近日,业界接连发生了多起域名劫持事件,从google.cn到msn.com.cn,均被黑客指向到第三方网站,对互联网用户的正常访问造成了巨大的影响。虽然此次域名劫持事件,持续时间不长,又很快得以恢复,没有造成太大的损失。
但联想到国内外最近一段时间以来,接连出现的域名劫持与dns攻击事件(如163.net,adobe.com都曾经遭遇了域名劫持,主页被篡改,fm365.com甚至由于域名劫持导致了域名所有权的争议),dns的安全已经成为目前互联网存在着最严重的安全漏洞与隐患之一。随着更多的域名劫持事件与dns攻击事件的发生,我们不得不承认,域名(dns管理系统)已经成为越来越多的网络黑客的攻击目标。潘多拉的盒子已经被打开,我们何以应对?
dns系统是所有互联网应用的基础,在网站运维中起到至关重要的作用。一旦dns系统瘫痪,所有用户都无法访问网站,网站上的所有应用与电子商务交易将无法进行。这将对网站产生灾难性的后果。经研究我们发现,常见的域名(dns)管理方面的黑客攻击包括:
(1) 域名劫持:
域名劫持通常是指,通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的ns纪录指向到黑客可以控制的dns服务器,然后通过在该dns服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至可以导致域名所有权也旁落他人。如果是国内的cn域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,恰巧又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
(2) 域名欺骗(缓存投毒):
域名欺骗的方式有多种多样,但其攻击现象就是利用控制dns缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上,其实现方式可以通过利用网民isp端的dns缓存服务器的漏洞进行攻击或控制,从而改变该isp内的用户访问域名的响应结果。或者黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的dns解析结果。
(3)ddos(分布式拒绝服务)攻击:
针对dns服务器的拒绝服务攻击有两种,一种攻击针对dns服务器软件本身,通常利用bind软件程序中的漏洞,导致dns服务器崩溃或拒绝服务;另一种攻击的目标不是dns服务器,而是利用dns服务器作为中间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务,这种攻击的原理为:黑客向多个dns服务器发送大量的查询请求,这些查询请求数据包中的源ip地址为被攻击主机的ip地址,dns服务器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。这种服务会导致域名的正常访问无法进行。即该域名下的www服务和邮件服务都将无法正常进行。
上述的第一种攻击行为,主要和用户管理域名的习惯有关,而第二种和第三种则都和用户对dns系统的管理有关。目前,很多用户都认为dns维护是很简单的,只需要买台服务器,装一个bind软件,就可以提供dns服务功能,但实际上dns的维护需要很多相关的专业知识,并不是一件轻松的事情。
因此,我们在此提醒用户,如果准备自己维护域名服务器,则需要安装下载最新的bind版本软件,并安装所有补丁程序,同时关于国内外业界最新趋势,随时对系统进行修补,堵住安全漏洞。但由于网站的管理员都希望将主要精力投入到网站的主要内容服务器的维护上,因此在dns方面下的功夫往往不够。同时一些虚拟主机,域名注册,服务器租用,以及服务器托管提供商,都应该在技术手段上有多创新,才能不断应对新的挑战。
而国外,很多公司都已经开始选择将dns服务器的维护交给一些专业的外包dns服务公司所解决。如著名的亚马逊公司就将dns的维护工作交给了39科技进行维护。
中国39科技公司由世界上最顶尖的dns及目录管理方面的专家组建成立,从1999年开始正式提供dns外包服务。目前39科技在全球各大洲建立11个dns服务节点,利用数百台高性能服务器组成庞大的dns服务网络平台,满足来自全球的dns访问请求。39科技在全球范围内已经拥有超过8000个用户,其中大部分客户为互联网服务提供商或很高知名度的跨国公司,如亚马逊、oracle等。39科技还为.org和.uk等十几个国际顶级域名提供着dns外包解析服务,维护着全球范围内超过1500万的互联网域名。同时还提供asp空间,php空间,php主机,服务器租用,服务器托管,等服务。
39科技的外包dns服务(managed dns service),就是将用户从烦杂的dns服务器维护管理工作中解放出来,由39科技遍布全球的服务节点来为用户提供dns管理和解析的服务。39科技的外包dns服务是一套符合国际标准的dns管理系统,不采用传统的bind软件,因此消除了传统bind软件的所有弱点; 39科技采用了拥有专利技术的全球目录服务平台作为基础架构,利用了先进的ip anycast技术和先进的互联网路由策略以及oracle数据库的高级复制技术,保证了用户dns记录可以实现近乎实时更新。同时,使得在39科技的外包dns服务平台上,dns查询请求被指向到网络拓扑结构上距离用户最近的网络节点上进行响应,从而使整个平台拥有充足的负载能力来保证39科技客户每时每刻都可以得到最快捷、最准确的dns响应。简言之,39科技的外包dns服务具有高度可靠、高度安全、更强性能、无限扩展能力、简易管理性等核心价值。
