优惠论坛

标题: 网址劫持说明 [打印本页]
作者: zayoxo    时间: 2012-10-21 17:58
标题: 网址劫持说明
本帖最后由 zayoxo 于 2012-10-21 18:01 编辑 ) I% n' U) x0 m: i
) @5 S  n9 }- l
      简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 
# p, i9 Z8 o# R' A& }& L5 E+ H; _' T5 W1 E: [7 d' ~: ^

2 |0 q; ~/ u% j) p  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。2 g9 Z2 S8 m# y) R
1 {# G4 B1 D: \& Z- k

! \; X7 W, I5 w) o& _, B9 O  跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。1 b6 s$ L0 P1 H$ n5 F- {1 H

! t7 d$ O) f$ _4 X& K2 a
& i* I# O; ?5 T0 V% P+ f  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。) n* d: u) ]# v4 F/ h$ ^! j
6 A- t9 P. x+ R7 N8 q
6 I: A6 o( y4 ?1 c
  虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。. H, O$ p2 J: T, @  f# `8 y% z
& |$ q* S$ r+ I) J& Z! U3 d6 L
* V. @& T8 D& ^# `) v& r8 t

  G6 s" J5 C' w1 y  h破解困境- n' |! p- j& a
# K& D: s" t1 s  Z6 b# x

$ x6 {2 a5 V. d% W  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。- z$ @- [! G0 o' O9 ?
9 S7 I0 _4 A- L
/ n# O5 f- Q) K0 Q, D, d4 f/ s: T
  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”
4 n: m/ e7 w7 o3 O$ q3 P
3 `. a2 s) O1 F3 h$ n9 {7 U9 C1 X6 z1 }3 c, o
" a2 M0 ]$ ]3 {8 B' g% R. T) G
  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
( U" e8 ^2 g( w7 f. U0 L2 C* A6 z, j* d. R2 X

8 F; f7 X  B7 I4 [6 X5 E  不管您使用哪种DNS,请遵循以下最佳惯例:
# I: c4 a! ]5 R8 k
% |, t) u  Q, C6 s+ M) Q4 z1 T% T3 _0 g* L: n& N2 p9 F7 \( _- O
  1.在不同的网络上运行分离的域名服务器来取得冗余性。
6 [6 h, p* G+ M# {! ^6 b* O) c8 d8 \( v5 ^4 t8 Q) ^( `3 m
9 w7 B$ Q$ c! ~4 Z7 e
  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。7 z( W  _- c! S+ y% @7 g( P

. C: m  H; L( M6 [; X: U5 x6 z0 S. @& W1 n3 }) w
  3. 可能时,限制动态DNS更新。/ u9 i+ N5 b" m$ V

; d) V, y) b1 L) Q8 b0 a8 {& Y6 G8 k/ l8 c1 v2 O8 Q& L
  4. 将区域传送仅限制在授权的设备上。
) K3 b" d1 b/ ^0 D
: z* H+ v4 m4 ?/ Z4 s4 G: N9 }3 c# V6 S  S/ K. \: N  z6 l/ H0 J; y4 f
  5. 利用事务签名对区域传送和区域更新进行数字签名。4 I* m5 ]) b  p# [* k
3 [* j2 s: S1 K& G& I7 s# R$ Y# R
1 @$ U' f. e2 Q9 N+ c8 |5 d
  6. 隐藏运行在服务器上的BIND版本。* z2 T0 C3 H% l$ O/ m8 r1 j+ j( T
, P+ ?7 J/ v8 m% u( k. T

; t  z# @' I, e" I, w  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
4 |- y" I3 X$ j1 D+ f3 ]- O( W, `, A; k0 f6 B% s, I+ f& S  n" @/ j
* `3 p0 j$ q2 a, n$ `3 [& w
  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
+ t6 d0 l& r) N0 `; M' b* k
; e" C4 T( R# v7 R" I
+ g% d$ }+ ?3 R/ a! U& B  让注册商承担责任
8 j% [2 Y5 n' T
2 _# l9 e# [0 ]: e, F/ o  域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火
/ k9 J/ u- r: y6 p. h) {
3 P3 C* @. d' D/ V8 I* g, E9 q" L' |9 x. O! o2 M" {5 |% S
  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”
; `. v1 b- V' k# I
# L8 k2 z- Q' J' O4 {
& v5 @. @8 @% l8 J, F  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
" E0 N" [! k. j) d+ ]$ s1 g
; I" ~4 |3 b" H, V9 ]( d: H
2 m/ A2 E3 T4 o% }" E0 Z  不管您使用哪种DNS,请遵循以下最佳惯例:
7 s) [$ p/ b2 B% X* _6 K
/ ~8 R* @% X& ^) z- |0 h7 p* H
- t" J$ e: A, @6 R- @  1.在不同的网络上运行分离的域名服务器来取得冗余性。( n3 \* R/ _% e' w1 k

% q6 K) |) [5 P" @
& U9 b# s0 r  N1 a+ t  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
& j; r* B" x7 f" D9 G; \# |8 F9 Z) r7 a* e; ^7 L3 F4 S: Y

2 F% D: X: V% R' U; S5 a3 P4 _/ ^+ i" {0 i, ?: w/ Q- j

% J& y3 G$ D8 e7 l1 v3 c  3. 可能时,限制动态DNS更新。
2 H& Z6 w% Z; \5 n/ @7 U+ Y, y
! O: a! p4 r: U! u$ f$ ?
+ A" l: y- a3 f$ ]0 r  4. 将区域传送仅限制在授权的设备上。; c- Z- K) G. P6 _# _  a

# ^+ r6 p1 ~2 s! G/ P; n( s- Z5 J& x' M' X5 U  Q
  5. 利用事务签名对区域传送和区域更新进行数字签名。1 a3 `5 L% N; D$ V4 [* |3 O+ Y

: z+ F4 e5 W+ F. Z" l9 H6 {* k6 [* t' R" r0 d
  6. 隐藏运行在服务器上的BIND版本。
' a/ z5 O6 Z/ {2 n6 \1 C# [6 O
9 v: `! H9 G1 u
! ?2 Z" U: [) F# J; y- m  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
) q' |0 t( i! d8 Y9 s
2 G7 p2 ~) M2 f0 m; e
+ u. }: ?0 G& e$ q. P3 K3 S  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
作者: 飞天猫    时间: 2012-10-21 17:59
谢谢分享啊。好
作者: bet    时间: 2012-10-21 18:14
天朝的垃圾宽带商那个没有做这种事?
作者: cwj88    时间: 2012-10-21 18:15
感谢楼主的分享
作者: 三月里的小雨    时间: 2012-10-21 18:16
顶一下咯!!!!!!!!!
作者: hyy01311990    时间: 2012-10-21 18:16
谢谢分享,长知识了
作者: lol    时间: 2012-10-21 18:18
感谢楼主的分享,扫盲了。
作者: 村长    时间: 2012-10-21 18:20
多谢楼主给我们普及一下知识
作者: w8814060    时间: 2012-10-21 18:23
终于懂了一点了。。
作者: saab    时间: 2012-10-21 18:34
感谢普及知识
作者: 提款机    时间: 2012-10-21 19:28
多谢楼主给我们普及一下知识
作者: dwer777    时间: 2012-10-21 19:40
感谢楼主分享   又学习到新知识了
作者: 刘得桦    时间: 2012-10-21 19:43
太深奥了。。。
作者: mm3252    时间: 2012-10-21 20:06
略懂就好,深入也没啥意思
作者: shaogui2008    时间: 2012-10-21 20:37
懂了一点点啊
作者: 36391318    时间: 2012-10-21 20:44
谢谢楼主分享了
作者: xiaobingchuma    时间: 2012-10-21 20:55
谢谢楼主的分享
作者: 第一帅围脖    时间: 2012-10-21 20:57
谢谢楼主的教学!
作者: 幸运博彩者123    时间: 2012-10-21 21:41
感谢楼主的分享
作者: 情迷    时间: 2012-10-21 21:42
黑客太TMD可恶了
作者: datuanshan    时间: 2012-10-21 23:27
很详细,楼主对网络很精通!
作者: jiangguo    时间: 2012-10-21 23:38
真心感谢楼主无私分享.
作者: luorunfa88    时间: 2012-10-21 23:41
感谢楼主,很详细0...
作者: 我爱台妹    时间: 2012-10-21 23:46
楼主的提点,让我们了解到整个事件!谢谢!
作者: 卷心菜    时间: 2012-10-21 23:52
谢谢分享  :lol
作者: 上帝也菠菜    时间: 2012-10-22 01:10
卤煮想表达什么。
作者: 妞妞    时间: 2012-10-22 02:37
感谢分享^^呵呵~没看完~好多!!
作者: 慢步云端    时间: 2012-10-22 02:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 鬼拉拉    时间: 2012-10-22 03:31
大概懂了些,谢谢楼主分享了!
作者: wu1968    时间: 2012-10-22 03:52
感谢楼主的分享
作者: 414995670ya    时间: 2012-10-22 04:11
谢谢楼主的分享,楼主知道得很多啊~·
作者: 飞虎神鹰    时间: 2012-10-22 04:52
楼主懂得好多啊!!!厉害哦!
作者: livingtoom922    时间: 2012-10-22 05:40
看看也好,必须知道的
作者: vvvvvv    时间: 2012-10-22 07:24
太深奥了啊,不是专业人士
作者: acer    时间: 2012-10-22 08:23
这个好专业的样子
作者: Terrance    时间: 2012-10-22 08:46
电信都会劫持用户!
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: yongchen    时间: 2012-10-22 10:02
学习了,谢谢了
作者: rich383838    时间: 2012-10-22 10:04
DNS安全问题。。。。。。。。。。。。
作者: 慢步云端    时间: 2012-10-22 10:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: 青年近卫军    时间: 2012-10-22 10:32
天朝的东西要谨慎
作者: l3065807    时间: 2012-10-22 10:34
长知识了这个好
作者: 大脚丫    时间: 2012-10-22 10:35
感谢楼主的分享。
作者: lz452686613    时间: 2012-10-22 10:36
虽然看不懂还是谢谢
作者: yucunjuner    时间: 2012-10-22 11:03
处处都有风险,小人骗子犯罪分子无处不在,哎。



欢迎光临 优惠论坛 (http://tcelue.cc/) Powered by Discuz! X3.1