域名
域名(Domain Name),是由一串用點分隔的名字組成的Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。
在網上,電腦之間只能互相認識IP位址,它們之間的轉換工作被稱為域名解析,而DNS就是專門提供域名解析服務的伺服器。在國內,網際網路業界頻繁在DNS(域名解析系統)上掉鏈子,暴風影音DNS服務遭受攻擊,百度域名被劫持;同樣國外網際網路巨頭也未能倖免,谷歌、Twitter、亞馬遜的DNS也均遭到過各種形式的攻擊,並遭致不同程度斷網。目前,無論國內或國外的知名DNS服務提供商,都無法對DNS攻擊進行嚴密而有效的防禦。
域名被劫持
這種犯罪一般是通過DNS伺服器的快取投毒(cache poisoning)或域名劫持來實現的,快取投毒和域名劫持問題早已經引起了相關機構的重視,雖然域名被劫持在技術上和組織上解決起來十分複雜。但是在目前情況下,我們還是可以採取一些措施,來保護企業的DNS伺服器和域名不被域名騙子所操縱。
破解域名被劫持困境
DNS安全問題的根源在於Berkeley Internet Domain (BIND)。BIND充斥著過去5年廣泛報導的各種安全問題。VeriSign公司首席安全官Ken Silva說,如果您使用基於BIND的DNS伺服器,那么請按照DNS管理的最佳慣例去做。
sans首席研究官Johannes認為:“目前的DNS存在一些根本的問題,最主要的一點措施就是堅持不懈地修補DNS伺服器,使它保持最新狀態。”
Nominum公司首席科學家、DNS協定原作者Paul Mockapetris說,升級到BIND 9.2.5或實現DNSSec,將消除快取投毒的風險。不過,如果沒有來自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等廠商的DNS管理設備中提供的接口,完成這類遷移非常困難和耗費時間。一些公司,如Hushmail,選擇了用開放原始碼TinyDNS代替BIND。替代DNS的軟體選擇包括來自Microsoft、PowerDNS、JH Software以及其他廠商的產品。
不管您使用哪種DNS,請遵循以下最佳慣例避免域名被劫持:
1.在不同的網路上運行分離的域名伺服器來取得冗餘性。
2.將外部和內部域名伺服器分開(物理上分開或運行BIND Views)並使用轉發器(forwarders)。外部域名伺服器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置為只接受來自內部地址的查詢。關閉外部域名伺服器上的遞歸功能(從根伺服器開始向下定位DNS記錄的過程)。這可以限制哪些DNS伺服器與Internet聯繫。
3. 可能時,限制動態DNS更新。
4. 將區域傳送僅限制在授權的設備上。
5. 利用事務簽名對區域傳送和區域更新進行數字簽名。
6. 隱藏運行在伺服器上的BIND版本。
7. 刪除運行在DNS伺服器上的不必要服務,如FTP、telnet和HTTP。
8. 在網路外圍和DNS伺服器上使用防火牆服務。將訪問限制在那些DNS功能需要的連線埠/服務上。
