怎样避免域拐骗—禁止域名劫持[网络技术]
本文“怎样避免域拐骗—禁止域名劫持[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
简单来说,域拐骗就是把本来预备拜候某网站的用户,在不知不觉中,劫持到仿冒的网站上,比方用户预备拜候某家出名品牌的网上商店,黑客便可以通过域拐骗的手段,把其带到假的网上商店,同时汇集用户的ID信息和密码等.
这种犯罪普通是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的.近来几个月里,黑客已经向人们展示了这种攻击方法的危害.本年3月,SANS Institute发现一次将1300个闻名品牌域名改变方向的缓存投毒攻击,这些品牌包含ABC、American Express、Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被改正成衔接到一家黑客粗制滥造的网站上.
跟踪域拐骗事件的统计数据目前还没有.不过,反网页欺诈工作组(APWG)已经把域拐骗归到近期工作的重点任务之中.
专家们说,缓存投毒和域名劫持问题早已经惹起了相关机构的器重,并且,随着在线品牌的不断增添,营业额的不断增大,这一问题也越发突出,人们有来由耽忧,骗子不久将操纵这种黑客技术拐骗大量用户,从而获得贵重的个人信息,惹起在线市场的混乱.
固然,域拐骗在技术上和组织上办理起来非常复杂.但是在目前情形下,我们还是可以采纳一些办法,来保护企业的DNS服务器和域名不被域名骗子所操作.
破解窘境
DNS安全问题的本源在于Berkeley Internet Domain (BIND).BIND充斥着过去5年遍及报道的各种安全问题.VeriSign公司首席安全官Ken Silva说,假如您利用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做.
SANS首席研究官Johannes认为:"目前的DNS存在一些根本的问题,最主要的一点办法就是保持不懈地修补DNS服务器,使它保持最新状况."
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,进级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险.不过,假如没有来自Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中供应的接口,完成这类迁移非常艰难和耗费时间.一些公司,如Hushmail,挑选了用开放源代码TinyDNS替换BIND.替换DNS的软件挑选包含来自Microsoft、PowerDNS、JH Software以及其他厂商的产品.
不管您利用哪类DNS,请遵守BlueCat Networks公司总裁Michael Hyatt供应的以下最佳惯例:
2.将外部和内部域名服务器脱离(物理上脱离或运行BIND Views)并利用转发器(forwarders).外部域名服务器该当承受来自几近任何地址的查询,但是转发器则不承受.它们该当被配置为只承受来自内部地址的查询.关闭外部域名服务器上的递归功效(从根服务器开始向下定位DNS记录的历程).这可以限制哪些DNS服务器与Internet接洽.
3. 大概时,限制动态DNS更新.
4. 将区域传送限制在受权设备上.
5. 操纵事件签名对区域传送和区域更新举行数字签名.
6. 躲藏服务器上的BIND版本.
7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP.
8. 在网络外围和DNS服务器上利用防火墙服务.将拜候限制在那些DNS功效需求的端口/服务上.
让注册商承当责任
域拐骗的问题从组织上着手办理也是重要的一环.不久前,有黑客欺骗客户服务代表改正了Hushmail的主域名服务器的IP地址.关于此时,Hushmail公司的CTO Brian Smith一向忿忿不已,黑客那么简单就拐骗了其域名注册商的客户服务代表,这的确令人恼火.
Smith说:"这件事关于我们来说真正糟透了.我但愿看到注册商拟定和公布更好的安全政策.但是,我找不出一家注册商这样做,自这件事发生后,我一向在探求这样的注册商."
Panix.com总裁Alex Resin在因注册商方面的问题,招致本年1月Panix域名遭劫持时,也感遭到了一样激烈的不满.首先,他的注册商在没有事前告诉的情形下,将他的域名注册卖给了一家转销商.然后,这家转销商又把域名转移给了一个社会工程人员——一样也没有告诉Resin.
Resin说:"域名系统需求系统的、根本的变革.目前有很多的倡议,但事情进展的不够快."
等候市场需求和ICANN带领阶层迫使注册商实施安全的转移政策,还将需求长时间.因此,Resin, Smith和ICANN首席注册商联结官Tim Cole提出了以下削减风险的倡议:
1.要求您的注册商拿出版面的、可履行的政策声明.将假如需求转移域名的话,要求他们及时与您接洽的条款写在书面文件中.
2.锁定域名,要求注册商在得到解锁的口令或其他身份信息后才答应转移.
3. 使您保存在注册商那边的正式接洽信息保持最新状况.
4. 挑选供应24×7服务的注册商,这样他们可以在发生违规事件时疾速采纳行动.
5. 假如发生未经受权的转移,当即与有关注册商接洽.
6. 假如您的问题没有得到办理,去找您的域名注册机构(比方,VeriSign负责.com和.net的注册).
7. 假如您在拿回自己的域名时仍碰到问题,与ICANN接洽(transfers@ICANN.org).
8. 假如拥有一个大型域,那就像Google那样,成为自己的注册商大概自己的转销商,操纵TuCows.com的开放API, OpenSRS,来掌握您的全部域名.
以上是“怎样避免域拐骗—禁止域名劫持[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |