近日,域名注冊(cè)管理機(jī)構(gòu)CNNIC發(fā)布了國(guó)內(nèi)首份《中國(guó)域名服務(wù)及安全現(xiàn)狀報(bào)告》,《報(bào)告》中顯示目前我國(guó)域名服務(wù)器總量已近百萬,其中,超過50%的域名服務(wù)器被指相對(duì)不安全。對(duì)國(guó)內(nèi)而言,有57%的信息系統(tǒng)存在域名解析的風(fēng)險(xiǎn)。以下,IDC評(píng)述網(wǎng)與大家一齊關(guān)注域名服務(wù)的安全現(xiàn)狀以及防范建議。
《報(bào)告》抽樣調(diào)查了來自各行業(yè)的域名,主要來自政府機(jī)構(gòu)、金融機(jī)構(gòu)、教育機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營(yíng)商等。從圖1中可以看出,有風(fēng)險(xiǎn)的比例為45%,風(fēng)險(xiǎn)較高的為11%,非常危險(xiǎn)的為1%,這可以統(tǒng)計(jì)出處于風(fēng)險(xiǎn)狀態(tài)的占57%,超過了半數(shù)。而被認(rèn)為安全性良好的僅有11%。《報(bào)告》還顯示了,教育機(jī)構(gòu)的域名服務(wù)系統(tǒng)安全性最差,處于風(fēng)險(xiǎn)狀態(tài)的高達(dá)80%。
對(duì)于我國(guó)域名服務(wù)器超半數(shù)不安全的情況,我們整理了一些安全防范建議:
建議一:信息在更高或過期的任一環(huán)節(jié)的漏洞都可能會(huì)被黑客利用,數(shù)據(jù)被篡改。因此,如果想要提高安全性,則要確保域名解析服務(wù)的獨(dú)立性。在運(yùn)行域名服務(wù)的服務(wù)器不能同時(shí)開啟其他端口的服務(wù)。
建議二:域名解析服務(wù)系統(tǒng)所用的軟件非常重要,如配置不當(dāng)或升級(jí)延遲都容易造成漏洞被黑客輕易利用。因此,需要采用安全的操作系統(tǒng)平臺(tái)和域名解析軟件,并且要時(shí)刻關(guān)注軟件商發(fā)布的最新安全漏洞信息,及時(shí)升級(jí)軟件系統(tǒng)。
建議三:黑客通常利用域名劫持控制DNS服務(wù)器,從而使網(wǎng)民訪問該域名時(shí),進(jìn)入指向的內(nèi)容。國(guó)內(nèi)的CN域名被劫持,能較輕易地拿回控制權(quán),而國(guó)際域名要奪回域名則較為復(fù)雜。因此,用戶要選擇安全性較高、服務(wù)便捷的域名服務(wù)機(jī)構(gòu)和注冊(cè)管理機(jī)構(gòu),并且隱藏域名解析軟件及操作系統(tǒng)等版本信息,最后還要限制域名區(qū)文件的傳送權(quán)限。
建議四:使用入侵檢測(cè)系統(tǒng),盡可能地檢測(cè)出中間人攻擊行為,雖然其檢測(cè)和防御都十分困難。除此之外還要對(duì)域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進(jìn)行監(jiān)控。最后可以監(jiān)控域名協(xié)議是否正常,判斷數(shù)據(jù)是否有變動(dòng)。在條件允許的情況下,可以對(duì)不同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測(cè)點(diǎn)分布式監(jiān)控。
建議五:為防止分布式拒絕服務(wù)攻擊,網(wǎng)站建設(shè)建議提供域名服務(wù)的服務(wù)器數(shù)量不低于2臺(tái),番禺網(wǎng)頁設(shè)計(jì)并且部署在不同的物理網(wǎng)絡(luò)環(huán)境中。除此外,要限制遞歸服務(wù)的服務(wù)范圍,并利用流量分析工具檢測(cè)DDoS攻擊及時(shí)采取應(yīng)急措施。
建議六:域名服務(wù)部署時(shí)需要考慮單節(jié)點(diǎn)故障問題,番禺做網(wǎng)站公司所涉及到的路由器、交換機(jī)等均需要冗余備份能力,建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。番禺網(wǎng)站設(shè)計(jì)要保留最新的3個(gè)月的全部解析日志。并且建議對(duì)重要的域名信息系統(tǒng)采取7×24的維護(hù)機(jī)制保障。應(yīng)急響應(yīng)到場(chǎng)時(shí)間不能遲于30分鐘。
結(jié)語:域名安全番禺網(wǎng)站建設(shè)問題事件層出不窮,據(jù)消息稱,2009年暴風(fēng)影音受域名攻擊事件廣州做網(wǎng)站公司造成大面積斷網(wǎng),損失238萬元;今年,百度遭域名劫持,估計(jì)損失過千萬。域名安全問題,日益顯得不容忽視。
粵公網(wǎng)安備44011302004697
