跳到主要内容

10. 安全考量 (Security Considerations)

作者观点: 作者认为此 RR 不会造成任何新的安全问题。但某些问题变得更加明显。

基于端口的过滤影响 (Port-Based Filtering Impact)

在细粒度基础上指定端口的能力显然改变了路由器过滤数据包的方式:

  1. 阻止外部服务: 阻止内部客户端访问特定外部服务变得不可能
  2. 未授权服务: 阻止内部用户运行未授权服务稍微困难一些
  3. 运营合作: 路由器运营和 DNS 运营人员之间的合作更加重要

拒绝服务 (Denial of Service)

DoS 风险: 站点无法阻止其主机被引用为服务器。这可能导致拒绝服务。

攻击场景:

  • 攻击者创建指向受害者主机的 SRV 记录
  • 大量客户端尝试连接
  • 受害者遭受不需要的流量

DNS 欺骗扩展 (DNS Spoofing Extension)

使用 SRV, DNS 欺骗者可以提供虚假的端口号, 以及主机名和地址。

注意: 由于此漏洞已经存在于名称和地址中, 这不是一个新漏洞, 只是稍微扩展了一点, 实际影响很小。真正的解决方案是 DNSSEC。

缓解策略 (Mitigation Strategies)

  1. DNSSEC: 对 DNS 记录进行加密签名, 验证记录真实性
  2. 应用层安全: 使用 TLS/SSL 进行服务连接, 验证服务器证书
  3. 网络分段: 隔离内部服务, 实施纵深防御
  4. 监控: 记录 DNS 查询, 监控连接尝试, 检测异常模式
标签:
最后 更新