网络安全不应该只停留在口头上,事实证明网络安全隐患遍布互联网。近期Twitter与Baidu出现的问题如出一辙。以下多出自本人见解未必全面,仅供探讨。
纵观网络安全大体分为这么几个层面:
1.互联网线路的安全隐患,如数据包中途探嗅与篡改、骨干路由器被入侵等,这个层面是网络运营商的问题,我们作为互联网用户是无力涉及的。 2.服务器安全隐患,包括操作系统、运行的软件及服务器自身的物理安全问题等。提升服务器安全总的原则是“一多一少”,一多是做个勤快的管理员,多多关注软件的BUG公布并及时升级软件。一少是尽量少的运行非必要的程序,尽量少的向互联网开放网络端口。举个简单的例子,互联网上很大部分的服务器都向外开放SQL数据库的监听端口,真不知道管理员是怎么想的。 3.一度被人遗忘的角落就是域名的安全,究其原因主要是很少人真正认识域名与DNS体系,缺乏相关的技术支持。
本文将就上面提到的“3”即域名安全问题展开。
首先了解一下域名体系现存的安全隐患。主要有如下3个方面:
1.域名管理平台的安全问题,有能力出售域名的商家多如牛毛,但有能力管理好域名的就很少。我们知道通常情况下域名提供商对其出售的域名提供权威DNS来解析域名,并且提供域名管理平台(WEB管理平台)。域名管理平台主要功能首先是登录验证并添加/修改域名的NS、A、CNAME、MX、TXT等记录。一旦这个域名管理平台发生问题,后果不言而喻。Twitter与Baidu出现的问题就是通过域名管理平台篡改了域名的NS记录导致的。现实中域名所有者安全意识淡薄往往设置非常简单的登录管理密码,或表现为从来不更新密码,这都是危险的信号。 2.网络运营商的恶意拦截域名解析,这个现象多出现在国内。具体表现为地方性域名解析异常。其做法一般是运营商在所属的公用DNS上硬性绑定域名解析到特定IP地址上。深层次原因无非是利益驱动。 3.病毒、木马等滋事捣乱,这个只发生在受侵害的计算机上,具体表现为本机DNS地址被篡改为一个恶意DNS上,导致解析异常。
解决之道: 1.针对域名管理平台的安全问题,普通大众(穷人)由于受各种条件限制能做的不多:首先选择比较好的域名提供商并树立起域名安全意识。对大型网站能做的就比较多(主要是有钱啊,如google、baidu等):首先是直接向域名机构购买域名(跳过域名提供商),用自己的域名管理平台管理域名(当然这个后台是不对外的,用的时候开机,平时在保险柜),这就从根本上遏制了“黑客”的滋扰。 2.对于网络运营商的恶意拦截域名解析,受害者通常是无权无钱的。能做的只能是向其上级部门申诉,祈祷上帝帮忙了。 3.针对病毒、木马等滋事捣乱,涉及面较小,没啥可说的,杀之而后快。