Nominum的首席科學家和DNS協議的原始作者Paul Mockapetris表示,升級到BIND 9.2.5或實現DNSSec將消除緩存中毒的風險。然而,如果沒有藍貓網絡、思科、F5網絡、朗訊和北電的DNS管理設備提供的接口,要完成這種遷移是非常困難和耗時的。壹些公司,如Hushmail,選擇使用開源TinyDNS而不是BIND。DNS的軟件替代品包括微軟、PowerDNS、JH軟件和其他供應商的產品。無論您使用哪種DNS,請遵循以下最佳實踐:
1.在不同的網絡上運行單獨的域名服務器以實現冗余。
2.分離外部和內部域名服務器(物理分離或運行綁定視圖)並使用轉發器。外部域名服務器應該接受來自幾乎任何地址的查詢,但中繼器不接受。它們應該配置為只接受來自內部地址的查詢。關閉外部域名服務器上的遞歸(從根服務器向下定位DNS記錄的過程)。這可以限制哪些DNS服務器與互聯網聯系。
3.可能的話,限制動態DNS更新。
4.僅限授權設備進行區域傳輸。
5.使用事務簽名對區域傳輸和區域更新進行數字簽名。
6.隱藏服務器上運行的BIND版本。
7.刪除DNS服務器上運行的不必要的服務,如FTP、telnet和HTTP。
8.在網絡外圍和DNS服務器上使用防火墻服務。限制對DNS功能所需的端口/服務的訪問。
讓註冊員承擔責任。
也是從組織上解決域名劫持問題的重要壹環。不久前,壹名黑客欺騙客服代表修改了Hushmail主域名服務器的IP地址。此時,Hushmail公司的首席技術官布萊恩·史密斯已經怒不可遏,黑客如此輕易地欺騙了他們域名註冊機構的客服代表,實在令人惱火。
史密斯說,“這件事對我們來說真的很可怕。我希望看到註冊服務商制定並發布更好的安全政策。然而,我找不到壹個註冊員來做這件事。自從這件事發生以來,我壹直在尋找這樣壹位登記員。”
在5438年6月+10月Panix域名因註冊商問題被劫持時,Panix總裁Alex Resin也感到了同樣強烈的不滿。首先,他的註冊服務商在沒有事先通知的情況下將他的域名註冊賣給了壹家經銷商。然後,該經銷商將域名轉讓給了壹名社會工程師-同樣沒有通知Resin。
Resin表示:“域名系統需要系統性和根本性的改革。現在有很多建議,但事情進展得不夠快。”
等待市場需求和ICANN領導層迫使註冊服務商實施安全遷移政策將需要很長時間。因此,Resin、Smith和ICANN首席註冊服務商聯絡官Tim Cole提出了以下建議來降低風險:
1.要求您的註冊服務商出具壹份書面且可執行的政策聲明。如果域名需要轉讓,寫下要求他們及時與您聯系的條款。
2.鎖定域名。這要求註冊商在允許轉移之前獲得解鎖的密碼或其他身份信息。
3.保持您在註冊處的官方聯系信息最新。
4.選擇提供24/7服務的註冊服務商,以便他們在違規時能夠迅速采取行動。
5.如果發生未經授權的轉讓,請立即聯系相關註冊服務商。
6.如果您的問題沒有得到解決,請聯系您的域名註冊機構(例如,VeriSign負責註冊。com和。網)。
7.如果您在取回域名時仍有問題,請聯系ICANN(轉讓
8.如果妳有壹個大型域名,就像谷歌壹樣,成為自己的註冊商或經銷商,並使用TuCows。Com的開放API OpenSRS來控制妳所有的域名。
PacketScout GenieProDNS系統針對自身漏洞進行DNS劫持和DNS緩存中毒攻擊的解決方案。
壹致性檢驗
每個Geniepro節點將自己的DNS記錄發送到工作組中的其他節點進行壹致性檢查。
每個Geniepro節點將自己的記錄與接收到的記錄進行比較。
每個Geniepro工作組的通信協調節點將獲得的DNS記錄更新發送給其他組的通信協調節點進行壹致性檢查。
每個Genipro工作組的通信協調節點請求上壹級DNS服務器更新記錄,並將其與從其他通信協調節點接收的記錄進行比較。
壹致仲裁
如果壹致性檢查發現不壹致的記錄,它將根據策略(少數服從多數,壹票否決等)決定是否接受記錄的更改。)
根據結果,每個Geniepro節點統壹自己的記錄。
通信協調節點選舉
當選的通信協調節點有權在其任期內更新組中的節點。
選舉過程是不可預測和不可重復的。