RAPPORT OM DNS- TILLGÄNGLIGHETENS STATUS



Relevanta dokument
! " #$%&' ( #$!

DNSSec. Garanterar ett säkert internet

Verkligheten bakom gratis ISP DNS

Varför och hur införa IPv6 och DNSSEC?

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Att Säkra Internet Backbone

Rotadministration och serverroller

Internetdagarna NIC-SE Network Information Centre Sweden AB

Hur påverkar DNSsec vårt bredband?

Systemkrav och tekniska förutsättningar

Datakursen PRO Veberöd våren 2011 internet

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Optimera hanteringen av PC-livscykeln

Vilket moln passar dig bäst?

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Denna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.

Domain Name System DNS

Startguide för Administratör Kom igång med Microsoft Office 365

Internets historia i Sverige

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Sekretesspolicy. för MyLyconet Website

IPv6- Inventering. Västkom Västra Götalands Län

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Det nya Internet DNSSEC

Q Jetshop gör handel på nätet enkelt och lönsamt för butiker och konsumenter

Laboration 4 Rekognosering och nätverksattacker

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Denial of Services attacker. en översikt

100% FOKUS PÅ KANALFÖRSÄLJNING MARKNADSLEDANDE MARGINALER WHITE LABELLING PÅ FLERA NIVÅER FOKUS PÅ ATT LEVERERA MOLNTJÄNSTER

Guide för att välja fibertjänst

Grundläggande datavetenskap, 4p

HUR MAN LYCKAS MED BYOD

Att hantera överbelastningsattacker 1

Internetsäkerhet. banktjänster. September 2007

DATA CIRKEL VÅREN 2014

Varför ska vi införa IPv6 och hur gjorde PTS?

Kvalitetssäkring av nätverk och iptelefoni för operatörer och tjänsteleverantörer

Välj affärssystem & partner i 5 steg. En guide för dig som ska välja, upphandla & implementera ett affärssystem

Innehållsförteckning Introduktion Samtal Kvalitetsproblem Felsökning av terminal Fakturering Brandvägg

Molntjänster -- vad är molnet?

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Datakommunika,on på Internet

F-ONS. Federated Object Naming Service. Katalogen för Internet of Things

Vägledning för införande av DNSSEC

DNS-test. Patrik Fältström. Ulf Vedenbrant.

NSL Manager. Handbok för nätverksadministratörer

Hur tar jag företaget till en trygg IT-miljö i molnet?

INNEHÅLL 30 juni 2015

Gränslös kommunikation

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

IPv6 Beredskap på svenska storföretag och myndigheter. En rapport från.se

Lastbalansering för webbservrar

Trender inom Nätverkssäkerhet

MarkVision skrivarhanteringsprogram

DNSSEC implementation & test

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Enklare hantering, minskade driftkostnader får fler företag att införa programvarudefinierad lagring

IPv6. MarkCheck. April 2010

Skydda dina virtuella system i tre steg

INFORMATIONSSÄKERHETSÖVERSIKT

Guide för ansökan om.fi-domännamn

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

OBSERVATIONSGUIDE VAGABOND

Informationssäkerhet

Setup Internet Acess CSE-H55N

Ta ett tryggt kliv till molnet

Smartare affärer med det bästa från molnet

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Plus500UK Limited. Sekretesspolicy

Datacentertjänster IaaS

Riskanalys fo r kritiska IT-system - metodbeskrivning

STYRKAN I ENKELHETEN. Business Suite

Integritetspolicy. Omfattning. Typ av Data och Insamlingsmetoder

DIG IN TO Nätverkssäkerhet

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Uppdatera Mobilus Professional till version * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Modernt arbete kräver moderna verktyg

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Brian Woltz, ägare och fysioterapeut, Parkway Physiotherapy

Guide för Google Cloud Print

PULSEN WHITEPAPER #IRCE15 Chicago - trendspaning. Signerad David Landerborn Affärsområdeschef Pulsen Production

Din manual CANON LBP

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Hur gör man ett trådlöst nätverk säkert?

Ändringar i samband med aktivering av. Microsoft Windows Vista

Hjälp! Det fungerar inte.

Integritetspolicy. Omfattning. Typer av uppgifter och insamlingsmetoder

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Säker IP telefoni? Hakan Nohre, CISSP

Den goda kundtjänsten

Laboration 2 1DV416 Windowsadministraion I

SkeKraft Bredband Installationsguide

Robusta nät Just do IT! Mikael Westerlund, CTO

It-beslutet. Rapport framtagen av TDC i samarbete med TNS Sifo. It och telekom för företag. Och för människorna som jobbar där.

Enkelt, centraliserat underhåll av skrivare och multifunktionssystem

DNS. Linuxadministration I 1DV417

Säkra trådlösa nät - praktiska råd och erfarenheter

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Problemfri IT för verksamhet som inte får ligga nere.

Transkript:

RAPPORT OM DNS- TILLGÄNGLIGHETENS STATUS VOLYM 1 UTGÅVA 1 APRIL 2011 WEBBSIDOR OCH ANDRA ONLINE-TJÄNSTER ÄR NÅGRA AV DE VIKTIGASTE OPERATIONELLA OCH INTÄKTSBRINGANDE VERKTYGEN FÖR VERKSAMHETER I ALLA STORLEKAR OCH BRANSCHER. FOKUSERINGEN PÅ NÄTVERKSPRESTANDAN HAR DÄRFÖR ALDRIG VARIT STÖRRE. TROTS DET ÄR ETT AV DE MEST VERKSAMHETSKRITISKA ELEMENTEN FÖR EN TILLFÖRLITLIG INTERNETINFRASTRUKTUR, DOMÄNNAMNSYSTEMET (DNS), OFTA FÖRBISETT NÄR DET GÄLLER PRESTANDAÖVERVAKNING. VERISIGN, SOM ÄR EN LEDANDE EXPERT INOM NÄTVERKSINFORMATION OCH TILLGÄNGLIGHET, TILLHANDAHÅLLER DEN HÄR RAPPORTEN FÖR ATT HJÄLPA TILL ATT FÖRSTÅ OCH KVANTIFIERA BETYDELSEN AV DNS-TILLGÄNGLIGHET PÅ INTERNET SAMT EVENTUELL AVBROTTSTIDS PÅVERKAN. VerisignInc.com

RAPPORT OM DNS-TILLGÄNGLIGHETENS STATUS SAMMANFATTNING I en nyligen utförd marknadsundersökning som Verisign beställt i menar 60 % av undersökningsdeltagarna att minst en fjärdedel av företagets intäkter fås direkt från deras webbsida. Denna siffra var ännu högre för små och mellanstora företag, som förlitar sig starkt till sina webbsidor för att ge intäkter och närvaro på marknaden. För att ett företag ska kunna fungera smidigt måste deras nätverk fungera smidigt, och för att deras nätverk ska fungera smidigt måste dess DNS vara konstant tillgängligt. Enligt Yankee Groups analytiker och Vice President Jennifer Pigg, ii förlitar sig organisationer alltmer på e-handel som primär inkomstkälla och är beroende av sina externa nätverk för verksamhetskritiska företagsfunktioner som kundservice, försäljning och support. De inser att de inte har råd med DNS-avbrott eller säkerhetsintrång. I den här första utgåvan av Rapport om DNStillgänglighetens status från Verisign, ser vi att DNStillgängligheten var ett problem även för de topprankade e-handelssidorna under första kvartalet 2011. Vår undersökning av ett globalt urval av webbsidor visar att när tillgänglighetsproblem uppstår påverkas sidor som är värd för sitt eget DNS (vilket gäller de flesta större företag idag) betydligt mer än sidor med DNS som hanteras av tredje part. Framförallt när man studerar lägsta tillgänglighet. Den här rapporten undersöker och kvantifierar omfattningen av de globala DNCtillgänglighetsproblemen och illustrerar risker och den inverkan som avbrott kan ha på intäktsgenerering, affärskontinuitet, kundlojalitet etc. DNS: KRITISK FELPUNKT Ett domännamn är nyckeln till i princip allt på Internet: från att sätta upp en webbsida till att skicka eller ta emot e-post, till att bygga en e-handelsbutik. Idag finns det över 200 miljoner domännamn. iii DNS, som stöder dessa domäner, är motorn som gör Internet lätthanterligt och tillgängligt för användare världen över. DNS säkrar tillgängligheten för webbsidor, e-post och webbsystem genom att länka domännamnen till IP-adresser (Internet Protocol). Varenda server på Internet har en IP-adress bestående av ett antal siffror och bokstäver, t.ex. 123.45.67.254 (IPv4) eller 2001:503:A83:0:0:2:30 (IPv6). Men precis som telefonnummer kan dessa långa serier av siffror och bokstäver vara svåra att komma ihåg.. Med DNS kan användarna skriva ett namn eller varumärke i en webbläsare, istället för en serie siffror och bokstäver, för att komma åt en viss webbsida och skicka e-postmeddelanden. För en webbsida fungerar det som en ytterdörr som släpper in användare och kunder för transaktioner över internet. Hela processen tar några tiondels sekunder och är transparent för slutanvändaren. Vid ett DNS-fel får dock användaren ofta ett felmeddelande och kan inte komma åt webbsidan. Denna avbrottstid gör ofta användare frustrerade och får dem att gå vidare till en annan sida, vilket leder till försämring av kundlojaliteten och varumärkets rykte såväl som direkta och kvardröjande effekter på försäljning och medarbetarproduktivitet. I och med det ökande antalet webbtjänster är allt fler webbsidor beroende av tredjepartsleverantörer av webbtjänster för extra funktionalitet och innehåll, t.ex. sociala mediasidor och/ eller försäljningsportaler. Om DNS inte fungerar på dessa tredjepartssidor kan det ha en mycket skadlig inverkan på verksamheten. Tjänster utförda över nätverk har blivit med kritiska för nästan alla företag, men företagen glömmer ofta att deras närvaro på internet bara är så säker och tillgänglig som deras DNS-infrastruktur tillåter den att vara, sa Gartner-analytikern Lydia Leong. iv 2

UNDERSÖKNINGSÖVERSIKT Metod ThousandEyes, som är en leverantör av nätverksanalys och planeringslösningar, anlitades för att övervaka en skiftande samling domännamn (de översta 1 000 sidorna i Alexas ranking) för DNS-tillgänglighet. Med hjälp av en proprietär modell övervakade företaget varje sida en gång per timme under de sista 7 dagarna i januari, februari och mars 2011. Omfattande testning utfördes på varje DNSresolver som användes för övervakning för att försäkra att de följde standarden för DNS-upplösning och inte uppvisade några onormala eller oberäkneliga beteenden. Av de 1 000 Alexa-sidorna uteslöts åtta stycken för att de slutade svara under testningen, vilket gjorde att totalt 992 sidor fanns kvar för datainsamling. Av dessa 992 sidor var välkända leverantörer av DNS-värdtjänster värd för 142 sidors DNS (14 %), medan välkända CDNleverantörer var värd för 47 sidors DNS (5 %). DNS sågs endast som otillgängligt när en respons från resolvern var en av följande kända DNS-felkoder: Servfail, Nxdomain, No Mapping och Truncated. Dataanalysen utfördes genom att klassificera provdomänerna i två kategorier: 1) De som är värd för sin egen DNS, och 2) De som använder DNSvärdtjänster från tredje part. Sedan beräknades genomsnittlig, lägsta och högsta tillgänglighet för alla domäner i varje kategori. Noteras bör att DNS är relativt svårt att testa för prestanda eftersom det finns många påverkande aspekter. Resultatet kan bero på aspekter som huruvida servern har en cachad inmatning, hur långt individen är från DNS-servern, hur långt DNS-servern är från de andra servrarna etc. Pågående testning och datainsamling med regelbundna intervaller utfördes för att minska sådana problem. Resultat Trots att den genomsnittliga tillgängligheten över domäner och tid för webbsidor med internt hanterat DNS verkar ganska nära de med tredjepartshanterat DNS, kan all avbrottstid ge en verkligt långsiktig inverkan på ett företags resultat. Möjlig inverkan för denna tillsynes smärre skillnad illustreras i nästa avsnitt. En stor skillnad märks dock när man tittar på lägsta tillgänglighet (Figur 1). För denna mätning drabbas sidor som hanterar sitt eget DNS betydligt värre än sidor som använder sig av en hanterad DNS-tjänst. För att utreda detta närmare sattes distributionen av lägsta tillgänglighet för alla sidor med internt hanterat DNS (Figur 2) och externt hanterat DNS (Figur 3) in i diagram. Figur 1: Jämförelse av lägsta DNStillgänglighet Lägsta tillgänglighet (genomsnitt för domäner) Högsta tillgänglighet (genomsnitt för domäner) Tillgänglighet (genomsnitt för domäner & tid) Figur 2: Lägsta DNS-tillgänglighet för sidor som hanterar sitt eget DNS Lägsta tillgänglighet 0-100 % 120 100 80 60 40 20 0 Internt hanterat DNS DNS hanterat av tredje part Globalt USA Globalt USA 90,13 89,17 98,04 97,71 99,98 99,99 99,99 100 99,7 99,85 99,85 99,94 1 101 201 301 401 501 601 701 801 Domän-ID 3

Figur 3: Lägsta DNS-tillgänglighet för sidor som använder DNS-tjänster från tredje part Lägsta tillgänglighet 0-100 % 120 100 80 60 40 20 0 1 21 41 61 81 101 121 141 Domän-ID Ovanstående två figurer visar att DNS-tillgängligheten kan sjunka ända ner till noll för sidor som hanterar sitt eget DNS jämfört med sidor som använder DNS-tjänster från tredje part, vilket aldrig understeg 50 %. Detta kan sannolikt tillskrivas det faktum att de tredjepartsleverantörer av DNS-tjänster som identifierades använder en anycast-tjänst, vilket innebär att det alltid finns en server tillgänglig för att besvara DNS-uppslag. På så sätt påverkas inte slutanvändaren så mycket även om några fysiska anycast-instanser drabbas av fel eller blir otillgängliga. En leverantör använder en hybridmodell av anycast och unicast, vilket ger en optimal kombination av prestanda och tillförlitlighet för DNS-förfrågningar och svar. De flesta företag har inte tillräckligt med resurser och expertis för att sätta upp ett så omfattande system för sina internt hanterade DNS, vilket kan vara anledningen till att det är så stor diskrepans. VAD INNEBÄR ALLT DET HÄR? I och med det växande beroendet av internetnärvaro för marknadsföring, kundservice, intäktsgenerering och annat har all form av avbrottstid en verklig och bestående inverkan på ett företags resultat. Följande exempel använder data som samlats in till denna rapport för att ge en bild av vad en tillsynes kort avbrottstid kan innebära för verksamheten. Här är några exempel baserade på data som samlats in för genomsnittlig, lägsta och högsta tillgänglighet, vilka förutsätter att trafiken är likartad över en 24-timmarsperiod för alla webbsidor som har undersökts i denna studie. Exempel: Mega Online Advertising Företaget Mega Online Advertising fick reklamintäkter på ca $796 miljoner för det första kvartalet 2011. Det är 90 dagar i ett kvartal, vilket resulterar i en genomsnittlig reklamintäkt på $8,84 miljoner per dag, eller ca $100 per sekund. Ett DNS-avbrott på en timme kostar ca $368 519. En drifttid på 99,70 %, vilket i denna studie visar sig vara den genomsnittliga DNS-tillgängligheten för internt hanterade globala domäner, skulle resultera i en förlust på ca $26 534 per dag, eller $2 388 033 för hela kvartalet. Det är dubbelt så mycket jämfört med vad förlusten hade varit med en hanterad DNS-tjänst, baserad på studiens data för genomsnittlig tillgänglighet (99,85 %). Baserat på dessa resultat vore det klokt av Mega Online Advertising att försöka hitta en DNStjänsteleverantör med väldokumenterad erfarenhet av hög tillgänglighet för att minska risken för avbrottstid. Även om det här exemplet är mycket förenklat och från ett påhittat företag, kan siffrorna som används för att räkna ut inverkan appliceras på verkliga företag inom den aktuella branschen. Med tanke på att flera företag i denna studie med internt hanterat DNS hade fullständiga avbrott under olika långa perioder under denna studie, är det enkelt att se hur påverkan från intäktstapp, missnöjda kunder och förlorad produktivitet snabbt kan byggas på och bli katastrofalt för företag som för sin affärsverksamhet är beroende av sin Internet- och nätverksnärvaro. Som minst är de PR-katastrofer som väntar på att aktiveras, men som kan undvikas med korrekt planering och stöd. 4

SLUTSATS Företag har tre val när de beslutar om hur de ska hantera sina DNS-behov: Göra allting internt Förlita sig på sin internetleverantör (ISP) Samarbeta med en DNS-tjänsteleverantör Enligt The Yankee Group hanterar majoriteten av alla bolag sina DNS-behov internt eller via sin internetleverantör.v Faktum är att många gör båda, behåller DNS-hanteringen för sitt interna nätverk internt och låter internetleverantören hantera det externa internetbaserade ekosystemet med kunder, affärspartners, webbsidor, företagsportaler och e-handelssidor. Det stöds av de data som presenteras i den här rapporten, vilken visar att nästan tre fjärdedelar av urvalet hanterar sitt eget DNS. The Yankee Group bedömer även att över 85 % av företagen som hanterar DNS internt inte har specifik DNS-personal utan istället hanterar det på ad-hoc-bas med begränsad expertis och få definierade operativa processer. Dessutom menar företaget att eftersom DNS-hantering inte är huvudsysselsättningen hos en internetleverantör kommer troligtvis DNS-prestandan att bli lidande för de som förlitar sig på sin internetleverantör för hantering av DNS. De data som samlats in för den här rapporten stöder detta påstående genom att visa på diskrepanser mellan DNS-tillgängligheten hos webbsidor för internt respektive externt hanterade DNS. Trender som molntjänster, mobil arbetsstyrka och det växande antalet enheter belastar IT-infrastruktur och DNS-hantering ytterligare, sa Ben Petro, senior vice president på VeriSigns avdelning Network Intelligence and Availability. Följaktligen, menar han, kämpar de flesta organisationer med att upprätthålla en hög tillgänglighet för dessa system. I takt med att företag flyttar till molnbaserade alternativ för applikationer, lagring och tjänster blir DNS-hantering mer komplicerat och öppnar upp för nya säkerhetsrisker och utmaningar. DNS-tjänsteleverantörer har verktyg och kompetens som hjälper till att säkra nätverket, förbättra tillgängligheten och öka prestandan som företag, i de flesta fall, inte har råd att göra själva. Företag måste balansera graden av kontroll de vill utöva över sina DNS-system med kostnaden och DNSresursernas tillgänglighet. Omfattande DNS-hantering kräver noggrann planering, avsevärd expertis och betydande resurser. De flesta företag upptäcker tyvärr inte svagheten i sina befintliga DNS-infrastrukturer förrän det är för sent och de har fått utstå förlorad produktivitet eller inkomst. VERISIGN DOMÄNNAMNSTJÄNSTER Svaret på effektiv DNS-hantering är användandet av en globalt distribuerad, säkert hanterad molntjänst, som Verisign Managed DNS, för att säkra tillgänglighet och låta företag spara investerings- och driftskostnader kopplade till implementering och hantering av DNSinfrastruktur. Verisign Managed DNS använder en unik hybridmodell av anycast och unicast för att ge en optimal kombination av prestanda och tillförlitlighet för DNS-förfrågningar och responser, vilket ger enklare och flexiblare hantering av DNS-miljöer. Verisign har en lång historia av ledarskap med DNS. Vi har hanterat DNS för toppdomäner (TLD), inklusive.com,.net,.gov,.edu,.tv,.cc,.jobs och.name, med bästa dokumenterade upptid av alla register och hanterar i genomsnitt 60 miljarder DNS-uppslag varje dag med 100 % exakthet. För att möta de oerhörda kraven vid hantering av.com och.net har Verisign utvecklat en egen namnserver vid namn ATLAS (Advanced Transaction Lookup and Signaling System), som hanterar DNStrafik snabbare och effektivare än något kommersiellt tillgängligt alternativ. För att ge redundans och hastighet driver Verisign 17 stora upplösningssidor världen över vid viktiga Internet-hubbar i Nordamerika, Europa och Asien. Förutom dessa stora upplösningssidor driver Verisign dessutom dussintals mindre RIRS (Regional Internet Resolution Sites) över hela världen som ger höghastighetsupplösning till länder som tradionellt sett varit underförsörjda. Denna konstellation av namnservrar underhålls, övervakas och hanteras av Verisigns team av ledande experter inom DNS, DDoS-skydd och säkerhet. Varje sida inom nätverket är väl ansluten till hög bandbredd och strikta säkerhetskontroller. 5

Samma infrastruktur och expertis som stöder världens största toppdomäner har förlängts till kunder genom Verisigns tjänstepaket, som innefattar Managed DNS, DDoS-skydd och idefense security intelligence. Besök www.verisigninc.com för ytterligare information om Verisigns tjänster. OM VERISIGN Verisign är en pålitlig leverantör av internetinfrastrukturtjänster för den digitala världen. Miljarder gånger varje dag förlitar sig företag och konsumenter på vår internetinfrastruktur för kommunikation och säker handel. i Verisign Whitepaper. Distributed Denial of Service: Får till slut den uppmärksamhet det förtjänar. Maj 2011. ii Yankee Group. DNS: Risk, Reward and Managed Services. Feb. 2011. iii Verisign Domain Name Industry Brief, Februari 2011 iv Verisign pressmeddelande. Verisign Launches Managed DNS to Help Companies Reduce Costly Downtime and Simplify DNS Management. 11 augusti 2010 v Yankee Group. DNS: Risk, Reward and Managed Services. Feb. 2011. VerisignInc.com 2011 VeriSign, Inc. Alla rättigheter reserverade. VERISIGN och andra varumärken, tjänstemärken och symboler är registrerade eller oregistrerade varumärken som tillhör VeriSign, Inc. och dess dotterbolag i USA och andra länder. Alla andra varumärken tillhör respektive ägare. 6

PROFIL ÖVER DNS-ATTACKER DNS utvecklades för många år sedan när effektiviteten var viktigare än säkerheten. Därför har det blivit ett mål för angripare som kapar webbsidor som på olika sätt exploateras för att komma åt känslig information. Organisationer med internetnärvaro är öppna för DNS-attacker och bör därför veta hur de fungerar och hur de kan undvikas. DNS-cacheförgiftning DNS-cacheförgiftning uppstår när en illvillig aktör ändrar IP-adressen för ett specifikt register på en rekursiv DNSserver genom att skicka en stor mängd falska svar, maskerade som den officiella servern, medan den rekursiva servern väntar på svar från den riktiga officiella servern. Det lurar den rekursiva servern att serva och lagra det falska svaret till slutanvändare. En full insats från DNSSEC (DNS security extensions) skyddar mot denna typ av attacker. Mer arbete krävs av registratorer, internetleverantörer och företag för att få ut det mesta av DNSSEC, men Verisigns undertecknande av.com-zonen innebär ett stort steg mot att lösa denna DNS-sårbarhet. DNS Reflective Amplification Attack En DNS reflective amplification attack är i grunden en distribuerad tillgänglighetsattack riktad mot DNS-servrar. Ett normalt DNS-uppslag rymmer ca 100 byte och svaret rymmer mellan 200-400 byte. En stor DNS-respons kan omfatta allt mellan 500 byte och 4 000 byte med information. DNS amplification attack fungerar så att källadressen till ett stort antal DNS-uppslag som skickas till giltiga DNS-servrar förfalskas. Den förfalskade adressen är den till målet med attacken. De legitima DNS-servrarna deltar (ovetandes) i attacken genom att skicka ett stort antal stora DNS-svar till den IP-adress som är offer. Resource Starvation eller Direct Attack Den enklaste typen av attack är att hitta ett stort botnät av kapade datorer och rikta ett stort flöde av rekursiva DNSuppslag mot den auktoritativa DNS-servern. Dessutom kommer angriparen att förfalska det förfrågande paketets käll-ipadress så att den blir från en populär och legitim rekursiv DNS-server (en som har många slutanvändare). Attackmålet kan inte hindra dessa paket med brandvägg, eftersom de är blandade med legitima uppslag från den rekursiva servern. Datamodifieringsattack Cacheförgiftning är inte det enda sättet att modifiera DNS-data på. Flera attacker har lyckats omdirigera legitim trafik till dåliga sidor genom att exploatera målföretagets registratorkonto och ändra dess DNS-register så att det pekar på skadliga DNS-register. DNS-data kan även modifieras direkt på den auktoritativa DNS-servern som svarar på DNSuppslagen. Det har gjorts några mycket offentligt kända intrång mot DNS-leverantörer där en angripare kunde logga in till DNS-leverantörens hanteringssystem och modifiera målets DNS-data. Att skydda din DNS DNSSEC (DNS security extensions) har utvecklats för att skydda DNS-infrastrukturen. Det görs genom att tillämpa digitala signaturer på DNS-data för att autenticera dess ursprung och verifiera dess integritet när de förflyttar sig över Internet. Samtidigt som det här är det första stora steget mot att skydda DNS-integriteten är det viktigt för internetleverantörer, webbsideoperatörer och registratorer att implementera DNSSEC över de domäner och rekursiva servrar som de hanterar, för att DNSSEC effektivt ska kunna skydda den globala DNS-infrastrukturen. Verisign följer aktivt DNSSEC-implementeringens framsteg över alla toppdomäner som hanteras och tillhandahåller verktyg till alla för att, bland annat, kontrollera DNSSEC-informationen på deras, eller någon annans, webbsida och huruvida en DNS-resolver är konfigurerad för DNSSEC-validering. Antalet DNSSEC-aktiverade webbsidor i.com,.net och.edu-zonerna finns också tillgängligt. Besök http://labs.verisigninc.com/tools för ytterligare information. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss