9 f* c+ L: k$ G3 T3 d; E5 r5 o ' Q& S3 i. k, Q2 S 跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。2 b3 C, l' R* T, n9 A0 b
|. w8 g- [6 _, \% e# l C; N' ~$ L4 r8 }8 ?/ [$ G7 v" y
专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。" k, i3 p/ b/ B# o, l! l7 c
$ b9 C2 ?9 t4 m% E* o C6 {6 d+ N / R L3 y: I; K$ d# L 虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。 ! R1 A1 O$ ^0 {* K! h" B7 C5 n; j' d8 }9 B, q. @
. N1 Q$ \) R4 @# `' t- g0 j# \- r6 S 破解困境5 u6 J l+ Q, F: j : _" X% d5 [8 O+ y# E% W1 k
0 d7 d5 D* T7 M' Y* _5 ?6 m DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。, |# J5 i6 j7 y6 y( ~2 f
) S) Q1 ?0 x' y% F; h3 p! y: c% c9 N5 b; K
SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”6 m" n. e7 ^# e
3 ?7 M. g" H8 O' N' I- Z* O, |( c$ {6 g+ b
6 b2 a) ^; a4 ^4 C+ \+ a4 `
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 ! L5 r) A: X# ?- A | r, C" r4 k$ C4 Q) n& i, Y i
0 t0 c% G4 |* `; r: X9 V2 R. r1 u 不管您使用哪种DNS,请遵循以下最佳惯例: 5 {, o# T1 D) }- @. p ~$ x0 Q" T# v6 e& e) O / i* J0 o, k( r/ A6 {0 B( o 1.在不同的网络上运行分离的域名服务器来取得冗余性。 & G" L$ Z5 D) E! t' ^+ _0 q' ?$ k4 Y- o. Q8 D
& ~, ?; ~0 h, g7 v
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。& \$ F! H' N! H6 s