應對DNS投毒攻擊的措施有哪些

應對DNS投毒攻擊的措施有以下這些：

• 采用更嚴格的訪問控制：企業應采用更嚴格的網絡訪問控制策略，使用雙因素或多因素身份驗證，以更好地控制哪些用戶可以訪問他們的網絡。定期更改所有可用于更改DNS記錄的帳戶的密碼，包括公司管理的DNS服務器軟件上的帳戶、管理該軟件的系統、DNS運營商的管理面板和DNS注冊商帳戶，DNS管理平臺盡量避免采用與其他平臺相同和類似的賬號密碼，以防止黑客采用遍歷手段獲取DNS解析和管理權限。

• 部署零信任方案：零信任方法越來越受歡迎，部分原因在于許多組織已經采用了混合和遠程工作模式。零信任還可以幫助緩解DNS威脅。建議安全和風險領導者實施兩個與網絡相關的關鍵零信任項目以降低風險，一個是零信任網絡訪問(ZTNA)，它根據用戶及其設備的身份、時間和日期、地理位置、歷史使用模式和設備運行狀況等其他因素授予訪問權限。根據Gartner的說法，零信任能提供一個安全且有彈性的環境，具有更大的靈活性和更好的監控。第二個是基于身份的網絡分段，這也是一種久經考驗的方法，可以限制攻擊者在網絡中橫向移動的能力。

• 檢查/驗證DNS記錄：建議企業及時檢查擁有和管理的所有域名，確保名稱服務器引用正確的DNS服務器，這一點至關重要；檢查所有權威和輔助DNS服務器上的所有DNS記錄，發現任何差異和異常，將其視為潛在的安全事件，及時查找原因并解決。

• 接入高防服務：在做好以上常規網絡安全措施基礎之上，廣大企業還需要接入更專業的DNS高防服務。中科三方云解析支持高防DNS，可有效應對DDoS攻擊、DNS query查詢等常見的網絡攻擊，實時監測域名安全狀況，避免因DNS劫持、DNS污染對網站域名帶來的影響。

• 源端口隨機：DNS服務器中Bind等軟件采用源端口隨機性較好的較高版本。源端口的隨機性可以有效降低攻擊成功的概率，增加攻擊難度。