Google网站的域名被劫持,引发了业界对域名安全的担忧。前CNNIC高层、域名专家吴养怡认为,接连出现的域名劫持与DNS攻击事件,是由于国内企业忽视DNS安全所酿成的苦果,“DNS的安全已经成为互联网最严重的安全漏洞与隐患之一”。
中国万网副总裁周锚称,域名指向错误是黑客了非法入侵,恶意篡改了这些域名的解析地址,造成这些网站的域名出现访问障碍。
虽然此次域名劫持事件,持续时间不长,又很快得以恢复,没有造成太大的损失。但近年来,已经接连出现了多起域名劫持与DNS攻击事件,163.net和adobe.com曾经遭遇了域名劫持,主页被篡改;而fm365.com由于域名劫持甚至导致了域名所有权的争议。
DNS系统是所有互联网应用的基础,在网站运维中起到至关重要的作用。一旦DNS系统瘫痪,所有用户都无法访问网站,网站上的所有应用都将无法进行,这对一个网站来说,不啻于灾难性的打击产生灾难性的后果。正是由于域名DNS管理系统对于网站异常重要,其也逐渐成为网络黑客们的目标。
黑客三种主要攻击方式
据吴养怡分析,常见的域名(DNS)管理方面的黑客攻击主要有三种:
(1) 域名劫持:
域名劫持通常是指,通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至可以导致域名所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,恰巧又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
(2) 域名欺骗(缓存投毒):
域名欺骗的方式有多种多样,但其攻击现象就是利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上,其实现方式可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果。或者黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。
(3)DDOS(分布式拒绝服务)攻击:
针对DNS服务器的拒绝服务攻击有两种,一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务,这种攻击的原理为:黑客向多个DNS服务器发送大量的查询请求,这些查询请求数据包中的源IP地址为被攻击主机的IP地址,DNS服务器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。这种服务会导致域名的正常访问无法进行。即该域名下的WWW服务和邮件服务都将无法正常进行。
专家支招域名安全防范
吴养怡认为,上述的第一种攻击行为,主要和用户管理域名的习惯有关,而第二种和第三种则都和用户对DNS系统的管理有关。目前,很多用户都认为DNS维护是很简单的,只需要买台服务器,装一个BIND软件,就可以提供DNS服务功能,但实际上DNS的维护需要很多相关的专业知识,并不是一件轻松的事情。
吴养怡提醒用户,如果准备自己维护域名服务器,则需要安装下载最新的BIND版本软件,并安装所有补丁程序,同时关于国内外业界最新趋势,随时对系统进行修补,堵住安全漏洞。但由于网站的管理员都希望将主要精力投入到网站的主要内容服务器的维护上,因此在DNS方面下的功夫往往不够。
据介绍,在国外很多公司都已经开始选择将DNS服务器的维护交给一些专业的外包DNS服务公司所解决。如著名的亚马逊公司就将DNS的维护工作,交给了专业公司UltraDNS进行维护。
随着用户对DNS安全的重要性认识不断深入,专业的DNS外包服务也必然会在国内兴起。(网易科技 刘阳/文)