8 \* T- \4 X M0 N 域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。& y7 V* A5 q% X2 S, I, i
& {) _4 V% U1 i2 X6 C& W# } ~" m2 k4 ?& s1 h5 p Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。” * A! l1 m- @# q& d/ M- I2 J( B e! F* J) X! f3 E+ E5 [) u
1 F, f1 r2 E) C m/ r# H. t
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 / D! ~5 l |+ e @7 e # n/ G. \. z4 L5 K5 d, }& Q, @0 J8 m$ I + x( c" R: k, h$ ? 不管您使用哪种DNS,请遵循以下最佳惯例: 0 D' \" g1 o0 P' _1 b ! D. J9 f* P, _2 h6 R! w6 ]3 W* Y6 U3 ?8 e8 e9 b% k7 y' F
1.在不同的网络上运行分离的域名服务器来取得冗余性。 2 K/ l9 l( y! D! k4 q6 O/ ], v' a% H$ d5 {
; y: x& O8 o# n. C 2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。* U9 P! c. U2 J
2 t- h/ |$ e9 d$ \' y4 i" [, c7 W
; I( M$ Y! |7 |+ S q6 f
7 n7 {# i8 }! o3 n, C
% e$ z7 s. H7 w- W 3. 可能时,限制动态DNS更新。6 Y! D1 @; D. l% i) P7 p. \$ H2 ^4 b
B# t. q5 m; C6 e. s9 a& } ! y# O# a9 e' L" T 4. 将区域传送仅限制在授权的设备上。 * B3 E, |# r- _# T( T# g0 B" Z! e) f# g0 W+ G