企业邮箱协会 客户服务信箱:service@corpmailok.com.cn 客户服务专线:0571-88315629
首页 首 页 首页
首页 尚易邮箱 首页
首页 新浪邮箱 首页
首页 网易邮箱 首页
首页 263邮箱 首页
首页 新网邮箱 首页
首页 新网互联 首页
首页 价格总览 首页
企业邮邮是指邮箱后缀是您公司网站的域名,而不是邮件服务提供商(如并不是尚易,网易,263)的域名,比如sales@yourcompany.com;尚易及网易邮箱自本月起提供免费试用,试用期为一周,欢迎大家试用;本站推出“买邮箱·送域名”活动,凡在本站购买企业邮箱总值超过1500元,均赠送国际域名一个
尚易邮箱,尚易企业邮局,尚易企业邮箱
客户案例
西子电梯集团
广西民族博物馆
中国电子科技集团第五十二研究所
西子联合控股有限公司
西子光电有限公司
西子保险经济有限公司
韩国起秀中国分社
海南中鑫纺织服装进出口有限公司
ge
杭州金色太阳能有限公司
ge
Singapore Solarkey Industries
ge
浙江百事德办公设备有限公司
ge
建德市冰使水晶有限公司
ge
杭州安达线缆有限公司
ge
永康市万泽工贸有限公司
ge
上海西秦贸易有限公司
ge
杭州小营街道卫生服务中心
ge
杭州匡王电子科技有限公司
ge
杭州创新空间艺术有限公司
ge
杭州恩慧塑料粒子有限公司
ge
建德嘉源净化设备有限公司
ge
杭州中达卫浴有限公司
ge
杭州红叶伞业有限公司
ge
无锡五洋纺织有限公司
ge
上海美西餐饮管理有限公司
ge
杭州剑春建筑有限公司
ge
杭州声源电子有限公司
ge
杭州南丰纸业有限公司
ge
河南双象机械有限公司
ge
本站提供以下服务:
政府邮箱,政府邮局,公司邮箱,公司邮局,尚易邮箱,尚易邮局,尚易企业邮箱,尚易企业邮局,新浪企业邮箱,新浪企业邮局,网易企业邮箱,网易企业邮局,新网企业邮箱,新网互联企业邮箱,263企业邮箱,杭州企业邮局,上海企业邮局,浙江企业邮箱,外贸企业邮局,外贸企业邮箱,外贸公司邮箱,外贸邮局,外贸邮箱,免费企业邮箱,搜狐企业邮箱,新浪企业邮箱,sohu企业邮箱,163企业邮箱,企业信箱,企业邮箱登陆,企业邮箱申请,搜狗企业邮箱,深圳企业邮箱,google企业邮箱,网易企业邮箱,北京企业邮箱,126企业邮箱,公司邮箱,浙江企业邮局
新浪企业邮箱登录 尚易企业邮箱登录 网易企业邮箱登录 263企业邮箱登录中华邮企业邮箱登录 搜狐企业邮箱登录 tom企业邮箱登录 新网企业邮箱登录 新网互联企业邮箱登录 全速企业邮箱登录
  邮件网络安全
防范服务器缓存投毒和域名劫持
点击:5298次 时间:2008-5-23 21:46:25
 

  谈到网络安全,你可能熟悉网页欺诈的危险,但是知道域欺骗(pharming)威胁吗?对于一家在线公司来说,这种风险是致命的!

  简单来说,域欺骗就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域欺骗的手段,把其带到假的网上商店,同时收集用户的ID信息和密码等。

  这种犯罪一般是通过DNS服务器的缓存投毒(cache poisoning)或域名劫持来实现的。最近几个月里,黑客已经向人们展示了这种攻击方式的危害。今年3月,SANS Institute发现一次将1300个著名品牌域名改变方向的缓存投毒攻击,这些品牌包括ABC、American Express、Citi和Verizon Wireless等;1月份,Panix的域名被一名澳大利亚黑客所劫持;4月,Hushmail的主域名服务器的IP地址被修改为连接到一家黑客粗制滥造的网站上。

  跟踪域欺骗事件的统计数据目前还没有。不过,反网页欺诈工作组(APWG)已经把域欺骗归到近期工作的重点任务之中。

  专家们说,缓存投毒和域名劫持问题早已经引起了相关机构的重视,而且,随着在线品牌的不断增多,营业额的不断增大,这一问题也更加突出,人们有理由担心,骗子不久将利用这种黑客技术欺骗大量用户,从而获取珍贵的个人信息,引起在线市场的混乱。

  虽然,域欺骗在技术上和组织上解决起来十分复杂。但是在目前情况下,我们还是可以采取一些措施,来保护企业的DNS服务器和域名不被域名骗子所操纵。

  破解困境

  DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。

  SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”

  Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。

  不管您使用哪种DNS,请遵循BlueCat Networks公司总裁Michael Hyatt提供的以下最佳惯例:

  1、在不同的网络上运行分离的域名服务器来取得冗余性。

  2、将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。

  3、可能时,限制动态DNS更新。

  4、将区域传送限制在授权设备上。

  5、利用事务签名对区域传送和区域更新进行数字签名。

  6、隐藏服务器上的BIND版本。

  7、删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。

  8、在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

  让注册商承担责任

  域欺骗的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。

  Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”

  Panix.com总裁Alex Resin在因注册商方面的问题,导致今年1月Panix域名遭劫持时,也感受到了同样强烈的不满。首先,他的注册商在没有事先通知的情况下,将他的域名注册卖给了一家转销商。然后,这家转销商又把域名转移给了一个社会工程人员——同样也没有通知Resin。

  Resin说:“域名系统需要系统的、根本的改革。现在有很多的建议,但事情进展的不够快。”

  等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策,还将需要长时间。因此,Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议:

  1、要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话,要求他们及时与您联系的条款写在书面文件中。

  2、锁定域名,要求注册商在得到解锁的口令或其他身份信息后才允许转移。

  3、使您保存在注册商那里的正式联系信息保持最新状态。

  4、选择提供24×7服务的注册商,这样他们可以在发生违规事件时迅速采取行动。

  5、如果发生未经授权的转移,立即与有关注册商联系。

  6、如果您的问题没有得到解决,去找您的域名注册机构(例如,VeriSign负责.com和.net的注册)。

  7、如果您在拿回自己的域名时仍遇到问题,与ICANN联系(transfers@ICANN.org)。

  8、如果拥有一个大型域,那就像Google那样,成为自己的注册商或者自己的转销商,利用TuCows.com的开放API,OpenSRS,来控制您的所有域名。

[关闭本页] [打印本页]
首页 | 关于我们 | 网站建设 | 企业邮箱 | 联系方式 | 邮箱价格 | 留言中心 | 付款方式 | 友情链接
外贸邮箱网 电话:0571-88315629 Email:service@corpmailok.com.cn
Copyright 2013. All rights reserved.