跳至主內容

為網絡保安出一分力,建立 DNSSEC 的支援

發佈日期: 2017年10月26日 1374 觀看次數

網域名稱系統 (Domain Name System簡稱 DNS) 是一項被廣泛使用的互聯網服務。它提供網域名稱和IP地址相互對換,使人更方便地存取互聯網,不須記憶 IP 地址。DNS早在1983年被發明,當時未有加入保安設計,導致現時容易成為駭客攻擊的目標。

 

針對 DNS 的攻擊包括有“中間人攻擊"、“DNS快取毒害攻擊"、“DNS 詐騙"及“偽冒的 DNS 伺服器"等,這些攻擊能夠成功,主要原因是DNS查詢與回應中缺乏驗證,駭客可以制造假DNS封包,回應錯誤的 IP 地址,便能誤導使用者到偽冒的網站。

 

過去有一些網域遭到攻擊的事件,如2013 年google.com.my 及 google.my 域名遭DNS快取毒害攻擊,誤導使用者至偽冒網站。在2015年馬來西亞航空公司(MAS)的網域名稱伺服器被入侵及更改域名記錄,同樣地誤導使用者至偽冒網站。

 

早在2000年已有人提出利用「網域名稱系統安全擴展」(DNSSEC) 來增強 DNS 的資料完整性。到了2007年最頂層的根網域「.」正式支援DNSSEC,其他頂層網域(TLD)相繼加入,「.hk」頂層網域在2017年9月也正式支援DNSSEC

 

DNSSEC利用公私鑰匙加密技術的數位簽署來實現域名記錄的驗證,它利用私有匙對DNS記錄進行簽署,收到回應的系統則利用公有匙(Public-key)來驗證記錄的來源及內容曾否遭竄改。為了防止公有匙被偽冒,公有匙的數位簽署會被放在Parent Zone的記錄內,如此層層驗證,構成整個DNS信任鏈,令駭客難以偽冒。

 

香港電腦保安事故協調中心建議域名管理員為所管理的域名加入DNSSEC的支援,提高本身域名記錄的完整性及可信性,為網絡保安出一分力。