新工具可保护组织免受 NXDOMAIN 攻击

针对域名系统 (DNS) 的攻击数量众多且多种多样，因此组织必须依赖多层攻击 保护措施，如流量监控、威胁情报和高级网络防火墙，协同行动。随着 NXDOMAIN 攻击的增加，组织需要加强其 DNS 防御。

随着 发布 Shield NS53, Akamai 加入了越来越多的安全供应商行列，提供能够防御 NXDOMAIN 攻击的 DNS 工具. 这项新服务将 Akamai 的边缘 DNS 技术在云中扩展到本地部署。

在 NXDOMAIN 攻击（也称为 DNS Water Torture DDoS 攻击）中，攻击者通过大量不存在（因此有 NX 前缀）或无效域和子域的请求淹没 DNS 服务器。 DNS 代理服务器在查询 DNS 权威服务器时耗尽了大部分（如果不是全部）资源，以至于该服务器不再有能力处理任何请求（无论是合法的还是伪造的）。更多的垃圾查询到达服务器意味着需要更多的资源（服务器 CPU、网络带宽和内存）来处理它们，并且合法请求需要更长的时间来处理。当人们由于 NXDOMAIN 错误而无法访问该网站时，这可能意味着 客户流失、收入损失和声誉受损.

Akamai 产品管理总监 Jim Gilbert 表示，NXDOMAIN 多年来一直是常见的攻击媒介，并且正在成为一个更大的问题。 Akamai 去年发现，其前 40 名金融服务客户的整体 DNS 查询中有 50% 包含 NXDOMAIN 记录。

加强 DNS 保护

虽然理论上可以通过增加更多容量来防御 DNS 攻击（更多资源意味着需要更大、更长的攻击才能击垮服务器），但对于大多数组织来说，这不是一种经济上可行或可扩展的技术方法。但他们可以通过其他方式加强 DNS 保护。

企业防御者需要确保他们了解自己的 DNS 环境。这意味着记录 DNS 解析器当前部署的位置、本地和云资源如何与其交互，以及它们如何利用高级服务（例如 Anycast 和 DNS 安全协议）。

Akamai 的 Gilbert 表示：“企业希望将其原始 DNS 资产保留在本地，可能有充分的合规性原因。”他指出，Shield NS53 允许企业添加保护控制，同时保持现有 DNS 基础设施完好无损。

保护 DNS 也应该成为整体分布式拒绝服务 (DDoS) 预防策略的一部分，因为许多 DDoS 攻击都是从 DNS 漏洞开始的。据 Akamai 称，去年近三分之二的 DDoS 攻击使用了某种形式的 DNS 漏洞。

在购买任何产品之前，安全经理需要了解他们正在评估的潜在解决方案的范围和局限性。例如，虽然 Palo Alto 的 DNS 安全服务涵盖了除 NXDOMAIN 之外的广泛 DNS 漏洞利用，但客户只有拥有供应商的下一代防火墙并订阅其威胁防御服务，才能获得广泛的保护。

DNS 防御还应与强大的威胁情报服务结合起来，以便防御者能够快速识别和响应潜在的攻击并减少误报。 Akamai、Amazon Web Services、Netscout、Palo Alto 和 Infoblox 等供应商运营大型遥测收集网络，帮助其 DNS 和 DDoS 保护工具发现攻击。

网络安全与基础设施安全局 制定了一系列建议行动 其中包括向其 DNS 管理员的帐户添加多重身份验证，以及监控证书日志并调查任何差异。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/remote-workforce/akamai-boosts-dns