防止发生DNS劫持要做到:一、关注网络解析器;二、严格限制名称服务器的访问;三、针对缓存中毒的解决方案;四、马上修补已知漏洞;五、解析程序中的权威名称服务器应分离;六、限制区域传输;七、避开病毒网站;八、使用VPN。
一、关注网络解析器
及时关闭闲置的DNS解析器,将合法的正常使用的DNS解析器归于防火墙保护,隔绝阻止外部的恶意访问。
二、严格限制名称服务器的访问
通过物理安全性、多因素访问,防火墙、网络安全措施等等,来共同限制DNS名称服务器外来的访问。
三、针对缓存中毒的解决方案
通过随机源端口、随机化查询ID,随机化域名大小写,来避免/解决缓存中毒情况。
四、马上修补已知漏洞
黑客会不时在网络种搜寻易受攻击的DNS服务器。及时修补漏洞,降低被黑客入侵的可能。
五、解析程序中的权威名称服务器应分离
不应该将DNS工作都放置在同一台服务器中,保证冗余,不会出现有一组件遭遇DDOS攻击另外一组也遭受影响。
六、限制区域传输
从属名称服务器能够请求区域传输,属于DNS记录的部分副本,域记录中有对攻击者有价值的资料。
七、避开病毒网站
大部分攻击是通过恶意软件/木马病毒进行攻击,使用DNS名称服务器时有意避开病毒网站提高服务器安全性。
八、使用VPN
VPN的使用可免受服务器遭遇DNS劫持,这种防御方式也最常用。通过VPN可以加密互联网流量通过虚拟通道传输,恶意劫持者没办法破译流量,拥有极高的安全性。
延伸阅读:
什么是DNS?
域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
域名系统(Domain Name System,DNS)是Internet上解决网上机器命名的一种系统。就像拜访朋友要先知道别人家怎么走一样,Internet上当一台主机要访问另外一台主机时,必须首先获知其地址,TCP/IP中的IP地址是由四段以“。”分开的数字组成(此处以IPv4的地址为例,IPv6的地址同理),记起来总是不如名字那么方便,所以,就采用了域名系统来管理名字和IP的对应关系。
文章标题:项目中如何防止发生DNS劫持,发布者:Flawy,转载请注明出处:https://worktile.com/kb/p/53049