问题很严重。 根据 Palo Alto Networks Unit 42 研究实验室的数据,大约 85% 的恶意软件使用 DNS 建立命令和控制通道,使攻击者能够轻松地将恶意软件注入您的网络并窃取数据。 自诞生以来,DNS 流量基本上未加密,可以通过 NGFW 安全机制轻松分析。
新的 DNS 协议已经出现,旨在提高 DNS 连接的机密性。 它们得到了领先的浏览器供应商和其他软件供应商的积极支持。 企业网络中的加密 DNS 流量很快就会开始增长。 未经工具正确分析和解析的加密 DNS 流量会给公司带来安全风险。 例如,此类威胁是使用 DNS 交换加密密钥的加密锁。 攻击者现在要求支付数百万美元的赎金才能恢复对您数据的访问。 例如,Garmin 支付了 10 万美元。
正确配置后,NGFW 可以拒绝或保护 DNS-over-TLS (DoT) 的使用,并可用于拒绝使用 DNS-over-HTTPS (DoH),从而允许分析网络上的所有 DNS 流量。
什么是加密 DNS?
什么是 DNS
域名系统 (DNS) 解析人类可读的域名(例如,地址 www.paloaltonetworks.com ) 转换为 IP 地址(例如 34.107.151.202)。 当用户在 Web 浏览器中输入域名时,浏览器会向 DNS 服务器发送 DNS 查询,询问与该域名关联的 IP 地址。 作为响应,DNS 服务器返回该浏览器将使用的 IP 地址。
DNS 查询和响应以未加密的纯文本形式通过网络发送,因此很容易受到监视或更改响应并将浏览器重定向到恶意服务器。 DNS 加密使得 DNS 请求在传输过程中难以被跟踪或更改。 加密 DNS 请求和响应可以保护您免受中间人攻击,同时执行与传统纯文本 DNS(域名系统)协议相同的功能。
过去几年,推出了两种 DNS 加密协议:
HTTPS上的DNS(DoH)
DNS-over-TLS (DoT)
这些协议有一个共同点:它们故意隐藏 DNS 请求以防止任何拦截……以及组织的保安人员。 这些协议主要使用 TLS(传输层安全性)在发出查询的客户端和通过通常不用于 DNS 流量的端口解析 DNS 查询的服务器之间建立加密连接。
DNS 查询的机密性是这些协议的一大优点。 然而,它们给必须监控网络流量并检测和阻止恶意连接的保安人员带来了问题。 由于协议的实现方式不同,DoH 和 DoT 之间的分析方法也会有所不同。