全性問題,它們都會面臨到,包括錯誤的設定、作業系統與DNS軟體本身的漏洞、伺服器管理者帳號與密碼被破解。
現行防護DNS攻擊方法的局限
對於DNS在網路傳輸時可能引發的安全性問題,過去已經有人提出幾種解法來因應,但仍無法全面而徹底地改善DNS安全性。因為,最主要的問題是,這些方法實作上,對網路傳輸速度與DNS伺服器本身的效能,都有很大的衝擊,就目前而言,有些作法引發的副作用是無法克服的,例如,DNS採用的通訊協定很難由UDP改變為TCP,以及防火牆、路由器無法全面檢測封包來源,有些則已經有進一步的搭配方式,可突破原有的限制,例如DNSSEC。
啟用DNSSEC強化安全驗證
在DNS伺服器導入DNSSEC,這些加密的處理與驗證金鑰的程序,會大大增加DNS伺服器本身處理的負載。因此要達到這樣的要求,不只是所有網際網路的既有DNS伺服器、用戶端,都要支援DNSSEC,同時,需要架設更多臺DNS伺服器做負載平衡,以免無法承擔龐大運算需求。針對這樣的高負載處理需求,有些DNS伺服器平臺後續的改版也提出強化自身效能的解法。
Infoblox的Trinzic DDI和Advanced DNS Protection支援DNSSEC
Infoblox在硬體設備的作業系統NIOS中,對於處理器與記憶體的資源運用是有所管制的,能採取先進先出的作法,不會出現系統記憶體完全被過多連線佔滿,而導致動彈不得的狀況。面對更精密、複雜的DNS攻擊,如:折射攻擊(Reflection Attack)、放大攻擊(Amplification Attack),甚至兩者混合之攻擊行為,Infoblox皆能提升DNS對此防護DDoS攻擊的能力。 |
