負(fù)責(zé)互聯(lián)網(wǎng)域名系統(tǒng)(DNS)基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)周五發(fā)布了預(yù)警，警告DNS系統(tǒng)面臨的危險(xiǎn)。

ICANN表示“相信域名系統(tǒng)(DNS)基礎(chǔ)架構(gòu)的關(guān)鍵部分存在持續(xù)且重大的風(fēng)險(xiǎn)”，并敦促域所有者和DNS服務(wù)盡快遷移到使用DNSSEC。

DNSSEC代表域名系統(tǒng)安全擴(kuò)展，這是DNS協(xié)議的擴(kuò)展，允許域所有者對DNS記錄進(jìn)行數(shù)字簽名。

密碼簽名DNS重新綁定可防止未經(jīng)授權(quán)的第三方修改DNS條目，而無需私有DNSSEC簽名密鑰，而該密鑰通常僅由合法域所有者擁有。

ICANN官員表示，DNSSEC將阻止最近在過去兩個(gè)月成為頭條新聞的DNS劫持攻擊。

今年年初，美國網(wǎng)絡(luò)安全公司FireEye透露了由伊朗威脅行為者進(jìn)行長達(dá)數(shù)月的活動(dòng)，他們侵入了網(wǎng)絡(luò)托管和域名注冊商帳戶，以更改屬于私營公司和政府機(jī)構(gòu)的電子郵件域名的DNS記錄。

這種攻擊 - 稱為DNS劫持 - 允許騙子將合法流量重定向到他們自己的惡意服務(wù)器，在那里他們執(zhí)行中間人攻擊以攔截登錄憑據(jù)，然后將流量轉(zhuǎn)發(fā)回合法的電子郵件服務(wù)器。

美國國土安全部發(fā)布了有關(guān)這些攻擊的警報(bào)，敦促政府機(jī)構(gòu)和私營公司審查其DNS記錄是否存在惡意入侵。

信息安全調(diào)查記者Brian Krebs在另一份報(bào)告中也觸及FireEye檢測到的同樣的DNS劫持事件，他們揭露了其他DNS劫持攻擊，描繪了一幅嚴(yán)峻的圖片，其中黑客組織似乎已經(jīng)意識(shí)到更容易改變DNS記錄而不是破解電子郵件服務(wù)器或長矛員工。

現(xiàn)在，ICANN也注意到了這些攻擊，希望避免進(jìn)一步攻擊整個(gè)DNS系統(tǒng)。該組織希望域名所有者和技術(shù)行業(yè)更加努力地采用DNSSEC，以期制止或限制未來的DNS劫持攻擊，它認(rèn)為這是對整個(gè)互聯(lián)網(wǎng)的真正威脅以及用戶固有的信任他們將會(huì)降落在他們在瀏覽器中按Enter鍵時(shí)要查看的網(wǎng)站上。

即使DNSSEC已經(jīng)存在了二十年，它也幾乎沒有被部署。根據(jù)APNIC(亞太網(wǎng)絡(luò)信息中心)的數(shù)據(jù)，DNSSEC的采用率幾乎沒有超過19.3%，ICANN面臨著艱巨的任務(wù)。