What Is Dynamic DNS (DDNS)?

透過動態主機設定協定 (DHCP),裝置在中斷網路連接和重新連接網路時會動態分配 IP 位址。對於連結到靜態 IP 位址而不是裝置主機名稱的應用程式來說,這可能會出現問題。

網域名稱服務 (DNS) 將主機名稱映射到 IP 位址。 動態 DNS (DDNS) 服務會在 IP 位址變更時自動更新其記錄,以確保要求主機名稱記錄的用戶端始終會收到正確的 IP 位址。

申請示範 狩獵惡意網域

What Is Dynamic DNS (DDNS)?

動態 DNS 如何運作?

DDNS 服務需要一種了解裝置 IP 位址變更的方法。通常,這是使用安裝在組織網路上的路由器或裝置上的代理程式來完成的。此代理程式會定期與 DDNS 提供者通訊,並針對可能影響 DNS 記錄的 IP 位址變更進行更新。

DDNS 和 DNS 之間的區別

DNS 和 DDNS 都旨在實現從主機名稱到 IP 位址的查詢。 從 DNS 客戶端的角度來看,這兩種服務幾乎是相同的。

DDNS 和 DNS 之間的主要區別是 DNS 伺服器記錄的更新頻率。 對於 DNS,如果 IT 基礎架構發生變化,則由 DNS 記錄的擁有者手動更新記錄,這種情況相對較少。使用 DDNS,記錄更新會更頻繁地發生,並且是自動化的,以確保 DNS 用戶端可以訪問最新信息。

DDNS 的類型

DDNS 的定義功能是在組織系統的 IP 位址變更時自動更新 DNS 記錄。 這可以通過幾種不同的方式實現。 DDNS 的兩種主要類型包括:

  • 基於標準的 DDNS: 在 RFC 2136 中定義了擴展 DNS 通訊協定以包括自動更新的標準化機制。 這種形式的 DDNS 遵循標準,通常用作 DHCP 系統的擴展。
  • 專有的 DDNS: 雖然存在實現 DDNS 的標準,但自定義實現也存在。 這些通常會使用 HTTP 與一組使用者憑證來登入並根據需要變更 DNS 記錄。

動態 DNS 的好處

DDNS 的自動化管理和 DNS 記錄更新可為組織提供許多好處。 這些包括:

  • DHCP 支援: 使用 DHCP 與 DNS 有問題,因為服務的 IP 位址可能會隨著時間的推移而變更,導致 DNS 記錄過時。 DDNS 允許使用 DHCP 和 DNS,而不會產生衝突的風險。
  • 服務可用性: 使用 DDNS,組織可以使用主機名稱來訪問其系統和服務,而不依賴不斷變化的 IP 位址。 這使得遠端存取組織的系統和服務變得更容易。
  • 允許清單: 裝置可能被配置為僅允許來自某些電腦的流量,如果電腦的 IP 位址頻繁更改,則可能很難使用 IP 位址進行設定。使用 DDNS,允許清單可以使用主機名稱實現,其記錄會使用 DDNS 自動更新。
  • DNS 自動化: 變更 DNS 記錄可能很耗時且有風險,因為錯誤的設定可能會拒絕存取關鍵資源。 DDNS 可將此程序自動化,釋放資源並降低組織的風險。
  • 雲端支援: 基於雲端的資源的 IP 位址可能會隨著時間的推移而變化,除非為其分配永久的面向公眾的 IP 位址。DDNS 使雲端託管服務的 DNS 記錄能夠維護主機名稱到 IP 位址的準確對應。

DDNS 安全

將主機名稱更新到 IP 位址的映射功能可以使網路罪犯以及組織受益。 許多公司使用封鎖清單來尋找與已知惡意 IP 位址的連接,以識別安裝在其係統上的惡意軟體。

借助 DDNS,惡意軟體作者可以更輕鬆地避開這些封鎖列表,因為惡意軟體可以設計為向主機名稱而不是 IP 位址發出請求。如果這些主機名稱是使用 DDNS 設定,攻擊者可以更輕鬆地更改 IP 位址,以避免基於 IP 的封鎖清單。

此外,如果組織使用 DDNS,攻擊者可能能夠利用這一事實進行網路釣魚攻擊。如果攻擊者可以控制 DDNS 更新機制,他們可以將使用者重新導向到被攻擊者控制的網站,以偽裝為組織網站。

DNS 資安 解決方案必須提供防範 DDNS 系統的威脅。 這包括識別惡意 DNS 項目以及保護 DNS 通訊協定和通道。

透過 Check Point 實現 DDNS 安全

監控和保護 DNS 基礎架構是企業的重要組成部分 network security 策略。 例如,識別惡意域的威脅情報對於任何組織的安全營運中心 (SOC) 來說都是妥協指標 (IoC) 的豐富來源。 Check Point 的 Infinity 資安監控中心 是一種威脅搜尋工具,可搜尋使用 DDNS 以避免 IP 為基礎的偵測而使用 DDNS 的威脅參與者和宣傳活動所使用的惡意網域名稱。

另外Check Point Quantum Spark系列 以及基於雲端的 Spark 系列管理 安全管理入口網站支持 DDNS。 Quantum Spark小型企業防火牆可以配置為支援DDNS,為中小企業閘道器指派名稱。此固定名稱可確保即使外部 IP 位址變更也可從 Internet 存取防火牆。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明