ICANN表示“相信域名系统(DNS)基础架构的关键部分存在持续且重大的风险”,并敦促域所有者和DNS服务尽快迁移到使用DNSSEC。
DNSSEC代表域名系统安全扩展,这是DNS协议的扩展,允许域所有者对DNS记录进行数字签名。
密码签名DNS重新绑定可防止未经授权的第三方修改DNS条目,而无需私有DNSSEC签名密钥,而该密钥通常仅由合法域所有者拥有。
ICANN官员表示,DNSSEC将阻止最近在过去两个月成为头条新闻的DNS劫持攻击。
今年年初,美国网络安全公司FireEye透露了由伊朗威胁行为者进行长达数月的活动,他们侵入了网络托管和域名注册商帐户,以更改属于私营公司和政府机构的电子邮件域名的DNS记录。
这种攻击 - 称为DNS劫持 - 允许骗子将合法流量重定向到他们自己的恶意服务器,在那里他们执行中间人攻击以拦截登录凭据,然后将流量转发回合法的电子邮件服务器。
美国国土安全部发布了有关这些攻击的警报,敦促政府机构和私营公司审查其DNS记录是否存在恶意入侵。
信息安全调查记者Brian Krebs在另一份报告中也触及FireEye检测到的同样的DNS劫持事件,他们揭露了其他DNS劫持攻击,描绘了一幅严峻的图片,其中黑客组织似乎已经意识到更容易改变DNS记录而不是破解电子邮件服务器或长矛员工。
现在,ICANN也注意到了这些攻击,希望避免进一步攻击整个DNS系统。该组织希望域名所有者和技术行业更加努力地采用DNSSEC,以期制止或限制未来的DNS劫持攻击,它认为这是对整个互联网的真正威胁以及用户固有的信任他们将会降落在他们在浏览器中按Enter键时要查看的网站上。
即使DNSSEC已经存在了二十年,它也几乎没有被部署。根据APNIC(亚太网络信息中心)的数据,DNSSEC的采用率几乎没有超过19.3%,ICANN面临着艰巨的任务。