优惠论坛

标题: 网址劫持说明 [打印本页]
作者: zayoxo    时间: 2012-10-21 17:58
标题: 网址劫持说明
本帖最后由 zayoxo 于 2012-10-21 18:01 编辑 ) L- h! L7 z+ ]7 z
$ \6 t& @- T; `" w% s( K4 A
      简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 1 o; Q6 {& x1 F. z6 K6 u

& q( Q3 f9 W2 c" p6 A, M, Q+ h9 D) @9 p) z  F" W- m+ W9 C
  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。- }1 M) D1 B# C
  ]% m% H: M- s, |% a

* D) }: X# O9 H/ q# y% q  跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。' E6 i# _0 G8 q: q5 e5 b
6 e: @% O* O- C5 d5 I5 Z

0 o% B, I3 T, J7 }  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。
: f) k# ?- s+ b- k5 @6 ?4 D- P, e  S

: q+ [. C/ P. Y0 C6 v7 C: Y  虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。& A$ ?' B6 R  N$ l2 `

2 A. \" z4 S4 t! A& e3 o
5 m9 ~6 F' ~* {! c. s5 U
, w# ^! d/ j* m* P% n8 P破解困境
: h( [; W4 @" T* |+ ~( J7 e# X" v- z0 L: d/ I: `6 h& f/ J
& E, }* ]3 o: M; u' @- o
  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。
% `6 L/ M9 H: a9 o
: m' U0 X* f7 O% ?  b* G; s# |0 V+ @- w# Q
  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”
5 _: P& C+ [" }: _
% i  Q+ m& w' c- z; }" X4 d4 T; |# k$ w  ^

& L: s+ {4 y! z' Q- `8 A" z2 O  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
% x+ }) a7 C5 _" b" q" M# N) b* ^
( b3 ]! }& E4 r9 F
: e% z6 U1 _7 h- _3 f" d- ^  }8 U, _  不管您使用哪种DNS,请遵循以下最佳惯例:  O' k4 S1 Y7 ^! r9 K4 D

& }) P! Y# A6 H9 ?5 y3 I. x; R, G9 v4 s0 u; i
  1.在不同的网络上运行分离的域名服务器来取得冗余性。" i5 z3 u) r" {! x

1 K4 V7 y% W' _5 c7 q+ T4 N" {; s1 }5 N6 Y$ z
  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
9 E( A4 F  \/ C* b4 U" N8 M
8 u% ^, b5 g* ~7 V6 ?8 d: ]# q6 W& f
  3. 可能时,限制动态DNS更新。4 X3 a0 J+ y2 ^3 ]* b5 ?6 [. r

7 }5 O5 q/ P9 V/ e/ N0 g8 g; {
7 V9 A. y" I6 u! [  4. 将区域传送仅限制在授权的设备上。2 n( Z- c1 h- N9 h! T

. S3 ]& ]0 x( o- a* j/ {* e3 n# v! w- s4 {: k' {1 x  z2 u3 y1 k
  5. 利用事务签名对区域传送和区域更新进行数字签名。8 I5 J3 P( j6 T% Y& r( n4 ^# C
8 o7 b: E; e! Z0 [- M( c
; B+ `# _2 t5 ~3 C
  6. 隐藏运行在服务器上的BIND版本。
; C" V- U( v8 l7 ]
2 A# I# u: |0 {9 M0 X; h7 p$ e: a4 \) c/ ?3 J9 D' @: i
  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
$ c: N* e: c6 ~& n' f7 F# F/ B6 {/ X. v
% G4 r; l' X; q; F
  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。9 p- Y- i' f, z

* n2 W; B2 f/ L8 `9 }' Z7 t" v" O! [/ s7 Y3 O9 w
  让注册商承担责任1 k6 i" q1 U; Z" y  }" m
1 n" ]+ D. }7 k) T7 V
  域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火+ u/ [: a7 N9 L) `
0 L6 W& h. I0 A5 T8 I  s( U
1 r+ a+ u" D8 H4 h8 p
  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”0 Z. a8 I: V9 c0 f/ G& x* {

: t- [3 O9 z" i" U. [8 X& |6 g; M5 N5 y
  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。6 V6 {1 c+ K& G: P8 t; a
3 X& F6 A; C' a. p, _% s/ Y

0 Y, o0 l: S! D9 x: {  不管您使用哪种DNS,请遵循以下最佳惯例:9 _2 j% z  X# L; J
; d/ \: I" G% O  x# @$ w
/ s% y4 m' x$ |/ x
  1.在不同的网络上运行分离的域名服务器来取得冗余性。$ A7 Z6 x- w8 e, m  N8 u4 T

+ I" X; p# f7 d0 J, ~
; K1 O6 l, n3 T. Z4 ^; v# o  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。/ m! a  z2 D, q6 Z/ z0 \6 H

3 S/ T: C. {) @- i3 v5 Z! v
' H) k: ~& d7 T1 j! W1 S4 H+ f+ U8 I2 I+ G% S. g) y/ O$ w

* r4 u4 L3 X% _3 M6 E  3. 可能时,限制动态DNS更新。
: y( K/ N1 a$ E8 C+ v& w9 |- Y  e! G" |8 S) q0 _! S; q7 t

: j5 ~" S0 \8 P% u" R& n  4. 将区域传送仅限制在授权的设备上。$ u. c5 v$ m( W2 Y6 W! j# s
  r& u4 u) D7 B$ k* x

* n! \* {$ [: A' H/ I  M+ M  5. 利用事务签名对区域传送和区域更新进行数字签名。
* y- f( O+ }: @: H9 Y5 H, R, n+ y) v
  z4 e$ ~" T  y  A+ o
  6. 隐藏运行在服务器上的BIND版本。
+ k, O2 A% D5 X2 ^2 ]& P" Q6 V; O& C
8 M1 v) d1 m, M4 U
  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。2 m% _9 k  n' a( R$ G

5 |8 j. l6 f. y2 S3 E7 p
, a# o% @2 |5 G0 g) c/ H0 y4 A  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
作者: 飞天猫    时间: 2012-10-21 17:59
谢谢分享啊。好
作者: bet    时间: 2012-10-21 18:14
天朝的垃圾宽带商那个没有做这种事?
作者: cwj88    时间: 2012-10-21 18:15
感谢楼主的分享
作者: 三月里的小雨    时间: 2012-10-21 18:16
顶一下咯!!!!!!!!!
作者: hyy01311990    时间: 2012-10-21 18:16
谢谢分享,长知识了
作者: lol    时间: 2012-10-21 18:18
感谢楼主的分享,扫盲了。
作者: 村长    时间: 2012-10-21 18:20
多谢楼主给我们普及一下知识
作者: w8814060    时间: 2012-10-21 18:23
终于懂了一点了。。
作者: saab    时间: 2012-10-21 18:34
感谢普及知识
作者: 提款机    时间: 2012-10-21 19:28
多谢楼主给我们普及一下知识
作者: dwer777    时间: 2012-10-21 19:40
感谢楼主分享   又学习到新知识了
作者: 刘得桦    时间: 2012-10-21 19:43
太深奥了。。。
作者: mm3252    时间: 2012-10-21 20:06
略懂就好,深入也没啥意思
作者: shaogui2008    时间: 2012-10-21 20:37
懂了一点点啊
作者: 36391318    时间: 2012-10-21 20:44
谢谢楼主分享了
作者: xiaobingchuma    时间: 2012-10-21 20:55
谢谢楼主的分享
作者: 第一帅围脖    时间: 2012-10-21 20:57
谢谢楼主的教学!
作者: 幸运博彩者123    时间: 2012-10-21 21:41
感谢楼主的分享
作者: 情迷    时间: 2012-10-21 21:42
黑客太TMD可恶了
作者: datuanshan    时间: 2012-10-21 23:27
很详细,楼主对网络很精通!
作者: jiangguo    时间: 2012-10-21 23:38
真心感谢楼主无私分享.
作者: luorunfa88    时间: 2012-10-21 23:41
感谢楼主,很详细0...
作者: 我爱台妹    时间: 2012-10-21 23:46
楼主的提点,让我们了解到整个事件!谢谢!
作者: 卷心菜    时间: 2012-10-21 23:52
谢谢分享  :lol
作者: 上帝也菠菜    时间: 2012-10-22 01:10
卤煮想表达什么。
作者: 妞妞    时间: 2012-10-22 02:37
感谢分享^^呵呵~没看完~好多!!
作者: 慢步云端    时间: 2012-10-22 02:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 鬼拉拉    时间: 2012-10-22 03:31
大概懂了些,谢谢楼主分享了!
作者: wu1968    时间: 2012-10-22 03:52
感谢楼主的分享
作者: 414995670ya    时间: 2012-10-22 04:11
谢谢楼主的分享,楼主知道得很多啊~·
作者: 飞虎神鹰    时间: 2012-10-22 04:52
楼主懂得好多啊!!!厉害哦!
作者: livingtoom922    时间: 2012-10-22 05:40
看看也好,必须知道的
作者: vvvvvv    时间: 2012-10-22 07:24
太深奥了啊,不是专业人士
作者: acer    时间: 2012-10-22 08:23
这个好专业的样子
作者: Terrance    时间: 2012-10-22 08:46
电信都会劫持用户!
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: yongchen    时间: 2012-10-22 10:02
学习了,谢谢了
作者: rich383838    时间: 2012-10-22 10:04
DNS安全问题。。。。。。。。。。。。
作者: 慢步云端    时间: 2012-10-22 10:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: 青年近卫军    时间: 2012-10-22 10:32
天朝的东西要谨慎
作者: l3065807    时间: 2012-10-22 10:34
长知识了这个好
作者: 大脚丫    时间: 2012-10-22 10:35
感谢楼主的分享。
作者: lz452686613    时间: 2012-10-22 10:36
虽然看不懂还是谢谢
作者: yucunjuner    时间: 2012-10-22 11:03
处处都有风险,小人骗子犯罪分子无处不在,哎。



欢迎光临 优惠论坛 (https://tcelue.ooo/) Powered by Discuz! X3.1