分类目录归档:dns资讯

ICANN近日将更改DNS信任密钥中的密钥对

摘要:再过不久,最重要的网络密钥之一将会首次被更改。互联网域名管理机构 ICANN 近日将会更改域名系统 DNS(也叫作互联网的“号码簿”)中,信任密钥长链中的第一个密钥对。这个密钥对保证了当一个网络用户试图访问一个网页时,他可以准确地被引到这个网页地址。如果没有这个密钥对,用户可能会被引导到一个黑客制作的诈骗网址上,比如窃取信息的钓鱼网站。

ICANN 的研究副主席 Matt Larson 说:“ICANN 想要在对这个密钥的运作上变得非常透明,因为获得社会对其的信任十分重要。” ICANN近日将更改DNS信任密钥中的密钥对

DNS 将易于记忆的域名(如 Dnsdun.com)翻译成他们的数字化 IP 地址,这样计算机便可以由此访问该网址。但是DNS的建立并未考虑安全性。Larson 解释道:“最初建立域名系统的时候,网络还是一个相对友好的地方,所以当时并没有过多地考虑到安全性。”结果,安全性的缺乏导致了所谓的域名服务器缓存污染(DNS cache pollution)和域名服务器欺骗(DNS spoofing)问题——当一个服务器在互联网“号码薄”中查找时,被强制跳转到一个错误的 IP 地址,流量也因此被引到其他的地方,比如一个黑客控制的恶意网站。

为了解决这个问题,很多域名使用了 DNS 安全扩展(DNSSEC)。在DNSSEC下,加密密钥保证了DNS数据拥有正确的来源。如果在传输过程中有不可靠的信息出现,并且加密签名没有出现,浏览器会自动挑转到一个错误提示而不是被引到一个错误的网站。但是 DNSSEC 不为网页上的数据加密,只是另用户知晓正在访问的网站是否合法,因为前者是 SSL 或 TLS 等网络协议的工作。 在 2010 年,ICANN 与其他一些组织引进了 DNSSEC 来保护互联网的 DNS 顶层,即 DNS 根区域。密钥的层级控制了 DNSSEC 认证的过程,密钥的不同部分负责系统的不同阶段。根区域的顶层部分由 ICANN 管理,控制不同顶级域名的算子(比如 .com),其他部分则管理者个体域名(比如 dnsdun.com)。

  “如果你拥有了这个密钥,你将可以改变巨量网络流量的方向。”

在这个结构中,每个组织拥有自己的密钥来制作签名,并且必须对其下实体签署这个密钥。所以,对于 dnsdun.com, .com 会签署 dnsdun.com的密钥,同时根区域会签署 .com 的密钥。当访问一个网页时,在计算机加载网页之前,这个信息检查过程几乎可以一瞬间完成。

并不是所有人都使用 DNSSEC,但是使用人数在逐年上升:康卡斯特公司(Comcast)在 2012 年为其客户开放了 DNSSEC,2013年,谷歌自己的 DNS 服务器开始全力支持 DNSSEC。(DNSDUN是国内首家支持DNSSEC的域名解析提供商)

这个链系顶层的密钥对,或者说是根区域的签名密钥,就是文章开头所说的 ICANN 要首次更改的密钥。 Larson 说:“如果你拥有了这个密钥,并且创造出你自己的根区域版本,你就可以重新引导巨量网络流量的方向。我们想要更改这个密钥,以保证网络安全能 免疫 。”这就像是为了以防数据被攻击,我们会更改密码,经常更改密码是一个标准的安全惯则。

互联网结构委员会(IAB)的主席 Andrew Sullivan 说,目前存在一种逻辑可能 ,即某些人在我们不知道的情况下破坏网络安全密钥。但他也强调,我们也没有理由相信这个密钥已经泄露了。 确实,ICANN使用了一些特别的安全措施,并且认为其潜在的威胁可能是国家层面的。在其季度会议上,全世界所谓的“密码主管”在通过物理和数字安全区域后,聚集到同一个密钥管理设备中。

在 DNS 安全领域走在前列的知名安全专家 Dan Kaminsky 说:“为根区域提供一个体量更大的密钥十分关键,我不想看到任何阻止它的事情发生。”另一个导致更改密钥的原因在于体量的增大,从 1024 比特增加到2048比特。随着时间的推移,计算能力逐渐增强,破坏密钥的可能虽低,却也在上升中。

ICANN 希望在一个较为稳定的时间做出这个更改,而不是贸然行动,以免密钥失去抵抗力。

Larson 说:“我们希望一切恢复正常,没有任何紧急事件发生的时候再启动这个程序。”这样一来,就算是以后忽然不小心被一个演员掌管了这个密钥,至少 ICANN 会比他更加懂得这个过程是如何运行的。

今年 10 月,ICANN 会在位于美国东海岸的一个超级安全密钥管理设备中产生一个新的加密密钥对。密钥对的一半将是私密的,归由 ICANN 保管,另一半则对外公开。互联网服务供应者、硬件制造商和 Linux 开发者需要密钥的公开部分来使他们的软件恰当地连接到网站。

在 2017 年第一季度,将会有两名 ICANN 的员工把加密密钥文件的副本存储在一个智能卡上,并乘坐公共交通工具运送到美国西海岸。最终,密钥的公开部分将分发到世界各个组织手中。

总之,这个更正过程会持续大约两年。Larson 说 DNS 的新密钥会在 2017 年 7 月 11 日首次出现。在 2017 年 10 月,新密钥就可以用了制作签名。

及时的将这个更改信息宣传出去是一个主要问题。虽然很多大的组织会持续关注这个即将到来的改变。但是正如 Sullivan 所说,可能还会有一些硬件会因这个改变而被搁置,比如路由器或者防火墙设备,它们可能会错过这个更正,因而必须进行手动更新。

对媒体发声是一种传播信息的方式,但是对密钥更改的公开化也引发了网络基础设施建设中非常重要的问题:信任。Sullivan 说:“因为互联网是社交网络的网络,它都是自发的。人们如果不能从中获取一些价值的话,他们根本就不会使用它。”DNSSEC和其他认证也许看上去是完完全全地技术解决办法,但说到底,他们还是依赖于人类信任的脆弱性而建立的系统。(DNSDUN是国内首家支持DNSSEC的域名解析提供商)

而实际上,没有人可以确切地知道 ICANN 的密钥是否会被泄露。 “信任是转瞬即逝的。”Larson 如是说。本文来源:cnbeta网站

美国政府宣布交出互联网域名系统DNS

IT之家8月18日消息,美国商业部本周二宣布,将于10月1日起交出互联网域名系统DNS的拥有权,到目前为止,美国政府已经持有该系统控制权 20年之久。届时,该系统的控制权将由美国政府移交至国际互联网名称和编号分配公司(ICANN)。

据了解,DNS是因特网的核心部件之一,将每个网站域名连接到使用IP地址的服务器上。DNS系统控制权的切换并不会影响大家正常使用互联网。

当然,美国商业部的这一声明也引起了一些政界人士的反对,他们担心该系统在移交之后会遭遇外国政府的干涉。不过,美国政府早已做出了规划,因为此前政府拥有DNS控制权也只是临时性措施。

DnsDun是专业提供免费DNS域名解析服务的提供商。https://www.dnsdun.com/

 

DNSDUN:DNS挂了 CNNIC建议手改配置

域名注册是互联网体系中的基础核心服务,访问网站首先要通过域名系统。若将互联网比作“人”,域名系统就好比“中枢神经系统”,一旦域名系统停止服务,互联网就会处于瘫痪状态,出现大面积的断网。

近年来,一些黑客逐渐的将域名系统锁定为攻击目标,导致域名安全事件频发。据DNSDUN了解,中国互联网络信息中心(CNNIC)于2014年12月10日通过域名安全监测平台发现国内多地区递归服务器解析失败率飙升,诸多地区的网民反映访问缓慢甚至无法访问等现象,造成大范围访问故障。

这个事件让如何防御大规模的DNS故障成为时下的热门话题。要如何避免DNS“挂了”而导致网站受到波及呢?

据CNNIC专家介绍,要想在遭到大规模的DNS故障时快速的恢复网络的正常访问,最可靠的方法就是手动的将自己的电脑DNS配置修改为1.2.4.8或210.2.4.8。此2个IP为免费的SDNS递归云解析服务地址,其提供的DNS服务速度更快、安全性更高。

最重要的是选择一家可靠的DNS域名解析提供商,在广大客户使用观察下,高度评价DNSDUN发展迅速,一致认为DNSDUN是国内DNS市场行业的“新星” 。DNSDUN具备超强的攻击防御技术,可抵御超大流量的DDoS攻击及DNS查询攻击。还提供免费的CDN服务,可防CC攻击,网站加速。

CNNIC“@互联网·下午茶”之DNS劫持与防御主题会议圆满举办

域名解析系统(DNS)是互联网的基础设施和“中枢神经系统”,它的安全可靠关系到互联网的稳定运行。域名系统的安全已经受到中央的高度重视,国家网信办对重要域名和网站系统的安全保障工作做出了重要部署,尤其对域名防劫持提出了严格要求。2014年9月19日,由中国互联网络信息中心(CNNIC)主办的“@互联网·下午茶”—网站域名劫持与防御主题沙龙顺利在北京召开。本次活动主要针对政府机构的信息管理部门,本次活动邀请了监察部、文化部、国务院机关事务局、中国兵工集团、航天信息中心等20多家政府及企事业单位的嘉宾参与。本次沙龙旨在通过研讨的形式传播与普及互联网安全,介绍DNS劫持相关案例,就网站域名面临的严峻风险和应对策略进行交流,并介绍CNNIC秉承的安全理念及域名安全解决方案。

近年来,DNS域名劫持事件屡屡发生,相关案例层出不穷,给全球互联网产业带来严重影响,造成重大损失。DNS劫持,是指采用非法手段获得某一个区域的管理权限,然后将该区域内域名的IP地址篡改至其他的主机。域名被劫持后,不仅有关该域名的记录会被改变,甚至该域名的所有权会落到不法分子手中。

在“@互联网·下午茶”会上,围绕“网站域名劫持与防御”主题,CNNIC安全专家们就DNS域名劫持现状、反劫持重要性及域名安全防劫持方案与嘉宾们进行了分享,介绍了CNNIC的域名安全理念和SDNS安全解决方案,并共同就互联网安全问题进行了深入探讨交流。参会专家一致表示,提升域名解析系统的安全能力刻不容缓。

作为我国多项互联网创新技术的开拓者,CNNIC坚持以“国之责、民之益、人之和”的社会责任为指导战略,以国家公益为己任,积极推动互联网应用创新和技术变革。未来,CNNIC还将持续在全国各地举办公益性互联网技术安全知识普及研讨会—“@互联网·下午茶”主题活动,普及互联网安全知识,共享互联网高端技术,提升我国重要域名系统安全防御能力和服务水平。

建议站长尽可能使用国内大型服务商提供的DNS服务,如DNS盾等,以保证站点的稳定解析。

DNS盾具备超强的攻击防御技术,可抵御超大流量的DDoS攻击及DNS 查询攻击,保障您的在线业务高枕无忧
DNS盾还有一大独有的防劫持功能,可以轻松,专业的解决您的域名被劫持的问题。
解析更稳定,DNSDUN可达到99.99%
不限制解析条数,解析记录随意添加
提供24小时技术支持,随时咨询
管理平台采用https安全连接,账户更安全
宕机检测及自动切换,让您网站永不宕机
最精准的ip网络划分,访问网站更快速

DNS系统与DDOS攻击的关联

8月7日谷歌在其官方博客上宣布他们将HTTPS/SSL纳入其搜索算法机制中,采用HTTPS/SSL安全认证的网站将会被谷歌给予更多的信任,从而有利于网站在谷歌搜索结果中的排名提升。但是目前HTTPS/SSL对于谷歌网站排名的影响因素非常有限,只是其几百个排名因素中非常微弱的一个。该HTTPS/SSL部分的算法调整将影响谷歌全球搜索量中约1%的结果。
未来谷歌是否会提升HTTPS/SSL对于网站排名的权重影响呢?存在这种可能性,因为谷歌想给站长一些时间来调整自己的网站,从HTTP转换到HTTPS。未来HTTPS安全认证也许会成为影响网站排名的重要因素之一。
HTTPS/SSL简介及与HTTP的不同之处
说到HTTPS及SSL,那就不能不首先说下HTTP与它们的区别。对于HTTP我们都不陌生,那就是超文本传输协议(Hypertext transfer protocol),约定了浏览器和万维网服务器之间的通信的规则,是我们平时上网传输数据的基础协议,得到了非常广泛的应用。现在绝大部分的网站都是采用HTTP协议的。但是HTTP在安全上有一定的缺陷,那就是明文传送和消息完整性检测的不足。这种安全缺陷很容易被利用以获取个人信息,如手机、身份信息、信用卡号等。尤其是当下网上交易、支付等已经变得非常普遍。
正是针对HTTP的安全隐患,网景Netscape公司提出了HTTPS协议,以增强网上数据传输的安全性。HTTPS是在TCP和HTTP之间增加了保障数据通信安全性的SSL(Secure Sockets Layer) 协议。那这种基于SSL的HTTP信息传输协议就是HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer),简写为HTTPS。现在SSL已经被新的TLS(Transport Layer Security)取代。HTTPS与HTTP采用不同的数据端口,前者为443而后者为80。
采用/转换到HTTPS的注意事项
谷歌宣布此算法调整后,相信会有很多站长把已有网站转换到HTTPS或者为新网站申请HTTPS认证。那么其中要注意哪些问题呢?
1.SSL安全认证分为三种:单一网站认证,多域名认证,及包含子域名的网站认证,选择哪一种认证方式,要根据自己的实际需求,不同的认证价格收费也是不一样的。
2.要采用2048位的根证书,这是谷歌推荐的
3.如果是为原有网站新增SSL认证,要确保含有HTTPS的URL在robots.txt中允许被索引
4.要统一URL标准,因为https://www.****.com和http://www.***.com对于谷歌来说是两个不同的页面。网站URL转换过程中要遵守谷歌的网站搬迁优化建议指导。
结语
HTTPS/SSL安全认证已经被谷歌所信赖,谷歌也正在为自己的网站全部采用HTTPS安全认证,这在当下已经成为了一种大趋势。是否会采用HTTPS安全认证,取决于每个网站所处的行业及经济承受能力。不可否认的事实是,不可能所有的网站都会采用HTTPS,即使采用了HTTPS安全认证也不会给网站带来非常显著的排名提升,因为最终排名还是取决于网站的内容价值及信任度。通过此次谷歌算法调整,我们已经看到谷歌已经具有了这种能力,其某个决定也许会给整个互联网带来非常巨大的影响。未来HTTPS成为互联网通信协议的普遍标准也未可知。拭目以待!

DNSDUN具备超强的攻击防御技术,可抵御超大流量的DDoS攻击及DNS查询攻击。

官方文件首次把DNS攻击定性为“重大事件”

根据浙江省通信管理局文件(浙通网安[2014]85号)精神,相关部门已经把不法分子肆无忌惮地对域名注册商的DNS服务系统进行攻击,定性为“重大事件”,并加大对这种行为的打击力度。

其中,关于域名系统部分的“重大事件”这样定义:造成一家或者多家重点域名服务机构域名解析服务性下降、解析成功率低于50%或者解析响应时间高于5秒,或者解析数据缺失或者出错超过1%,注册服务机构域名系统核心数据库丢失或非正常修改,并影响到国家顶级域名核心数据库导致产生国家顶级域名重大事件。

近年来,一直有不法分子对于域名服务商的DNS解析系统进行恶意攻击或者劫持,造成用户的域名解析乃至互联网安全受到严重影响,我们期待这方面的法律法规逐渐完善,给、广大域名用户及普通网民一个安宁、安全、通畅的互联网环境。

建议站长尽可能使用国内大型服务商提供的DNS服务,如DNS盾等,以保证站点的稳定解析。

DNS盾具备超强的攻击防御技术,可抵御超大流量的DDoS攻击及DNS 查询攻击,保障您的在线业务高枕无忧
DNS盾还有一大独有的防劫持功能,可以轻松,专业的解决您的域名被劫持的问题。
解析更稳定,DNSDUN可达到99.99%
不限制解析条数,解析记录随意添加
提供24小时技术支持,随时咨询
管理平台采用https安全连接,账户更安全
宕机检测及自动切换,让您网站永不宕机
最精准的ip网络划分,访问网站更快速

微软OneDrive中国现访问故障 或因遭DNS污染被屏蔽

凤凰科技讯 7月3日消息,据多位网友反映,微软云存储服务OneDrive从昨天开始出现访问故障。微软中国表示,已经向有关部门提交了这个问题。

据凤凰科技实测,目前OneDrive移动端访问依旧正常,但PC端已无法访问,具体原因不明。

对于OneDrive中国无法访问情况,目前微软尚未出台官方解释,此服务何时能够恢复也没有准确的时间表。

足球流氓、网络黑客双重考验巴西安全体系

巴西世界杯已酣战数日,惊喜与叹息并存,参赛者和观看者都是几家欢喜几家愁,但作为主办方的巴西政府来说,可能“愁”还是要更多一些:赛前设施准备的问题 广受争议,而开赛以来的安保工作似乎也不大顺利,时有记者、球迷遭抢劫的新闻爆出,而一群足球流氓也已经“放出话来”,表示要在比赛期间寻衅滋事。

除此以外,规模和声势越来越大的黑客攻击也是让巴西政府头疼的一件事情。揭幕赛之前,数个与世界杯相关的网站遭到DDoS攻击,无法正常访问,甚至世界杯 官方网站也遭到攻击,停摆了一天多的时间,而主办州的网站也不同程度遭遇攻击。黑客组织“匿名者Anonymous”集体声称对这起袭击负责,并表示已成 功攻击关闭超过60家网站,他们要以此抗议巴西政府在世界杯赛事上过度开销,而忽略当地底层居民生活的窘困。

不久前,“匿名者Anonymous”还侵入了巴西外交部电脑,盗取了高度机密性的电子文件和文档,其中包括333封机密电子邮件,还有美国副总统拜登去年5月访问巴西时与巴西官员之间的对话内容。事后,巴西外交部紧急关闭整个电邮系统,并通知3000个用户修改密码。

据一位名为Che Commodore的黑客说攻击还将继续“为了深入了解哪些网站更容易入侵,我们已经在深夜进行过多次测试并制定了一套攻击计划。”他还列举了将要攻击的 赞助商列表:“这次我们的目标是世界杯的赞助商,我们的目标有阿迪达斯(Adidas)、阿联酋航空(Emirates airline)、可口可乐( Coca-Cola Co )和啤酒巨头百威英博旗下的百威啤酒(Budweiser)。”并把支持巴西政府和这届世界杯的社会名人也列为攻击目标,包括DDoS攻击以及篡改网站信 息和盗窃数据,这也许将是“匿名者Anonymous” 策划的最大规模、最重要的一次网络攻击。

我们不用再怀疑,在网络通达的今天,攻击者就在我们身边,随时可能发起针对企业的DDoS攻击,特别是当世界杯这样备受瞩目的事件发生时。而当我们的政 府、银行、大型企业不幸被选中而卷入其中时,无疑会引来应用客户的不满和大众对企业能力的质疑。我们无法预知,下一次攻击是在什么时间,也许网络黑客在发 起下一波攻击之前不会再提前宣布……美国联邦金融机构检查委员会(FFIEC)已发出通知,建议银行着手做好应对DDoS攻击的充分准备。在攻击发生之 前,检验企业安全措施是否可以应对大规模的DDoS攻击,提前做好相关攻击准备才是保护企业信息安全和客户隐私的关键。

DNSDUN DDoS安全防护方案

DNS盾具备超强的攻击防御技术,可抵御超大流量的DDoS攻击及DNS 查询攻击,保障您的在线业务高枕无忧
DNS盾还有一大独有的防劫持功能,可以轻松,专业的解决您的域名被劫持的问题。
解析更稳定,DNSDUN可达到99.99%
不限制解析条数,解析记录随意添加
提供24小时技术支持,随时咨询
管理平台采用https安全连接,账户更安全
宕机检测及自动切换,让您网站永不宕机
最精准的ip网络划分,访问网站更快速

解读DNS攻击:未来网络安全威胁的定时炸弹

2013年DDOS攻击瞄准DNS

2013年3月18日,国际反垃圾邮件组织网站Spamhaus开始遭受DDoS攻击,到3月27日,攻击流量峰值已经达到300Gbps,成为史上最大DDoS攻击。该次攻击造成欧洲地区的网络拥塞。本次攻击的入口就是DNS.攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。这种利用开放式DNS服务器进行放大式的DDOS攻击证明:DNS安全漏洞大。而开放DNS服务器在互联网上数目庞大,远不止3万台,即针对DNS的攻击可以大到出乎你想象。

开放式DNS服务器是定时炸弹

一次攻击造成整个欧洲网络处于基本瘫痪地步,这足以让人心生恐惧。而本次攻击事件也让人们意识到:开放DNS服务器是互联网的定时炸弹,如果不加以治理,未来的某一天将会爆发更大规模的DDoS攻击。本次针对Spamhaus的DDoS攻击只是影响到了整个欧洲互联网的正常访问,难保有一天发生一次影响全球网络正常访问的攻击,这样全球将遭受多重大的损失,这是我们必须面对和解决的问题。

DDOS攻击现状及趋势分析

统计数据显示,针对应用层的DDoS攻击事件上升趋势明显,针对HTTP应用的DDoS攻击已经占到攻击总量的89.11%.未来为降低攻击成本,有效隐藏攻击源,躲避安全设备,同时保证攻击效果,针对数据中心的DDoS攻击类型将主要集中在小流量的应用层攻击和各类慢速攻击。而未来几年,IPv4网络将逐步向IPv6演进。针对IPv4和IPv6网络的混合攻击很快就会成为新型的DDoS攻击威胁,众多IPv4和IPv6协议转换网关设备也将成为DDoS攻击的目标。

总之,DDOS攻击还是未来DNS攻击方式的主旋律。

如何做好DNS防护?

提高服务器抗攻击能力

DNS服务器是因特网基础结构的重要组成部分,而加强服务器抗攻击能力正是目前抵挡DDOS攻击的最有效方法。由南昌邦腾科技推出全国领先高防DNSDUN,利用其高防机房的超强硬件设备,为DNS的安全筑上一面安全的保护墙,能防御目前绝大多数的DDOS攻击。

及时发现攻击告警机制

DNS放大式攻击的一个特点就是开始的流量请求很小,很容易被忽略,到最终被发现的时候已经一发不可收拾了。因此及时发现攻击的存在并采取有效措施才是最佳的抵御手段。DNSDUN所属的高防机房,高防技术全国领先,对于网络攻击有全面的应急机制,并且安排高级技术人员24小时值班,紧盯网络状况,一旦出现网络异常即启动告警机制,全网进入防御状态,保障网络的正常运行。因此DNSDUN的防御能力是非常值得信赖的。

DNS攻击的六大方式防不胜防

DNS是网络能够互联的基础,通过这个域名解析系统用户才能在包罗万象的互联网上轻易的找到自己想要的东西。但是一般用户所不知道的是,这个DNS系统经常被作为网络攻击的对象,在我们看不见的网络背后有着什么样的汹涌暗流呢?下面给大家介绍进行DNS攻击的常见六种方式。

方式一:利用DNS服务器进行DDOS攻击

DDNS攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。这是目前最常见的DNS攻击,也是影响力最大的。据高防专家称,目前能够有效抵挡这种攻击的方式就是使用高防DNS进行防御。

方式二:DNS缓存感染 

攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。

方式三:DNS信息劫持

攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的数据包被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。这时,原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接,显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名。

方式四:DNS重定向 

DNS重定向是指使所设置的域名不通过DNS服务器解析域名,直接访问域名对应的IP地址。攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下。

方式五:ARP欺骗

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

方式六:本机劫持

在计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常,如访问挂马或者钓鱼站点、无法访问等情况,本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式,虽然并非都通过DNS环节完成,但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

总之,DNS被攻击并不是什么新鲜事物,也并非无法预防,2006年百度被黑事件的发生再次揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁。目前而言,对付这种DNS攻击真正有效的方法就是选择高防DNS作为自己网站的域名解析服务。DNSDUN域名解析服务系统所提供的高防DNS服务能够防御大流量性质的网络攻击,是目前国内最好的高防DNS系统之一,是比较值得信赖的防御型DNS。所以,为了网站安全,建议大家选择一款值得信赖的域名解析服务系统。