顶级域名扩展成商用计算机安全隐患

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

通用顶级域名 (Generic Top-level domains, gTLDs) 近期的爆炸式发展可能造成企业内部使用的内部域名与公网上的注册域名之间的冲突,让企业的计算机产生风险。

许多企业已经配置了一些域名,而很多时候,这些域名使用的是编出来的顶级域名,它们在几年以前还不存在于互联网上,比如 .office 、 .global 、 .network 、 .group 、 .school 等。使用内部的基于域的名称空间可以更容易地锁定、管理并访问系统。

问题在于,过去的两年中,互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 为了进一步扩张,批准了超过900个新的公开通用顶级域名,这可能会对使用基于域名的企业网络上的应用和xie造成未知的安全影响。

比如网络代理自动发现协议(Web Proxy Auto-discovery, WPAD) ,本地网络上的计算机会使用该协议,自动查找应当使用的网络代理设置。

WPAD在IE和Windows中是默认开启的,这也是企业网络环境中最常见的浏览器-操作系统组合。火狐、谷歌Chrome和苹果Safari等浏览器也在Linux和OS X等其它平台上支持该协议,只不过并非自动开启。

计算机应当使用WPAD协议和本地DNS服务器,寻找应当下载并使用的wpad.dat代理配置文件。对于基于域名的网络而言,这一文件可能存储在以wpad.internal_domain.tld.为主机名的Web服务器上。

出现的问题是这样:当计算机,比如一台笔记本电脑被带离企业的网络环境,并连接到了不同的网络上,由于企业的内部DNS服务器无法使用,WPAD NDS查询请求将会被发送到公共DNS服务器上。

由于通用顶级域名扩展产生的影响,攻击者可以用企业内部通行的域名注册一个共有域名,并将恶意的代理配置文件托管到主机上,供上述情况下的笔记本电脑下载。这意味着这类计算机的网络流量将经过一个攻击者控制的代理服务器,产生非法流量窥探或篡改的可能性。这也被称为中间人攻击。

为了揭示此问题的广度,来自Verisign公司和密歇根大学的研究人员分析了全球13台DNS根服务器中的2台在2013年9月到2015年7月之间shWPAD请求。这两台服务器是属于Verisign公司的。

数据表明,平均每天大约有2000万次WPAD请求传到服务器,对应的潜在受害者数量可能高达660万人。研究人员发现,泄露的WPAD请求涉及ICANN在2015年8月25日前授权的738个新域名中的485个。

该问题可能比上述情况的影响更大,因为ICANN自去年8月起又授权了201个新的通用顶级域名,而且,研究人员分析的数据仅仅来自全球13台DNS根服务器中的2台。

受影响最大的通用顶级域名如下:.global .ads .group .network .dev .office .prod .hsbc .win .world .wan .sap .site。大约65%的受影响WPAD请求来自美国。

该问题促使美国计算机紧急响应小组 (United States Computer Emergency Readiness Team, US-CERT) 在本周一发布了安全警报。小组对网络管理员提出了一些建议:

在配置设备时,如非必要,禁用浏览器和操作系统的自动代理发现功能;

使用全球DNS下广受承认的域名作为企业和内部地址空间的根域名,比如企业亲自注册并拥有的域名。

本文转自d1net(转载)

相关文章
|
域名解析 安全 网络协议
国内首个云平台域名解析(DNS)安全研究专项签约
国内首个云平台域名解析(DNS)安全研究专项签约
|
9月前
|
域名解析 网络协议 安全
【域名解析DNS专栏】进阶DNS管理:利用DNSSEC加强域名安全
【5月更文挑战第23天】DNSSEC使用公钥加密为DNS记录添加数字签名,防止DNS欺骗和中间人攻击。它涉及密钥对生成、记录签名、公钥发布和验证过程。部署DNSSEC需要选择支持的DNS提供商,管理密钥并配置签名区域。尽管面临复杂性、性能影响等挑战,DNSSEC的普及和与TLS、HTTPS结合将提升DNS安全性,构建更可信的互联网环境。通过实践DNSSEC,我们可以强化域名安全防线。
304 1
|
9月前
|
域名解析 监控 网络协议
【域名解析DNS专栏】DNS域名劫持与防范策略:保护你的域名安全
【5月更文挑战第26天】DNS域名劫持是网络攻击手法,攻击者篡改DNS记录,将用户导向恶意网站,威胁隐私泄露、数据窃取及品牌信誉。防范策略包括使用DNSSEC加密验证响应,选择安全的DNS服务提供商,定期检查DNS记录,以及教育员工和用户识别网络威胁。通过这些措施,可以增强域名安全,抵御DNS劫持攻击。
514 0
|
6月前
|
域名解析 编解码 负载均衡
【域名解析DNS专栏】域名解析中的EDNS扩展:提升DNS协议灵活性
在互联网中,DNS作为连接用户与网络资源的关键桥梁,其传统协议在面对复杂网络环境时显现出局限性。EDNS(扩展机制)应运而生,通过在DNS请求和响应中添加额外选项和字段,提升了DNS的功能和灵活性。EDNS不仅提高了查询效率和支持更大范围的数据类型,还能增强安全性并通过负载均衡提升系统稳定性。例如,允许指定更大的UDP数据包大小以减少分片和重传,支持DNSSEC加强安全性验证,以及通过Python示例代码展示了如何在DNS查询中使用EDNS选项。随着技术发展,EDNS将在域名解析领域扮演更重要角色。
269 0
|
7月前
|
开发框架 前端开发 JavaScript
若依怎样看开发文档,域名搜这个就行ruoyi.vip,建链接点击在线文档,有前端手册和后端手册,若依文档里有项目扩展,项目扩展有大量的开源的软件
若依怎样看开发文档,域名搜这个就行ruoyi.vip,建链接点击在线文档,有前端手册和后端手册,若依文档里有项目扩展,项目扩展有大量的开源的软件
|
9月前
|
域名解析 编解码 负载均衡
【域名解析DNS专栏】域名解析中的EDNS扩展:提升DNS协议灵活性
【5月更文挑战第27天】EDNS(Extension Mechanisms for DNS)是为了解决传统DNS协议在复杂网络环境下的灵活性和扩展性问题而诞生的技术。它允许在DNS请求和响应中添加额外选项,提高查询效率,支持更大数据范围,增强安全性,并实现负载均衡和故障转移。通过在DNS消息中包含EDNS部分,客户端和服务器能交换更多信息,实现更复杂的逻辑。EDNS的使用示例代码展示了如何在Python中创建和处理EDNS选项。随着技术进步,EDNS将在域名解析领域扮演更重要角色。
230 1
|
9月前
|
安全 网络协议 网络安全
安全开发实战(2)---域名反查IP
本文介绍了域名与IP地址的关系以及域名反查IP的作用。通过DNS,域名与IP地址相互映射,方便用户访问网络资源。在渗透测试中,反查IP用于确定服务器真实地址、进行目标侦察和安全性评估,也能检测DNS劫持。文中提供了一些Python代码示例,演示了如何进行域名反查IP和批量处理,并强调在处理时要注意去除换行符以避免错误。
|
9月前
|
弹性计算 安全 Java
阿里云服务器配置、(xshell)远程连接、搭建环境、设置安全组、域名备案、申请ssl证书
以下是内容的摘要: 在阿里云购买服务器并进行基本配置的步骤如下: 1. **准备工作**: - 注册阿里云账号:访问阿里云官网并注册新账号,输入用户名、手机号和验证码。 - 实名认证:在个人中心进行实名认证,建议选择企业实名,因为个人实名可能无法索取企业发票。
|
9月前
|
域名解析 网络协议 安全
【域名解析DNS专栏】DNS-over-TLS与DNS-over-HTTPS:安全升级新标准
【5月更文挑战第26天】随着网络技术的发展,DNS协议面临安全挑战,DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 作为解决方案出现,旨在通过加密增强隐私和安全。DoT使用TLS封装DNS查询,防止流量被窥探或篡改;DoH则利用HTTPS隐藏DNS查询。实施DoT需在客户端和服务器间建立TLS连接,DoH需DNS服务器支持HTTPS接口。这两种技术为网络安全提供支持,未来有望更广泛部署,提升网络环境的安全性。
912 0
|
域名解析 弹性计算 负载均衡
ecs中的安全组,授权对象可以用域名吗?
ecs中的安全组,授权对象可以用域名吗?
309 1

热门文章

最新文章