下载文档原格式
域名是整个网站的核心和关键,一旦域名被盗,且转移到其他注册商,将给域名所有人带来巨大的损失,域名被盗后站长索回异常困难。
如何防止域名被盗也就成为所有网站管理员必须知道的一门尝试。
那么,怎么样才能防止自己的域名被不法分子盗取呢?以下是保护域名安全的一些常见方法。
1、域名信息填写真实信息在注册域名的时候,域名信息要填写自己真实的信息,不能瞎填。
企业用户注册域名使用真实的营业执照,个人用户注册使用真实的身份证和姓名,这样,万一域名被盗,用户也可以提供真实的证明材料来验证自己的注册身份。
2、帐号和密码的安全注册域名使用的帐号和邮箱,不要在其他网站使用,密码使用强密码,包含大小写字母数字和字符,长度在8位以上,并且这个密码不要在其他任何网站上使用,这么做的原因是为了防止黑客破解了其他网站的同名帐号和密码后,使用其来遍历域名注册商的网站,从而轻松获取用户登录权限,进而进行域名迁移过户等操作。
3、电子邮箱的安全使用安全的电子邮箱,一般域名被盗都是从邮箱被盗开始的,如果不法分子攻破了用户的电子邮箱,就可以通过重置密码的方式修改网站域名的登录密码,从而攻破网站域名,因此,用户有必要使用一个安全的电子邮箱来保证域名的安全。
什么样的邮箱算是安全的电子邮箱,简而言之,就是用户邮箱的密码已经泄漏,攻击者依然无法进入用户的电子邮箱,目前来看,具有两步验证功能的邮箱就算是安全的电子邮箱(例如Gmail和Hotmail都支持两步验证)。
两步验证机制与网银的动态令牌工作原理相似,根据当前时间结合设备属性(令牌序列号、手机序列号等)生成6位数字动态密码,相对于仅通过密码验证身份,更加安全。
用户邮箱的静态密码可能因为遭遇钓鱼、相同密码而泄露。
在未收到安全警告的条件下,用户可能相当长时间都不会变更密码。
这段时间内,攻击者可以任意进入账户。
当开启二次验证时,如果攻击者无法获取手机动态密码,将不能通过身份验证。
这样,除非用户的电子邮箱密码和手机同时被盗,否则攻击者很难破解用户的邮箱。
域名是整个网站的核心和关键,一旦域名被盗,且转移到其他注册商,将给域名所有人带来巨大的损失,域名被盗后站长索回异常困难。
如何防止域名被盗也就成为所有网站管理员必须知道的一门尝试。
那么,怎么样才能防止自己的域名被不法分子盗取呢?以下是保护域名安全的一些常见方法。
1、域名信息填写真实信息在注册域名的时候,域名信息要填写自己真实的信息,不能瞎填。
企业用户注册域名使用真实的营业执照,个人用户注册使用真实的身份证和姓名,这样,万一域名被盗,用户也可以提供真实的证明材料来验证自己的注册身份。
2、帐号和密码的安全注册域名使用的帐号和邮箱,不要在其他网站使用,密码使用强密码,包含大小写字母数字和字符,长度在8位以上,并且这个密码不要在其他任何网站上使用,这么做的原因是为了防止黑客破解了其他网站的同名帐号和密码后,使用其来遍历域名注册商的网站,从而轻松获取用户登录权限,进而进行域名迁移过户等操作。
3、电子邮箱的安全使用安全的电子邮箱,一般域名被盗都是从邮箱被盗开始的,如果不法分子攻破了用户的电子邮箱,就可以通过重置密码的方式修改网站域名的登录密码,从而攻破网站域名,因此,用户有必要使用一个安全的电子邮箱来保证域名的安全。
什么样的邮箱算是安全的电子邮箱,简而言之,就是用户邮箱的密码已经泄漏,攻击者依然无法进入用户的电子邮箱,目前来看,具有两步验证功能的邮箱就算是安全的电子邮箱(例如Gmail和Hotmail都支持两步验证)。
两步验证机制与网银的动态令牌工作原理相似,根据当前时间结合设备属性(令牌序列号、手机序列号等)生成6位数字动态密码,相对于仅通过密码验证身份,更加安全。
用户邮箱的静态密码可能因为遭遇钓鱼、相同密码而泄露。
在未收到安全警告的条件下,用户可能相当长时间都不会变更密码。
这段时间内,攻击者可以任意进入账户。
当开启二次验证时,如果攻击者无法获取手机动态密码,将不能通过身份验证。
这样,除非用户的电子邮箱密码和手机同时被盗,否则攻击者很难破解用户的邮箱。
DNS安全问题及解决方案随着互联网的普及和发展,我们越来越依赖于域名系统(Domain Name System,DNS)来查询和解析互联网上的域名。
然而,虽然DNS 是一个关键的基础设施,但它也面临着安全风险,这对我们的网络体验和数据安全构成潜在威胁。
本文将探讨DNS安全问题,并提出相应的解决方案。
一、DNS劫持DNS劫持是指黑客通过篡改DNS响应,将用户的域名解析请求导向恶意服务器,从而窃取用户的敏感信息或进行其他恶意活动。
DNS劫持的目标往往是银行、电子商务网站等需要用户输入用户名、密码或支付信息的网站。
为了解决DNS劫持的问题,一种解决方案是使用DNSSEC(域名系统安全扩展)。
DNSSEC通过数字签名的方式对DNS数据进行验证,确保DNS响应的完整性和真实性,从而有效防止DNS劫持。
另外,互联网服务提供商(ISP)也可采取安全措施,例如监测和阻止涉嫌进行DNS劫持的IP地址。
二、DNS缓存投毒DNS缓存投毒是指攻击者在公共DNS服务器中伪造缓存的解析结果,使用户访问合法网站时被引导到恶意网站。
这种攻击方法主要是通过修改公共DNS服务器的缓存数据来实现的。
要解决DNS缓存投毒问题,一方面可以使用DNS缓存污染检测与清理工具,及时发现并清除被污染的缓存。
另一方面,网络管理员可以采取安全配置措施,限制公共DNS服务器的访问权限,确保其不受攻击者的干扰。
三、DDoS攻击分布式拒绝服务(DDoS)攻击是指攻击者通过利用大量的恶意请求,使目标DNS服务器无法正常响应合法用户的请求,从而导致服务不可用。
为了应对DDoS攻击,可以采取多种解决方案。
首先,网络管理员可以配置防火墙和入侵检测系统,及时发现并屏蔽恶意请求。
其次,使用分布式防御系统,将流量分散到多个服务器上,提高容量和抗击DDoS攻击的能力。
此外,云服务提供商也可提供DDoS防御服务,通过多层次的过滤和流量清洗,确保DNS服务器的正常运行。
四、域名劫持域名劫持是指攻击者通过非法手段获取域名控制权,然后对域名进行篡改或指向恶意服务器,使合法用户无法正常访问网站。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中用于将域名转换为IP地址的系统,它是互联网的基础设施之一。
然而,DNS协议的安全性一直是一个较为薄弱的环节,容易受到各种攻击和恶意操纵。
为了保障DNS的安全性,提高网络的可靠性和稳定性,需要采取相应的DNS安全防护解决方案。
二、DNS安全威胁分析1. DNS劫持:黑客通过篡改DNS响应数据,将用户的域名解析请求重定向到恶意网站,从而进行钓鱼、欺诈等攻击。
2. DNS缓存投毒:黑客通过发送伪造的DNS响应数据,将恶意域名与错误的IP地址关联,使得用户在进行域名解析时被导向到恶意网站。
3. DNS放大攻击:黑客利用DNS服务器的特性,通过发送小型请求,获取大量响应数据,从而造成网络带宽的浪费和服务的瘫痪。
4. DNS拒绝服务攻击(DDoS):黑客通过向DNS服务器发送大量的请求,使其超负荷运行,导致合法用户无法正常访问域名解析服务。
三、DNS安全防护解决方案1. 加密通信:采用DNS over HTTPS(DoH)或DNS over TLS(DoT)等加密协议,保护DNS请求和响应的机密性,防止中间人攻击和窃听。
2. 域名验证:使用DNSSEC(DNS Security Extensions)对域名解析结果进行数字签名,确保解析结果的完整性和真实性,防止DNS缓存投毒和DNS劫持。
3. 流量过滤:通过配置防火墙和入侵检测系统(IDS/IPS),对DNS流量进行过滤和监控,识别和阻止恶意的DNS请求和响应。
4. DNS缓存管理:定期清除DNS缓存,减少缓存投毒的风险,并配置DNS服务器的缓存策略,限制缓存大小和存储时间,提高安全性。
5. 限制递归查询:对外部的递归查询请求进行限制,只允许特定的授权DNS服务器进行递归查询,减少恶意的递归查询请求。
6. 拒绝服务攻击防护:使用DDoS防护设备或云防护服务,对DNS服务器进行实时监测和防护,及时发现和应对DDoS攻击。
域名系统中的DNS劫持如何防范与处理导言:在现代互联网中,域名系统(DNS)起着至关重要的作用,它将我们输入的域名转换为对应的IP地址,使我们能够访问网站、发送电子邮件等。
然而,DNS劫持作为一种网络攻击手段,却常常给互联网用户带来一系列的安全和隐私隐患。
本文将探讨DNS劫持的原理、危害以及如何防范与处理这一问题。
第一部分:DNS劫持的原理DNS劫持指黑客通过非法手段来劫持域名解析系统,篡改DNS响应,将合法的域名解析请求重定向至恶意的网站或服务器,从而获取用户的个人信息、账号密码等敏感数据。
DNS劫持的实施可分为以下两种方式:1. 污染DNS缓存:黑客通过篡改合法DNS服务器的缓存记录,将合法域名指向恶意IP地址。
当用户访问该域名时,就会被重定向至黑客服务器,以实现劫持的目的。
2. 修改本地Hosts文件:黑客通过修改用户设备上的本地Hosts文件,将合法域名映射为恶意IP地址,使用户在访问该域名时被劫持。
第二部分:DNS劫持的危害DNS劫持对个人和组织都可能造成严重损失。
1. 用户隐私泄露:DNS劫持可能将用户的敏感信息发送给黑客,如账号密码、信用卡信息等,导致用户的财产损失和个人隐私泄露。
2. 虚假网站欺骗:黑客利用DNS劫持将用户访问合法网站的流量重定向至恶意网站,冒充合法网站以实施欺骗,如钓鱼攻击、虚假购物网站等。
3. 企业损失:对于企业来说,DNS劫持可能导致重要数据被窃取,商业机密被泄露,网络服务受到破坏等,进而造成财务和声誉上的损失。
第三部分:DNS劫持的防范与处理为了有效应对DNS劫持,用户和组织可以采取以下措施:1. 使用可靠的DNS服务提供商:选择公认可靠的、口碑好的DNS服务提供商。
这样可以减少恶意域名服务器的风险,并提高域名解析的安全性。
2. 更新系统和软件:定期更新操作系统、浏览器等软件,确保使用最新的版本。
这样可以及时修复已知漏洞,提高系统的安全性。
3. 配置防火墙和安全软件:合理配置防火墙和安全软件,及时检测和阻止恶意域名解析请求。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中负责将域名解析为IP地址的系统。
然而,由于DNS协议的设计缺陷和实现漏洞,使得DNS成为黑客攻击的重要目标。
为了保护企业网络的安全,提高DNS服务的可靠性和可用性,开发了DNS安全防护解决方案。
二、DNS安全威胁1. DNS劫持:黑客通过篡改DNS响应,将用户请求重定向到恶意网站,窃取用户的敏感信息。
2. DNS缓存投毒:黑客通过向DNS缓存服务器发送虚假的DNS响应,将恶意网站的IP地址缓存在DNS服务器中,使用户访问到恶意网站。
3. DNS放大攻击:黑客通过伪造源IP地址向DNS服务器发送大量的查询请求,使得DNS服务器向目标IP地址发送大量的响应,造成网络拥塞,影响正常的网络服务。
4. DNS隧道:黑客通过在DNS协议中隐藏数据,进行数据传输和通信,绕过网络安全设备的检测。
三、DNS安全防护解决方案1. DNS防火墙:通过对DNS流量进行监控和分析,实时检测并过滤恶意的DNS请求和响应。
可以根据预设的策略,阻止恶意域名的解析,防止恶意软件的传播。
2. DNS缓存服务器优化:对DNS缓存服务器进行优化配置,设置合理的TTL (Time-to-Live)值,减少DNS缓存时间,降低DNS缓存投毒攻击的风险。
3. DNSSEC(DNS安全扩展):通过数字签名和公钥加密技术,保证DNS响应的完整性和真实性。
DNSSEC可以防止DNS劫持和DNS欺骗攻击,提高DNS 服务的安全性。
4. DDoS防护:通过实时监测DNS流量,及时发现和阻止DDoS攻击,保障DNS服务的可用性。
可以采用流量清洗、黑白名单过滤等技术手段,有效应对各类DDoS攻击。
5. DNS流量分析:通过对DNS流量进行深度分析,及时发现和阻止DNS隧道攻击。
可以使用机器学习算法和行为分析技术,识别异常的DNS流量,提高对DNS隧道攻击的检测能力。
域名系统使用注意事项:保障域名安全的必备知识引言:域名是互联网世界中不可或缺的存在,它是人们访问网站的入口,也是企业品牌的重要标识。
然而,随着互联网的普及和发展,域名安全问题也逐渐引起人们的关注。
本文将从域名注册、域名解析和域名管理等方面,介绍一些保障域名安全的必备知识。
I. 域名注册域名注册是保障域名安全的第一步。
在进行注册之前,我们应该注意以下几个事项。
1. 选择可靠的注册商选择一家可靠的注册商是保障域名安全的前提条件。
我们可以通过查询注册商的信誉和口碑,选择一家具有良好声誉的服务提供商。
此外,还可以选择已经有实际使用经验的知名注册商,以确保域名的可靠性。
2. 注意域名注册信息的准确性在填写域名注册信息时,必须确保其准确性。
注册信息包括域名持有人的姓名、邮箱、联系电话等重要信息,任何一个细节的错误都可能导致后续的安全问题。
因此,务必仔细核对信息并经常更新。
II. 域名解析域名解析是将域名转换成IP地址,使用户能够访问特定的网站。
在进行域名解析时,需要注意以下几个方面。
1. 使用可靠的DNS服务器DNS服务器是域名解析的关键设备,使用不可靠的DNS服务器可能导致域名解析错误或者被篡改,进而造成域名安全问题。
因此,在选择DNS服务器时,应优先选择知名、稳定的服务提供商,并将其设置为首选服务器。
2. 安全验证与防护为了保障域名解析的安全性,我们可以采取一些额外的措施。
例如,通过添加DNSSEC(域名系统安全扩展)记录,对域名解析过程进行数字签名验证;另外,定期检查域名解析是否受到DNS劫持,如发现异常,及时采取应对措施。
III. 域名管理域名管理是保障域名安全的长期任务,在域名管理过程中,我们需要关注以下几个方面。
1. 更新域名注册信息随着时间的推移,域名持有人的联系信息可能会发生变化。
为了避免因此导致的域名安全问题,我们需要定期检查并及时更新域名注册信息,确保其准确性和可用性。
2. 设置安全锁定大多数注册商都提供域名安全锁定功能,可以将域名锁定,防止未经授权的转移、修改或删除。
2008.055域名系统大家比较熟悉,它是一个全球的分布系统,有一个树型结构的空间。
包括.cn、.co m的系统。
它的功能是提供一个分布式的点击查询服务,转变为IP地址。
这个系统所提供的功能,从两个方面来看:第一方面从技术角度来看,目前互联网的应用越来越广泛,电子商务和电子政务深入到日常生活的每个方面,但是目前绝大多数的基本的互联网选址方式是DNS的解析。
如果DNS解析出现了问题,会使互联网的使用出现问题。
第二个是从资源角度看,以域名为基础的应用。
域名也是在丰富互联网的应用。
CNNIC这个系统是互联网上的标尺,有惟一性,不可重复性。
随着现代电子商务的发展,域名有了一个重要作用,可能也代表了一种公共的利益,是一种公共资源。
对于主权国家来说,国家的域名资源相当于国家的主权。
从这两个角度来说,域名对计算机以及互联网的使用都是非常重要的。
主要分为三类:1.针对域名系统的恶意攻击。
最严重的是DDOS攻击,有可能导致域名解析瘫痪,导致互联网无法应用。
2.域名劫持。
包括两个方面:修改注册信息达到访问域名的目的;访问者受到监测的报文劫持,使报告过程有一个错误的结果。
这两个方面都会产生不良的影响。
3.国家层面。
国家性质的域名系统安全事件,比如利比亚的国家信息系统安全事件——“.ly”域名瘫痪。
原因是他的管理比较混乱。
还有“.af”,这是阿富汗的域名。
由于阿富汗的政府总是更替,域名总是更换,导致这个国家的域名系统不能很好的运行。
域名系统安全工作分析,在具体的域名系统安全工作分析之前,我们要看一下域名服务体系的组成。
涉及到三个系统:域名的注册系统、域名的解析系统、域名的查显系统。
在三个系统中有五个角色:域名的持有者、域名的注册服务机构、域名的管理机构、本地的DNS、访问者。
一般情况下,我们这里指的客户端是指浏览器或邮件接收端的程序。
隐患包括它所在的操作系统存在漏洞,或者它所在的平台中了病毒或被黑客所控制,有可能会导致D NS的结果延迟,或被病毒控制,不能进行正确的域名解析。
网络安全域名策略防止域名劫持和欺诈近年来,随着互联网的快速发展,网络安全问题日益突出,其中域名劫持和欺诈行为成为了广大用户面临的严重威胁。
为了有效预防这些问题,制定并实施网络安全域名策略是至关重要的。
本文将介绍网络安全域名策略以及一些防止域名劫持和欺诈的方法。
一、域名劫持的危害及原理域名劫持是指黑客通过恶意手段篡改用户的DNS解析结果,使用户在访问某个特定网站时被重定向到恶意网站,从而实施钓鱼、欺诈等行为。
域名劫持的危害包括窃取用户登录信息、散布恶意软件以及盗取财务信息等。
域名劫持的原理主要是通过攻击者篡改DNS服务器的解析结果,将用户的请求重定向到被攻击者控制的恶意站点。
一旦用户访问了这些恶意站点,攻击者便能够获得用户的信息或控制用户的计算机。
二、网络安全域名策略的制定和实施为了防止域名劫持和欺诈行为,制定并实施网络安全域名策略是必不可少的。
下面是一些制定和实施网络安全域名策略的建议:1. 定期更新DNS服务器软件和补丁:DNS服务器作为域名解析的关键组件,其安全性非常重要。
定期更新DNS服务器软件和补丁,及时修复已知的漏洞,以提高系统的安全性。
2. 提高DNS服务器的安全设置:加强DNS服务器的访问控制,只允许授权的用户或设备进行域名解析操作,避免未授权的篡改行为。
此外,设置强密码和定期更换密码是保障DNS服务器安全的有效措施。
3. 使用高安全性的DNS解析服务:选择使用具有高安全性的DNS解析服务商,这些服务商能够提供更可靠的域名解析结果,减少域名劫持风险。
同时,定期检查DNS解析结果,确保其准确性。
4. 安装反劫持措施:采用反劫持系统或工具,及时发现和阻止域名劫持行为。
这些工具可以实时监测DNS请求和解析结果,一旦发现异常情况,及时报警并采取相应的防御措施。
5. 域名注册和管理注意安全:定期检查域名注册信息,确保其准确性和安全性。
采用安全认证机制,限制非授权用户对域名的管理权限,防止恶意篡改和欺诈行为。
昆明大学学报 2006,17(4):41~43 CN 53-1144/G 4Journal of K un m i ng Un iversity收稿日期:2006-10-31作者简介:黄建业(1972-),男,云南永胜人,硕士研究生,昆明大学信息中心实验师,主要从事网络安全、系统管理方面的研究.域名服务安全及解决策略黄建业,王 锋(昆明理工大学信息工程与自动化学院,云南昆明 650093)摘 要:域名服务是i n t e rne t 最重要和最基本的服务,DN S 的稳定和安全直接关系到internet 的正常与否。
本文分析DNS 服务及应用所面临的安全问题,重点探讨了DNS 体系结构的弱点。
并提出相关建议和解决方案。
关键词:ACL ;TSI G ;FQDN ;DN SSEC ;递归查询;数字签名;单点故障[中图分类号]TP 393.08 [文献标识码]A [文章编号]1671-2056(2006)04-0041-031 引言DNS (域名系统)是一个多层次的分布式数据库,它主要完成域名解析(即I P 地址和域名的映射)和资源定位服务,在interne t 上起着定位的作用,是许多inte r ne t 服务(如www 、ft p 、e m ail 等)的基础。
它通过客户端———服务器的方式工作,在服务器中存放域名信息,允许客户端访问所需的数据,其数据库的结构为倒着的树形结构,每一个树节点即为一个域,每个域由不同的组织进行管理,每个域下有子节点构成子域,形成一个完整的分布式数据库。
如图:DNS 服务是internet 的基本支撑,其安全问题具有举足轻重的地位,但是同其它TCP /I P 协议一样,DNS 本身从开始设计就没有考虑到安全性,它既没有在DNS 内部对DNS 中的数据提供认证机制和完整性检查,也不提倡对DNS 提供的服务进行访问控制和限制,造成了很多安全漏洞并遭受到了各种各样的安全攻击,对整个inte r ne t 的活动造成了巨大和深远的影响。
2 DNS 存在的安全问题2.1 区域信息泄漏DNS 服务器作为公开开放的数据库,对域名请求查询通常不加以验证,网络拓扑、子网结构等敏感信息容易泄漏,导致增加了被攻击的可能和降低了攻击的难度。
尤其是存在区传送的情况下,如果配置不当,很容易导致敏感信息的泄漏。
2.2 DNS 结构的单点故障DNS 采用层次化的树状结构,由树叶走向树根就可以形成一个全资格域名(full y qua lified do -m ain na m e ,FQDN ),每个FQDN 都是惟一的,而DNS 服务器作为该FQDN 唯一对外的域名数据库和对内部提供递归域名查询的系统,DNS 服务器系统和DNS 服务的安全和稳定就存在单点故障风险问题。
2001年1月,著名的微软公司就是由于其权威名字服务器发生了单点故障从而导致了实际上的拒绝服务攻击(DOS ),同时也给全球的DNS 流量增加了大量额外的负载和明显的时延。
而常见的解决办法就是取了非常严密的安全防护措施,使得其抵御故障和攻击的能力大大增强,例如使用主/从服务器并分布在不同网段来降低单点故障的风险,加固DNS 系统等。
但是这样同样会带来其它的安全问题,如区传送、区域数据的一致性等问题和DNS 系统性能、成本上的问题。
2.3 DNS 系统软件的漏洞Inter net 上的DNS 系统绝大多数采用I SC 的BI ND (Ber ke l ey I nte r ne t Na m e Do m ain ),其它还有微软自带的DNS 、C isco N et wo r k Reg istrar 、Lucen t Q I P 、Foundation ANS 、VGRS ATL AS 等,使用都不太广泛。
B I ND 提供高效服务的同时也存在着众多的安全性漏洞,Ce rt2002年度报告中指出,BI ND 的安全漏洞成为当年最具威胁的漏洞。
构成严重威胁DNS 的漏洞主要在下面几方面:(1)DNS 系统软件所在的操作系统漏洞:DNS 系统需要操作系统的支持,如W indow s 、Unix /L inux ,各种操作系统都存在不同程度安全漏洞和系统配置漏洞,而操作系统的问题会直接导致DNS 系统的安全问题。
(2)DNS 缓冲区溢出漏洞:严重的可以使攻击者在DNS服务器上执行任意指令,如B I ND4和B I ND8中存在一个远程缓冲溢出缺陷(B I ND S I G Cached RR O ve rflo w DOS CAN-2002-1219),该缺陷使得攻击者可以在DNS服务器上运行任意指令。
(3)DNS拒绝服务(DoS)漏洞:受攻击后DNS服务器不能提供正常服务,使得其所辖的子网无法正常工作和导致该FQDN对外的解析不能运行。
如B I ND S I G Exp iry T i m e DoS(CAN-2002-1221)递归方式的B I ND8服务程序会因为使用一个无效空指针而突然中断服务。
2.4 缓冲区中毒DNS为了提高查询的效率,采用缓存机制,在DNS的缓存数据还没有过期之前,在DNS的缓存区中已存在的记录一旦被客户查询,DNS服务器将把缓存区中的记录直接返回给客户。
利用DNS的缓存机制,在缓存区中存入错误的数据使其被其他查询客户所获得,在缓存数据的生存期(TTL)内,缓存区中毒的机器又可能将错误的数据传播出去,导致更多的服务器缓存中毒。
如果减少缓存数据的生存期,可以减少缓存中毒的影响范围,但过于频繁的缓存数据更新将大大增加服务器的负担。
2.5 不安全的DNS动态更新动态主机配置协议(DHCP)简化了I P地址管理。
但是使更新A记录和PTR记录变得很困难,因此RFC2136提出了DNS动态更新,使得DNS客户端在I P地址或名称出现更改的任何时候都可利用DNS服务器来注册和动态更新其资源记录。
尽管DNS动态更新协议规定只有经过授权的主机才能动态更新服务器的区文件(Zone F ile),但是攻击者可以利用I P欺骗伪装成DNS服务器信任的主机对区数据进行添加、删除和替换。
2.6 域名欺骗由于DNS查询是采用UDP53端口明文传输,攻击者监听客户机(cli ent)的域名解析器(r esolv-er)和域名服务器(s erver)之间的通信,从而窃听并篡改数据包,欺骗resolve r或ser ver,最终使客户机被误引至“陷阱”网站或者使DNS服务器得到错误信息。
由此进一步实施更为复杂的攻击,如名称链攻击、DoS攻击放大器、缓冲区中毒等。
DNS根记录文件篡改、根域名服务器和区权威服务器的欺骗都有可能导致大范围的域名欺骗。
而客户端用户受木马、恶意代码或者诱导连接也会产生域名欺骗。
3 DNS安全解决策略3.1 增强DNS系统的安全和可靠尽量选择安全、稳定和可靠的硬件和操作系统,保证操作系统拥有的最小的服务和最高的安全等级,保证系统的安全补丁更新、防病毒和防火墙的正确配置。
使用最新版本的的DNS服务器软件,I n ter net 上使用最广泛的DNS服务软件是BI ND,目前最新稳定版是9.3,可以到http://www.isc.o r g/下载免费使用。
B I ND不断增加新的安全功能,填补以前的安全漏洞,因此使用B I ND的最新版本可以大大提高DNS的安全性。
但是随着新漏洞的发现,最新版本也将成为不安全的旧版本。
保证足够的容灾和容错手段,如硬件的冗余、多点网络连接和建立M aster/S lave DNS服务器,防止单点故障的发生。
3.2 对DNS进行安全配置(以BI N D9为基础)3.2.1 访问控制列表(ACL)进行查询控制访问控制列表(ACL s)是地址的匹配列表,建立一个访问地址列表并指定名称,在以后的al-lo w-no tify,a llo w-quer y,allo w-recursion,b lac k-ho le,all ow-transfe r等配置里面使用。
访问控制列表可以对访问域名服务器的I P进行良好的控制,实现ACL s来控制对服务器的访问。
对外部的用户I P地址来限制对服务器的访问可以防止对域名服务器的欺骗和DoS攻击。
下面是一个应用ACLs的例子: //创建一个名称为”bogusnets”的ACLs 来阻止经常用于欺骗性攻击的(RFC1918)地址空间acl bogus nets{0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;192.0.2.0/24;224.0.0.0/3;10.0.0.0/8;172.16.0.0/12;};acl our-ne ts{x.x.x.x/24;x.x.x.x/21;};//创建一个名称为ou r-ne ts的ACL,并将其配置//为实际现网的ip地址options{ allo w-q uery{our-nets;};//允许内部网络进行查询 allo w-recursion{our-nets;};//允许内部网络进行递归调用查询 ve rsion“None o f your business”;//B I ND版本保护,隐藏版本信息 … b lackho le{bogusne ts;};//不允许进行查询的网络地址 … }; zone“exa m ple.co m”{//权威区域名 t ype m aste r;//主DNS服务器 file“exa m ple.co m”;//权威区域正向解析数据库文件 allo w-q uery{any;};//允许所有I P地址来对该权威区域进行查询 };3.2.2 以最小权限运行BI ND以超级用户的身份运行像B I ND这样的网络服务器是非常危险的,在UN I X服务器中,可以用“-t”选项让运行在指定的环境中(chr oo t()),这种方法可以提高系统的安全性,主要是在系统遭到破坏时降低损失,称为“沙箱”。
另外一个B I ND在UN I X系统中的有用特性是42 昆明大学学报 第17卷将B I ND的后台程序以非特权用户身份运行。
建议在以非特权用户身份运行B I ND时,同时使用chroo t的特性。
/usr/loca l/bin/na m ed-u na m ed-t/var/na m ed上面的命令以用户na m ed运行B I ND,以/var/ na m ed为BI ND服务的“根”目录,当然要把B I ND的所有必需文件放到/var/na m ed下,同时该目录的拥有者是na m ed用户。
3.3 拆分名字服务器并分离名字空间名字服务器实际上有两个主要功能:回答来自远程名字服务器的反复查询,并且回答来自本地解析器的递归查询。
如果分离这些功能,将名字服务器的一部分专门用于回答反复查询,而另一部分则回答本区域内部递归查询,这样就能更有效地保护这些名字服务器的安全。
