内外兼修 解析如何阻止域名劫持攻击

简单的说劫持技术就是把原本应去执行的程序劫持后执行攻击者想要运行的程序，同理域名劫持技术是把原本准备访问某网站的用户，劫持到攻击者设定好的网站上。黑客利用域名劫持技术，可以通过提供虚假信息，来收集用户的帐号和密码。

　　近来，黑客攻击行为越来越多的和灰色收入挂钩，用户的虚拟财产、网络银行、以及各种重要的私人信息纷纷受到不同的侵扰。今年3月，SANS发现一次将1,300个著名品牌域名改变链接的攻击行为，这些域名包括ABC、American Express,、Citi以及Verizon Wireless等;1月份，Panix的域名被一名澳大利亚黑客所劫持;4月，Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。

　　目前跟踪域名劫持事件的统计数据还没有一个确切的结果。但反网页欺诈工作组(APWG)认为，这一问题已经相当严重，该工作组已经把域名劫持归到近期工作的重点任务之中。

　　专家们说，域名劫持问题早已经引起了相关机构的重视，随着在线品牌的不断增多，营业额的不断增大，这一问题也更加突出，人们有理由担心，骗子不久将利用这种黑客技术欺骗大量用户，从而获取珍贵的个人信息，以牟取暴利。

　　虽然，域名劫持在技术上和组织上解决起来十分复杂。但目前我们仍然可以采取有效的措施，来保护企业的DNS服务器和域名不被域名骗子所操纵。

　　DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND在过去5年中被指出存在各种安全问题。VeriSign公司首席安全官Ken Silva说，如果您使用基于BIND的DNS服务器，那么请按照DNS管理的最佳惯例去做。

　　SANS首席研究官Johannes认为："目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。"

　　Nominum公司首席科学家、DNS协议创始者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将减少被劫持的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择主要包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。

　　不管您使用哪种DNS，请遵循以下最佳惯例：

　　1.在不同的网络上运行分离的域名服务器来取得冗余性。

　　2.将外部和内部域名服务器分开(物理分割或运行BIND Views)并使用转发器。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制部分DNS服务器与Internet联系。

　　3. 可能时限制动态DNS更新。

　　4. 将区域传送，仅限制在授权的设备上。

　　5. 利用事务签名对区域传送和区域更新进行数字签名。

　　6. 隐藏运行在服务器上的BIND版本。

　　7. 删除运行在DNS服务器上的不需要的服务，如FTP、telnet和HTTP。

　　8. 在网络周边和DNS服务器上使用防火墙服务，将限制在那些DNS功能需要的端口/服务上的访问。

　　域名劫持的问题从组织上着手解决也是重要的一环。不久前黑客修改了Hushmail主域名服务器的IP地址。对此，Hushmail公司的首席技术官 Brian Smith一直很气愤，"黑客如此容易就欺骗了其域名注册商。"

　　Smith说："这件事对于我们来说十分糟糕了。我希望看到域名注册商制定和公布更好的安全政策。但这样做的注册商却很难找到，自劫持事件发生后，我一直在寻找这样的注册商。"