系统集成论坛

标题: 如何防范服务器缓存投毒和域名劫持 [打印本页]

作者: QQ915957052 时间: 2011-10-17 14:35
标题: 如何防范服务器缓存投毒和域名劫持
域名相当于企业的门牌号码，如果被别人偷偷的盗去挂在他们自己墙上，势必会造成不必要的误会和损失，这和网络中的域名劫持是一个意思，企业应如如何防范这种风险呢，下面天下数据就为您简单介绍下如何防范自己的域名被劫持。
简单来说，域名劫持就是把原本准备访问某网站的用户，在不知不觉中，劫持到仿冒的网站上，例如用户准备访问某家知名品牌的网上商店，黑客就可以通过域名劫持的手段，把其带到假的网上商店，同时收集用户的ID信息和密码等。 
　这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。跟踪域名劫持事件的统计数据目前还没有。不过，反网页欺诈工作组(APWG)认为，这一问题已经相当严重，该工作组已经把域名劫持归到近期工作的重点任务之中。 
专家们说，缓存投毒和域名劫持问题早已经引起了相关机构的重视，而且，随着在线品牌的不断增多，营业额的不断增大，这一问题也更加突出，人们有理由担心，骗子不久将利用这种黑客技术欺骗大量用户，从而获取珍贵的个人信息，引起在线市场的混乱。 
虽然，域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下，我们还是可以采取一些措施，来保护企业的DNS服务器和域名不被域名骗子所操纵。
不管您使用哪种DNS，请遵循以下最佳惯例： 
1、在不同的网络上运行分离的域名服务器来取得冗余性。
2、将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。 
3、可能时，限制动态DNS更新。
4、将区域传送仅限制在授权的设备上。
5、隐藏运行在服务器上的BIND版本。 
6、利用事务签名对区域传送和区域更新进行数字签名。 
7、在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
8、删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。
了解更多请联系我们
上海安畅网络有限公司  www.51idc.com
地址：上海市呼兰西路1号智力产业园 4号楼 2B 邮编：200443
联系人：刘勇 13817709530  联系电话：021-60832266-6628 传真：021-60832277
QQ：915957052  邮箱：liuy@anchnet.com

作者: QQ915957052 时间: 2011-10-17 14:46
学习。。。。

作者: QQ915957052 时间: 2011-10-17 16:34
顶上去

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)