负责互联网域名系统(DNS)基础结构的组织互联网名称与数字地址分配机构(ICANN)在周五发布了有关DNS系统面临危险的警告。
互联网名称与数字地址分配机构(ICANN)表示,“它相信域名系统(DNS)基础结构的关键部分会面临持续的重大风险”,并敦促域名所有者和DNS服务尽快迁移到使用DNSSEC。
DNSSEC代表域名系统安全扩展,这是DNS协议的扩展,允许域名所有者对DNS记录进行数字签名。
加密签名的DNS记录可以防止未经授权的第三方修改DNS条目,而无需私有DNSSEC签名密钥,该密钥通常仅由合法域所有者拥有。
ICANN官员表示,DNSSEC可以防止最近两个月来成为头条新闻的DNS劫持攻击。
在今年年初,美国网络安全公司FireEye透露了一个由伊朗威胁参与者发起的为期数月的活动,他们入侵了网络托管和域名注册商帐户,以更改属于私人公司和政府实体的电子邮件域的DNS记录。
这种称为DNS劫持的攻击使骗子可以将合法流量重定向到自己的恶意服务器,然后他们在中间人进行攻击以拦截登录凭据,然后将流量转发回合法电子邮件服务器。
美国国土安全部发布了有关攻击的警报,敦促政府实体和私人公司查看其DNS记录中是否存在恶意条目。
信息安全调查记者布莱恩·克雷布斯(Brian Krebs)在另一份也触及FireEye检测到的相同DNS劫持的报告中,揭示了其他DNS劫持攻击,描绘了一幅严峻的画面,黑客团体似乎已经意识到,更改DNS记录比黑客电子邮件服务器容易得多。或鱼叉式员工。
现在,也注意到了这些攻击的ICANN 希望避免对整个DNS系统的进一步攻击。该组织希望域名所有者和技术行业更加努力地推动DNSSEC的采用,以期希望阻止或限制未来的DNS劫持攻击,这被视为对整个互联网的真正威胁,也使用户固有地信任他们将登陆在他们要在浏览器中按Enter时要查看的网站上。
即使DNSSEC已经存在了二十年,它也几乎没有被部署。根据APNIC(亚太网络信息中心)的数据,DNSSEC的采用率几乎未达到19.3%,而ICANN面临着艰巨的任务。