# F1 ^4 ~- N5 A. [4 O 域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。 & S2 v7 Y7 d& e. c3 q* i1 Z7 \4 F
/ @( S: L6 ]$ t! Y, P( E& @! L Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”) w1 c6 d* d% k' \' y
! D# ~9 g: v% A9 R' O
% p8 `& @3 V: y6 X8 [: o' J Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。8 S' V0 t" a2 b) W
8 u" F) f$ {3 G
9 ^- o* y2 v" w# [; A8 S/ y
不管您使用哪种DNS,请遵循以下最佳惯例:0 z# i" }% C( u9 X f/ J, r
7 d( e2 h0 _9 F! o/ C# ^$ {- e4 L. o4 G
8 ^2 r; ]. d) h4 M1 E
1.在不同的网络上运行分离的域名服务器来取得冗余性。* V( x# s: m4 \4 m1 a t( K
8 o \4 s" a; I$ ^2 C1 q( Z+ D4 c. F; y! {* G6 m
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。 N. N6 x( x4 V/ B# s2 O k0 a! P0 [# o$ E# u1 J( {5 y' p
' G: H, G/ t. w7 e2 d1 z, r$ M$ G6 c1 k2 @
, I2 o. Z8 t3 Y; x @( Z" C1 l( a 3. 可能时,限制动态DNS更新。4 e& I2 u$ i! l