近日,域名注冊管理機(jī)構(gòu)CNNIC發(fā)布了國內(nèi)首份《中國域名服務(wù)及安全現(xiàn)狀報告》�,《報告》中顯示目前我國域名服務(wù)器總量已近百萬��,其中�����,超過50%的域名服務(wù)器被指相對不安全���。對國內(nèi)而言,有57%的信息系統(tǒng)存在域名解析的風(fēng)險�����。以下�����,IDC評述網(wǎng)與大家一齊關(guān)注域名服務(wù)的安全現(xiàn)狀以及防范建議����。
《報告》抽樣調(diào)查了來自各行業(yè)的域名,主要來自政府機(jī)構(gòu)�����、金融機(jī)構(gòu)����、教育機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營商等����。從圖1中可以看出,有風(fēng)險的比例為45%�,風(fēng)險較高的為11%,非常危險的為1%���,這可以統(tǒng)計出處于風(fēng)險狀態(tài)的占57%�,超過了半數(shù)�。而被認(rèn)為安全性良好的僅有11%。《報告》還顯示了�,教育機(jī)構(gòu)的域名服務(wù)系統(tǒng)安全性最差,處于風(fēng)險狀態(tài)的高達(dá)80%�。
對于我國域名服務(wù)器超半數(shù)不安全的情況,我們整理了一些安全防范建議:
建議一:信息在更高或過期的任一環(huán)節(jié)的漏洞都可能會被黑客利用�����,數(shù)據(jù)被篡改�����。因此����,如果想要提高安全性,則要確保域名解析服務(wù)的獨(dú)立性����。在運(yùn)行域名服務(wù)的服務(wù)器不能同時開啟其他端口的服務(wù)。
建議二:域名解析服務(wù)系統(tǒng)所用的軟件非常重要�,如配置不當(dāng)或升級延遲都容易造成漏洞被黑客輕易利用。因此���,需要采用安全的操作系統(tǒng)平臺和域名解析軟件���,并且要時刻關(guān)注軟件商發(fā)布的最新安全漏洞信息��,及時升級軟件系統(tǒng)���。
建議三:黑客通常利用域名劫持控制DNS服務(wù)器����,從而使網(wǎng)民訪問該域名時,進(jìn)入指向的內(nèi)容�。國內(nèi)的CN域名被劫持,能較輕易地拿回控制權(quán)�,而國際域名要奪回域名則較為復(fù)雜。因此��,用戶要選擇安全性較高�����、服務(wù)便捷的域名服務(wù)機(jī)構(gòu)和注冊管理機(jī)構(gòu)��,并且隱藏域名解析軟件及操作系統(tǒng)等版本信息�,最后還要限制域名區(qū)文件的傳送權(quán)限。
建議四:使用入侵檢測系統(tǒng)�����,盡可能地檢測出中間人攻擊行為,雖然其檢測和防御都十分困難��。除此之外還要對域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量�����、數(shù)據(jù)包進(jìn)行監(jiān)控�。最后可以監(jiān)控域名協(xié)議是否正常,判斷數(shù)據(jù)是否有變動��。在條件允許的情況下����,可以對不同網(wǎng)絡(luò)內(nèi)部部署多個探測點(diǎn)分布式監(jiān)控。
建議五:為防止分布式拒絕服務(wù)攻擊��,網(wǎng)站建設(shè)建議提供域名服務(wù)的服務(wù)器數(shù)量不低于2臺���,番禺網(wǎng)頁設(shè)計并且部署在不同的物理網(wǎng)絡(luò)環(huán)境中�����。除此外�,要限制遞歸服務(wù)的服務(wù)范圍,并利用流量分析工具檢測DDoS攻擊及時采取應(yīng)急措施�����。
建議六:域名服務(wù)部署時需要考慮單節(jié)點(diǎn)故障問題�����,番禺做網(wǎng)站公司所涉及到的路由器�����、交換機(jī)等均需要冗余備份能力����,建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)��。番禺網(wǎng)站設(shè)計要保留最新的3個月的全部解析日志���。并且建議對重要的域名信息系統(tǒng)采取7×24的維護(hù)機(jī)制保障����。應(yīng)急響應(yīng)到場時間不能遲于30分鐘�����。
結(jié)語:域名安全番禺網(wǎng)站建設(shè)問題事件層出不窮,據(jù)消息稱�,2009年暴風(fēng)影音受域名攻擊事件廣州做網(wǎng)站公司造成大面積斷網(wǎng),損失238萬元���;今年��,百度遭域名劫持�����,估計損失過千萬����。域名安全問題�,日益顯得不容忽視。
粵公網(wǎng)安備44011302004697
