什么是DNS？

簡而言之，域名系統可以使用互聯網。作為重要的目錄檢索功能，可以將文本網站轉換為我們的設備連接到網站、電子郵件和其他互聯網應用程序的數字互聯網地址。

組織在DNS中發布網站，使人們能夠輕松地在互聯網上找到。如果客戶因DNS故障無法訪問您的網站，可能會遭受財務、聲譽或其他形式的損失。如果你的DNS不能操作，你在網上看不見。

DNS對Internet的運行至關重要，因此DNS不僅可以作為攻擊目標，還可以作為攻擊工具使用DNS載攻擊，以DNS通過防火墻流向和來自網絡為前提。

網絡工程師為了更完全地保護網絡，必須考慮DNS漏洞和防御措施。

觀察到DNS攻擊。

調查的主要發現，過去12個月有一半以上的受訪者經歷了某種形式的惡意軟件和恐嚇軟件的攻擊，其中約15%表示了某種形式的聲譽和財務損失。

2016年思科安全報告顯示，并非所有惡意軟件和恐嚇軟件都使用DNS，但超過90%的惡意軟件使用DNS與惡意軟件作者的命令和控制中心聯系。通過這種方式，安裝在感染設備上的惡意軟件可以接受攻擊說明，下載惡意軟件更新并導出網絡內部收集的敏感信息。因此，監控DNS和防火墻保護DNS可以導致惡意軟件或恐嚇軟件的活動和擴散。

除了滲透這樣的惡意軟件和恐嚇軟件外，回答者還表示被拒絕或分布拒絕服務(DoS/DDoS)攻擊反映了DDoS、域劫持和DNS緩存中毒。當攻擊者在回應真實或權威服務器前回應給出目標的查詢時，可能會發生DNS緩存中毒。毒害DNS服務器緩存并不一件容易的事情，因為響應中的其他參數必須補充查詢。但是，這種攻擊可以劫持沒有戒心的用戶來冒充網站，強大的域名劫持攻擊也可以劫持。這些操作你或你父親區域的DNS服務器信息。

防御措施。

給出這些DNS攻擊媒體，對于DNS和使用DNS的其他網絡和計算要素的攻擊媒體的多樣性，需要多種戰略來有效防御。當與其他DNS和傳統的網絡安全戰略一起使用時，這些戰略中的許多戰略也有助于深度防御方法。

一半以上的回答者已經完全實施了訪問控制列表(ACL)、DoS/DDoS保護，查詢監控取證功能，基于角色部署的基本安全措施，包含滲透范圍。約一半的回答者實施了DNS服務器的強化，其他30%的回答者計劃在2年內實施。

超過四分之一的受訪者完全實現了DNS防火墻的功能，這是檢測和阻止惡意軟件與命令和控制中心聯系的有效方法。DNS防火墻戰略使戰略的執行能夠阻止這樣的查詢和重定向查詢回答，將設備連接到緩和門戶進行補救。近75%的受訪者計劃在兩年內實施DNS防火墻解決方案，這應該有助于抵御這種最普遍的DNS攻擊。

今后兩年，40%的受訪者支持或計劃支持DNS安全擴張。

DNSSEC提供了DNS分辨率相關的數字簽名，使用戶能夠對此類響應進行身份驗證，從而大大降低了通過緩存中毒可能導致的域的可能性。盡管DNSEC的早期實現很難初始化和維護，但如今，許多開源和商業產品使大部分或全部密碼設置和維護自動化。遺憾的是，我們發現這種對復雜性的看法仍然普遍存在。因為只有不到20%的受訪者同意或者強烈同意DNSSEC的簽名和驗證容易維護。

今天的DNS安全狀態。

綜上所述，顯然，IT和運營工程師和管理人員都在關注DNS安全和對更廣泛的網絡安全的影響。他們意識到DNS提供的漏洞是重要的網絡服務，也是需要在整個網絡和網絡防火墻上開放傳輸的必要網絡協議。盡管獲得了這種認可，但DNS安全措施的實施相對溫和。很多人基本上都實行了基本的控制措施，盡管所有人都采取了這樣的措施。

盡管在保護網絡安全方面具有公認的價值，但大多數人仍未大量實施其他更復雜的控制措施，如DNS防火墻和DNSSEC。DNSSEC的復雜性和DNS防火墻的配置和維護的不確定性，至今抑制了配置。

總結

以上是生活随笔為你收集整理的保护DNS对数字网络安全越来越重要的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。