近日,域名注冊管理機構CNNIC發布了國內首份《中國域名服務及安全現狀報告》,《報告》中顯示目前我國域名服務器總量已近百萬,其中,超過50%的域名服務器被指相對不安全。對國內而言,有57%的信息系統存在域名解析的風險。以下,IDC評述網與大家一齊關注域名服務的安全現狀以及防范建議。
《報告》抽樣調查了來自各行業的域名,主要來自政府機構、金融機構、教育機構、網絡運營商等。從圖1中可以看出,有風險的比例為45%,風險較高的為11%,非常危險的為1%,這可以統計出處于風險狀態的占57%,超過了半數。而被認為安全性良好的僅有11%。《報告》還顯示了,教育機構的域名服務系統安全性最差,處于風險狀態的高達80%。
對于我國域名服務器超半數不安全的情況,我們整理了一些安全防范建議:
建議一:信息在更高或過期的任一環節的漏洞都可能會被黑客利用,數據被篡改。因此,如果想要提高安全性,則要確保域名解析服務的獨立性。在運行域名服務的服務器不能同時開啟其他端口的服務。
建議二:域名解析服務系統所用的軟件非常重要,如配置不當或升級延遲都容易造成漏洞被黑客輕易利用。因此,需要采用安全的操作系統平臺和域名解析軟件,并且要時刻關注軟件商發布的最新安全漏洞信息,及時升級軟件系統。
建議三:黑客通常利用域名劫持控制DNS服務器,從而使網民訪問該域名時,進入指向的內容。國內的CN域名被劫持,能較輕易地拿回控制權,而國際域名要奪回域名則較為復雜。因此,用戶要選擇安全性較高、服務便捷的域名服務機構和注冊管理機構,并且隱藏域名解析軟件及操作系統等版本信息,最后還要限制域名區文件的傳送權限。
建議四:使用入侵檢測系統,盡可能地檢測出中間人攻擊行為,雖然其檢測和防御都十分困難。除此之外還要對域名服務器邊界網絡設備的流量、數據包進行監控。最后可以監控域名協議是否正常,判斷數據是否有變動。在條件允許的情況下,可以對不同網絡內部部署多個探測點分布式監控。
建議五:為防止分布式拒絕服務攻擊,網站建設建議提供域名服務的服務器數量不低于2臺,番禺網頁設計并且部署在不同的物理網絡環境中。除此外,要限制遞歸服務的服務范圍,并利用流量分析工具檢測DDoS攻擊及時采取應急措施。
建議六:域名服務部署時需要考慮單節點故障問題,番禺做網站公司所涉及到的路由器、交換機等均需要冗余備份能力,建立完善的數據備份機制和日志管理系統。番禺網站設計要保留最新的3個月的全部解析日志。并且建議對重要的域名信息系統采取7×24的維護機制保障。應急響應到場時間不能遲于30分鐘。
結語:域名安全番禺網站建設問題事件層出不窮,據消息稱,2009年暴風影音受域名攻擊事件廣州做網站公司造成大面積斷網,損失238萬元;今年,百度遭域名劫持,估計損失過千萬。域名安全問題,日益顯得不容忽視。
粵公網安備44011302004697
