DNS 过滤可以通过阻止物联网(IoT)设备查询不受信任的域名,从而帮助保护其安全。
阅读本文后,您将能够:
复制文章链接
域名系统 (DNS) 过滤 可以分析来自物联网(IoT) 设备的 DNS 请求,以识别并阻止与已知恶意或未授权 域名 的连接。DNS 过滤可作为针对 IoT 的免客户端安全防护层,防护存在安全漏洞的智能设备,避免其与互联网中的危险节点进行通信。
IoT 设备(如智能摄像头或工业传感器)通常缺乏传统的端点安全代理,容易容易遭到入侵。如果被入侵,这些设备可能成为大规模网络攻击的一部分,例如分布式拒绝服务 (DDoS) 攻击或数据盗窃。如果没有保护措施或只有最低限度的保护,IoT 设备很容易成为攻击目标。例如,庞大的Aisuru 僵尸网络主要由数千台已被僵尸网络操控的 IoT 设备组成。
IoT 设备不断进行DNS查询,以找到它们依赖的外部服务的IP 地址,或者通过 ping 域名来检查网络可用性。DNS 过滤拦截这些出站请求,将请求的域名与已知安全威胁数据库进行比较。如果设备尝试解析恶意域名,该请求将被阻止,从而防止建立连接。
可将 DNS 过滤视作专属数字监护者,如同限定孩童仅能拨打指定电话号码一般,对网络访问行为进行严格管控。倘若孩子(即 IoT 设备)尝试拨打未经许可或已知的恶意号码,监护者(即过滤机制)便会在通话接通前直接终止此次连接。这项简易防护手段可确保设备仅与自身运行所需、经过授权的安全通信对象建立连接。
所有联网设备均需借助域名系统(DNS),将已知域名转换为字母数字组合形式的 IP 地址。当 IoT 设备发起连接时,其解析请求会依据网络策略(通常部署在路由器或 DHCP 服务器中)进行转发,定向发送至已配置查询过滤功能的安全递归 DNS 解析服务器。
该解析服务器会依托实时威胁情报数据源核验目标域名,这类情报库可依据恶意软件分发、钓鱼攻击、僵尸网络指令控制等已知恶意行为,对海量域名进行风险归类。DNS 过滤服务还可依据其他判定条件拦截解析请求,例如域名使用时长,或是该域名是否为程序批量生成(攻击者常批量自动新建大量恶意域名)。
使用 DNS 过滤对 IoT 的一个主要好处是可以在无需在 IoT 端点安装客户端即可部署。由于许多 IoT 设备简单、资源有限或“无头”,它们无法支持传统的安全软件,如端点检测和响应 (EDR) 代理。管理员可在网络路由器层面部署 DNS 过滤,借此在企业办公区域内的所有联网设备(含访客网络及专用硬件设备)上统一执行安全策略,无需在设备本地进行任何安装与配置操作。
Cloudflare Gateway 是 Cloudflare One 平台的一个组成部分,提供安全的 Web 网关服务,包括全面的递归 DNS 过滤。它保护整个网络和所有分支位置,非常适合管理 IoT 设备。了解如何使用 Cloudflare Gateway 阻止已知威胁,例如恶意软件、僵尸网络和网络钓鱼域名。
域名系统(DNS)过滤是一种安全防护手段,通过检测联网设备发起的 DNS 查询,并依据安全策略对查询请求执行放行或拦截操作。DNS 过滤可以阻止与不可信或恶意域名的连接。该方案能够防护通常存在安全漏洞且大多处于非托管状态的 IoT 设备,避免其接入互联网危险区域并遭到入侵。
许多 IoT 设备,例如工业传感器或智能摄像头,缺乏传统的安全代理且几乎长期不间断运行、极少进行版本更新与漏洞补丁修复,因此防护水平普遍较为薄弱。由于存在此类安全漏洞,这类设备极易成为攻击者的目标。攻击者可入侵控制设备,将其纳入僵尸网络,以此发起大规模分布式拒绝服务(DDoS)攻击。
当设备尝试连接外部服务时,过滤组件会拦截外网访问请求,并将请求中的域名与已知威胁数据库或可访问域名清单进行比对核查。若识别该域名属于恶意域名或未获授权域名,过滤机制将在网络连接建立前直接阻断访问请求。
有效的 DNS 过滤解决方案利用威胁情报对数以百万计与网络钓鱼、恶意软件传播和僵尸网络指挥控制相关的域名进行分类和阻止。它还可依据域名使用时长,或判定其是否为攻击者批量程序生成的域名,对这类域名实施拦截。
DNS 过滤可以在最早期就阻止针对 IoT 的恶意软件传播,因为它防止感染设备与其指挥和控制服务器通信,使其无法成为协同攻击的一部分。