怎样禁止域名劫持[网络技术]

简单来说,域名劫持就是把本来预备拜候某网站的用户,在不知不觉中,劫持到仿冒的网站上,比方用户预备拜候某家出名品牌的网上商店,黑客便可以通过域名劫持的手段,把其带到假的网上商店,同时汇集用户的ID信息和密码等.

　　这种犯罪普通是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的.近来几个月里,黑客已经向人们展示了这种攻击方法的危害.本年3月,SANS Institute发现一次将1,300个闻名品牌域名改变方向的缓存投毒攻击,这些品牌包含ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被改正成衔接到一家黑客粗制滥造的网站上.

　　跟踪域名劫持事件的统计数据目前还没有.不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中.

　　专家们说,缓存投毒和域名劫持问题早已经惹起了相关机构的器重,并且,随着在线品牌的不断增添,营业额的不断增大,这一问题也越发突出,人们有来由耽忧,骗子不久将操纵这种黑客技术拐骗大量用户,从而获得贵重的个人信息,惹起在线市场的混乱.

　　固然,域名劫持在技术上和组织上办理起来非常复杂.但是在目前情形下,我们还是可以采纳一些办法,来保护企业的DNS服务器和域名不被域名骗子所操作.

　　破解窘境

　　DNS安全问题的本源在于Berkeley Internet Domain (BIND).BIND充斥着过去5年遍及报道的各种安全问题.VeriSign公司首席安全官Ken Silva说,假如您利用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做.

　　SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点办法就是保持不懈地修补DNS服务器,使它保持最新状况.”

　　Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,进级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险.不过,假如没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中供应的接口,完成这类迁移非常艰难和耗费时间.一些公司,如Hushmail,挑选了用开放源代码TinyDNS替换BIND.替换DNS的软件挑选包含来自Microsoft、PowerDNS、JH Software以及其他厂商的产品.

　　不管您利用哪类DNS,请遵守以下最佳惯例:

　　1.在差别的网络上运行别离的域名服务器来获得冗余性.

　　2.将外部和内部域名服务器脱离(物理上脱离或运行BIND Views)并利用转发器(forwarders).外部域名服务器该当承受来自几近任何地址的查询,但是转发器则不承受.它们该当被配置为只承受来自内部地址的查询.关闭外部域名服务器上的递归功效(从根服务器开始向下定位DNS记录的历程).这可以限制哪些DNS服务器与Internet接洽.

　　3. 大概时,限制动态DNS更新.

　　4. 将区域传送仅限制在受权的设备上.

　　5. 操纵事件签名对区域传送和区域更新举行数字签名.

　　6. 躲藏运行在服务器上的BIND版本.

　　7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP.

　　8. 在网络外围和DNS服务器上利用防火墙服务.将拜候限制在那些DNS功效需求的端口/服务上.

　　让注册商承当责任

　　域名劫持的问题从组织上着手办理也是重要的一环.不久前,有黑客欺骗客户服务代表改正了 Hushmail的主域名服务器的IP地址.关于此时,Hushmail公司的CTO Brian Smith一向忿忿不已,黑客那么简单就拐骗了其域名注册商的客户服务代表,这的确令人恼火.

　　Smith说:“这件事关于我们来说真正糟透了.我但愿看到注册商拟定和公布更好的安全政策.但是,我找不出一家注册商这样做,自这件事发生后,我一向在探求这样的注册商.”

　　Panix.com总裁Alex Resin在因注册商方面的问题,招致本年1月Panix域名遭劫持时,也感遭到了一样激烈的不满.首先,他的注册商在没有事前告诉的情形下,将他的域名注册卖给了一家转销商.然后,这家转销商又把域名转移给了一个社会工程人员――一样也没有告诉Resin.

　　Resin说:“域名系统需求系统的、根本的变革.目前有很多的倡议,但事情进展的不够快.”

　　等候市场需求和ICANN带领阶层迫使注册商实施安全的转移政策,还将需求长时间.因此,Resin, Smith和ICANN首席注册商联结官Tim Cole提出了以下削减风险的倡议:

　　1.要求您的注册商拿出版面的、可履行的政策声明.将假如需求转移域名的话,要求他们及时与您接洽的条款写在书面文件中.

　　2.锁定域名.这要求注册商在得到解锁的口令或别的身份信息后才答应转移.

　　3. 使您保存在注册商那边的正式接洽信息保持最新状况.

　　4. 挑选供应24/7服务的注册商,这样他们可以在发生违规事件时疾速采纳行动.

　　5. 假如发生未经受权的转移,当即与有关注册商接洽.

　　6. 假如您的问题没有得到办理,去找您的域名注册机构(比方,VeriSign负责.com和.net的注册).

　　7. 假如您在拿回自己的域名时仍碰到问题,与ICANN接洽(transfers@ICANN.org).

　　8. 假如拥有一个大型域,那就像Google那样,成为自己的注册商大概自己的转销商,操纵TuCows.com的开放API, OpenSRS,来掌握您的全部域名.