Nominum首席科學家、DNS協議原作者Paul Mockapetris表示,升級到BIND 9.2.5或實現DNSSec將消除緩存中毒的風險。但是,如果沒有藍貓網絡、思科、F5網絡、朗訊、北電的DNS管理設備提供的接口,完成這種遷移是非常困難和耗時的。壹些公司,如Hushmail,選擇使用開源TinyDNS而不是BIND。DNS的軟件替代品包括微軟、PowerDNS、JH軟件和其他供應商的產品。無論您使用哪種DNS,請遵循以下最佳實踐:
1.在不同的網絡上運行單獨的域名服務器以實現冗余。
2.分離外部和內部域名服務器(物理分離或運行綁定視圖)並使用轉發器。外部域名服務器應該接受來自幾乎任何地址的查詢,但中繼器不接受。它們應該配置為只接受來自內部地址的查詢。關閉外部域名服務器上的遞歸(從根服務器向下定位DNS記錄的過程)。這可以限制哪些DNS服務器與互聯網聯系。
3.如果可能,限制動態DNS更新。
4.將區域傳輸僅限於授權設備。
5.使用事務簽名對區域傳輸和區域更新進行數字簽名。
6.隱藏服務器上運行的BIND版本。
7.刪除DNS服務器上運行的不必要的服務,如FTP、telnet和HTTP。
8.在網絡外圍和DNS服務器上使用防火墻服務。限制對DNS功能所需的端口/服務的訪問。
讓註冊員承擔責任。
也是從組織上解決域名劫持問題的重要壹環。不久前,有黑客騙取客服代表修改了Hushmail主域名服務器的IP地址。此時,Hushmail公司CTO布萊恩·史密斯已經怒不可遏,黑客這麽容易就把自己域名註冊商的客服代表給騙了,真是氣死人。
史密斯說,“這件事對我們來說真是太可怕了。我希望看到註冊服務商制定並發布更好的安全政策。但是,我找不到註冊員來做這件事。自從這件事發生後,我壹直在尋找這樣的註冊員。”
5438年6月+10月Panix域名因註冊商問題被劫持時,Panix總裁Alex Resin也感受到了同樣強烈的不滿。首先,他的註冊商在沒有事先通知的情況下將他的域名註冊賣給了壹個經銷商。然後,轉售商將域名轉讓給了壹名社會工程師——同樣是在沒有通知Resin的情況下。
Resin說:“域名系統需要系統性、根本性的改革。現在有很多建議,但事情進展得不夠快。”
等待市場需求和ICANN領導層迫使註冊服務商實施安全遷移政策還需要很長時間。因此,Resin、Smith和ICANN首席註冊官聯絡官Tim Cole提出了以下降低風險的建議:
1.要求您的註冊商出具壹份書面的、可執行的政策聲明。寫下如果域名需要轉讓,要求他們及時聯系妳的條款。
2.鎖定域名。這要求註冊商在允許轉移之前獲得解鎖的密碼或其他身份信息。
3.保持您的官方聯系信息在註冊處保持最新。
4.選擇提供24/7服務的註冊商,以便他們在出現違規情況時能夠迅速采取行動。
5.如果發生未經授權的轉讓,請立即聯系相關的註冊機構。
6.如果妳的問題沒有得到解決,去找妳的域名註冊商(比如VeriSign負責註冊。com和。網)。
7.如果您在取回域名時仍有問題,請聯系ICANN(轉讓
8.如果妳有壹個大的域名,就像谷歌壹樣,成為自己的註冊商或經銷商,使用TuCows。Com的開放API,OpenSRS,來控制妳所有的域名。
PacketScout GenieProDNS系統針對自身漏洞進行DNS劫持和DNS緩存中毒攻擊的解決方案。
壹致性檢驗
每個Geniepro節點將自己的DNS記錄發送給工作組中的其他節點進行壹致性檢查。
每個Geniepro節點將自己的記錄與接收到的記錄進行比較。
每個Geniepro工作組的通信協調節點將獲得的DNS記錄更新發送給其他組的通信協調節點進行壹致性檢查。
每個Genipro工作組的通信協調節點請求上壹級的DNS服務器更新記錄,並將其與從其他通信協調節點接收的記錄進行比較。
壹致仲裁
如果壹致性檢查發現不壹致的記錄,會根據策略(少數服從多數,壹票否決等)決定是否接受記錄的變更。)
根據結果,每個Geniepro節點統壹自己的記錄。
通信協調節點選舉
當選的通信協調節點在其任期內有權更新組內節點。
選舉過程是不可預測和不可重復的。