针对域名系统 (DNS) 的攻击数量众多且多种多样,因此组织必须依赖多层攻击 保护措施,如流量监控、威胁情报和高级网络防火墙,协同行动。随着 NXDOMAIN 攻击的增加,组织需要加强其 DNS 防御。
随着 发布 Shield NS53, Akamai 加入了越来越多的安全供应商行列,提供能够防御 NXDOMAIN 攻击的 DNS 工具. 这项新服务将 Akamai 的边缘 DNS 技术在云中扩展到本地部署。
在 NXDOMAIN 攻击(也称为 DNS Water Torture DDoS 攻击)中,攻击者通过大量不存在(因此有 NX 前缀)或无效域和子域的请求淹没 DNS 服务器。 DNS 代理服务器在查询 DNS 权威服务器时耗尽了大部分(如果不是全部)资源,以至于该服务器不再有能力处理任何请求(无论是合法的还是伪造的)。更多的垃圾查询到达服务器意味着需要更多的资源(服务器 CPU、网络带宽和内存)来处理它们,并且合法请求需要更长的时间来处理。当人们由于 NXDOMAIN 错误而无法访问该网站时,这可能意味着 客户流失、收入损失和声誉受损.
Akamai 产品管理总监 Jim Gilbert 表示,NXDOMAIN 多年来一直是常见的攻击媒介,并且正在成为一个更大的问题。 Akamai 去年发现,其前 40 名金融服务客户的整体 DNS 查询中有 50% 包含 NXDOMAIN 记录。
加强 DNS 保护
虽然理论上可以通过增加更多容量来防御 DNS 攻击(更多资源意味着需要更大、更长的攻击才能击垮服务器),但对于大多数组织来说,这不是一种经济上可行或可扩展的技术方法。但他们可以通过其他方式加强 DNS 保护。
企业防御者需要确保他们了解自己的 DNS 环境。这意味着记录 DNS 解析器当前部署的位置、本地和云资源如何与其交互,以及它们如何利用高级服务(例如 Anycast 和 DNS 安全协议)。
Akamai 的 Gilbert 表示:“企业希望将其原始 DNS 资产保留在本地,可能有充分的合规性原因。”他指出,Shield NS53 允许企业添加保护控制,同时保持现有 DNS 基础设施完好无损。
保护 DNS 也应该成为整体分布式拒绝服务 (DDoS) 预防策略的一部分,因为许多 DDoS 攻击都是从 DNS 漏洞开始的。据 Akamai 称,去年近三分之二的 DDoS 攻击使用了某种形式的 DNS 漏洞。
在购买任何产品之前,安全经理需要了解他们正在评估的潜在解决方案的范围和局限性。例如,虽然 Palo Alto 的 DNS 安全服务涵盖了除 NXDOMAIN 之外的广泛 DNS 漏洞利用,但客户只有拥有供应商的下一代防火墙并订阅其威胁防御服务,才能获得广泛的保护。
DNS 防御还应与强大的威胁情报服务结合起来,以便防御者能够快速识别和响应潜在的攻击并减少误报。 Akamai、Amazon Web Services、Netscout、Palo Alto 和 Infoblox 等供应商运营大型遥测收集网络,帮助其 DNS 和 DDoS 保护工具发现攻击。
网络安全与基础设施安全局 制定了一系列建议行动 其中包括向其 DNS 管理员的帐户添加多重身份验证,以及监控证书日志并调查任何差异。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 50
- 7
- a
- 根据
- 账户
- 法案
- 加
- 添加
- 管理员
- 高级
- 驳
- 所有类型
- 允许
- 还
- Amazon
- 亚马逊网络服务
- an
- 和
- 和基础设施
- 任何
- 什么
- 的途径
- 保健
- AS
- 办公室文员:
- 攻击
- 攻击
- 认证
- 带宽
- BE
- 因为
- 成为
- 牛肉
- 很
- 开始
- 除了
- 大
- 都
- 广阔
- 但是
- by
- CAN
- 能力
- 容量
- 证书
- 云端技术
- 采集
- 相当常见
- 符合
- 音乐会
- 包含
- 控制
- 可以
- 外壳
- 目前
- 合作伙伴
- 网络安全
- DDoS攻击
- DDoS攻击
- 捍卫者
- 卫冕
- 防御
- 部署
- 部署
- 副总经理
- 分布
- DNS
- 域
- 域名
- 域名
- 向下
- 边缘
- 企业
- 环境
- 故障
- 评估
- 例子
- 现有
- 功勋
- 扩展
- false
- 金融
- 金融服务
- 经济
- 火墙
- 防火墙
- 针对
- 申请
- 止
- 代
- 得到
- 吉尔伯特
- 非常好
- 成长
- 处理
- 有
- 帮助
- 于是
- 打
- 创新中心
- HTTPS
- 鉴定
- if
- in
- 其他
- 包括
- 基础设施
- 房源搜索
- 相互作用
- 成
- 调查
- IT
- 它的
- 吉姆
- 加入
- JPEG
- 保持
- 保持
- 击倒
- 已知
- 大
- 大
- 名:
- 去年
- 层
- 合法
- 限制
- 清单
- 不再
- 丢失
- 使
- 颠覆性技术
- 经理
- 许多
- 手段
- 内存
- 监控
- 更多
- 最先进的
- 多因素身份验证
- 姓名
- 几乎
- 需求
- 打印车票
- 网络
- 网络
- 全新
- 下页
- 没有
- 不存在的
- 注意
- 众多
- of
- on
- 仅由
- 操作
- or
- 组织
- 原版的
- 其他名称
- 最划算
- 帕洛阿尔托
- 部分
- 员工
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 可能
- 潜力
- 可能
- 预防
- 市场问题
- 过程
- 产品
- 产品管理
- 保护
- 保护
- 协议
- 代理
- 购买
- 放
- 查询
- 很快
- 达到
- 原因
- 建议
- 记录
- 减少
- 依靠
- 要求
- 资源
- 回应
- 收入
- 上升
- 健壮
- s
- 说
- 可扩展性
- 范围
- 保安
- 系列
- 服务器
- 服务器
- 服务
- 特色服务
- Shield
- 应该
- 自
- So
- 方案,
- 一些
- Spot
- 策略
- 加强
- 订阅
- 这样
- 肯定
- 系统
- 采取
- 需要
- 文案
- 技术
- 这
- 其
- 他们
- 那里。
- 他们
- Free Introduction
- 威胁
- 威胁预防
- 领带
- 至
- 一起
- 工具
- 工具
- 最佳
- 酷刑
- 交通
- 三分之二
- 理解
- 使用
- 用过的
- 使用
- 多变
- 供应商
- 厂商
- 可行
- 体积
- 想
- 水
- 方法
- 卷筒纸
- Web服务
- 您的网站
- 井
- ,尤其是
- 而
- 宽
- 年
- 年
- 和风网