优惠论坛

标题: 网址劫持说明 [打印本页]

作者: zayoxo    时间: 2012-10-21 17:58
标题: 网址劫持说明
本帖最后由 zayoxo 于 2012-10-21 18:01 编辑 6 v$ u, o/ ?/ ~8 M

* J: J; c) W' M" F  e      简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 
* J" m$ D) f: W! g5 H$ v3 e: Z' y9 [
2 E7 o& f" x' L0 I
  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。# _; M! C1 E7 `/ R
$ a4 o. e4 E* p+ p- h
& s  f+ q2 Q. l: d/ R# k" E8 F
  跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。
( S0 I+ R- `( R  m8 N; N! T& ]
2 J9 r3 R: F( O: u4 Q! k3 K* a
- R/ M! ^5 S0 ^( Q8 @" M% p  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。9 I$ J. Y/ V( s. x0 [

+ P6 Y8 d  L' v$ [1 Q. L4 A, f" S- l$ a# v, s  G
  虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。
- f0 u' @0 |  \7 J
: V+ a$ S( N( o/ w; n* Y9 Z) ~# S5 d- I! d; a8 \
+ p  }: j: A1 {1 B
破解困境
$ R! ]8 F( {0 F  x% {. g& \
4 C% T( O4 d4 l+ C  N

3 K# S' ~& F/ h/ d& j* z  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。
& \9 J) V9 `; o$ A: U( z; {/ \3 ]. D8 \5 |
1 }5 I6 z- n, V+ k1 V# ?
  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”4 j* W6 x% j) J/ n" |
& v7 c2 b% P+ F; I4 B- K; L
' @$ y# K4 w3 R; M: K
$ ^' @  D- V/ z: R, V
  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
1 E  l4 R  r3 n2 V8 p" Y" W4 K
. @9 w2 [' \+ H5 T8 w8 w1 \% ]
& r0 o. d% [+ U9 y  不管您使用哪种DNS,请遵循以下最佳惯例:$ a: u6 i. H3 Z! r7 C4 C

, V0 j& e; J9 |# }1 i$ {' e* O3 i* k
  1.在不同的网络上运行分离的域名服务器来取得冗余性。
+ l8 D3 Q' F' E1 S
) u7 ?! I) m( h; P, V
. n9 m+ W! t1 e9 l. e4 r  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。; Q0 J* P' e. ?
8 ?' ^4 `- L1 g& x4 e- _
9 y# ^5 w. }8 J3 s* V( F
  3. 可能时,限制动态DNS更新。
3 @9 l$ Z/ T, p7 u3 u; O
& c! D! F' h6 w" V4 \
- Q6 r4 G" C. n( Z+ |  4. 将区域传送仅限制在授权的设备上。; T. i; s, F$ W, l4 d6 x
) H# u3 A; I0 n

1 B  V! l$ o1 c% B9 V4 m  5. 利用事务签名对区域传送和区域更新进行数字签名。, p9 O2 n* T1 s! e

' p7 |; D8 V' Z5 C; l4 I
$ N% _6 e/ {& p2 B* a6 q  6. 隐藏运行在服务器上的BIND版本。
; }) E) R8 D! j5 Y" ^: X2 Q& V- W4 E8 X, f4 w5 `! h) t

, G* x8 L" o: f' u  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
* Q& _/ z/ k. D: _
, `3 T# j6 j( `2 J$ w  J0 s" `' g2 a, I7 u6 u0 y, }+ u
  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
5 s) e  e- E2 s) X
2 @& W6 f6 m; L' f1 ]
1 D4 Q% P: n4 j1 l) F  让注册商承担责任
# p# b, H  Y( C* |; \0 L0 |  q  o
  域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火3 W  ^. u* A* q" K
$ Y( Z# J8 Z$ Y8 E8 O4 v
. V2 f$ [  v. V) T
  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”
& P/ U# q+ ]6 a% U
! l- }. ]# s# b, y; E& O2 d6 g$ y" P* ]& }) e! w- X
  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。$ n( W0 Q. M& [/ }# t6 B' C* W( ]! {
1 t0 K$ p! E$ F: h6 v
" \5 C8 E( L. G* h; e7 `$ M
  不管您使用哪种DNS,请遵循以下最佳惯例:' Z. N+ _8 b# x) O; y
+ `& m' a/ _5 x3 [
$ O* o. f/ S, z5 I3 ^9 ~
  1.在不同的网络上运行分离的域名服务器来取得冗余性。
6 Z$ [+ }, x- [& q  }' C/ ]) ^3 T" S: P. ?( Y

0 [/ \8 |0 K. h) g8 H9 q1 e( v: @  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。9 l; o$ I/ q( Z

, v& ~& D, t0 B) H# u% P- c
: d/ R( H8 A8 o$ b3 v9 D$ p; q2 C+ F7 h6 W& [- K$ w

, r6 X" N- K1 g4 {& o  3. 可能时,限制动态DNS更新。
9 J3 s. e1 [- Q* S3 r# C
1 \" G. f) @4 S) g  C( j
2 f, f' ]5 U4 i: B# _/ ]4 Y4 p( X, v  4. 将区域传送仅限制在授权的设备上。
) E: g2 n8 S% j5 r
3 L9 G9 P/ \3 s4 i/ |' {
. p0 I( S: N+ y+ O4 H  5. 利用事务签名对区域传送和区域更新进行数字签名。
4 T) Z' V3 k9 K3 u3 f2 g# J' u9 K7 \
6 x) v8 D- a1 z% X6 N+ B& E5 ?2 M
  6. 隐藏运行在服务器上的BIND版本。" d. {' o' f4 I% S1 H; Y
# j' E9 G$ ^% ]  c! y! H; f6 t

( G; `! h9 U9 S5 b  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。/ J- C  k8 n9 Q; o8 I; [

" w$ y  z1 w) X. m* x' l) o
. h5 s% i1 J0 u8 @. N  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

作者: 飞天猫    时间: 2012-10-21 17:59
谢谢分享啊。好
作者: bet    时间: 2012-10-21 18:14
天朝的垃圾宽带商那个没有做这种事?
作者: cwj88    时间: 2012-10-21 18:15
感谢楼主的分享
作者: 三月里的小雨    时间: 2012-10-21 18:16
顶一下咯!!!!!!!!!
作者: hyy01311990    时间: 2012-10-21 18:16
谢谢分享,长知识了
作者: lol    时间: 2012-10-21 18:18
感谢楼主的分享,扫盲了。
作者: 村长    时间: 2012-10-21 18:20
多谢楼主给我们普及一下知识
作者: w8814060    时间: 2012-10-21 18:23
终于懂了一点了。。
作者: saab    时间: 2012-10-21 18:34
感谢普及知识
作者: 提款机    时间: 2012-10-21 19:28
多谢楼主给我们普及一下知识
作者: dwer777    时间: 2012-10-21 19:40
感谢楼主分享   又学习到新知识了
作者: 刘得桦    时间: 2012-10-21 19:43
太深奥了。。。
作者: mm3252    时间: 2012-10-21 20:06
略懂就好,深入也没啥意思
作者: shaogui2008    时间: 2012-10-21 20:37
懂了一点点啊
作者: 36391318    时间: 2012-10-21 20:44
谢谢楼主分享了
作者: xiaobingchuma    时间: 2012-10-21 20:55
谢谢楼主的分享
作者: 第一帅围脖    时间: 2012-10-21 20:57
谢谢楼主的教学!
作者: 幸运博彩者123    时间: 2012-10-21 21:41
感谢楼主的分享
作者: 情迷    时间: 2012-10-21 21:42
黑客太TMD可恶了
作者: datuanshan    时间: 2012-10-21 23:27
很详细,楼主对网络很精通!
作者: jiangguo    时间: 2012-10-21 23:38
真心感谢楼主无私分享.
作者: luorunfa88    时间: 2012-10-21 23:41
感谢楼主,很详细0...
作者: 我爱台妹    时间: 2012-10-21 23:46
楼主的提点,让我们了解到整个事件!谢谢!
作者: 卷心菜    时间: 2012-10-21 23:52
谢谢分享  :lol
作者: 上帝也菠菜    时间: 2012-10-22 01:10
卤煮想表达什么。
作者: 妞妞    时间: 2012-10-22 02:37
感谢分享^^呵呵~没看完~好多!!
作者: 慢步云端    时间: 2012-10-22 02:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 鬼拉拉    时间: 2012-10-22 03:31
大概懂了些,谢谢楼主分享了!
作者: wu1968    时间: 2012-10-22 03:52
感谢楼主的分享
作者: 414995670ya    时间: 2012-10-22 04:11
谢谢楼主的分享,楼主知道得很多啊~·
作者: 飞虎神鹰    时间: 2012-10-22 04:52
楼主懂得好多啊!!!厉害哦!
作者: livingtoom922    时间: 2012-10-22 05:40
看看也好,必须知道的
作者: vvvvvv    时间: 2012-10-22 07:24
太深奥了啊,不是专业人士
作者: acer    时间: 2012-10-22 08:23
这个好专业的样子
作者: Terrance    时间: 2012-10-22 08:46
电信都会劫持用户!
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: yongchen    时间: 2012-10-22 10:02
学习了,谢谢了
作者: rich383838    时间: 2012-10-22 10:04
DNS安全问题。。。。。。。。。。。。
作者: 慢步云端    时间: 2012-10-22 10:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: 青年近卫军    时间: 2012-10-22 10:32
天朝的东西要谨慎
作者: l3065807    时间: 2012-10-22 10:34
长知识了这个好
作者: 大脚丫    时间: 2012-10-22 10:35
感谢楼主的分享。
作者: lz452686613    时间: 2012-10-22 10:36
虽然看不懂还是谢谢
作者: yucunjuner    时间: 2012-10-22 11:03
处处都有风险,小人骗子犯罪分子无处不在,哎。




欢迎光临 优惠论坛 (http://www.tcelue.ws/) Powered by Discuz! X3.1