DNS扫盲系列之七:关注域名安全
2014-11-15 22:51
190 查看
网络安全不应该只停留在口头上,事实证明网络安全隐患遍布互联网。近期Twitter与Baidu出现的问题如出一辙。以下多出自本人见解未必全面,仅供探讨。
纵观网络安全大体分为这么几个层面:
1.互联网线路的安全隐患,如数据包中途探嗅与篡改、骨干路由器被入侵等,这个层面是网络运营商的问题,我们作为互联网用户是无力涉及的。
2.服务器安全隐患,包括操作系统、运行的软件及服务器自身的物理安全问题等。提升服务器安全总的原则是“一多一少”,一多是做个勤快的管理员,多多关注软件的BUG公布并及时升级软件。一少是尽量少的运行非必要的程序,尽量少的向互联网开放网络端口。举个简单的例子,互联网上很大部分的服务器都向外开放SQL数据库的监听端口,真不知道管理员是怎么想的。
3.一度被人遗忘的角落就是域名的安全,究其原因主要是很少人真正认识域名与DNS体系,缺乏相关的技术支持。
本文将就上面提到的“3”即域名安全问题展开。
首先了解一下域名体系现存的安全隐患。主要有如下3个方面:
1.域名管理平台的安全问题,有能力出售域名的商家多如牛毛,但有能力管理好域名的就很少。我们知道通常情况下域名提供商对其出售的域名提供权威DNS来解析域名,并且提供域名管理平台(WEB管理平台)。域名管理平台主要功能首先是登录验证并添加/修改域名的NS、A、CNAME、MX、TXT等记录。一旦这个域名管理平台发生问题,后果不言而喻。Twitter与Baidu出现的问题就是通过域名管理平台篡改了域名的NS记录导致的。现实中域名所有者安全意识淡薄往往设置非常简单的登录管理密码,或表现为从来不更新密码,这都是危险的信号。
2.网络运营商的恶意拦截域名解析,这个现象多出现在国内。具体表现为地方性域名解析异常。其做法一般是运营商在所属的公用DNS上硬性绑定域名解析到特定IP地址上。深层次原因无非是利益驱动。
3.病毒、木马等滋事捣乱,这个只发生在受侵害的计算机上,具体表现为本机DNS地址被篡改为一个恶意DNS上,导致解析异常。
解决之道:
1.针对域名管理平台的安全问题,普通大众(穷人)由于受各种条件限制能做的不多:首先选择比较好的域名提供商并树立起域名安全意识。对大型网站能做的就比较多(主要是有钱啊,如google、baidu等):首先是直接向域名机构购买域名(跳过域名提供商),用自己的域名管理平台管理域名(当然这个后台是不对外的,用的时候开机,平时在保险柜),这就从根本上遏制了“黑客”的滋扰。
2.对于网络运营商的恶意拦截域名解析,受害者通常是无权无钱的。能做的只能是向其上级部门申诉,祈祷上帝帮忙了。
3.针对病毒、木马等滋事捣乱,涉及面较小,没啥可说的,杀之而后快。
纵观网络安全大体分为这么几个层面:
1.互联网线路的安全隐患,如数据包中途探嗅与篡改、骨干路由器被入侵等,这个层面是网络运营商的问题,我们作为互联网用户是无力涉及的。
2.服务器安全隐患,包括操作系统、运行的软件及服务器自身的物理安全问题等。提升服务器安全总的原则是“一多一少”,一多是做个勤快的管理员,多多关注软件的BUG公布并及时升级软件。一少是尽量少的运行非必要的程序,尽量少的向互联网开放网络端口。举个简单的例子,互联网上很大部分的服务器都向外开放SQL数据库的监听端口,真不知道管理员是怎么想的。
3.一度被人遗忘的角落就是域名的安全,究其原因主要是很少人真正认识域名与DNS体系,缺乏相关的技术支持。
本文将就上面提到的“3”即域名安全问题展开。
首先了解一下域名体系现存的安全隐患。主要有如下3个方面:
1.域名管理平台的安全问题,有能力出售域名的商家多如牛毛,但有能力管理好域名的就很少。我们知道通常情况下域名提供商对其出售的域名提供权威DNS来解析域名,并且提供域名管理平台(WEB管理平台)。域名管理平台主要功能首先是登录验证并添加/修改域名的NS、A、CNAME、MX、TXT等记录。一旦这个域名管理平台发生问题,后果不言而喻。Twitter与Baidu出现的问题就是通过域名管理平台篡改了域名的NS记录导致的。现实中域名所有者安全意识淡薄往往设置非常简单的登录管理密码,或表现为从来不更新密码,这都是危险的信号。
2.网络运营商的恶意拦截域名解析,这个现象多出现在国内。具体表现为地方性域名解析异常。其做法一般是运营商在所属的公用DNS上硬性绑定域名解析到特定IP地址上。深层次原因无非是利益驱动。
3.病毒、木马等滋事捣乱,这个只发生在受侵害的计算机上,具体表现为本机DNS地址被篡改为一个恶意DNS上,导致解析异常。
解决之道:
1.针对域名管理平台的安全问题,普通大众(穷人)由于受各种条件限制能做的不多:首先选择比较好的域名提供商并树立起域名安全意识。对大型网站能做的就比较多(主要是有钱啊,如google、baidu等):首先是直接向域名机构购买域名(跳过域名提供商),用自己的域名管理平台管理域名(当然这个后台是不对外的,用的时候开机,平时在保险柜),这就从根本上遏制了“黑客”的滋扰。
2.对于网络运营商的恶意拦截域名解析,受害者通常是无权无钱的。能做的只能是向其上级部门申诉,祈祷上帝帮忙了。
3.针对病毒、木马等滋事捣乱,涉及面较小,没啥可说的,杀之而后快。
相关文章推荐
- DNS扫盲系列之四:关注域名迁移
- DNS扫盲系列之二:域名解析及DNS功能分类
- 域名劫持事件接连发生 关注DNS安全刻不容缓
- DNS扫盲系列之五:域名配置ZONE文件
- DNS扫盲系列之七:关注域名安全
- 程序员之网络安全系列(一):为什么要关注网络安全?
- DNS扫盲系列之三:有关智能DNS(BIND+VIEW)
- DNS解析与域名服务安全防护策略
- 我国域名攻击日均58起 高安全DNS防御系统建设刻不容缓
- DNS安全浅议、域名A记录(ANAME),MX记录,CNAME记录
- 企业域名更换操作系列3:增加新域名所需DNS相关记录
- Server系列13:以小见大:探寻DNS在企业域环境中的安全运用
- 域名劫持事件接连发生 关注DNS安全刻不容缓
- 全球恶意软件增长278%,DNS域名漏洞最惹关注!
- 扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
- Hexo系列教程之二:购买域名、设置DNS
- DNS服务系列之一:泛域名解析的安全案例
- DNS服务系列之二:DNS区域传送漏洞的安全案例
- DNS扫盲系列之一:有关公网DNS
- Google正式启用 DNS-Over-HTTPS 域名安全查询服务