物聯網(Internet of Things)能將生活中各種資訊設備與設施透過網路進行連結、整合與應用,正常提供服務是物聯網能否整合應用成功的關鍵之ㄧ。
近來有很多有關的攻擊事件,例如在台灣,蘋果日報就慘遭分散阻斷攻擊,導致網站癱瘓,旗下香港、臺灣的蘋果日報網站都受到影響,無法正常提供服務。還有謠傳的Facebook遭到網路駭客的分散式阻斷服務攻擊,造成短時間系統流量無法負荷導致。

 

處理網路服務 DNS 安全威脅最有效率的方式
DNS 伺服器是肩負重要任務的基礎結構元件,即使遭受攻擊,它們也必須持續回應查詢。若您的外部 DNS 伺服器停止運作,您的整個網路就無法與網際網路通訊。根據弗雷斯特研究公司 (Forrester Research) 預估,24 小時無法運作的平均財務損失高達 2,700 萬美元。4 小時網站停機時間的預估損失成本約為 210 萬美元。此類服務中斷的受害者需面臨營收、客戶與品牌價值損失的情況。
單單在去年,DNS 攻擊數目就增加了 200% 以上。攻擊者通常會搜尋網路中安全防護強度最弱的連結,而「網域名稱系統」(DNS) 通訊協定便是容易遭受惡意探索的一個環節。因此,駭客攻擊目的是使 DNS 伺服器無法運作並耗用網路頻寬,進而造成關鍵 IT 應用程式 (例如電子郵件、網站、VoIP 與軟體即服務 (SaaS)) 無法運作,這類型的攻擊趨勢正日趨提升。

 

安全威脅分類
企業面臨之危險 DNS 攻擊的嚴重性,我們在下面列出一些常見的安全威脅。
DNS 特定攻擊會惡意探索 DNS 軟體中的弱點。
直接 DNS 放大攻擊會透過傳送大量精心變造的 DNS 查詢,企圖讓您的 DNS 伺服器產生大量的回應,以癱瘓 DNS 伺服器的連外頻寬。
反射攻擊會使用網際網路上的第三方 DNS 伺服器 (通常是開放式遞迴名稱伺服器) 來發動 DoS 或 DDoS 攻擊,方式是傳送查詢給該遞迴伺服器 (該伺服器會處理來自任何 IP 位址的查詢)。攻擊者會將受害者的 IP 位址包含在查詢的來源 IP 中,讓名稱伺器將所有回應傳送到受害者的 IP 位址,企圖使受害者的伺服器無法正常運作。
TCP、UDP 與 ICMP 洪水攻擊會利用「傳輸控制通訊協定」(TCP)、「使用者資料包通訊協定」(UDP) 與「網際網路控制訊息通訊協定」(ICMP),以大量的封包耗用網路頻寬與資源。
DNS 快取毒害涉及將攻擊者指定的網際網路網域位址記錄插入到 DNS 查詢中。若 DNS 伺服器接受該記錄,後續要求將由攻擊者所控制的伺服器位址負責回應,而連入網頁要求與電子郵件將傳送到攻擊者的位址。
通訊協定異常封包傳送會傳送格式不正確的 DNS 封包到指定的目標伺服器,導致伺服器執行緒中發生無窮迴圈,而使伺服器當機或停止回應。
偵察探測並非攻擊。這是攻擊者在發動大型 DDoS 或其他類型攻擊前,嘗試取得網路環境資訊的動作。
DNS 通道穿越涉及透過 DNS 連接埠 53 來傳送其他通訊協定的資料 (防火牆通常允許通過此連接埠的流量攜帶非 DNS 流量)。這種攻擊通常用於洩漏資料。

 

根據服務的特殊需求而調整
每家企業的網路服務流量模式都不盡相同,而各個流量模式在每個季度、每天的不同時間或不同的地理位置也會有所差異。Advanced DNS Protection 提供可調整的流量閾值供您設定,讓您可以根據您的特殊 DNS 流量模式來微調安全防護參數。這樣讓您可以回應正常流量,同時封鎖或捨棄惡意流量。