美国DNS服务器作为全球互联网的重要组成部分,面临着来自各方的安全威胁。其中,DNS隐私泄露和域传送攻击是两个主要的安全问题,需要采取相应的措施来加以应对。
1、DNS隐私保护: DNS隐私指的是保护用户的DNS查询免受窥视和跟踪。以下是一些保护DNS隐私的方法:
2、域传送安全: 域传送是一种恶意攻击,攻击者可以通过查询DNS服务器的区域信息来获取目标域的全部DNS记录。以下是防范域传送攻击的方法:
综上所述,保护美国DNS服务器的DNS隐私和防范域传送攻击是至关重要的。通过采取适当的安全措施和控制措施,可以有效地保护DNS服务器和用户的隐私安全。定期审查和更新安全策略,并密切监控DNS服务器的活动,是确保DNS安全的关键步骤。
好主机测评广告位招租-300元/3月dns系统中,有哪些措施提高域名服务器的可靠性
DNS软件是黑客热衷攻击的目标,它可能带来安全问题,在网络安全防护中,DNS的安全保护就显得尤为重要。 本文结合相关资料和自己多年来的经验列举了四个保护DNS服务器有效的方法。 以便读者参考。 1.使用DNS转发器DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。 使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。 使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。 如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。 不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。 2.使用只缓冲DNS服务器只缓冲DNS服务器是针对为授权域名的。 它被用做递归查询或者使用转发器。 当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。 随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。 把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。 内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。 使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。 3.使用DNS广告者DNS广告者是一台负责解析域中查询的DNS服务器。 例如,如果你的主机对于 和是公开可用的资源,你的公共DNS服务器就应该为 和配置DNS区文件。 除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。 这种DNS服务器不会对其他DNS服务器进行递归查询。 这让用户不能使用你的公共DNS服务器来解析其他域名。 通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。 4.使用DNS解析者DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。 例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名 的DNS服务器。 当网络中的客户机使用这台DNS服务器去解析时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。 DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。 DNS解析者可以是未授权DNS域名的只缓存DNS服务器。 你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。 当然,你也可以让DNS解析者同时被内、外部用户使用。
如何有效防范DNS放大攻击
这种攻击是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。 这种虚假通讯的数量有多大?每秒钟达数GB,足以阻止任何人进入互联网。 与老式的“smurf attacks”攻击非常相似,DNS放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。 但是,“smurf attacks”攻击是向一个网络广播地址发送数据包以达到放大通讯的目的。 DNS放大攻击不包括广播地址。 相反,这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。 这些DNS服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯量的放大并且最终把攻击目标淹没。 因为DNS是以无状态的UDP数据包为基础的,采取这种欺骗方式是司空见惯的。 当前许多DNS服务器支持EDNS。 EDNS是DNS的一套扩大机制,RFC 2671对次有介绍。 一些选择能够让DNS回复超过512字节并且仍然使用UDP,如果要求者指出它能够处理这样大的DNS查询的话。 攻击者已经利用这种方法产生了大量的通讯。 通过发送一个60个字节的查询来获取一个大约4000个字节的记录,攻击者能够把通讯量放大66倍。 一些这种性质的攻击已经产生了每秒钟许多GB的通讯量,对于某些目标的攻击甚至超过了每秒钟10GB的通讯量。 要实现这种攻击,攻击者首先要找到几台代表互联网上的某个人实施循环查询工作的第三方DNS服务器(大多数DNS服务器都有这种设置)。 由于支持循环查询,攻击者可以向一台DNS服务器发送一个查询,这台DNS服务器随后把这个查询(以循环的方式)发送给攻击者选择的一台DNS服务器。 接下来,攻击者向这些服务器发送一个DNS记录查询,这个记录是攻击者在自己的DNS服务器上控制的。 由于这些服务器被设置为循环查询,这些第三方服务器就向攻击者发回这些请求。 攻击者在DNS服务器上存储了一个4000个字节的文本用于进行这种DNS放大攻击。 现在,由于攻击者已经向第三方DNS服务器的缓存中加入了大量的记录,攻击者接下来向这些服务器发送DNS查询信息(带有启用大量回复的EDNS选项),并采取欺骗手段让那些DNS服务器认为这个查询信息是从攻击者希望攻击的那个IP地址发出来的。 这些第三方DNS服务器于是就用这个4000个字节的文本记录进行回复,用大量的UDP数据包淹没受害者。 攻击者向第三方DNS服务器发出数百万小的和欺骗性的查询信息,这些DNS服务器将用大量的DNS回复数据包淹没那个受害者。 如何防御这种大规模攻击呢?首先,保证你拥有足够的带宽承受小规模的洪水般的攻击。 一个单一的T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。 如果你的连接不是执行重要任务的,一条T1线路就够了。 否则,你就需要更多的带宽以便承受小规模的洪水般的攻击。 不过,几乎任何人都无法承受每秒钟数GB的DNS放大攻击。 因此,你要保证手边有能够与你的ISP随时取得联系的应急电话号码。 这样,一旦发生这种攻击,你可以马上与ISP联系,让他们在上游过滤掉这种攻击。 要识别这种攻击,你要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。 一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。 这样,你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。 你要问一下你的ISP是否拥有这个能力。 最后,为了帮助阻止恶意人员使用你的DNS服务器作为一个实施这种DNS放大攻击的代理,你要保证你的可以从外部访问的DNS服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。 大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。
如何防范服务器缓存投毒和域名劫持
展开全部直接问我就是了啊!那这么麻烦啊!!谈到网络安全,你可能熟悉网页欺诈的危险,但是知道域欺骗(pharming)威胁吗?对于一家在线公司来说,这种风险是致命的! 简单来说,域欺骗就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域欺骗的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。 这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。 最近几个月里,黑客已经向人们展示了这种攻击方式的危害。 今年3月,SANS Institute发现一次将1300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express、Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。 跟踪域欺骗事件的统计数据目前还没有。 不过,反网页欺诈工作组(APWG)已经把域欺骗归到近期工作的重点任务之中。 专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。 虽然,域欺骗在技术上和组织上解决起来十分复杂。 但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。 破解困境 DNS安全问题的根源在于Berkeley Internet Domain (BIND)。 BIND充斥着过去5年广泛报道的各种安全问题。 VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。 SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。 ” Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。 不过,如果没有来自Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。 一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。 替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 不管您使用哪种DNS,请遵循BlueCat Networks公司总裁Michael Hyatt提供的以下最佳惯例: 1、在不同的网络上运行分离的域名服务器来取得冗余性。 2、将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。 外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。 它们应当被配置为只接受来自内部地址的查询。 关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。 这可以限制哪些DNS服务器与Internet联系。 3、可能时,限制动态DNS更新。 4、将区域传送限制在授权设备上。 5、利用事务签名对区域传送和区域更新进行数字签名。 6、隐藏服务器上的BIND版本。 7、删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。 8、在网络外围和DNS服务器上使用防火墙服务。 将访问限制在那些DNS功能需要的端口/服务上。 让注册商承担责任 域欺骗的问题从组织上着手解决也是重要的一环。 不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。 对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。 Smith说:“这件事对于我们来说真正糟透了。 我希望看到注册商制定和公布更好的安全政策。 但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。 ” 总裁Alex Resin在因注册商方面的问题,导致今年1月Panix域名遭劫持时,也感受到了同样强烈的不满。 首先,他的注册商在没有事先通知的情况下,将他的域名注册卖给了一家转销商。 然后,这家转销商又把域名转移给了一个社会工程人员——同样也没有通知Resin。 Resin说:“域名系统需要系统的、根本的改革。 现在有很多的建议,但事情进展的不够快。 ” 等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策,还将需要长时间。 因此,Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议: 1、要求您的注册商拿出书面的、可执行的政策声明。 将如果需要转移域名的话,要求他们及时与您联系的条款写在书面文件中。 2、锁定域名,要求注册商在得到解锁的口令或其他身份信息后才允许转移。 3、使您保存在注册商那里的正式联系信息保持最新状态。 4、选择提供24×7服务的注册商,这样他们可以在发生违规事件时迅速采取行动。 5、如果发生未经授权的转移,立即与有关注册商联系。 6、如果您的问题没有得到解决,去找您的域名注册机构(例如,VeriSign负责和的注册)。 7、如果您在拿回自己的域名时仍遇到问题,与ICANN联系()。 8、如果拥有一个大型域,那就像Google那样,成为自己的注册商或者自己的转销商,利用的开放API,OpenSRS,来控制您的所有域名。
发表评论