跳至主要內容


域名系统的安全

  1. 什麽是域名系统 (DNS)?什麽是域名系统 (DNS)?
  2. DNS的安全威胁及影响DNS 的安全威胁及影响
  3. 如何应对DNS的安全威胁?如何应对 DNS 的安全威胁?
  4. 延伸阅读延伸阅读

什麽是域名系统 (DNS)?

域名系统(Domain Name System),简称 DNS,负责把人类可读的互联网域名及主机名称(例如 www.example.com)与计算机可读的互联网协议(Internet Protocol,简称 IP )地址(例如「93.184.216.34」)进行转换。互联网是一个基于 IP 地址的网络,而DNS就像互联网的目录或电话簿。以下例子解释 DNS 如何运作:

  1. 当用户浏览互联网时,只须简单输入域名(例如 www.example.com),计算机会向 DNS 解析器(通常由互联网服务供货商(Internet Service Provider, 简称 ISP)提供)发出请求,以获取该域名所对应的 IP 地址。
  2. DNS 解析器将收到的请求转发至 DNS 权威服务器,以找出该网站相应的 IP 地址。
  3. DNS 权威服务器将该域名转换为其托管的 IP 地址,并回复 DNS 解析器。
  4. DNS 解析器将所请求域名的 IP 地址回复计算机,同时亦暂存该结果,以供日后收到有关同一域名的请求时使用。
  5. 计算机连接至该 IP 地址,让用户浏览有关网站。
域名系统的运作的图像

DNS的安全威胁及影响DNS 的安全威胁及影响

常见的 DNS 安全风险

DNS 没有内置的安全功能,因此 DNS 数据可能会被窜改。如 DNS 的答复被窜改,用户可能会被转至恶意网站。如计算机受恶意软件感染,便可能危及储存在计算机内的数据。下表撮述了一些常见的 DNS 安全风险。

安全威胁 简介 对用户的影响
误植域名 恶意攻击者注册一个跟目标域名差不多相同的域名,企图误导用户浏览恶意网站 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击
拒绝服务攻击 恶意攻击者制造大量互联网流量,企图使目标DNS服务器不胜负荷,导致其 DNS 服务质量下降或中断 可能因 DNS 服务质量下降和停用而无法使用互联网服务
域名系统缓存中毒 恶意攻击者利用 DNS 服务器的漏洞注入欺诈信息,把用户转至恶意网站 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击
领域名称系统仿冒 恶意攻击者利用虚假信息假冒 DNS 回复,把用户转至恶意网站 受到恶意网站内的恶意代码感染,可能导致数据外泄或进一步被利用以发动网络攻击

如何应对DNS的安全威胁?

为免成为 DNS 安全威胁的受害者,我们可以采取不同层面的措施。互联网服务供货商应考虑采用域名系统安全扩展(Domain Name System Security Extensions,简称 DNSSEC ),而用户则可考虑在其终端设备使用安全 DNS 解析服务。

域名系统安全扩展(DNSSEC)

域名系统安全扩展(DNSSEC)在搜寻 IP 地址时验证域名的 DNS 数据,从而加强安全。DNSSEC 利用加密签名技术确认所接收的 DNS 数据是真确的。DNSSEC 有助确保 (i) 数据的完整性,以及 (ii) 认证 DNS 数据的源头,从而可在 DNS 层面防止攻击者把用户转至伪冒网站。但要注意的是,有关域名应已启用 DNSSEC 和 DNS 解析器应支持 DNSSEC,才可提供有关保护。

DNSSEC 如何保护互联网用户?

DNSSEC保护互联网用户的图像
  1. 当用户尝试浏览一个已启用DNSSEC的域名时,支持 DNSSEC 的 DNS 解析器会将请求转发到 DNS 权威服务器。
  2. DNS 权威服务器会将有关 IP 地址连同数字签名一并回复。
  3. DNS 解析器会验证有关数字签名,以确保DNS数据没有被窜改。
  4. 如攻击者干扰回复,并传送虚假回复至 DNS 解析器, DNS 解析器会未能验证有关数据,并把虚假数据丢弃。

域名是否已启用 DNSSEC ?

你可使用以下工具检查域名是否已启用 DNSSEC:

  1. 使用 https://www.hkirc.hk 提供的WHOIS服务检查包含「.hk」的顶级域名。 检查域名是否已启用DNSSEC的图像
  2. 使用 https://dnssec-debugger.verisignlabs.com/ 提供的 DNSSEC analyser 检查其他域名。 检查域名是否已启用DNSSEC的图像

安全的 DNS 解析服务

无论是否已启用 DNSSEC,用户都应使用安全 DNS 解析服务,以防堕入攻击者的陷阱。这类服务会自动审查用户要求浏览的域名,并堵截恶意域名的连接要求。

安全的 DNS 解析服务的图像

如何采用安全 DNS 解析服务?

现时有一些免费的安全 DNS 解析服务可供家庭用户使用,例如 Quad9 及 OpenDNS 。

Quad9

有关如何在 Windows 系统设置 Quad9 的详情,请前往以下连结: https://www.quad9.net/#/setup/microsoft (只提供英文版)

有关如何在 MacOS 系统设置 Quad9 的详情,请前往以下连结: https://www.quad9.net/#/setup/apple (只提供英文版)

OpenDNS

有关如何在不同系统平台(例如家居路由器、Windows、MacOS)及一些智能设备设置 OpenDNS 的详情,请前往以下连结: https://support.opendns.com/hc/en-us/categories/204012907-OpenDNS-Device-Configuration (只提供英文版)

延伸阅读

免责声明:用户亦应留意网络安全资讯站中的重要事项。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。

回页顶