新闻详情

DNS云学堂 | 超实用!金融机构互联网域名系统常见风险及防范建议(上篇)

463
发表时间:2021-06-09 18:53

随着移动互联、云计算及大数据等新技术与应用的飞速发展,银行业务开展面临着从线下到线上的转变。互联网支付、网银、信贷等业务在访问的第一步均由域名系统提供解析服务,用户终端获取域名对应的IP地址后发起并完成访问。此时,域名系统DNS已实际成为互联网应用的入口。


而DNS 作为一种网络开放式服务,在设计之初就缺乏信息验证机制,与生俱来的脆弱性,使攻击者对DNS的攻击成本极低。随着金融机构对于域名系统DNS依赖程度日益加强,DNS“小事故”在 “互联网+”新环境下造成的影响和损失会“指数级”放大,大范围影响网络业务正常访问。


由于DNS服务的重要性,金融机构一直在尝试增强互联网权威域名系统服务的健壮性。


目前常用的技术手段如下:


  • 通过设备级高可用架构,避免因DNS服务单点故障造成的服务停止;

  • 双数据中心容灾部署,增强可用性,构建高性能集群;

  • 多运营商线路接入,减小解析延迟,避免网络线路故障;

  • 采用应用层防火墙识别并抵御针对DNS服务器的攻击;

  • 使用专业云解析抵御大规模DNS DDoS攻击。


通过上述技术手段能够在一定程度增强互联网权威域名系统服务的健壮性,但行业内因为域名系统发生故障导致业务宕机的事件仍时有发生。


近几年发生过的一些事件:


  • 2019年11月,某银行自建二级域名权威服务器被DDoS攻击导致解析故障。其网银业务出现严重的DNS解析故障,导致业务中断2小时,造成巨大的损失;

  • 2018年12月份,某银行域名解析记录变更,在南方部分地区移动网络超过8小时未生效(TTL 60秒),原因是中国移动某DNS缓存不过期造成故障;

  • 2018年6月份,某保险公司域名的顶级域名授权记录出现故障导致NS记录被篡改,NS的A记录被改为127.0.0.1,导致域名完全无法解析,用户发现故障后及时进行了修正,但因为DNS缓存机制,业务中断长达5小时;

  • 2017年6月份,某银行域名因未通过实名认证被注册商停止解析,NS记录被清空,解析中断近24小时;

  • 2017年5月份,某银行域名因注册商系统升级,导致原本指向ZDNS Cloud云服务的NS记录恢复为默认指向注册商免费解析平台的NS,解析中断超过12小时。

图片

出现上述问题的根本原因是:企业对域名服务体系不可控。因为全球互联网域名服务体系是一个非常庞大的分布式系统,整个系统分为:根、顶级域名、二级和二级以下域名,以及权威和递归域名解析服务,注册服务等。互联网用户访问互联网资源,需要通过递归服务器、根服务器、顶级域名服务器、权威服务器等多个层级。据统计,因DNS故障造成业务中断的问题中,由递归、顶级域、注册商等因素引起的占大多数。


而当前企业对域名体系各层级的监测和应急管理仍然是域名服务运营管理的盲区,企业互联网DNS服务运营管理的重点还在围绕自有权威系统展开,而忽视了其他方面。

图片


结合多年金融行业服务经验,ZDNS针对互联网域名服务体系面临的安全风险以及防范建议如下:



风险一:域名到期未续费导致域名掉线


域名是有生命周期的,域名注册时限最长只能是10年,到期30天(注册局规定自动续费期最长45天,一般小于45天,具体自动续费期天数由注册商定义,此处假定注册商设置为30天)内可自动续费,如果未续费,域名将被删除,即当天停止解析;到期31-60天内,域名处于赎回期,此期间域名无法管理,需手工赎回;到期65天后,域名会重新回到资源池并开放给公众注册。域名掉线后会使所有者对应的资源无法访问,业务受到严重影响,如果不想高价把域名所有权买回来,只能重新注册域名。而重新注册域名要付出很大代价。


防范建议:

  • 建议企业内部对现有互联网域名资产进行盘点,制定域名相关事务章程,明确域名注册、续费、管理、变更等流程,避免因标准、流程不明晰导致域名掉线;

  • 将所有域名放在一个具有完备资质的注册商平台,使用公用邮箱注册域名,对所有在线域名开启自动续费,并采用周期性域名到期提醒,如“提前90天/30天/7天”和多重提醒,如“系统+人工提醒”等。



风险二:DNS系统服务可用性低


域名解析服务系统所用软件极其重要,一旦软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。目前ISC Bind软件和Microsoft Windows 域名系统被广泛使用,据中国互联网络信息中心(CNNIC)《中国域名服务安全状况与态势分析报告2018》的数据显示,二级及以下权威域名服务器使用的域名解析软件ISC Bind和Microsoft DNS分别占比64.6%和15.9%。且42.6%的ISC Bind软件仍然开启版本应答功能。


2020年5月,ISC Bind爆出拒绝服务高危漏洞(CNVD-2020-29429对应CVE-2020-8617),中国境内可能有超过500万台服务器受这一漏洞影响导致域名解析服务崩溃;2020年9月,Bind再次爆出多个安全漏洞,涉及恶意新增权限、造成目标服务异常结束、查询数据包触发异常等诸多安全问题。据Microsoft 安全响应中心 (MSRC) 报告显示,2020年1月1日至今Windows DNS server爆出数十个安全漏洞。2020年7月Microsoft 发出警告,Windows服务器存在重大漏洞,其编号为CVE-2020-1350,该漏洞被发现已经存在17年之久,影响2003年到2019年的所有Windows Server版本。


防范建议:

  1. 采用安全的操作系统平台和域名解析系统软件,并关注软件商发布的最新安全漏洞,定期升级软件系统;隐藏操作系统及域名解析软件版本等信息;隐藏ISC Bind 软件版本应答功能方法为修改/etc/named.conf,在named.conf文件里添加

    options {

    directory "/var/named";

    version   "[jiangsir]";

    };其中jiangsir为自定义字符,可根据需求进行更改;

  2. 采用专业DNS设备和服务替换ISC Bind和Microsoft Windows服务器,规避域名解析服务系统软件存在的安全隐患。


_______________
_______________
_______________
_______________
友情互联:
________________________________________________________________________________________________________
邮箱:web@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________
京ICP备15027496号-3 | 京公网安备11010802021115号 | All rights reserved
官方微信
DNS 云解析
新顶级域直通车