关键词:
帮帮忙
参考技术A 直接问我就是了啊!那这么麻烦啊!!谈到网络安全,你可能熟悉网页欺诈的危险,但是知道域欺骗(pharming)威胁吗?对于一家在线公司来说,这种风险是致命的!简单来说,域欺骗就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域欺骗的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。
这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express、Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。
跟踪域欺骗事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)已经把域欺骗归到近期工作的重点任务之中。
专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。
虽然,域欺骗在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。
破解困境
DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。
SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
不管您使用哪种DNS,请遵循BlueCat Networks公司总裁Michael Hyatt提供的以下最佳惯例:
1、在不同的网络上运行分离的域名服务器来取得冗余性。
2、将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
3、可能时,限制动态DNS更新。
4、将区域传送限制在授权设备上。
5、利用事务签名对区域传送和区域更新进行数字签名。
6、隐藏服务器上的BIND版本。
7、删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
8、在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
让注册商承担责任
域欺骗的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。
Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”
Panix.com总裁Alex Resin在因注册商方面的问题,导致今年1月Panix域名遭劫持时,也感受到了同样强烈的不满。首先,他的注册商在没有事先通知的情况下,将他的域名注册卖给了一家转销商。然后,这家转销商又把域名转移给了一个社会工程人员——同样也没有通知Resin。
Resin说:“域名系统需要系统的、根本的改革。现在有很多的建议,但事情进展的不够快。”
等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策,还将需要长时间。因此,Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议:
1、要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话,要求他们及时与您联系的条款写在书面文件中。
2、锁定域名,要求注册商在得到解锁的口令或其他身份信息后才允许转移。
3、使您保存在注册商那里的正式联系信息保持最新状态。
4、选择提供24×7服务的注册商,这样他们可以在发生违规事件时迅速采取行动。
5、如果发生未经授权的转移,立即与有关注册商联系。
6、如果您的问题没有得到解决,去找您的域名注册机构(例如,VeriSign负责.com和.net的注册)。
7、如果您在拿回自己的域名时仍遇到问题,与ICANN联系(transfers@ICANN.org)。
8、如果拥有一个大型域,那就像Google那样,成为自己的注册商或者自己的转销商,利用TuCows.com的开放API,OpenSRS,来控制您的所有域名。 参考技术B 买个外置防火墙绝对可靠,不过很贵 参考技术C 只能加防火墙了吧...
防范点击劫持(代码片段)
...不知不觉中就进行了某些不安全的操作。 二、使用JS防范判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。当然你还可以恶 查看详情
什么是dns缓存投毒?有哪些危害?
...通过查找并利用DNS系统中存在的漏洞,将流量从合法服务器引导至虚假服务器上的攻击方式。与一般的钓鱼攻击采用非法URL不同的是,这种攻击使用的是合法URL地址。DNS缓存中毒如何工作?在实际的DNS解析过程中... 查看详情
为什么要有dns?是如何查询的?工作原理是什么?(代码片段)
...~前言DNS是什么,它解决了什么问题?简述DNS查询服务器的基本流程什么是DNS劫持、DNS欺骗、是什么原理?如何防范DNS攻击?文章目录前言DNS是什么DNS工作原理两种查询方式迭代查询:递归查询:现象DNS劫... 查看详情
如何利用dns漏洞入侵
...感染攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和... 查看详情
arp渗透与攻防之ettercapdns劫持(代码片段)
...认占用53端口,它本身的实质上一个域名和ip的数据库服务器,他要完成的任务是帮我们把输入的域名转换成ip地址,之后通过ip寻址连接目标服务器。2.工作过程当访问一个网站时系统将从DNS缓存中读取该域名所对应... 查看详情
如何解决网站被恶意劫持?
...网站安装一个SSL证书,它的主要功能就是数据加密传输和服务器身份验证,其好处是:1、提升企业网站排名目前Google、百度等主流搜索引擎表示会优先收录以HTTPS开头的网站,并赋予网站高权重,有效提高网站关键词的排名。网... 查看详情
exp7网络欺诈技术防范(代码片段)
...局域网下比较容易受到DNSspoof攻击,攻击者可以冒充域名服务器,来发送伪造的数据包,从而修改目标主机的DNS缓存表,达到DNS欺骗的目的。连公共场合的免费WiFi也容易受到攻击。2、在日常生活工作中如何防范以上两攻击方法... 查看详情
端口漏洞复习
...p:邮件服务邮件伪造53DNS:域名系统DNS区域传输DNS劫持DNS缓存投毒DNS欺骗利用D 查看详情
如何验证dns服务器是不是支持dnssec
...感染攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和... 查看详情
20155202张旭exp7网络欺诈技术防范(代码片段)
...局域网下比较容易受到DNSspoof攻击,攻击者可以冒充域名服务器,来发送伪造的数据包,从而修改目标主机的DNS缓存表,达到DNS欺骗的目的;连公共场合的免费WiFi也容易受到攻击,尤其是那种不需要输入密码直接就可以连接的更... 查看详情
什么是dns劫持?如何应对dns劫持?
...且有效的互联网攻击方式,供给制通过攻击域名解析服务器(DNS)或伪造域名解析服务器的方法,篡改目标网站的解析结果,将目标网站的域名解析到错误的地址,导致访问该网站的用户被劫持到被指定的... 查看详情
钓鱼网站制作以及防范(这里重点说防范)
和想制作网站相类似的域名购买免备案服务器解析域名制作想冒充的网站源码(这个网上有可多源码修改后就可以用)上传源码(制作就不详细说了)第一、用杀毒软件进行监控第二、核对网站域名假冒网站一般和真实网站有细微... 查看详情
web服务器点击劫持(clickjacking)的安全防范(代码片段)
一.介绍ClickJacking即点击劫持,是一种将恶意代码经过处理使其变成透明、不可见的iframe,并将其覆盖在一个网页上,然后诱使用户在该网页上进行点击操作。通过改变iframe的在页面的位置,可以诱使用户正好点击... 查看详情
六项措施防范cc攻击
...,同时也是使企业管理员们头疼的方式之一。如何防护好服务器,防范CC攻击又成为了管理员们所关心的话题。(1).防范CC攻击之取消域名绑定一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是“www.gslw.com”,那么... 查看详情
如何防范tcpsynflood攻击
TCPSYNFlood攻击的原理机制/检测与防范及防御方法现在的攻击者,无所不在了.对于一些攻击手法,很多高手也都是看在眼里而没什么实质性防范措施.除了改端口,换IP,弄域名..还能做什么?本篇文章介绍了TCPSYNFlood攻击的原理机制/检测... 查看详情
20145317彭垚《网络对抗》exp7网络欺诈技术防范
...局域网下比较容易受到DNSspoof攻击,攻击者可以冒充域名服务器,来发送伪造的数据包,从而修改目标主机的DNS缓存表,达到DNS欺骗的目的;连公共场合的免费WiFi也容易受到攻击,尤其是那种不需要输入密码直接就可以连接的更... 查看详情
如何让 Java 遵守 DNS 缓存超时?
...域名。通过一些DNS魔术,域名被解析为最接近负载最少的服务器的IP。为了使负载均衡发挥作用,应用服务器需要遵守来自DNS响应的TTL,并在缓存超时时重新解析域名。但是,我想不出在Ja 查看详情
了解im即时通讯开发移动端dns域名劫持等杂症
...无法避免在有中国特色的互联网环境中遭遇到各种域名被缓存、用户跨网访问缓慢等问题。那么对于腾讯这样的 查看详情