域名劫持的破解困境

Posted 2023-04-24

参考技术A

SANS首席研究官Johannes认为：“目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。”
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 不管您使用哪种DNS，请遵循以下最佳惯例：
1．在不同的网络上运行分离的域名服务器来取得冗余性。
2．将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与Internet联系。
3． 可能时，限制动态DNS更新。
4． 将区域传送仅限制在授权的设备上。
5． 利用事务签名对区域传送和区域更新进行数字签名。
6． 隐藏运行在服务器上的BIND版本。
7． 删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。
8． 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
让注册商承担责任
域名劫持的问题从组织上着手解决也是重要的一环。不久前，有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时，Hushmail公司的CTO Brian Smith一直忿忿不已，黑客那么容易就欺骗了其域名注册商的客户服务代表，这的确令人恼火。
Smith说：“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是，我找不出一家注册商这样做，自这件事发生后，我一直在寻找这样的注册商。”
Panix总裁Alex Resin在因注册商方面的问题，导致1月Panix域名遭劫持时，也感受到了同样强烈的不满。首先，他的注册商在没有事先通知的情况下，将他的域名注册卖给了一家转销商。然后，这家转销商又把域名转移给了一个社会工程人员――同样也没有通知Resin。
Resin说：“域名系统需要系统的、根本的改革。现在有很多的建议，但事情进展的不够快。”
等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策，还将需要长时间。因此，Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议：
1．要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话，要求他们及时与您联系的条款写在书面文件中。
2．锁定域名。这要求注册商在得到解锁的口令或其它身份信息后才允许转移。
3． 使您保存在注册商那里的正式联系信息保持最新状态。
4． 选择提供24/7服务的注册商，这样他们可以在发生违规事件时迅速采取行动。
5． 如果发生未经授权的转移，立即与有关注册商联系。
6． 如果您的问题没有得到解决，去找您的域名注册机构（例如，VeriSign负责.com和.net的注册）。
7． 如果您在拿回自己的域名时仍遇到问题，与ICANN联系（transfers<at>ICANN。org）。
8． 如果拥有一个大型域，那就像Google那样，成为自己的注册商或者自己的转销商，利用TuCows。com的开放API, OpenSRS，来控制您的所有域名。
针对DNS系统自身漏洞 PacketScout GenieProDNS系统应对DNS劫持和DNS缓存中毒攻击解决方法
一致性检查
每个Geniepro节点将自身的DNS记录发送给工作组内其他节点请求一致性检查
每个Geniepro节点将自身的记录与收到的记录进行比较
每个Geniepro工作组的通信协调节点将获得的DNS记录更新发送给其他组的通信协调节点请求一致性检查
每个Genipro工作组的通信协调节点向上一级DNS服务器请求更新记录并与收到的其他通信协调节点的记录进行比较
一致性仲裁
如果一致性检查发现记录不一致情况，则根据策略（少数服从多数、一票否决等）决定是否接受记录的变化
根据结果，各Geniepro节点将自身记录进行统一
通信协调节点选举
选举出的通信协调节点在任期内具有更新组内节点的权限
选举过程满足不可预测性和不可重复性

阿里云PCDN新亮点 自动调用HTTPDNS 解决域名劫持困扰

什么是域名劫持？

要想了解域名劫持，先了解域名解析服务器（DNS），它是Internet上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。而通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析。

域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器，或伪造域名解析服务器的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。

为什么要防劫持？

域名劫持会对业务产生负面影响， 如访问出现失败、不稳定、错误、跳转至第三方内容等情况，进而造成业务流失、客户投诉、严重影响用户体验等诸多不良影响。

既然防劫持这么重要，我们是否有一种方法能在享受阿里云PCDN服务的流畅、高效的分发服务的同时，也保护自身域名不被劫持呢？

据悉，最新的阿里云PCDN SDK已经囊括了防劫持功能，其实现原理是当用户调用PCDN SDK请求资源时，SDK自动调用HTTPDNS进行域名解析，帮助PCDN用户达到域名防劫持、精准调度的效果。这其中应用到的HTTPDNS技术，是使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议，具有防劫持、精准调度等特性。

使用场景是怎样？

已经使用PCDN服务的客户，如果遇到运营商劫持、DNS解析出错等问题，对业务造成负面影响，也无需过多担心， PCDN SDK可以帮助您解决以下场景中的问题：

1. 域名劫持造成的无法正常访问业务域名，访问超时或返回错误；

2. 域名劫持造成的访问到旧文件，未更新；

3. 域名劫持造成的访问后返回涉政、涉黄等敏感、违法页面；

4. 域名劫持造成的访问业务域名后返回广告、导航等第三方页面；

5. 因为DNS多出口，转发解析等因素，造成的终端访问过慢。

**尤其是对于视频点播、大文件下载等域名劫持重灾区，能够有效改善域名劫持问题。**

最新PCDN SDK方案有什么优势？

除了帮助客户提升网络分发体验、降低分发成本，PCDN SDK一个很大的优势就是—— **防劫持** ，该方案无需客户增加任何改造，即可实现域名防劫持和精准调度的能力，域名解析请求直接发送到阿里云的HTTPDNS服务器，绕过运营商的local DNS，避免Local DNS造成的域名劫持问题和调度不精准问题，让每一次访问都畅通无阻。

除此之外，PCDN SDK防劫持功能还拥有以下优势：

1. 零解析延迟

通过缓存解析和更新策略确保0ms解析延迟，依托阿里云强大的中台技术，确保99.9%的服务可用性，稳定可靠。

2. 精准调度

基于访问的来源IP，获得最精准的解析结果，让客户端就近接入业务节点。

3. 零成本

不收取HTTPDNS解析费用，SDK自动调用无需用户增加任何开发成本。