域名系统的安全
什麽是域名系统 (DNS)?
域名系统(Domain Name System),简称 DNS,负责把人类可读的互联网域名及主机名称(例如 www.example.com)与计算机可读的互联网协议(Internet Protocol,简称 IP )地址(例如「93.184.216.34」)进行转换。互联网是一个基于 IP 地址的网络,而DNS就像互联网的目录或电话簿。以下例子解释 DNS 如何运作:
- 当用户浏览互联网时,只须简单输入域名(例如 www.example.com),计算机会向 DNS 解析器(通常由互联网服务供货商(Internet Service Provider, 简称 ISP)提供)发出请求,以获取该域名所对应的 IP 地址。
- DNS 解析器将收到的请求转发至 DNS 权威服务器,以找出该网站相应的 IP 地址。
- DNS 权威服务器将该域名转换为其托管的 IP 地址,并回复 DNS 解析器。
- DNS 解析器将所请求域名的 IP 地址回复计算机,同时亦暂存该结果,以供日后收到有关同一域名的请求时使用。
- 计算机连接至该 IP 地址,让用户浏览有关网站。
DNS 的安全威胁及影响
常见的 DNS 安全风险
DNS 没有内置的安全功能,因此 DNS 数据可能会被窜改。如 DNS 的答复被窜改,用户可能会被转至恶意网站。如计算机受恶意软件感染,便可能危及储存在计算机内的数据。下表撮述了一些常见的 DNS 安全风险。
| 安全威胁 | 简介 | 对用户的影响 |
|---|---|---|
| 误植域名 | 恶意攻击者注册一个跟目标域名差不多相同的域名,企图误导用户浏览恶意网站 | 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击 |
| 拒绝服务攻击 | 恶意攻击者制造大量互联网流量,企图使目标DNS服务器不胜负荷,导致其 DNS 服务质量下降或中断 | 可能因 DNS 服务质量下降和停用而无法使用互联网服务 |
| 域名系统缓存中毒 | 恶意攻击者利用 DNS 服务器的漏洞注入欺诈信息,把用户转至恶意网站 | 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击 |
| 领域名称系统仿冒 | 恶意攻击者利用虚假信息假冒 DNS 回复,把用户转至恶意网站 | 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击 |
如何应对DNS的安全威胁?
为免成为 DNS 安全威胁的受害者,我们可以采取不同层面的措施。互联网服务供货商应考虑采用域名系统安全扩展(Domain Name System Security Extensions,简称 DNSSEC ),而用户则可考虑在其终端设备使用安全 DNS 解析服务。
域名系统安全扩展(DNSSEC)
域名系统安全扩展(DNSSEC)在搜寻 IP 地址时验证域名的 DNS 数据,从而加强安全。DNSSEC 利用加密签名技术确认所接收的 DNS 数据是真确的。DNSSEC 有助确保 (i) 数据的完整性,以及 (ii) 认证 DNS 数据的源头,从而可在 DNS 层面防止攻击者把用户转至伪冒网站。但要注意的是,有关域名应已启用 DNSSEC 和 DNS 解析器应支持 DNSSEC,才可提供有关保护。
DNSSEC 如何保护互联网用户?
- 当用户尝试浏览一个已启用DNSSEC的域名时,支持 DNSSEC 的 DNS 解析器会将请求转发到 DNS 权威服务器。
- DNS 权威服务器会将有关 IP 地址连同数字签名一并回复。
- DNS 解析器会验证有关数字签名,以确保DNS数据没有被窜改。
- 如攻击者干扰回复,并传送虚假回复至 DNS 解析器, DNS 解析器会未能验证有关数据,并把虚假数据丢弃。
域名是否已启用 DNSSEC ?
你可使用以下工具检查域名是否已启用 DNSSEC:
-
使用 https://www.hkirc.hk 提供的WHOIS服务检查包含「.hk」的顶级域名。
-
使用 https://dnssec-debugger.verisignlabs.com/ 提供的 DNSSEC analyser 检查其他域名。
安全的 DNS 解析服务
无论是否已启用 DNSSEC,用户都应使用安全 DNS 解析服务,以防堕入攻击者的陷阱。这类服务会自动审查用户要求浏览的域名,并堵截恶意域名的连接要求。
如何采用安全 DNS 解析服务?
现时有一些免费的安全 DNS 解析服务可供家庭用户使用,例如 Quad9 及 OpenDNS 。
Quad9
有关如何在 Windows 系统设置 Quad9 的详情,请前往以下连结: https://www.quad9.net/#/setup/microsoft (只提供英文版)
有关如何在 MacOS 系统设置 Quad9 的详情,请前往以下连结: https://www.quad9.net/#/setup/apple (只提供英文版)
OpenDNS
有关如何在不同系统平台(例如家居路由器、Windows、MacOS)及一些智能设备设置 OpenDNS 的详情,请前往以下连结: https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration (只提供英文版)
延伸阅读
-
网络安全资讯站 – 妥善处理 保护你的域名 啓动DNSSEC功能
https://www.cybersecurity.hk/sc/expert-2017-09-26-Safeguarding-your-Domain-Name-with-DNSSEC.php -
香港互联网註册管理有限公司 - 域名系统安全扩展
https://www.hkirc.hk/content.jsp?lang=cn&id=297& -
ICANN - DNSSEC
https://www.icann.org/resources/pages/dnssec-2012-02-25-en (只提供英文版) -
Internet Society – DNSSEC Basics
https://www.internetsociety.org/deploy360/dnssec/basics/ (只提供英文版)
免责声明:用户亦应留意网络安全资讯站中的重要事项。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。
