監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

如何讓IaaS服務(wù)免受DNS漏洞的威脅?

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

本文是關(guān)于云安全技術(shù)應(yīng)用指南系列中的第六篇,我們集中討論域名系統(tǒng)(DNS)的漏洞,以及它們是如何對基礎(chǔ)設(shè)施即服務(wù)(IaaS)產(chǎn)品產(chǎn)生負面影響的。

我們之前的文章主要涉及IaaS受到底層操作系統(tǒng)與服務(wù)的威脅和來自于遠程管理解決方案的威脅,而本文將闡述域名系統(tǒng)以及受損IP地址解析或錯誤數(shù)據(jù)反饋是如何對IaaS產(chǎn)品構(gòu)成威脅的。

快速DNS入門

域名系統(tǒng)(DNS)將某一域名翻解析IP地址。為了訪問互聯(lián)網(wǎng)上的一臺服務(wù)器,您需要知道其IP地址,而對于人們來說他們相對更易于記住一個域名(例如www.techtarget.com),而不是記住一個IP地址(例如,192.168.134.235)。DNS就提供了這樣一個翻譯服務(wù)。它使用有層次的服務(wù)器和域名擁有者(即那些擁有DNS域名的人或組織),提供將這些域名與IP地址的“權(quán)威”影射。作為系統(tǒng)的一部分,還有一些幫助分擔域名解析請求的二級服務(wù)器和緩存服務(wù)器。

另外一個需要指出的事實是,主查詢響應(yīng)請求完成后所使用的用戶數(shù)據(jù)報協(xié)議(UDP)在默認情況下是非安全、無國籍、不可靠的。

有哪些來自DNS的威脅會影響IaaS服務(wù)?

由于我們依賴于DNS來幫我們進行域名與IP地址之間的影射,那么我們在可能的情況下都必須注意和減輕任何阻止解析或錯誤數(shù)據(jù)反饋的情況。而后者可以稱得上是要解決的最大威脅。讓我們來看看這個例子:

您希望管理您的IaaS服務(wù)器,其DNS名稱是server.example.com。您打開您的遠程管理工具并啟動一個對話。您的客戶端向DNS服務(wù)器查詢“解析”域名server.example.com并返回IP地址。同時,攻擊者已設(shè)立了一個惡意的DNS服務(wù)器用于查找DNS查詢并響應(yīng)其所控制系統(tǒng)的IP地址。然后您的客戶端連接到返回的IP地址(惡意服務(wù)器)。攻擊者就能夠嘗試攻擊您客戶端。

在這方面,主要有四種DNS威脅會影響IaaS服務(wù):

緩存中毒:當一個DNS服務(wù)器沒有域名-IP影射信息時,它必須找到另外一個擁有這些信息的DNS服務(wù)器。當它接收到回答時,它通常將該信息存放于緩存中以便于之后再次使用(有超時和限制,但它們作用有限)。緩存中毒就是指服務(wù)器接收到包含錯誤信息的回答。惡意緩存中毒也稱為DNS欺騙。

不安全的動態(tài)更新:這是另外一個將惡意數(shù)據(jù)帶入DNS服務(wù)器的機制,然后再對該信息的任意查詢返回惡意數(shù)據(jù)。其效果類似于緩存中毒。

信息泄露:一個攻擊者執(zhí)行DNS區(qū)域傳輸以獲取DNS域名,計算機名和IP地址,以便于識別敏感的網(wǎng)絡(luò)資源。

服務(wù)堵塞:一個攻擊者采用遞歸查詢的方式攻擊DNS服務(wù)器,使它們無法對正常合法的查詢做出響應(yīng)。如果沒有了域名-IP的解析服務(wù),您將無法訪問您的IaaS資源。

如何應(yīng)對

如果用戶控制了DNS服務(wù)器,可以采用手工操作減輕這些威脅,或是可能需要由供應(yīng)商來處理。以下是我對于緩解威脅的若干建議:

只使用IP地址或一個本地主機文件: 如果您不使用DNS進行域名-IP的解析,那么以上所述的DNS問題就變得無關(guān)重要。雖然這似乎不切實際,但是如果您擁有的IaaS數(shù)量有限,且可以指定靜態(tài)IP,這是一個現(xiàn)實的解決方案。

隨機事務(wù)ID:確保DNS服務(wù)器具有一個適當?shù)碾S機事務(wù)ID(最新的DNS服務(wù)器就是這么做的)。每一個DNS查詢都被分配一個ID,其值的隨機性將使攻擊更難以執(zhí)行。

源端口隨機化:配置您的DNS服務(wù)器使用“查詢源端口隨機化”。攻擊者將需要知道事務(wù)ID以及事務(wù)發(fā)送的端口(即隨機源端口將不一定是53)。請注意,這可能會影響防火墻規(guī)則。

安全動態(tài)更新:配置您的DNS服務(wù)器和客戶端只接收安全動態(tài)更新。您也可以限制動態(tài)更新源的IP地址范圍。

限制區(qū)域傳輸:這將阻止攻擊者輕易地收集您的IaaS IP和主機名信息。

總結(jié)

DNS是一個基礎(chǔ)性的互聯(lián)網(wǎng)協(xié)議?;ヂ?lián)網(wǎng)及其上的所有服務(wù)在缺乏DNS的情況下都不能充分發(fā)揮作用。但是如同電力一樣,在不出現(xiàn)故障的情況下人們似乎并不覺得其存在。在使用IaaS時,時刻謹記保持這種服務(wù)的重要性及其周圍安全問題。

發(fā)布:2007-04-21 11:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普長沙OA軟件行業(yè)資訊其他應(yīng)用

長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司