优惠论坛

标题: 网址劫持说明 [打印本页]
作者: zayoxo    时间: 2012-10-21 17:58
标题: 网址劫持说明
本帖最后由 zayoxo 于 2012-10-21 18:01 编辑 0 [/ @6 ^: L8 G2 q9 a

/ _2 z9 f6 d8 \# Q& y/ i- j      简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 
# s: D2 N- }7 s6 l$ X$ U4 t
9 [; Y2 w9 T# \8 x2 z+ Z, v- Q4 ]+ h/ V" d% l2 U! @5 t! L
  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1,300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express, Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。5 E) b+ I2 Z! ~; Y+ @6 q: a! [4 k  n
: Q5 p2 c2 n! ^% \, A4 ?1 J
7 m) h' ~4 ?8 k, n$ j: r5 f5 `
  跟踪域名劫持事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)认为,这一问题已经相当严重,该工作组已经把域名劫持归到近期工作的重点任务之中。; Z6 `7 a3 R3 Z& r( _
9 b8 ?# }$ n  K1 c! n, U

+ [$ B0 A+ J* G! y/ O  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。& c  ?; B5 h, M5 S; [( T

' o6 y$ F1 v  l. c5 ^! Y! ~% R0 X' d
  虽然,域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。
0 G7 C: U; T" z4 N4 g
: G) V8 e4 i( f: R0 G
0 T2 z; O0 c/ j1 P
8 ?' n% U( g5 G; a' r' F9 n破解困境7 L6 A9 k8 Q. z7 l

+ i8 S/ f! S! M$ h5 p4 {
6 ~/ |! l# C. t, B  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。
8 S( ^( v5 G  b4 [! g. e" d; M$ L3 C( r
, ^* c. ?8 s+ b- O
  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”- W) [7 L0 h) q" y. V$ b$ n9 A5 c/ e- d

2 A7 j1 n, e# W6 z  Y& e. B( w$ m

, B( s# U" f2 i8 o. U3 K3 |1 S. M  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。9 Z$ G! P- G4 d4 B  m: l) p; t
$ q% y4 i/ z, V( y) V+ i9 r. _9 y

, W( T  v4 Q, Q4 T' _( k5 q  不管您使用哪种DNS,请遵循以下最佳惯例:
% c* x6 |: }; c6 j0 G' V
& C3 z0 Z' R6 q4 J0 q. W1 S- s1 }) i' F6 |. u4 |% b& v% z
  1.在不同的网络上运行分离的域名服务器来取得冗余性。, b) E! X. H4 |0 R' S

- m/ E) j0 a) I9 W6 v. L+ g; c: a# O
  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。: @7 B/ R; N7 |, L/ n: m
5 u# l% d5 i  P% o- x) }

4 s: `! J+ P2 ^9 Q0 U, T' y, A! @8 N  3. 可能时,限制动态DNS更新。
# W& d. K3 A" m: g" E/ ^7 {: b
  u- C0 O+ ~' z3 ~5 m; i& A5 ]1 v" }# i* H$ K3 W- d
  4. 将区域传送仅限制在授权的设备上。' l8 Z0 [' d# d- j1 r4 u4 d3 R

0 p! {8 y# v2 C4 S- e9 o2 m; a/ F: ?( Z7 T/ ]* I
  5. 利用事务签名对区域传送和区域更新进行数字签名。
8 \5 J/ Z" K; ?; a
, `. W& a* j; F3 W
- M, [/ M+ \; Y  Q6 h7 [  6. 隐藏运行在服务器上的BIND版本。
3 t( C6 l$ z) ?9 X& M8 z2 T' u0 W% L1 q) B

: ~* c0 f' k8 Q1 F  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
2 b6 J" R% k6 \, L& C% I
9 v( O" W9 f- z
0 S( K, N. U5 _! {! {* x  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
. |% E* C" b6 M7 h# U
: v! X) Z- Z$ X2 v- Q2 O  s) Z  n( L
  让注册商承担责任
, K: Q- f3 I3 Z) Y0 v* U( f/ H5 w8 D0 B. J" {! D
  域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火
4 W  a; z: [3 P- S! n
5 U; N, g% C) U& _* X+ l
& g( w, n4 b+ \1 Z7 Z1 p  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”7 P2 c6 E2 P! t( ~* r1 G* _

7 f6 g: N6 j1 @; |9 x, Y, T
' o9 n0 {) E+ r& b" ?, X  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
7 `" \/ K5 P  o3 k* v6 ~5 }  r' ?. x4 x: n+ `% y# g6 W

6 P# {7 i: d4 |# Q. K8 u+ z! }  不管您使用哪种DNS,请遵循以下最佳惯例:
5 ]4 ^& D% E" q0 ]% M! q% X1 j; y/ B, K  a
! u+ D& c" T! W$ O* ]% t) p
  1.在不同的网络上运行分离的域名服务器来取得冗余性。
, j- K  y  H7 |; ]4 D
5 C4 C8 h7 [5 @% ]1 d
0 m. R9 N' x0 }; f; H' `9 z! r  2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
1 K1 S3 G* e1 X, q- R) o1 q, E& \* r* u' K# F, F  I
6 X/ p1 x7 o: A+ S/ y( ^, L+ c
8 @; K! u3 L2 V$ [8 N8 r

8 B/ u! v/ @- u# S! }5 [0 n' ]$ f" H! w  3. 可能时,限制动态DNS更新。& e7 u5 H# i! {: a

$ D$ {! ~$ K/ @5 \6 z
5 I/ o* Z9 j6 H8 `) |2 K0 A, S3 ^0 f  4. 将区域传送仅限制在授权的设备上。
7 i1 i" P1 r" {1 P5 L9 h
( \0 T' P+ ~1 W. Y1 c' m8 c8 P! g; z+ `$ G7 l
  5. 利用事务签名对区域传送和区域更新进行数字签名。  O4 P: }; z! c) l$ u

1 D. _, m* m  ?$ P) X8 x( q8 t6 U# c" U' M$ `/ b8 G
  6. 隐藏运行在服务器上的BIND版本。
1 ?. a: S$ \; ?' w5 Z' ~6 W3 @/ A) V/ B) M# M! S+ u# ^

! ]( ^9 s, j" A  z8 A  a, _' K  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
7 s1 @/ Z$ j3 f7 C/ j0 K) i9 g( H$ r! g1 O6 r7 R7 p1 w7 ^

4 K! h- O$ {2 D5 s) g: q  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
作者: 飞天猫    时间: 2012-10-21 17:59
谢谢分享啊。好
作者: bet    时间: 2012-10-21 18:14
天朝的垃圾宽带商那个没有做这种事?
作者: cwj88    时间: 2012-10-21 18:15
感谢楼主的分享
作者: 三月里的小雨    时间: 2012-10-21 18:16
顶一下咯!!!!!!!!!
作者: hyy01311990    时间: 2012-10-21 18:16
谢谢分享,长知识了
作者: lol    时间: 2012-10-21 18:18
感谢楼主的分享,扫盲了。
作者: 村长    时间: 2012-10-21 18:20
多谢楼主给我们普及一下知识
作者: w8814060    时间: 2012-10-21 18:23
终于懂了一点了。。
作者: saab    时间: 2012-10-21 18:34
感谢普及知识
作者: 提款机    时间: 2012-10-21 19:28
多谢楼主给我们普及一下知识
作者: dwer777    时间: 2012-10-21 19:40
感谢楼主分享   又学习到新知识了
作者: 刘得桦    时间: 2012-10-21 19:43
太深奥了。。。
作者: mm3252    时间: 2012-10-21 20:06
略懂就好,深入也没啥意思
作者: shaogui2008    时间: 2012-10-21 20:37
懂了一点点啊
作者: 36391318    时间: 2012-10-21 20:44
谢谢楼主分享了
作者: xiaobingchuma    时间: 2012-10-21 20:55
谢谢楼主的分享
作者: 第一帅围脖    时间: 2012-10-21 20:57
谢谢楼主的教学!
作者: 幸运博彩者123    时间: 2012-10-21 21:41
感谢楼主的分享
作者: 情迷    时间: 2012-10-21 21:42
黑客太TMD可恶了
作者: datuanshan    时间: 2012-10-21 23:27
很详细,楼主对网络很精通!
作者: jiangguo    时间: 2012-10-21 23:38
真心感谢楼主无私分享.
作者: luorunfa88    时间: 2012-10-21 23:41
感谢楼主,很详细0...
作者: 我爱台妹    时间: 2012-10-21 23:46
楼主的提点,让我们了解到整个事件!谢谢!
作者: 卷心菜    时间: 2012-10-21 23:52
谢谢分享  :lol
作者: 上帝也菠菜    时间: 2012-10-22 01:10
卤煮想表达什么。
作者: 妞妞    时间: 2012-10-22 02:37
感谢分享^^呵呵~没看完~好多!!
作者: 慢步云端    时间: 2012-10-22 02:53
提示: 作者被禁止或删除 内容自动屏蔽
作者: 鬼拉拉    时间: 2012-10-22 03:31
大概懂了些,谢谢楼主分享了!
作者: wu1968    时间: 2012-10-22 03:52
感谢楼主的分享
作者: 414995670ya    时间: 2012-10-22 04:11
谢谢楼主的分享,楼主知道得很多啊~·
作者: 飞虎神鹰    时间: 2012-10-22 04:52
楼主懂得好多啊!!!厉害哦!
作者: livingtoom922    时间: 2012-10-22 05:40
看看也好,必须知道的
作者: vvvvvv    时间: 2012-10-22 07:24
太深奥了啊,不是专业人士
作者: acer    时间: 2012-10-22 08:23
这个好专业的样子
作者: Terrance    时间: 2012-10-22 08:46
电信都会劫持用户!
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: xsq888    时间: 2012-10-22 09:35
谢谢分享啊。好
作者: yongchen    时间: 2012-10-22 10:02
学习了,谢谢了
作者: rich383838    时间: 2012-10-22 10:04
DNS安全问题。。。。。。。。。。。。
作者: 慢步云端    时间: 2012-10-22 10:20
提示: 作者被禁止或删除 内容自动屏蔽
作者: 青年近卫军    时间: 2012-10-22 10:32
天朝的东西要谨慎
作者: l3065807    时间: 2012-10-22 10:34
长知识了这个好
作者: 大脚丫    时间: 2012-10-22 10:35
感谢楼主的分享。
作者: lz452686613    时间: 2012-10-22 10:36
虽然看不懂还是谢谢
作者: yucunjuner    时间: 2012-10-22 11:03
处处都有风险,小人骗子犯罪分子无处不在,哎。



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1