提升DNS安全 限制DDoS攻擊

 早期數據顯示，2018年裏大(dà)型分(fēn)布式拒絕服務(DDoS)攻擊相對平靜，但這是否意味着2019年會延續這一(yī)風平浪靜的趨勢呢?盡管誰都知(zhī)道網絡安全預測不易，還是有專家指出，DNS安全的發展令網絡罪犯隻有改變策略才能苟延殘喘。

NS1共同創始人兼首席執行官 Kris Beevers 稱：當前市場的關注重點不在大(dà)型DDoS攻擊上，但背後的暗戰從來沒缺席。雖然小(xiǎo)型高針對性DDoS攻擊是網絡安全領域常見特征，但2016年Mirai驅動的大(dà)型DDoS攻擊之後出現的安全投資(zī)與改善已經大(dà)幅增加了域名服務器被利用爲攻擊工(gōng)具的難度。

InfoBlox工(gōng)程執行副總裁兼首席DNS架構師 Cricket Liu 也這麽認爲：

提升DNS安全，讓黑客更難以利用DNS服務器進行DDoS攻擊的一(yī)個重要方面是所謂RRL(響應速率限制)的實現。實現RRL後某IP地址對單個域名的解析請求隻會得到DNS服務器有限次數的響應，可以降低用流量洪水淹沒受害者的可能性。

另一(yī)個提升DNS安全的進展是DNSSEC的普及。DNSSEC是防止DNS請求/響應僞造的一(yī)套系統，要求服務器經可信證書(shū)驗證和簽名。Liu表示，DNSSEC的采納持續增長，但不同國家和頂級域名間的采納并不均衡。比如說，.com和.net的DNSSEC采納率就遠低于其子域名，而瑞典和比利時的采納率非常之高。

對使用公共DNS解析的個人和公司企業而言，安全消息不斷向好。谷歌、Open DNS和Quad9等托管的公共遞歸DNS服務器就采用了RRL和DNSSEC技術處理所有交易。

注：“遞歸”DNS服務器用于向客戶端響應具體(tǐ)URL的地址。“權威”DNS服務器則提供IP地址映射，供遞歸DNS服務器用于響應查詢請求。

Quad9是由供應商(shāng)聯盟運營的非盈利服務，其執行總監 John Todd 稱：該服務目前在全球82個國家運營有137個服務器。這些服務器采用各種各樣的技術，每天封堵的惡意事件超過1000萬起，有些天甚至高達4000萬起之多。

所用技術之一(yī)就是增強DNS查詢安全的DNSSEC，另一(yī)個是通過援引19家合作夥伴的聚合威脅情報饋送來封鎖已知(zhī)惡意URL解析，例如已确知(zhī)裝載了惡意軟件或網絡釣魚鏈接的網站。

随着互聯網用戶越來越關注流量安全，Quad9的采納率也開(kāi)始增加，增長率近乎每周25%。安全是核心，DNSSEC、對冗餘的需求，還有公共和私有雲基礎設施技術棧的統一(yī)趨勢，都是未來将要發生(shēng)的大(dà)事件。

至于近期DNS安全的進一(yī)步改善，可以關注DNS命名實體(tǐ)身份驗證(DANE)。

IETF RFC 6698 中(zhōng)描述的DANE允許将證書(shū)信息放(fàng)入對查詢的響應中(zhōng)，以便查詢者了解該響應是否受到合法證書(shū)的保護。從不太道德的證書(shū)頒發機構獲取假證書(shū)相對容易，DANE可以挫敗這種欺騙手法。這是一(yī)種有趣又(yòu)有用的DNS應用，還有助于驅動DNSSEC的采納。