伊朗黑客借DoH“隐身”,NSA建议企业使用“指定的”DNS解析器

安全
C ++和Java可能是计算机科学中最严重的错误。OOP的创建者艾伦·凯(Alan Kay)和许多其他著名的计算机科学家都对两者都提出了严厉的批评。然而,C ++和Java为最臭名昭著的编程范例-现代OOP铺平了道路。
“DoH不是万能的,这一协议给公司带来了虚假的安全感。“

注:加密的域名系统(DNS)技术即DNS over HTTPS(DoH)。

将域名转换为Internet上的IP地址的DHS越来越成为攻击者的流行攻击媒介。此前,伊朗Oilrig的黑客组织甚至成为第一个将DNS-over-HTTPS(DoH)协议纳入其攻击武器的威胁者。在此背景下,美国国家安全局(NSA)发布了有关安全部署DoH的新指南,即在企业环境中采用加密DNS。

常见的企业DNS体系工作机制

威胁在于,DoH并不能完全阻止威胁参与者看到用户的流量,当部署在网络内部时,它甚至可以用来绕过许多依赖于嗅探明文DNS流量来检测威胁的安全工具。再者,许多具有DoH功能的DNS解析器服务器是在脱离企业控制和审计能力的外部进行托管。而GitHub上发布的免费工具也使得攻击者劫持加密DoH连接,以此隐藏窃取的数据和绕过基于DNS的经典防御软件变得非常常见。

因此,NSA强调,希望企业避免使用第三方解析器,而是仅使用其指定的DNS解析器来处理DNS流量。因为第三方解析器可能会将其数据置于危险之中。

如果企业部署不当,那么攻击者很可能会利用这一技术。对于加密或未加密的DNS流量,仅使用组织指定的企业DNS服务器是最安全的路由,而所有其他DNS解析程序应该被禁用和阻止。

企业DNS控制可以预防网络威胁行为者用于初始访问、指挥和控制以及过滤的众多威胁手段。

对于诸如DoH这样的加密DNS保持谨慎态度的不仅仅是NSA,早在去年美国网络安全和基础架构安全局(CISA)曾发布警告,要求所有美国联邦机构出于安全风险而禁用其网络内的DoH和DoT,并且采用由政府托管的官方DoH / DoT解析器。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-05-06 09:27:54

2009-04-24 23:30:09

2022-06-21 09:38:52

UnboundDNSLinux

2021-10-03 15:02:50

HTTPNodejs

2022-09-12 13:52:03

微软Windows系统

2021-07-18 07:50:26

Facebook黑客恶意软件

2020-12-08 18:35:56

黑客攻击网络安全

2010-03-08 15:57:27

2016-01-24 23:03:27

2009-03-19 09:26:05

RSS解析器MagpieRSS

2020-09-17 14:57:39

CISA黑客漏洞

2009-12-09 10:31:32

ibmdwJava

2022-02-14 13:58:32

操作系统JSON格式鸿蒙

2010-01-07 17:24:31

JSON 解析器

2021-08-05 10:21:18

NSAKubernetes安全

2021-06-15 06:18:55

黑客组织Shield Iran网络安全

2020-11-16 17:51:01

伊朗黑客pay2key

2021-12-17 11:26:19

黑客网络安全网络攻击

2010-02-22 13:38:50

Python解析器

2010-02-22 16:51:03

Python 解析器
点赞
收藏

51CTO技术栈公众号