近日,域名注冊管理機構CNNIC發(fā)布了國內首份《中國域名服務及安全現(xiàn)狀報告》��,《報告》中顯示目前我國域名服務器總量已近百萬��,其中��,超過50%的域名服務器被指相對不安全���。對國內而言�,有57%的信息系統(tǒng)存在域名解析的風險。以下�,IDC評述網與大家一齊關注域名服務的安全現(xiàn)狀以及防范建議。
《報告》抽樣調查了來自各行業(yè)的域名�,主要來自政府機構、金融機構���、教育機構����、網絡運營商等��。從圖1中可以看出����,有風險的比例為45%���,風險較高的為11%,非常危險的為1%�,這可以統(tǒng)計出處于風險狀態(tài)的占57%,超過了半數(shù)���。而被認為安全性良好的僅有11%���。《報告》還顯示了�����,教育機構的域名服務系統(tǒng)安全性最差��,處于風險狀態(tài)的高達80%�����。
對于我國域名服務器超半數(shù)不安全的情況���,我們整理了一些安全防范建議:
建議一:信息在更高或過期的任一環(huán)節(jié)的漏洞都可能會被黑客利用��,數(shù)據(jù)被篡改�。因此,如果想要提高安全性��,則要確保域名解析服務的獨立性�����。在運行域名服務的服務器不能同時開啟其他端口的服務���。
建議二:域名解析服務系統(tǒng)所用的軟件非常重要���,如配置不當或升級延遲都容易造成漏洞被黑客輕易利用。因此�,需要采用安全的操作系統(tǒng)平臺和域名解析軟件��,并且要時刻關注軟件商發(fā)布的最新安全漏洞信息���,及時升級軟件系統(tǒng)����。
建議三:黑客通常利用域名劫持控制DNS服務器�����,從而使網民訪問該域名時,進入指向的內容��。國內的CN域名被劫持���,能較輕易地拿回控制權�,而國際域名要奪回域名則較為復雜�����。因此�����,用戶要選擇安全性較高��、服務便捷的域名服務機構和注冊管理機構�,并且隱藏域名解析軟件及操作系統(tǒng)等版本信息,最后還要限制域名區(qū)文件的傳送權限�����。
建議四:使用入侵檢測系統(tǒng)��,盡可能地檢測出中間人攻擊行為,雖然其檢測和防御都十分困難����。除此之外還要對域名服務器邊界網絡設備的流量、數(shù)據(jù)包進行監(jiān)控��。最后可以監(jiān)控域名協(xié)議是否正常����,判斷數(shù)據(jù)是否有變動。在條件允許的情況下���,可以對不同網絡內部部署多個探測點分布式監(jiān)控����。
建議五:為防止分布式拒絕服務攻擊�����,網站建設建議提供域名服務的服務器數(shù)量不低于2臺�,番禺網頁設計并且部署在不同的物理網絡環(huán)境中�����。除此外,要限制遞歸服務的服務范圍����,并利用流量分析工具檢測DDoS攻擊及時采取應急措施。
建議六:域名服務部署時需要考慮單節(jié)點故障問題�����,番禺做網站公司所涉及到的路由器��、交換機等均需要冗余備份能力�����,建立完善的數(shù)據(jù)備份機制和日志管理系統(tǒng)�。番禺網站設計要保留最新的3個月的全部解析日志。并且建議對重要的域名信息系統(tǒng)采取7×24的維護機制保障�����。應急響應到場時間不能遲于30分鐘�����。
結語:域名安全番禺網站建設問題事件層出不窮�����,據(jù)消息稱,2009年暴風影音受域名攻擊事件廣州做網站公司造成大面積斷網���,損失238萬元�����;今年��,百度遭域名劫持�����,估計損失過千萬���。域名安全問題,日益顯得不容忽視��。
粵公網安備44011302004697
