保護(hù)用戶域名：邁出第一步

互聯(lián)網(wǎng)上的每一個(gè)人和每一件事都依賴于域名系統(tǒng)（DNS）的正常運(yùn)作。近年來，DNS一直是網(wǎng)絡(luò)攻擊的對(duì)象，在2019年當(dāng)然也不例外。

大多數(shù)攻擊的目的遠(yuǎn)比簡(jiǎn)單地讓一家公司網(wǎng)絡(luò)崩潰或破壞一個(gè)網(wǎng)站更加險(xiǎn)惡;已知的攻擊包括重定向一家組織的部分或全部域名，以獲得訪問受保護(hù)資源的權(quán)限、攔截流量甚至獲得該域名的TLS證書。組織應(yīng)定期進(jìn)行DNS審查和審計(jì)。

為什么DNS常被攻擊？

DNS對(duì)于任何有線上平臺(tái)的組織都是至關(guān)重要的。因此，攻擊域名是一個(gè)攻擊任何線上組織的有效方法，具體途徑包括拒絕服務(wù)、污損、濫用等方式。

域名不僅代表企業(yè)的品牌，也是企業(yè)的客戶與企業(yè)進(jìn)行業(yè)務(wù)互動(dòng)的方式。在當(dāng)今世界，域名對(duì)于網(wǎng)頁(yè)、語(yǔ)音、視頻、聊天、API及公司可以提供或使用的所有服務(wù)都至關(guān)重要。簡(jiǎn)而言之，擁有自己域名的控制權(quán)對(duì)企業(yè)的運(yùn)營(yíng)至關(guān)重要。

對(duì)這個(gè)問題缺乏重視，是對(duì)DNS的最大威脅。許多組織認(rèn)為，DNS的安裝設(shè)置是理所當(dāng)然的，只需配置一次就可以永遠(yuǎn)保留它。然而，對(duì)手便會(huì)利用這種忽視來?yè)魯?duì)方。而定期進(jìn)行DNS審查和審計(jì)是一項(xiàng)基本的預(yù)防措施。

攻擊從哪里開始？

攻擊者可以通過DNS根區(qū)域、DNS注冊(cè)中心/頂級(jí)域（TLD）（例如.com、.net、.uk、.jp等）、域名注冊(cè)器、DNS名稱注冊(cè)器（該區(qū)域被委派的實(shí)體）、DNS區(qū)域文件、權(quán)威的DNS名稱服務(wù)器和遞歸DNS解析器等對(duì)其進(jìn)行攻擊。攻擊者還可以劫持路由，或以欺騙方式得到DNS服務(wù)器的IP地址。綜上所述，攻擊面十分的廣泛。但好消息是DNS本身有較強(qiáng)的抵抗能力，而且也有許多組織關(guān)注DNS的安全、穩(wěn)定和彈性。

第一個(gè)重點(diǎn)領(lǐng)域是DNS區(qū)域的管理（例如example.com）。DNS區(qū)域管理是許多組織在其安全和網(wǎng)絡(luò)審查中容易忽視的一個(gè)問題。不要低估攻擊的范圍和潛在危害：只要進(jìn)入并訪問DNS區(qū)域和/或注冊(cè)器，攻擊者就可以定向輸入電子郵件，攻擊者通過控制主機(jī)引導(dǎo)流量，甚至可以獲得TLS證書。

域名注冊(cè)商和DNS區(qū)域文件

除此之外，域名注冊(cè)商控制域名的權(quán)威名稱服務(wù)器（或稱“授權(quán)”，delegations）的列表。這些授權(quán)包括對(duì)有關(guān)域具有權(quán)威性的DNS服務(wù)器的主機(jī)名和IP地址。權(quán)威的DNS服務(wù)器有一個(gè)主區(qū)域文件的副本，并用“權(quán)威答案”回應(yīng)DNS查詢。

近年來，大規(guī)模攻擊的興起已經(jīng)改變了域所有者操作其權(quán)威命名服務(wù)器的方式。過去，大多數(shù)組織在自己的系統(tǒng)上操作權(quán)威的命名服務(wù)器。而如今，組織有了更多選擇。有些域名注冊(cè)商提供全面服務(wù)包，由注冊(cè)商負(fù)責(zé)管理和維護(hù)域名的完整DNS配置。例如，基于云的提供者如Akamai的Fast DNS可以提供應(yīng)對(duì)DDoS攻擊的增強(qiáng)彈性功能，以及簡(jiǎn)化的基礎(chǔ)設(shè)施管理。

DNS審查和審計(jì)工作

新聞報(bào)道、計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）和政府通知可能會(huì)敦促企業(yè)“做DNS審計(jì)”，但建議往往到此為止。這篇文章的其余部分是一家組織應(yīng)該審查的主題領(lǐng)域的集合，以評(píng)估他們目前對(duì)DNS的“態(tài)度”。這些建議是基于Akamai自身經(jīng)驗(yàn)、ICANN的安全和穩(wěn)定性咨詢委員會(huì)（SSAC）、DNS操作分析和研究中心（DNS-OARC）以及其他DNS專家的工作所得出。

審查對(duì)域名注冊(cè)商的訪問

按照注冊(cè)商的要求，檢查組織是當(dāng)前的域管理員，并確保他們符合企業(yè)的期望。檢查與注冊(cè)商配置的所有域并確保企業(yè)知道企業(yè)中有哪些人可以訪問注冊(cè)商的在線門戶，同時(shí)與這些用戶進(jìn)行確認(rèn)。

如果用戶有多個(gè)注冊(cè)商注冊(cè)的域名，確保用戶向每個(gè)注冊(cè)商重復(fù)操作。盡管如此，還是建議用戶考慮將注冊(cè)合并到一個(gè)單一的注冊(cè)商下。同時(shí)，找機(jī)會(huì)核實(shí)用戶所有的域名都在用戶的域名注冊(cè)審計(jì)中—有些人可能已經(jīng)使用個(gè)人賬戶注冊(cè)了一個(gè)域名，如果他們離開了所在的組織，這可能會(huì)導(dǎo)致失去控制。

攻擊者會(huì)充分利用一家組織所忽略的DNS漏洞。他們會(huì)找到?jīng)]有妥善維護(hù)的賬戶，并對(duì)其進(jìn)行破壞。因此，用戶的第一步就是在每個(gè)注冊(cè)商處檢查、更新和記錄哪些人可以訪問哪些區(qū)域。

審查域名系統(tǒng)的角色和責(zé)任

最少化訪問（least access）原則是一個(gè)最安全的準(zhǔn)則：人們只需要擁有完成其工作所需的最低訪問權(quán)限。檢查能夠訪問注冊(cè)商的用戶是否是工作職能所必須訪問的。除了一次性審查之外，并安排對(duì)每個(gè)人訪問級(jí)別進(jìn)行反復(fù)審查。此外，確保至少有兩個(gè)人可以訪問每個(gè)注冊(cè)門戶;否則一旦管理員離職，訪問權(quán)限的喪失將對(duì)組織造成災(zāi)難性后果。

請(qǐng)記住，攻擊者經(jīng)常利用社交媒體作為網(wǎng)絡(luò)釣魚的一部分。他們可以很容易地在社交媒體平臺(tái)上鎖定知名度高的員工，因?yàn)樗麄冎澜M織在重組、裁員或員工退休后可能會(huì)忘記刪除注冊(cè)信息。

員工權(quán)限轉(zhuǎn)讓

組織的預(yù)終止過程應(yīng)該包括對(duì)用戶角色的審核。作為審核的一部分，企業(yè)應(yīng)該審核員工對(duì)資源的訪問權(quán)限，比如注冊(cè)賬戶或DNS云提供者，并終止所有權(quán)限。在合理的情況下，應(yīng)盡快將權(quán)限賦予替代人員或繼任人員。終止程序還應(yīng)更換或撤銷離職員工可以獲得的所有機(jī)密。

除了密碼外，還應(yīng)該包括雙重身份驗(yàn)證（2FA）令牌、口頭身份驗(yàn)證密碼以及組織文件中任何授權(quán)員工的登記名單。無(wú)論員工離職的情況如何，這些都應(yīng)當(dāng)是一種常規(guī)操作。也是組織規(guī)避威脅的必要手段。

更新所有注冊(cè)資料

接下來，查看使用者注冊(cè)的域名相關(guān)聯(lián)的聯(lián)系信息。確保每個(gè)域名的有效期足夠長(zhǎng)（建議至少一年），并正確設(shè)置其中的各選項(xiàng)如自動(dòng)續(xù)約等。一個(gè)意外過期的域名可能會(huì)產(chǎn)生巨大的財(cái)務(wù)成本，在最壞的情況下，可能會(huì)無(wú)可挽回，或是被競(jìng)爭(zhēng)對(duì)手注冊(cè)。

域名也通常有四個(gè)聯(lián)系點(diǎn)：注冊(cè)人、技術(shù)、管理和賬單聯(lián)系人。企業(yè)的注冊(cè)商可能只會(huì)發(fā)送特定類型的訊息給這些角色中的一個(gè)，在某些爭(zhēng)端中，注冊(cè)人會(huì)處于優(yōu)先位置。確保所有的聯(lián)系信息是最新的—因?yàn)樵诮M織發(fā)展壯大、縮小、轉(zhuǎn)移或被并購(gòu)時(shí)，注冊(cè)聯(lián)系人的更新問題往往會(huì)被忽視。