iT邦幫忙

2025 iThome 鐵人賽

DAY 20
0

今天我們原本要來進行昨天我們昨天沒有做的TLS實作,但因為我的WSL出大包所以可能稍微延後了,對於期待TLS實作感到期待的人抱歉,等我修復好我的WSL後我就會把TLS的實作文章發出來。總而言之,今天我們先來學原本之後才要學的DNS安全。(今天這邊一樣只會講觀念,實作要等後續)

DNS

DNS是什麼?

DNS(全名為Domain Name System)會把「域名」解析成「IP」,就像網際網路的電話簿。當你在瀏覽器輸入IZUMI.com,系統會問DNS:這個域名指向哪個IP?屬於一種全球式的分散系統

為什麼要學 DNS 安全?

  • DNS 是大部分網路服務的基礎:網站、電子郵件、API 都依賴 DNS
  • 一旦 DNS 被操控(欺騙/劫持/替換),攻擊者可以把流量導到惡意伺服器(釣魚、惡意更新、憑證濫用)
  • DNS也是攻擊媒介/目標(DDoS、Amplification、DNS Tunneling等)
  • 理解 DNS 安全能有效保護網域、用戶與整體網路可用性

常見DNS威脅(與為何危險)

  • DNS Cache Poisoning(快取中毒):遙控偽造回應,讓resolver儲存錯誤紀錄使大量用戶被導到惡站。
  • DNS Spoofing/Hijacking:修改權威伺服器或註冊商設定,或本地路由器被改讓網域被接管
  • Amplification/Reflection DDoS:利用開放遞迴解析器回應大包給被害者(偽造來源 IP),破壞可用性
  • DNS Tunneling/Data Exfiltration:把資料打包到 DNS查詢/回應(TXT/NULL記錄)中,繞過過濾把資料偷出來
  • NXDOMAIN Flooding/Random Subdomain DDoS:大量未知子域查詢耗盡解析器與權威伺服器資源
  • Zone Transfer(AXFR)濫用:攻擊者若能執行未受限制的區域傳送會拿到整個zone(域名-IP 對照表)
  • Expired/Weak/Compromised Registrar:域名被轉移或憑證被濫用

DNS 防護技術(實務請等後續)

這邊將防護的方法分為對權威 DNS/zone以及對解析器/企業網路兩個部分

  • 權威 DNS/domain owner
    1.DNSSEC(Domain Name System Security Extensions)
    用公/私鑰對 zone 資料簽章,讓 resolver 能驗證回應的完整性與來源可以有效阻止快取中毒與偽造回應
    2.使用托管 DNS 的安全功能
    3.監控與快照
    監控zone的記錄是否被改變並使用certificate transparency /CT logs檢查可疑憑證

  • 企業解析器/網路邊界
    1.避免公開遞迴解析(Open Resolver)
    公開遞迴會被濫用做 DDoS amplification
    2.啟用DNS over TLS/DNS over HTTPS(DoT/DoH)
    用來保護client resolver的查詢隱私(避免被觀察或攔截)
    3.Response Policy Zone(RPZ)
    在recursive resolver上做策略阻擋/重新導向(例如把惡意domain指到內部sinkhole)
    4.Rate limiting/Query logging/Anomaly detection
    對大量子域請求、短時間大量同源查詢要 rate-limit;對suspected tunneling(extremely long subdomain labels或高頻查詢)要alert

今日小結

今天的文章只有單純的介紹基本的DNS安全,其他的實作真的要等到把WSL修好才有辦法繼續動工,如果明天WSL有修好那我會把TSL實作跟DNS的實作補給大家,如果還沒修好我們就會先介紹IDP跟IPS


上一篇
Day19 -認識TLS
下一篇
Day21 -TLS實作
系列文
Izumi從零開始的30日WEB馬拉松22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言