إن الهجمات ضد نظام اسم النطاق (DNS) عديدة ومتنوعة، لذا يتعين على المؤسسات الاعتماد على طبقات من تدابير وقائية، مثل مراقبة حركة المرور، ومعلومات التهديدات، وجدران الحماية المتقدمة للشبكة، للعمل بشكل متضافر. مع تزايد هجمات NXDOMAIN، تحتاج المؤسسات إلى تعزيز دفاعات DNS الخاصة بها.

مع الافراج عن درع NS53، تنضم Akamai إلى قائمة متزايدة من موردي خدمات الأمان الذين لديهم أدوات DNS قادرة على الدفاع ضد هجمات NXDOMAIN. تعمل الخدمة الجديدة على توسيع تقنيات Akamai's Edge DNS في السحابة لتشمل عمليات النشر المحلية.

في هجوم NXDOMAIN - المعروف أيضًا باسم هجوم DDoS لـ DNS Water Torture - يطغى الخصوم على خادم DNS بكمية كبيرة من الطلبات للنطاقات والنطاقات الفرعية غير الموجودة (وبالتالي بادئة NX) أو غير الصالحة. يستخدم خادم وكيل DNS معظم موارده، إن لم يكن كلها، للاستعلام عن خادم DNS المعتمد، إلى النقطة التي لم يعد لدى الخادم القدرة على التعامل مع أي طلبات، سواء كانت مشروعة أو زائفة. المزيد من الاستعلامات غير المرغوب فيها التي تصل إلى الخادم يعني المزيد من الموارد - وحدة المعالجة المركزية للخادم، وعرض النطاق الترددي للشبكة، والذاكرة - اللازمة للتعامل معها، كما تستغرق الطلبات المشروعة وقتًا أطول للمعالجة. عندما لا يتمكن الأشخاص من الوصول إلى موقع الويب بسبب أخطاء NXDOMAIN، فهذا يترجم إلى احتمال فقدان العملاء، وخسارة الإيرادات، والإضرار بالسمعة.

يقول جيم جيلبرت، مدير إدارة المنتجات في Akamai، إن NXDOMAIN كان بمثابة ناقل هجوم شائع لسنوات عديدة، وأصبح يمثل مشكلة أكبر. لاحظت شركة Akamai أن 40% من إجمالي استعلامات DNS الخاصة بأفضل 50 من عملاء الخدمات المالية تحتوي على سجلات NXDOMAIN في العام الماضي.

تعزيز حماية DNS

في حين أنه من الممكن نظريًا الدفاع ضد هجمات نظام أسماء النطاقات (DNS) عن طريق إضافة المزيد من السعة - المزيد من الموارد يعني أن الأمر يتطلب هجمات أكبر وأطول لإسقاط الخوادم - إلا أنه ليس نهجًا تقنيًا قابلاً للتطبيق ماليًا أو قابلاً للتطوير بالنسبة لمعظم المؤسسات. لكن يمكنهم تعزيز حماية DNS الخاصة بهم بطرق أخرى.

يحتاج المدافعون عن المؤسسات إلى التأكد من فهمهم لبيئة DNS الخاصة بهم. وهذا يعني توثيق مكان نشر محللات DNS حاليًا، وكيفية تفاعل الموارد المحلية والسحابية معها، وكيفية الاستفادة من الخدمات المتقدمة، مثل Anycast، وبروتوكولات أمان DNS.

يقول جيلبرت من Akamai: "قد تكون هناك أسباب امتثال جيدة تجعل الشركات ترغب في الاحتفاظ بأصول DNS الأصلية الخاصة بها في أماكن العمل"، مشيرًا إلى أن Shield NS53 يسمح للمؤسسات بإضافة ضوابط وقائية مع الحفاظ على البنية التحتية لنظام DNS الحالي سليمة.

يجب أن تكون حماية DNS أيضًا جزءًا من استراتيجية شاملة لمنع رفض الخدمة الموزعة (DDoS)، نظرًا لأن العديد من هجمات DDoS تبدأ باستغلال DNS. ما يقرب من ثلثي هجمات DDoS العام الماضي استخدمت شكلاً من أشكال استغلال DNS العام الماضي، وفقًا لـ Akamai.

قبل شراء أي شيء، يحتاج مديرو الأمن إلى فهم نطاق وقيود الحل المحتمل الذي يقومون بتقييمه. على سبيل المثال، في حين أن خدمات أمان DNS الخاصة بـ Palo Alto تغطي مجموعة واسعة من عمليات استغلال DNS إلى جانب NXDOMAIN، فإن العملاء يحصلون على هذه الحماية الواسعة فقط إذا كان لديهم الجيل التالي من جدار الحماية الخاص بالبائع واشتركوا في خدمة منع التهديدات الخاصة به.

يجب أن ترتبط دفاعات DNS أيضًا بخدمة استخبارات قوية للتهديدات حتى يتمكن المدافعون من التعرف على الهجمات المحتملة والرد عليها بسرعة وتقليل النتائج الإيجابية الكاذبة. يقوم بائعون مثل Akamai، وAmazon Web Services، وNetscout، وPalo Alto، وInfoblox بتشغيل شبكات كبيرة لجمع القياس عن بعد تساعد أدوات حماية DNS وDDoS الخاصة بهم على اكتشاف أي هجوم.

وكالة الأمن السيبراني وأمن البنية التحتية قام بتجميع سلسلة من الإجراءات الموصى بها يتضمن ذلك إضافة مصادقة متعددة العوامل إلى حسابات مسؤولي DNS، بالإضافة إلى مراقبة سجلات الشهادات والتحقق من أي اختلافات.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/remote-workforce/akamai-boosts-dns