域名系统的安全
什麽是域名系统 (DNS)?
域名系统(Domain Name System),简称DNS,负责把人类可读的互联网域名及主机名称(例如 www.example.com)与电脑可读的互联网规约(Internet Protocol,简称 IP)地址(例如「93.184.216.34」)进行转换。互联网是一个基于 IP 地址的网络,而 DNS 就像互联网的目录或电话簿。以下例子解释 DNS 如何运作:
常见的 DNS 保安风险
DNS 没有内置的保安功能,因此 DNS 数据可能会被窜改。如 DNS 的答覆被窜改,用户可能会被转至恶意网站。如电脑受恶意软件感染,便可能危及储存在电脑内的资料。下表撮述了一些常见的 DNS 保安风险。
| 保安威胁 | 简介 | 对用户的影响 |
|---|---|---|
| 域名系统缓存中毒 | 恶意攻击者利用 DNS 伺服器的漏洞注入欺诈讯息,把用户转至恶意网站 | 受到恶意网站内的恶意代码感染,可能导致资料外泄或进一步被利用以发动网络攻击 |
| 拒绝服务攻击 | 恶意攻击者製造大量互联网流量,企图令目标 DNS 伺服器不胜负荷,导致其 DNS 服务质量下降或中断 | 可能因 DNS 服务质量下降和停用而无法使用互联网服务 |
| 误植域名 | 恶意攻击者註册一个跟目标域名差不多相同的域名,企图误导用户浏览恶意网站 | 受到恶意网站内的恶意代码感染,可能导致资料外泄或进一步被利用以发动网络攻击 |
| 领域名称系统仿冒 | 恶意攻击者利用虚假资料假冒 DNS 回覆,把用户转至恶意网站 | 受到恶意网站内的恶意代码感染,可能导致资料外泄或进一步被利用以发动网络攻击 |
为免成为 DNS 保安威胁的受害者,我们可以采取不同层面的措施。互联网服务供应商应考虑采用域名系统安全扩展(Domain Name System Security Extensions,简称 DNSSEC ),而用户则可考虑在其终端装置使用安全 DNS 解析服务。
域名系统安全扩展(DNSSEC)
域名系统安全扩展(DNSSEC)在搜寻IP地址时验证域名的 DNS 数据,从而加强保安。 DNSSEC 利用加密签署技术确认所接收的 DNS 数据是真确的。
DNSSEC 有助确保 (i) 数据的完整性,以及 (ii) 认证 DNS 数据的源头,从而可在 DNS 层面防止攻击者把用户转至伪冒网站。但要注意的是,有关域名应已啓用 DNSSEC 和 DNS 解析器应支援 DNSSEC,才可提供有关保护。
DNSSEC 如何保护互联网用户?
如何检查域名是否已启用 DNSSEC ?
你可使用以下工具检查域名是否已啓用 DNSSEC:
安全的 DNS 解析服务
无论是否已啓用 DNSSEC ,用户都应使用安全 DNS 解析服务,以防堕入攻击者的陷阱。这类服务会自动审查用户要求浏览的域名,并堵截恶意域名的连接要求。
如何采用安全 DNS 解析服务?
现时有一些免费又安全 DNS 解析服务可供家庭用户使用,例如 Quad9 及 OpenDNS。
Quad9
有关如何在 Windows 系统设置 Quad9 的详情,请前往以下连结: https://www.quad9.net/#/setup/microsoft (只提供英文版)
有关如何在MacOS系统设置Quad9的详情,请前往以下连结: https://www.quad9.net/#/setup/apple (只提供英文版)
OpenDNS
有关如何在不同系统平台(例如家居路由器、Windows、MacOS )及一些智能装置设置 OpenDNS 的详情,请前往以下连结:
https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration (只提供英文版)
https://www.cybersecurity.hk/tc/expert-2017-09-26-Safeguarding-your-Domain-Name-with-DNSSEC.php
https://www.hkirc.hk/content.jsp?id=297&
https://www.icann.org/resources/pages/dnssec-2012-02-25-en(只提供英文版)
https://www.internetsociety.org/deploy360/dnssec/basics/ (只提供英文版)
免责声明:用户亦应留意网络安全资讯站中的免責聲明。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。
