近日,域名注册管理机构CNNIC发布了国内首份《中国域名服务及安全现状报告》,《报告》中显示目前我国域名服务器总量已近百万,其中,超过50%的域名服务器被指相对不安全。对国内而言,有57%的信息系统存在域名解析的风险。以下,IDC评述网与大家一齐关注域名服务的安全现状以及防范建议。
图1 国内重点权威域名安全抽样结果分布图
《报告》抽样调查了来自各行业的域名,主要来自政府机构、金融机构、教育机构、网络运营商等。从图1中可以看出,有风险的比例为45%,风险较高的为11%,非常危险的为1%,这可以统计出处于风险状态的占57%,超过了半数。而被认为安全性良好的仅有11%。《报告》还显示了,教育机构的域名服务系统安全性最差,处于风险状态的高达80%。
对于我国域名服务器超半数不安全的情况,我们整理了一些安全防范建议:
建议一:信息在更高或过期的任一环节的漏洞都可能会被黑客利用,数据被篡改。因此,如果想要提高安全性,则要确保域名解析服务的独立性。在运行域名服务的服务器不能同时开启其他端口的服务。
建议二:域名解析服务系统所用的软件非常重要,如配置不当或升级延迟都容易造成漏洞被黑客轻易利用。因此,需要采用安全的操作系统平台和域名解析软件,并且要时刻关注软件商发布的最新安全漏洞信息,及时升级软件系统。
建议三:黑客通常利用域名劫持控制DNS服务器,从而使网民访问该域名时,进入指向的内容。国内的CN域名被劫持,能较轻易地拿回控制权,而国际域名要夺回域名则较为复杂。因此,用户要选择安全性较高、服务便捷的域名服务机构和注册管理机构,并且隐藏域名解析软件及操作系统等版本信息,最后还要限制域名区文件的传送权限。
建议四:使用入侵检测系统,尽可能地检测出中间人攻击行为,虽然其检测和防御都十分困难。除此之外还要对域名服务器边界网络设备的流量、数据包进行监控。最后可以监控域名协议是否正常,判断数据是否有变动。在条件允许的情况下,可以对不同网络内部部署多个探测点分布式监控。
建议五:为防止分布式拒绝服务攻击,建议提供域名服务的服务器数量不低于2台,并且部署在不同的物理网络环境中。除此外,要限制递归服务的服务范围,并利用流量分析工具检测DDoS攻击及时采取应急措施。
建议六:域名服务部署时需要考虑单节点故障问题,所涉及到的路由器、交换机等均需要冗余备份能力,建立完善的数据备份机制和日志管理系统。要保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。
结语:域名安全问题事件层出不穷,据消息称,2009年暴风影音受域名攻击事件造成大面积断网,损失238万元;今年,百度遭域名劫持,估计损失过千万。域名安全问题,日益显得不容忽视。
文章作者:中国IDC评述网 http://www.idcps.com,如需转载,请注明出处,欢迎各位共同交流,谢谢!