域名系統的保安
什麼是域名系統 (DNS)?
域名系統(Domain Name System),簡稱DNS,負責把人類可讀的互聯網域名及主機名稱(例如 www.example.com)與電腦可讀的互聯網規約(Internet Protocol,簡稱 IP)地址(例如「93.184.216.34」)進行轉換。互聯網是一個基於 IP 地址的網絡,而 DNS 就像互聯網的目錄或電話簿。以下例子解釋 DNS 如何運作:
常見的 DNS 保安風險
DNS 沒有內置的保安功能,因此 DNS 數據可能會被竄改。如 DNS 的答覆被竄改,用戶可能會被轉至惡意網站。如電腦受惡意軟件感染,便可能危及儲存在電腦內的資料。下表撮述了一些常見的 DNS 保安風險。
| 保安威脅 | 簡介 | 對用戶的影響 |
|---|---|---|
| 域名系統緩存中毒 | 惡意攻擊者利用 DNS 伺服器的漏洞注入欺詐訊息,把用戶轉至惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
| 拒絕服務攻擊 | 惡意攻擊者製造大量互聯網流量,企圖令目標 DNS 伺服器不勝負荷,導致其 DNS 服務質量下降或中斷 | 可能因 DNS 服務質量下降和停用而無法使用互聯網服務 |
| 誤植域名 | 惡意攻擊者註冊一個跟目標域名差不多相同的域名,企圖誤導用戶瀏覽惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
| 領域名稱系統仿冒 | 惡意攻擊者利用虛假資料假冒 DNS 回覆,把用戶轉至惡意網站 | 受到惡意網站內的惡意代碼感染,可能導致資料外泄或進一步被利用以發動網絡攻擊 |
為免成為 DNS 保安威脅的受害者,我們可以採取不同層面的措施。互聯網服務供應商應考慮採用域名系統安全擴展(Domain Name System Security Extensions,簡稱 DNSSEC ),而用戶則可考慮在其終端裝置使用安全 DNS 解析服務。
域名系統安全擴展(DNSSEC)
域名系統安全擴展(DNSSEC)在搜尋IP地址時驗證域名的 DNS 數據,從而加強保安。 DNSSEC 利用加密簽署技術確認所接收的 DNS 數據是真確的。
DNSSEC 有助確保 (i) 數據的完整性,以及 (ii) 認證 DNS 數據的源頭,從而可在 DNS 層面防止攻擊者把用戶轉至偽冒網站。但要注意的是,有關域名應已啓用 DNSSEC 和 DNS 解析器應支援 DNSSEC,才可提供有關保護。
DNSSEC 如何保護互聯網用戶?
如何檢查域名是否已啓用 DNSSEC ?
你可使用以下工具檢查域名是否已啓用 DNSSEC:
安全的 DNS 解析服務
無論是否已啓用 DNSSEC ,用戶都應使用安全 DNS 解析服務,以防墮入攻擊者的陷阱。這類服務會自動審查用戶要求瀏覽的域名,並堵截惡意域名的連接要求。
如何採用安全 DNS 解析服務?
現時有一些免費又安全 DNS 解析服務可供家庭用戶使用,例如 Quad9 及 OpenDNS。
Quad9
有關如何在 Windows 系統設置 Quad9 的詳情,請前往以下連結: https://www.quad9.net/#/setup/microsoft (只提供英文版)
有關如何在MacOS系統設置Quad9的詳情,請前往以下連結: https://www.quad9.net/#/setup/apple (只提供英文版)
OpenDNS
有關如何在不同系統平台(例如家居路由器、Windows、MacOS )及一些智能裝置設置 OpenDNS 的詳情,請前往以下連結:
https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration (只提供英文版)
https://www.cybersecurity.hk/tc/expert-2017-09-26-Safeguarding-your-Domain-Name-with-DNSSEC.php
https://www.hkirc.hk/content.jsp?id=297&
https://www.icann.org/resources/pages/dnssec-2012-02-25-en(只提供英文版)
https://www.internetsociety.org/deploy360/dnssec/basics/ (只提供英文版)
免責聲明:用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。
