网络罪犯正在损害您的域名和 DNS
域名和域名系统 (DNS) 劫持后果严重,越来越普遍,而且会造成经济损失并损害您的声誉。通过这种行为,第三方能将贵公司的网站访客转移至假冒网站,以此盗取登录凭证和机密数据。DNS 劫持者也能收集入站的公司电子邮件所含的信息,然后用某家公司自身的域对客户和员工发起复杂的网络钓鱼攻击,从而让攻击更具欺骗性。这不仅是一种严重的数据风险,也是一个隐私噩梦,在政府颁布了更严格隐私政策(如欧洲《通用数据保护条例》(GDPR))的情况下尤甚。
网络罪犯如何攻击 DNS?
在基础层面上,DNS 相当于互联网的通讯簿。它负责将个人输入的域名转化为网络浏览器识别流量流向所用的相应 IP 地址(唯一的数字字符串)。像其他协议一样,该流程可能并非十分透明,但支撑了公共互联网的全部功能。因此,恶意损坏或以其他方式利用 DNS 的行为,不仅威胁危害个人用户和组织,还可能危害对互联网本身的整体信任和信心。
KrebsOnSecurity 最近的分析文章《您的域名有注册局锁吗?》强调了这种威胁的全球规模。同样, CSC 的研究显示,78% 全球最有价值的公司没有实施关键域名安全措施,例如域名注册局锁。该研究表明,这是一个系统性问题,可能会损害各种规模、处于任何地理位置和任何行业中的组织。
三个用于 DNS 劫持的攻击向量
1
域名注册商管理系统
该方法利用了域名管理系统内低劣的访问权和许可控制的漏洞。通常,攻击者会获得注册商门户网站未受双重验证或 IP 验证保护的用户名和密码。使其获得访问权,以更改可在帐户内访问的域名服务器,从而取得内容控制权。
2
域名服务器域名注册局
注册局本身也可能受到破坏。最著名的事件之一是 2016 年一个巴西注册局被污染失效,导致 36 家巴西银行的域被重定向至完美重构的虚假网站达六个小时。欺诈网站甚至拥有以银行名义发行的数字证书,通过伪装为银行浏览器安全插件更新程序的恶意软件感染客户的计算机,以此欺骗客户。
3
DNS 提供商系统
这种攻击方法源自注册商系统或流程内的漏洞,可通过被盗用的凭证以未经授权的方式访问 DNS。
域名阴影:一种更狡诈的攻击
网络罪犯可能会更改域名的区域文件,而不是修改域名服务器。他们通常保持网站完好无损,但会向区域文件添加可在网络钓鱼攻击中使用的子域。
对这种做法的识别要比对现有 DNS 或区域文件修改的识别难得多。2015 年,Cisco® Talos 的网络威胁研究人员报告称,Angler Exploit Kit 已开始使用域名阴影作为避免检测和锁定的技术。此后,这种攻击载体持续大规模增加。
规避风险的建议
将安全域、DNS 和数字证书措施纳入您的整体网络安全举措中
利用深度防御策略来保障您的域名、DNS 和数字证书安全
选择企业级提供商
保障域和 DNS 管理系统(双重验证、IP 验证、联合 ID)访问权的安全
控制用户许可
利用高级域名安全功能
前瞻性地识别、了解并部署适当的安全措施保护您的关键域名(CSC Security CenterSM)
持续关键域名识别
注册局锁
DNS 安全扩展(DNSSEC)
基于域的消息认证、报告和一致性(DMARC)
将您的域名、DNS 和数字证书提供商整合为一个企业级提供商
CSC 思想领袖
最佳实践指南
防火墙之外:实施 DNS 防御以规避在线漏洞和威胁
DNS 是管理互联网运作方式的底层基础架构,它发挥着目录的作用,将用户指向正确的网络内容。当 DNS 瘫痪时,网站、电子邮件、IP 语音和远程员工登录功能都会随之瘫痪。
最佳实践指南
加强 DNS 安全的 6 种方法
在互联网和域名系统 (DNS) 诞生之初,只有教育组织和政府机构在线。那时,信任是由人来肩负的,人们甚至不会想到安全问题。如今在网络世界里,DNS 是网络罪犯最常攻击的目标之一。
我们愿意随时与您探讨
CSC 可帮助您管理 DNS 劫持风险。CSC Security Center 部署了高级专有算法来暴露出使您易受攻击的安全盲点。数以百计的全球大型公司都使用我们的安全服务(如多重锁定和双重验证),以保护他们的组织和品牌。在受到攻击时,这些解决方案会提供最强有力的方法在最大程度上降低您的风险。