DNS安全专家

　　uClibc库域名系统（DNS）组件中的一个漏洞影响了数百万的物联网设备安全。近期，来自全球工业网络安全领域领导企业NozomiNetworks的一则警告，在业内引发了一场舆论“地震”，作为“震源”，互联网关键基础设施——DNS对网络安全的重要影响也获得高度关注。

　　DNS投毒漏洞，诱发数百万物联网设备安全威胁

　　NozomiNetworks旗下实验室研究人员在公告中指出，他们在普遍被物联网设备及网络路由器采用的流行C标准函数库（包括所有版本的uClibc及uClibc-ng函数库）中，发现会引发设备劫持风险的未修补DNS漏洞。uClibc及uClibc-ng是当前开发嵌入式Linux系统上最普遍采用的小型C标准函数库，但凡Linksys、Netgear及Axis等主要网络设备供应商都在其设备中采用这些函数库。uClibc-ng还是OpenWRT操作系统的专属函数库，OpenWRT是当前普遍部署在各类关键基础设施领域之中路由器所通用的操作系统，因此该漏洞对当前数以百万计的物联网设备及路由器安全形成重大隐患。

　　NozomiNetworks的公告中称，该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起，可能允许发起DNS缓存中毒的网络攻击，将受害者重新定向到恶意网站。

　　Safeguard系统，精准防御实现网络安全防线前移

　　此次漏洞危机显示，作为互联网核心基础服务的DNS，长期以来都是网络攻击的热点对象，同时也是网络防护中的薄弱环节。权威DNS服务公司——互联网域名系统国家工程研究中心（ZDNS）聚焦DNS的安全防护，将其从整体层面划分为“服务安全”和“数据安全”两大类。其中，服务安全包含以影响DNS服务可用性、服务质量和服务准确性为目的的攻击手段，而通过缓存投毒的方式篡改域名解析结果，便是其中的一个重要手段。

　　ZDNS凭借深耕DNS行业的丰富经验和前瞻目光，完整分析DNS攻击链条，精准制定防御策略，打造Safeguard安全威胁管控系统，及时感知网内存在的DNS恶意请求，迅速发现DNS服务设备中存在的安全隐患；对不同类型的恶意请求、影响DNS解析服务的攻击进行阻断；全面检测DNS解析安全状态，通过用户准入控制、单点认证、日志审计、通信加密等方式实现管理与系统安全。Safeguard系统持续强化功能属性，只为将安全防护前移，实现精准防御，以事前预防代替事后补救，消减DNS安全事故造成的危害。

　　DNS已经成为网络攻击的重要使用途径，对构建网络安全第一道防护提出更高要求。因此，Safeguard系统不仅相对于传统安全防护具有更及时、覆盖广、轻量级、更精专、更准确、更早更快的特点，相较于同类智能安全防护产品，Safeguard系统可以为客户提供DNS服务+数据双维度的安全防护，加固DNS完整链路；内置精度高、范围广、更新及时的情报资源，形成威胁解析的动态监测+精准阻断，让恶意请求无处遁形；最终助力客户将威胁阻断在内网中，避免为外部探查到。

　　面对日益复杂的网络安全环境和多样化的网络安全威胁，ZDNS防患于未然，前瞻布局，为DNS安全构建精准防御城池，从基础资源层面保障网络安全，为数字时代的网络安全构筑第一道防线。

　　举报/反馈