`
大涛学长
  • 浏览: 111694 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

《DNS攻击防范科普系列3》 -如何保障 DNS 操作安全

阅读更多
引言
前两讲我们介绍了 DNS 相关的攻击类型,以及针对 DDoS 攻击的防范措施。这些都是更底层的知识,有同学就来问能否讲讲和我们的日常操作相关的知识点,今天我们就来说说和我们日常 DNS 操作相关的安全风险和防范措施。

账号安全
在平台上管理域名解析,就需要登录,进行权限的认证。但域名在企业中可能会有多人需要操作,比如购买和续费、解析的操作管理,更有可能会将某些业务外包而要合作伙伴来操作域名。而我们知道,多个共用一个账号和密码是一种有很大安全风险的管理方式。在现在的复杂场景下,就需要有一个灵活的权限管理系统。



请点击输入图片描述

阿里云支持主账号外,可以通过访问控制(Resource Access Management,RAM)来统一管理用户身份与资源访问权限,以及 阿里云临时安全令牌(Security Token Service,STS)来时行临时授权。

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。RAM是一种永久授权(当然也可以删除相应的权限),而如果要一定时间内给某个用户授权,如授权合作伙伴公司管理域名,就可以使用 STS 的方式来授权。通过STS服务,您所授权的身份主体(RAM用户、RAM用户组或RAM角色)可以获取一个自定义时效和访问权限的临时访问令牌。STS令牌持有者可以访问阿里云资源。

同时,对上述的账号,还可以开启多因素认证(Multi-factor authentication,MFA),为您的账号提供更高的安全保护。更多有关账号的访问控制的说明,可查看 访问控制帮助文档。

业务安全
对于域名的业务安全,首先要找使用有技术实力、有责任心、沟通便捷的服务商来提供域名解析的服务。历史上发生过多起被黑客通过技术破解、社会学攻击等篡改域名的DNS或其它信息,导致域名被劫持的问题。同时,如果国内用户的域名使用的国外的服务商的解析服务,出现问题时沟通不畅再加上时差的问题,会使问题更加难以处理。从用户自身来讲,还是要选择一下靠谱的域名解析服务商。



请点击输入图片描述

在自己的域名管理上,也要提前做好操作的规划、步骤和风险评估。尤其是迁移域名服务商、修改主域名的 NS时(如将解析从其它注册商转移到阿里云),需要先在要迁移的解析服务提供商把解析添加完全、正确,并进行相应的测试,再去注册商处修改域名的NS,且修改后要在原解析服务提供商处的解析服务保留至少48小时。因主域名 NS 记录的缓存时间较长,在完全生效前,会有部分请求到旧的提供商处进行查询,如果在旧的解析提供商处的解析不完整,或不正确,就会使域名的访问受到影响,网站打不开、邮箱收不到信等。

在普通解析记录做变更时,自己的新旧地址也要做好平滑的迁移。在变更解析前将解析的 TTL (解析记录的缓存时间) 适当减少,在变更解析记录时,等旧的地址上没有应用流量时再关闭应用。

数据安全
数据安全一般是指数据的保密性、完整性和可用性。保密性需要由平台和用户共担,用户不对外泄露数据,平台做好权限控制和审核,只开放给必要的系统使用,并做到可审核可追踪。对提供给域名解析服务商的数据,由平台来进行数据的完整性和保密性。阿里云依托强大的基础设施,以保证数据在多台存有备案,并进行相关的加密和审计管理,保证数据的安全。



请点击输入图片描述

以上简单介绍了域名在业务管理时的常见风险和防范措施,域名安全需要用户在管理上多加注意,同时也是域名解析服务提供商不可推荐的责任。除了业务安全外,域名在使用中还会遇到其它的问题,比如被缓存投毒、被劫持等。下一期我们重点介绍一下DNS缓存投毒的原理和怎么处理。

本文作者:kimi_nyn

原文链接

本文为云栖社区原创内容,未经允许不得转载。

分享到:
评论

相关推荐

    DNS安全白皮书 -360.pdf

    ### DNS安全白皮书 -360...通过以上分析,可以看出DNS作为互联网基础设施的重要组成部分,在保障网络安全方面起着至关重要的作用。面对日益复杂的网络环境,加强DNS的安全防护已经成为政府、企业和个人用户共同的责任。

    BIND9.16.5.x64.zip

    该漏洞允许攻击者通过构造恶意的DNS查询来欺骗DNS服务器,返回错误的信息,可能导致网络钓鱼、DNS劫持等安全问题。 3. **升级与修复**:BIND 9.16.5的发布旨在修复此漏洞和其他可能存在的安全问题。对于Windows DNS...

    letsencrypt-证书DNS自动验证,certbot-auto-自动-更新,自动阿里云-dns-certbot-auth

    letsencrypt_证书DNS自动验证,certbot-auto_自动_更新,自动阿里云_dns_certbot-auth-alidns.zip letsencrypt_证书DNS自动验证,certbot-auto_自动_更新,自动阿里云_dns_certbot-auth-alidns.zip letsencrypt_证书...

    netty-resolver-dns-4.1.73.Final-API文档-中文版.zip

    赠送jar包:netty-resolver-dns-4.1.73.Final.jar; 赠送原API文档:netty-resolver-dns-4.1.73.Final-javadoc.jar; 赠送源代码:netty-resolver-dns-4.1.73.Final-sources.jar; 赠送Maven依赖信息文件:netty-...

    netty-codec-dns-4.1.65.Final-API文档-中文版.zip

    赠送jar包:netty-codec-dns-4.1.65.Final.jar; 赠送原API文档:netty-codec-dns-4.1.65.Final-javadoc.jar; 赠送源代码:netty-codec-dns-4.1.65.Final-sources.jar; 赠送Maven依赖信息文件:netty-codec-dns-...

    DNS-320 最新固件(2014-05-07)2.05b08

    2. 安全性增强:修复已知的安全漏洞,防止潜在的攻击,保护用户的私人数据不被非法访问。 3. 新功能引入:可能增加了对新格式文件的支持,或者添加了远程访问、备份选项等实用功能。 4. 兼容性改善:增强对不同操作...

    netty-resolver-dns-4.1.65.Final-API文档-中文版.zip

    赠送jar包:netty-resolver-dns-4.1.65.Final.jar; 赠送原API文档:netty-resolver-dns-4.1.65.Final-javadoc.jar; 赠送源代码:netty-resolver-dns-4.1.65.Final-sources.jar; 赠送Maven依赖信息文件:netty-...

    D-Link DNS-320B 繁体中文包

    繁体中文包是针对DNS-320B系列特别设计的语言模块,主要目的是为了方便台湾地区的用户或者对繁体中文有需求的用户使用。安装了这个繁体中文包后,设备的用户界面将变为台湾地区使用的繁体中文,使得操作更为直观和...

    DNS域名劫持服务器DnsServer-2019.zip

    综上所述,DNS域名劫持是网络安全的一大威胁,了解其工作原理和防范措施对于保障网络环境的安全至关重要。通过使用MFC实现的DNS服务器,我们可以更深入地理解这一过程,同时提醒我们对网络安全保持警惕。

    netty-resolver-dns-4.1.65.Final-API文档-中英对照版.zip

    赠送jar包:netty-resolver-dns-4.1.65.Final.jar; 赠送原API文档:netty-resolver-dns-4.1.65.Final-javadoc.jar; 赠送源代码:netty-resolver-dns-4.1.65.Final-sources.jar; 赠送Maven依赖信息文件:netty-...

    「安全漏洞」DNS攻击与防御.pptx - 安全集成.zip

    「安全漏洞」DNS攻击与防御 零信任 漏洞分析 工控安全 数据治理 WEB应用防火墙

    360-DNS安全白皮书-2020.5-24页精品报告.rar

    2. DNS安全威胁:报告详细列举了各种DNS攻击类型,如DNS劫持、DNS欺骗(DNS Cache Poisoning)、DNS放大攻击等,并分析这些攻击如何破坏网络安全,影响用户访问合法网站和服务。 3. DNS漏洞与脆弱性:探讨DNS软件和...

    DNS-320L 最新固件v1.10b03

    2. **安全修复**:固件更新通常会包含最新的安全补丁,以防止潜在的网络安全威胁,如恶意软件攻击、漏洞利用等,保护用户的数据安全。 3. **新功能添加**:v1.10b03可能引入了新的用户界面元素,或者增加了对某些...

    Python库 | psl_dns-1.1-py3-none-any.whl

    《Python库解析:psl_dns-1.1-py3-none-any.whl》 在Python的生态系统中,库是开发者的重要工具,它们提供了丰富的功能,让编程变得更加高效和便捷。本文将详细介绍`psl_dns`这个Python库,以及其1.1版本的`psl_dns...

    netty-resolver-dns-4.1.68.Final-API文档-中文版.zip

    赠送jar包:netty-resolver-dns-4.1.68.Final.jar; 赠送原API文档:netty-resolver-dns-4.1.68.Final-javadoc.jar; 赠送源代码:netty-resolver-dns-4.1.68.Final-sources.jar; 赠送Maven依赖信息文件:netty-...

    DNS攻击与防御.pptx

    然而,DNS 也存在各种安全漏洞和攻击方式,攻击者可以利用这些漏洞来实施攻击,危害DNS 服务器和用户的安全。本文将介绍 DNS 攻击和防御的相关知识点。 一、DNS 攻击方式 1. DNS 放大攻击(DNS Amplification ...

    netty-codec-dns-4.1.65.Final-API文档-中英对照版.zip

    赠送jar包:netty-codec-dns-4.1.65.Final.jar; 赠送原API文档:netty-codec-dns-4.1.65.Final-javadoc.jar; 赠送源代码:netty-codec-dns-4.1.65.Final-sources.jar; 赠送Maven依赖信息文件:netty-codec-dns-...

    DNS安全白皮书 -360.rar

    《DNS安全白皮书》是360公司发布的一份关于域名系统(Domain Name System, DNS)安全的重要文献。...通过遵循最佳实践和采用先进的安全技术,可以有效增强DNS的安全性,保障网络环境的稳定和用户的数据安全。

    happy-dns-java-0.1.4-API文档-中文版.zip

    赠送jar包:happy-dns-java-0.1.4.jar; 赠送原API文档:happy-dns-java-0.1.4-javadoc.jar; 赠送源代码:happy-dns-java-0.1.4-sources.jar; 包含翻译后的API文档:happy-dns-java-0.1.4-javadoc-API文档-中文...

    DNS服务器搭建-win-server-2008

    在IT领域,DNS(Domain Name System)服务器是网络基础设施的关键组成部分,它负责将人类可读的域名转换为IP地址,以便计算机能够找到网络上的资源。本教程将详细讲解如何在Windows Server 2008上搭建DNS服务器并...

Global site tag (gtag.js) - Google Analytics