|
因此你该如何应对呢?为了阻止DNS中毒,分析家和安全专家一致认为,首要的也是最佳的防护就是确认你有所有最新的DNS软件,并且所有的安全补丁都时时更新。给你最好的也是最精练的忠告:如果你运行BIND,请将其升级到Version 9,因为与先前的版本相比较,这个版本中毒的可能性最小。
很不幸,许多DNS弱点在企业管理员的范围以外,由ISP维护。“现在外面仍有大量的旧版本的BIND软件。” Symantec的Friedrichs说:“你的ISP可能仍在使用Version 4或Version 8。”
你可以通过把DNS拉到内部来消除这个弱点,但是对于这么做也有不同的意见。计算机协会eTrust security management部门副总裁Sam Curry推荐这种方法。“你的ISP应从更高层次获得DNS信息,这样的话要感染缓冲区要困难的多。” Curry认为直接与DNS高层对话可以减少中毒的几率。
网络安全服务公司TraceSecurity的首席技术官兼发起人Jim Stickley同意Curry的看法。他认为:“如果你锁定所有的服务器而只运行根缓冲服务器,黑客进行域欺骗是十分困难的。”
这些根服务器存在DNS系统的高层。“你可以信任这些根服务器。” Burton Group的分析家Dan Golding说:“一共有13个根服务器,并且它们全部由全世界的政府、教育及商务机构运行着。”不仅如此,由VeriSign为所有的.com和.net根服务器提供安全保障。VeriSign的首席战略官Ken Silva称这些根服务器到目前还未被危及安全。
“自己动手”策略带来的麻烦就是,将所有的DNS通信都锁定在根服务器上就意味着必须承担大量的责任。Ullrich 说:“你必须承担所有的维护工作,而DNS也会变得非常复杂。”
而根据BlueCat Networks的总裁和首席执行官Michael Hyatt称,DNS是一个黑色的盒子,很多人宁愿不要打开它。他说:“DNS是神秘的。你要在一个并不是很友好的界面下配置BIND。你不得不使用一种难看的、老的、令人难受的语言。”
BlueCat推出了Adonis 1000,这是一种网络应用程序,当作为一种DHCP服务器执行双重任务时能缓和DNS配置和管理的负担并能使DNS配置和管理更安全。“IT业内人士不应挤成一堆去升级BIND和核心配置。” Hyatt说道:“你需要一个简便的方法通过你的网络就传送DNS的变化。这就是我们目前正在做的事情之一。”
|
