优惠论坛

标题: 网址劫持说明 [打印本页]
作者: zayoxo    时间: 2012-10-21 17:58
标题: 网址劫持说明
本帖最后由 zayoxo 于 2012-10-21 18:01 编辑 - [) |6 b1 m% [' G  F$ w: s
1 U) F: t3 D' V6 @( f5 {, i
      简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 ! z9 z# s9 M. k1 y2 c
+ ]1 M. g- R: u1 o# r

6 U3 f& {( A+ L1 U  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。! ^4 h8 m6 f! p' M: R" \

# @& W; x9 @# l/ ~
1 n9 W% s+ ]! S3 z  跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。
6 Y# K4 D9 K8 ^- r' |- m* ?* U. }( m
# [, Y2 _4 X- c6 s. b
  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。
6 @4 a+ m7 c" }- m  T
' D4 R* A' _: ]1 Z% p
6 w. w) X& V+ o  虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。
: e! M: `. ^9 B( ^) S- n0 H
- f& M7 @: s' C( G" P# `' p! E/ H3 n7 C% g# f+ i
4 r* J" K2 t" s2 y
破解困境
* C# p9 Y. b( [) U* Q' r: G2 K0 s
! o& [" s' K9 T7 P  V, n, o
, _5 s. v) }- B5 c- ~  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。! U6 z4 S! P. Y& ]* p5 R$ ^

' M2 Z* b! T5 c" b9 `  |6 ~' g; s5 c+ r4 ?1 }8 N
  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”, M: {3 r) q+ q: C. A

" i0 ^/ m0 f( ]" h8 `( t- [* @# u  \+ t- ~, U0 l- H5 a

; G) G* C2 d( L0 Z  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
( C4 a3 Z, W9 B1 e+ y9 ]( T8 l; {2 h; E/ h  g& v) m; G# N
0 Z6 I/ b2 I8 ^2 ^% O8 _
  不管您使用哪种DNS,请遵循以下最佳惯例:! d5 w1 `- c) {' O
* \+ N" D7 U0 u

& n; ?- ^: U, {# S/ d/ @4 K) V  1.在不同的网络上运行分离的域名服务器来取得冗余性。
, M: G4 _: i! w3 F, o' a
, g, @, o3 Z, U0 w1 G) F5 [& T
5 V; l! O7 V, p  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
  s) [9 `* N4 Q5 k7 K. G4 ]2 w
: y3 P$ X% y1 M) o6 E2 a! z5 g
) O4 n, [5 m  U* ?  3. 可能时,限制动态DNS更新。
7 h7 h$ c, p) l7 K4 t& \$ R* u0 D# w' X( l4 G( C& }+ n- @  B

5 \7 C7 ?, e+ Q  4. 将区域传送仅限制在授权的设备上。& i- L6 b( M: V( p

& ], G5 o" b! ^7 e1 v: C+ O5 s* J1 f) C% e. D7 H3 b; F9 s
  5. 利用事务签名对区域传送和区域更新进行数字签名。. S* J3 }/ S7 C& b
: ?; B8 t' J' C# E2 D# S# L

, b$ C: U4 e( O6 k5 R' y# u+ j# j  6. 隐藏运行在服务器上的BIND版本。
4 e4 h6 ]- [. V4 |/ ]
3 d+ S8 f. u8 `1 i6 k% U/ `% m$ F0 }5 @! U5 h; N
  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。/ r0 v, n& r- P$ S  t6 D$ M
8 c' ]+ Y( O7 ~, q, Z
( |. f" g, a  q$ P; ~+ u% ], h
  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
' d9 j- c9 }9 ]  D
) [# W2 h3 q5 S$ ~2 v% c2 x9 [6 R* [+ g# k! t6 E  X: O
  让注册商承担责任
: f$ U' H0 T' O& \: f/ |8 }7 S& z6 H
. ?- I: c: y' {* n" _  域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火, ]; U$ V" m, r" W
- s2 y3 O# A( M9 Z& k
' ?. T$ I. g! x0 h
  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”
+ d4 b) A! c) o5 }
  ~; W* Z8 O0 y5 Y2 w+ |6 d* n, B: }3 S- `& x0 ~! _
  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。9 A  }* q, s! l5 S* F) Z8 j2 T
- @% K; g- X2 L( G6 T0 S# ^
* E* {8 P# i3 l2 P4 W/ o/ z  S
  不管您使用哪种DNS,请遵循以下最佳惯例:
& f! ^$ Z$ @/ u
8 T3 _& K. U" e4 k- p# q1 g0 \( k  [2 q" k$ p2 w4 R  G
  1.在不同的网络上运行分离的域名服务器来取得冗余性。
, R' c$ `1 [% E* x2 m, U! I5 q8 z; ?( A" P: R

$ A5 f1 X7 Y: |7 W8 A8 D  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。( L! x5 q+ C& |* U- I) s# g. V

( m+ Q( ?) V# l* @0 z: X* i& d$ D" b$ w3 w
5 q0 `4 |! x7 M' v& I/ e! X; g$ ~
( H3 x" ^8 i; L+ Q/ U1 A9 N$ C  a: z0 a+ z; M
  3. 可能时,限制动态DNS更新。
+ R5 V: p0 ~2 _: M5 U( J/ x$ p  b4 R* d* E( r% ~/ U& N3 e
% E4 g& @. a  x$ H% V) k
  4. 将区域传送仅限制在授权的设备上。
8 u. G) S; |6 U7 z! e+ E
3 n2 h8 b+ T7 K8 K! W; w' d
5 m! B* Y( g: k; R8 |/ d  5. 利用事务签名对区域传送和区域更新进行数字签名。
' q* z2 K$ M2 [& `
$ a3 E% p& j& I" [" I: @* C" c5 P, ]& m0 S
  6. 隐藏运行在服务器上的BIND版本。
6 g: L2 K% w4 W- Y( c' q) h
  ]+ {+ v/ J9 d$ }2 @1 ~8 l+ ^: L: l7 M0 N5 Z4 v& l
  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。# a" q4 f9 k9 R; z0 ^3 O4 [

5 B: h9 \. D/ f4 j) N# ~& D, v
, i. N+ [4 d* E) u  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
作者: 飞天猫    时间: 2012-10-21 17:59
谢谢分享啊。好
作者: bet    时间: 2012-10-21 18:14
天朝的垃圾宽带商那个没有做这种事?
作者: cwj88    时间: 2012-10-21 18:15
感谢楼主的分享
作者: 三月里的小雨    时间: 2012-10-21 18:16
顶一下咯!!!!!!!!!
作者: hyy01311990    时间: 2012-10-21 18:16
谢谢分享,长知识了
作者: lol    时间: 2012-10-21 18:18
感谢楼主的分享,扫盲了。
作者: 村长    时间: 2012-10-21 18:20
多谢楼主给我们普及一下知识
作者: w8814060    时间: 2012-10-21 18:23
终于懂了一点了。。
作者: saab    时间: 2012-10-21 18:34
感谢普及知识
作者: 提款机    时间: 2012-10-21 19:28
多谢楼主给我们普及一下知识
作者: dwer777    时间: 2012-10-21 19:40
感谢楼主分享   又学习到新知识了
作者: 刘得桦    时间: 2012-10-21 19:43
太深奥了。。。
作者: mm3252    时间: 2012-10-21 20:06
略懂就好,深入也没啥意思
作者: shaogui2008    时间: 2012-10-21 20:37
懂了一点点啊
作者: 36391318    时间: 2012-10-21 20:44
谢谢楼主分享了
作者: xiaobingchuma    时间: 2012-10-21 20:55
谢谢楼主的分享
作者: 第一帅围脖    时间: 2012-10-21 20:57
谢谢楼主的教学!
作者: 幸运博彩者123    时间: 2012-10-21 21:41
感谢楼主的分享
作者: 情迷    时间: 2012-10-21 21:42
黑客太TMD可恶了
作者: datuanshan    时间: 2012-10-21 23:27
很详细,楼主对网络很精通!
作者: jiangguo    时间: 2012-10-21 23:38
真心感谢楼主无私分享.
作者: luorunfa88    时间: 2012-10-21 23:41
感谢楼主,很详细0...
作者: 我爱台妹    时间: 2012-10-21 23:46
楼主的提点,让我们了解到整个事件!谢谢!
作者: 卷心菜    时间: 2012-10-21 23:52
谢谢分享  :lol
作者: 上帝也菠菜    时间: 2012-10-22 01:10
卤煮想表达什么。
作者: 妞妞    时间: 2012-10-22 02:37
感谢分享^^呵呵~没看完~好多!!
作者: 慢步云端    时间: 2012-10-22 02:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 鬼拉拉    时间: 2012-10-22 03:31
大概懂了些,谢谢楼主分享了!
作者: wu1968    时间: 2012-10-22 03:52
感谢楼主的分享
作者: 414995670ya    时间: 2012-10-22 04:11
谢谢楼主的分享,楼主知道得很多啊~·
作者: 飞虎神鹰    时间: 2012-10-22 04:52
楼主懂得好多啊!!!厉害哦!
作者: livingtoom922    时间: 2012-10-22 05:40
看看也好,必须知道的
作者: vvvvvv    时间: 2012-10-22 07:24
太深奥了啊,不是专业人士
作者: acer    时间: 2012-10-22 08:23
这个好专业的样子
作者: Terrance    时间: 2012-10-22 08:46
电信都会劫持用户!
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: yongchen    时间: 2012-10-22 10:02
学习了,谢谢了
作者: rich383838    时间: 2012-10-22 10:04
DNS安全问题。。。。。。。。。。。。
作者: 慢步云端    时间: 2012-10-22 10:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: 青年近卫军    时间: 2012-10-22 10:32
天朝的东西要谨慎
作者: l3065807    时间: 2012-10-22 10:34
长知识了这个好
作者: 大脚丫    时间: 2012-10-22 10:35
感谢楼主的分享。
作者: lz452686613    时间: 2012-10-22 10:36
虽然看不懂还是谢谢
作者: yucunjuner    时间: 2012-10-22 11:03
处处都有风险,小人骗子犯罪分子无处不在,哎。



欢迎光临 优惠论坛 (http://www.tcelue.cc/) Powered by Discuz! X3.1