511
搜狐
如何預防域名被劫持?
摘要:域名劫持是互聯網攻擊的一種方式,通過攻擊域名解析服務器(DNS),或偽造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的地址而達到無法訪問目標網站的目的。
簡單來說,域名劫持就是把原本準備訪問某網站的用戶,在不知不覺中,劫持到仿冒的網站上,例如用戶準備訪問某家知名品牌的網上商店,黑客就可以通過域名劫持的手段,把其帶到假的網上商店,同時收集用戶的ID信息和密碼等。這種犯罪一般是通過DNS服務器的緩存投毒(cache poisoning)或域名劫持來實現的。
跟蹤域名劫持事件的統計數據目前還沒有。不過,反網頁欺詐工作組(APWG)認為,這一問題已經相當嚴重,該工作組已經把域名劫持歸到近期工作的重點任務之中。
專家們說,緩存投毒和域名劫持問題早已經引起了相關機構的重視,而且,隨著在線品牌的不斷增多,營業額的不斷增大,這一問題也更加突出,人們有理由擔心,騙子不久將利用這種黑客技術欺騙大量用戶,從而獲取珍貴的個人信息,引起在線市場的混亂。
雖然,域名劫持在技術上和組織上解決起來十分複雜。但是在目前情況下,我們還是可以采取一些措施,來保護企業的DNS服務器和域名不被域名騙子所操縱。
DNS安全問題的根源在於Berkeley Internet Domain(BIND)。BIND充斥著過去5年廣泛報道的各種安全問題。
不管您使用哪種DNS,請遵循以下最佳慣例:
1.在不同的網絡上運行分離的域名服務器來取得冗餘性。
2.將外部和內部域名服務器分開(物理上分開或運行BIND Views)並使用轉發器(forwarders)。外部域名服務器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置為隻接受來自內部地址的查詢。關閉外部域名服務器上的遞歸功能(從根服務器開始向下定位DNS記錄的過程)。這可以限製哪些DNS服務器與Internet聯係。
3.可能時,限製動態DNS更新。
4.將區域傳送僅限製在授權的設備上。
5.利用事務簽名對區域傳送和區域更新進行數字簽名。
6.隱藏運行在服務器上的BIND版本。
7.刪除運行在DNS服務器上的不必要服務,如FTP、telnet和HTTP。
8.在網絡外圍和DNS服務器上使用防火牆服務。將訪問限製在那些DNS功能需要的端口/服務上。
最後更新:2017-01-04 22:35:02