域名系統的保安
什麼是域名系統 (DNS)?
域名系統(Domain Name System),簡稱DNS,負責把人類可讀的互聯網域名及主機名稱(例如 www.example.com)與電腦可讀的互聯網規約(Internet Protocol,簡稱 IP)地址(例如「93.184.216.34」)進行轉換。互聯網是一個基於 IP 地址的網絡,而 DNS 就像互聯網的目錄或電話簿。以下例子解釋 DNS 如何運作:
- 當用戶瀏覽互聯網時,只須簡單輸入域名(例如 www.example.com),電腦會向DNS解析器(通常由互聯網服務供應商(Internet Service Provider, 簡稱 ISP )提供)發出請求,以獲取該域名所對應的 IP 地址。
- DNS 解析器將收到的請求轉發至 DNS 權威伺服器,以找出該網站相應的 IP 地址。
- DNS 權威伺服器將該域名轉換為其託管的 IP 地址,並回覆 DNS 解析器。
- DNS 解析器將所請求域名的 IP 地址回覆電腦,同時亦暫存該結果,以供日後收到有關同一域名的請求時使用。
- 電腦連接至該 IP 地址,讓用戶瀏覽有關網站。
DNS 的保安威脅及影響
常見的 DNS 保安風險
DNS 沒有內置的保安功能,因此 DNS 數據可能會被竄改。如 DNS 的答覆被竄改,用戶可能會被轉至惡意網站。如電腦受惡意軟件感染,便可能危及儲存在電腦內的資料。下表撮述了一些常見的 DNS 保安風險。
| 保安威脅 | 簡介 | 對用戶的影響 |
|---|---|---|
| 誤植域名 | 惡意攻擊者註冊一個跟目標域名差不多相同的域名,企圖誤導用戶瀏覽惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
| 拒絕服務攻擊 | 惡意攻擊者製造大量互聯網流量,企圖令目標 DNS 伺服器不勝負荷,導致其 DNS 服務質量下降或中斷 | 可能因 DNS 服務質量下降和停用而無法使用互聯網服務 |
| 域名系統緩存中毒 | 惡意攻擊者利用 DNS 伺服器的漏洞注入欺詐訊息,把用戶轉至惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
| 領域名稱系統仿冒 | 惡意攻擊者利用虛假資料假冒 DNS 回覆,把用戶轉至惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
如何應對 DNS 的保安威脅
為免成為 DNS 保安威脅的受害者,我們可以採取不同層面的措施。互聯網服務供應商應考慮採用域名系統安全擴展(Domain Name System Security Extensions,簡稱 DNSSEC ),而用戶則可考慮在其終端裝置使用安全 DNS 解析服務。
域名系統安全擴展(DNSSEC)
域名系統安全擴展(DNSSEC)在搜尋IP地址時驗證域名的 DNS 數據,從而加強保安。 DNSSEC 利用加密簽署技術確認所接收的 DNS 數據是真確的。 DNSSEC 有助確保 (i) 數據的完整性,以及 (ii) 認證 DNS 數據的源頭,從而可在 DNS 層面防止攻擊者把用戶轉至偽冒網站。但要注意的是,有關域名應已啓用 DNSSEC 和 DNS 解析器應支援 DNSSEC,才可提供有關保護。
DNSSEC 如何保護互聯網用戶?
- 當用戶嘗試瀏覽一個已啓用 DNSSEC 的域名時,支援 DNSSEC 的 DNS 解析器會將請求轉發至 DNS 權威伺服器。
- DNS 權威伺服器會將有關IP地址連同數碼簽署一併回覆。
- DNS 解析器會驗證有關數碼簽署,以確保 DNS 數據沒有被竄改。
- 如攻擊者干擾回覆,並傳送虛假回覆至 DNS 解析器, DNS 解析器會未能驗證有關數據,並把虛假資料丟棄。
如何檢查域名是否已啟用 DNSSEC ?
你可使用以下工具檢查域名是否已啓用 DNSSEC:
-
使用 https://www.hkirc.hk 提供的WHOIS服務檢查包含「.hk」的頂級域名。
-
使用 https://dnssec-debugger.verisignlabs.com/ 提供的 DNSSEC analyser 檢查其他域名。
安全的 DNS 解析服務
無論是否已啓用 DNSSEC ,用戶都應使用安全 DNS 解析服務,以防墮入攻擊者的陷阱。這類服務會自動審查用戶要求瀏覽的域名,並堵截惡意域名的連接要求。
如何採用安全 DNS 解析服務?
現時有一些免費又安全 DNS 解析服務可供家庭用戶使用,例如 Quad9 及 OpenDNS。
Quad9
有關如何在 Windows 系統設置 Quad9 的詳情,請前往以下連結: https://www.quad9.net/#/setup/microsoft (只提供英文版)
有關如何在MacOS系統設置Quad9的詳情,請前往以下連結: https://www.quad9.net/#/setup/apple (只提供英文版)
OpenDNS
有關如何在不同系統平台(例如家居路由器、Windows、MacOS )及一些智能裝置設置 OpenDNS 的詳情,請前往以下連結: https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration (只提供英文版)
延伸閱讀
-
網絡安全資訊站 – 妥善處理 保護你的域名 啓動DNSSEC功能
https://www.cybersecurity.hk/tc/expert-2017-09-26-Safeguarding-your-Domain-Name-with-DNSSEC.php -
香港互聯網註冊管理有限公司 - 域名系統安全擴展
https://www.hkirc.hk/content.jsp?id=297& -
ICANN - DNSSEC
https://www.icann.org/resources/pages/dnssec-2012-02-25-en (只提供英文版) -
Internet Society – DNSSEC Basics
https://www.internetsociety.org/deploy360/dnssec/basics/ (只提供英文版)
免責聲明:用戶亦應留意網絡安全資訊站中的重要事項。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。
