8 ^, Z1 x5 c) Y. s0 P5 `" | 这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。 * E4 B& h L' ^( k" \$ }; [" B. ~' B/ A6 X
) V$ B8 N; ]5 z7 ]5 y1 c. q 跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。 : y; U# c/ S$ u9 c/ R2 p @5 Q6 j0 S O5 c( a$ n- `1 X7 [ ?5 q4 ]9 H" P
) P. N, N! }+ J ~; `
专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。 " D: ~) e2 r' c% h2 Q! X* m' Z7 @4 M2 o! X; G3 w
# s5 x. w3 K0 j1 b7 o
虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。 0 d2 n! @( v$ k2 j7 }( X5 U. a+ r! ?0 ?4 J- Y7 A
* j+ c0 S m' @; G3 x6 \! Q. s 破解困境7 f. }, a6 a6 L. C / J. S4 k! X/ u! I) S; s
# P0 |3 d0 i9 O% S
DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。6 T8 T" W( w& Q8 ]2 i1 K
) s- t8 F$ o' y3 U
2 K. L8 p+ x4 ~, D SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。” " e! z* |; P; r# P. }8 a9 V. v4 f. y . K/ [# I/ c5 |1 h$ h$ ^ - s" }3 l r% R3 W+ { j1 g% {8 m8 `) |% e# B
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。( G; D8 J3 J) V: k
* F, Q# `- {) d3 T+ r+ B& n
$ e. X/ c/ F* B0 I
不管您使用哪种DNS,请遵循以下最佳惯例:* g$ W$ V% l, m0 ~8 g4 b: D4 x) ~
4 D* f/ Z3 }0 c+ ]7 G
7 o" C2 ]# s& i% Z4 k
1.在不同的网络上运行分离的域名服务器来取得冗余性。 ' D! [7 U, ], c( k 1 Z1 N8 t$ `- R . p$ d: L4 V: Y3 ~3 l' M 2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。% D$ [8 M9 d" x9 [$ x; {
H! w5 a# Z W+ p5 K( x
2 e8 `6 M4 X) {) p4 w( D9 b" | 3. 可能时,限制动态DNS更新。6 S3 C M! m5 b( r0 y
l$ y0 H7 k% \6 x. S ! }5 x7 v( d- j) a 4. 将区域传送仅限制在授权的设备上。 $ ?" k; G* f1 x& v/ W% D% P' }! y4 t5 @# q) x/ d
5 ^2 f2 _0 {, K- }# @" D 5. 利用事务签名对区域传送和区域更新进行数字签名。8 W6 i3 v: P' C$ F+ V8 U
% J0 X3 u0 T2 u; @! V! p( ^ , F( e* }3 U* k2 u) S 6. 隐藏运行在服务器上的BIND版本。& x6 I) @5 C5 p" D' L
1 k4 s: N. S% s7 S5 d
- z; o0 A3 D( L$ J0 f2 G
7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。* `2 W4 c( }+ q" p: V8 `7 Z
; {8 P8 ]1 \; m0 G) |' @
- u$ q! L& D; ?% I 8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。$ r$ O$ c9 S' h: X* \
! s! [2 `" e) c. b
6 o8 i3 B. x& ~/ i- Q 让注册商承担责任 " X! A; v" x Z6 J5 G% D! T7 \ # C d# A% B4 A) ` 域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。 & ^7 T& {) c- V- q U' K) M9 O& J7 G5 t' ^; b/ H7 y
$ n0 C' H% M m+ `0 D Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。& F/ p) g) {$ g) I- d
2 m q, o* g7 i* ?+ P4 T$ E
M, O& R, @) o; y 不管您使用哪种DNS,请遵循以下最佳惯例:' l- W! r& o* m) A/ L; W0 d7 [+ U
1 E6 _9 Z% ^9 G9 P* r5 Y' l ) @8 c; O- r( n8 W 1.在不同的网络上运行分离的域名服务器来取得冗余性。 ' J" R: W8 B2 l$ K$ H7 c0 h; ~& o3 q$ |; ?( \% _
/ \# `5 h7 R( L
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。: Z8 Z! r5 L7 O$ e( E* h, E
0 A- O2 c, m) y) m# G
7 U1 E5 ~0 [' Q' O, y& F8 _' M) ~4 K- Q* Q6 H& ~+ Y( T7 ~ y2 c
0 M' E [# U) f
3. 可能时,限制动态DNS更新。2 s: a3 }% L3 i' U$ `2 P- l# A$ f
- w8 r+ O" p5 t2 ^1 Q9 P' A6 }9 F+ s; |6 C* J
4. 将区域传送仅限制在授权的设备上。 $ u+ D- {3 |8 z7 W: S r2 @ 0 c1 x5 M: S3 W; |: v/ ?5 K! V8 {8 S* Z/ A) m
5. 利用事务签名对区域传送和区域更新进行数字签名。, D! `" t4 F b' c1 i