“这几年域名安全事件愈演愈烈,主要呈现低概率、高损失和影响大这三个特点”,绿盟科技副总裁吴云坤表示,域名安全需要在全国重要节点、重要政府部门、重要基础设施去做基础的防护工作。
目前,域名系统主要包括网站域名拥有者、域名注册和管理机构、域名托管解析、递归解析等角色,这些角色相互构成了整个域名环节的生态链。“由于攻击不同角色存在着不同利益,因此将产生不同的攻击类型。”
吴云坤表示,从近期的域名安全事件看,最多的是攻击最终网民的钓鱼类型。对网民和网站所有者来说,绿盟科技提供了网站的监控服务,域名一旦发生异动,将在15分钟之内通知用户。例如在面向金融行业,绿盟科技提供的解决方案防止了很多银行网站域名篡改和钓鱼事件的发生。
“其实,影响最严重的是攻击解析服务器。”吴云坤表示,无论是托管服务器解析还是递归解析的,这两种类型不同,攻击者目的也不一样。对于前者,攻击网民是纯粹经济利益导向,每次伤害很小,但是频度很高。对于攻击递归解析,一般由网络战导致,概率低但是损失非常严重。
绿盟科技副总裁 吴云坤
吴云坤表示,DNS作为关键基础设施需要重点保护,作为制高点可用于安全监控,Web、Email等服务都依赖于DNS,DNS一旦出现问题,相应的服务就会导致瘫痪。DNS系统安全包括系统自身和所承载的数据信息等方面,主要涉及DNS服务业务可用性的异常和解析结果异常等。前者主要表现为业务中断,服务时延过大;而解析结果异常,最突出的就是解析结果的错误,解析结果的错误因为遭到了劫持被篡改。
对于域名服务提供商和提供解析的运营商在DNS上都采取了应对措施,包括部署防火墙、打补丁,更换升级安全DNS系统,部署实施DNSSEC,以及系统扩容和部署负载均衡,“但每种手段都有它的不足。”吴云坤表示,部署防火墙无法阻止DNS投毒的攻击;打补丁往往相对滞后;扩容将造成成本提升而容量远远跟不上攻击流量增长的速度。“5.19事件DNS服务器没有瘫痪,但是负载均衡设备瘫痪了。”
绿盟科技相关人士建议,需从增加系统的健壮性和降低损失两方面入手完善DNS的安全,可对业务进行监测,提供实时监控和加强安全基线的管理等,并对重点域名的防护做到域名容灾,当出现系统宕机等导致DNS业务中断后,启用域名容灾是系统恢复常用域名的解析服务。
运营商作为解析服务器的拥有者,如何能够保证解析的正确性非常重要。如果域名系统出现漏洞或者被投毒或者不可用的话都会直接影响到网站所有者的安全。吴云坤表示,对于运营商来说,绿盟科技提供的DNS防护设备部署在DNS服务器前面,不用改动DNS服务器就可防止DDoS攻击、投毒攻击等,而近期内多起运营商DNS被攻击事件中,绿盟科技所部属的设备都没有发生故障。
“域名安全需要可控,此前的隐患更多源于不可控,包括解析服务器不可控和注册机构的不可控。”吴云坤建议,在我国CN域名体系的建设上,在加强CN域名注册托管机制的同时需要做好CN域名的解析,并明确生态链上各自的责任。
