在下个月举行的ACM SIGCOMM 2012大会,匿名研究人员(研究人员不希望透露名字)将发表论文《互联网审查之DNS污染的附带损害》(PDF)。 论文称:某些ISP和政府会利用DNS注入阻止它们不想让网民访问的网站。防火墙会在ISP的边界路由器附近监视DNS查询,一旦检测到敏感域名关键词, 它会注入虚假的DNS查询结果。不幸的是,这种方法会导致附带损害,影响到被审查网络之外的通信。中国有三个镜像DNS根服务器(F-、I-和J-),大 多数附带损害是因为DNS查询经过了中国ISP控制的域名根服务器。研究人员调查了43842次非审查网络的DNS查询,发现11579次查询部分受影 响,其中最常见的域名是.de和.kr域名。
標籤彙整: DNS
.secure顶级域名将要求加密所有会话
名叫Artemis Internet的公司正在推动.secure安全顶级域名,它将要求用HTTPS加密所有会话,为金融服务和医疗保健等关注安全的机构建立一个传输敏感数据的“安全港湾”。 閱讀全文
博讯及其托管商遭DDoS攻击威胁
2012年互联网五大预测:根服务器运营商换人
新闻来源:新浪科技
美国IT网站ComputerWorld今天撰文称,2012年将有五大历史性事件对互联网产生重要影响,包括根服务器运营商变更、新增近千种顶级域名以及欧洲IPv4地址耗光等。以下为文章全文: 无论从技术还是政策层面来看,2012年都将成为互联网上世纪90年代末成为经济增长引擎以来,最重要的年份之一。 閱讀全文
腾讯网IPv6服务试点正式开启
腾讯科技讯 11月23日下午消息,2011年2月3日,ICANN宣布全球IPV4地址池已经耗尽;2011年4月5日,APNIC宣布可正常分配的ipv4地址告 罄。IP地址的枯竭将严重的制约互联网行业的发展,对整个互联网行业将带来不可预估的影响。近年来,IPV6的发展受到了业界的高度关注,处于经济和科技 领先地位的各大强国的科研机构分别建立了自己的试验网络,并围绕着IPV6的网络迁移及应用开发进行了大量的研究工作,为IPV6的推行铺开了道路。到目 前为止,美国、日本、中国、欧盟都建立了IPV6的骨干网,并逐渐开始推动进行从ipv4到ipv6变迁。IPV4的时代已经逐渐过去,IPV6的时代的 大幕正在逐渐开启。 閱讀全文
Google宣布Google CDN
Google宣布了最新的帮助加快互联网速度的工具Page Speed Service,加快静态网页的载入速度,不支持动态网页。 在开发者注册该服务之后,可将网站的DNS入口记录指向Google,然后Page Speed Service从服务器上抓取内容,采用最佳的Web性能方案重写网页,通过Google在全球部署的服务器将内容展示给终端用户,加快网页载入速度。网 站开发者将无需再担心CSS串联、压缩图像、缓存、压缩资源等问题。Google称它的的测试显示能加快网页载入速度25%到60%。这项服务在beta测试阶段免费,收费细节将在以后公布。
世界IPv6日
6月8日是世界IPv6日。流行的网站如Google、Facebook、YouTube和Yahoo将在24小时内全球测试IPv6 访问,它们将同时提供IPv4和IPv6地址。用户可以在test-ipv6测试自己的IPv6可连接性,如果你的ISP或DNS server没有配置使用IPv6,可能将限制你访问IPv6网站的能力。你也可以在命令行中输入: 閱讀全文
中国多家网站被clientHold
在大日子即将到来前夕,一位推特用户报道,多家国内网站被暂停解析,世界之窗浏览器ioage.com、Opera中国论坛 operachina.com、深度系统论坛deepin.org、赢政天下winzheng.com、墨迹天气mojichina.com等目前均无法 访问,域名被clientHold。这些网站的Registrar均为国内域名注册商。
这就是使用国内的域名注册服务的下场。各位还在使用国内注册商的同学,诸多门户网站(百度、网易、搜狐等)都在使用国外的Registrar,你为什么不敢用?
作者:williamlong
Tor网络攻防战
29日举行的USENIX LEET研讨会,匿名网络Tor项目Nick Mathewson的演讲是《Tor与规避:经验教训》(PDF),讨论了Tor如何应对埃及、中国和其它国家政府的打压行动。 閱讀全文
RIPN称俄罗斯域名.ru今后注册将不再免费
据悉,2010年12月27日起,RIPN准备将.net.ru/.org.ru/.pp.ru的所有注册服务及支持转移到RU-CENTER(即nic.ru),.ru域名将不再免费开放,今后注册RU域名将实行收费制度,此前,已免费注册的.ru域名也将实行续费制。
据了解,12月20日的时候RIPN已停止了.net.ru、.org.ru和.pp.ru注册事项,在12月27日时候nic.ru将恢复注册,届时注册ru后缀域名需花费450卢布,续费则需360卢布(约合人民币97.5元)。
.ru域名为俄罗斯国家后缀域名,俄罗斯政府认为.ru域名翻译成斯拉夫语是巴拉圭的顶级域名.py,这样会引起安全问题,因此俄罗斯正在试图改变顶级域名换用斯拉夫语.rf 。
百度对Register部分指控获美国法院批准
据美国一名法官周四表示,针对今年一月百度被黑事件,百度可以继续起诉美国域名服务提供商Register.com,并坚持原有的部分指控。
今年1月11日,百度网站被黑,黑客自称伊朗网军,数周后,黑客又袭击了Twitter网站。百度认为Register.com安全存在漏洞,并索取赔 偿。曼哈顿联邦法院今天颁布书面法庭令,允许百度继续起诉Register.com。百度指控Register.com违反合同、重大过失,并造成百度网 站被黑客攻击。 閱讀全文
互联网域名系统(DNS)安全到达关键性里程碑
新闻来源:网界网
译稿 北京时间6月18日消息,为互联网域名系统拧紧安全螺钉的梦想在周三又向现实迈进了一步,这一天,互联网的政策制定者们在北弗吉尼亚州举行了一个简单而又 隆重的仪式,生成并储存了第一个将用于互联网根域安全的密钥。
这次的密钥发布仪式是互联网根域DNS安全扩展(DNSSEC)研发进程的最终步骤之一。DNSSEC是互联网防范欺诈性攻击的一个新的标准,允许 Web网站利用数字签名和公共密钥验证域名及对应的IP地址。
閱讀全文
Web.com将承担百度的域名安全诉讼
若Web.com完成对Register.com的收购,则Web.com将代替Register.com,承担来自百度公司提出的域名 安全诉讼。近日网络主机和设计公司Web.com宣布,将以1.35亿美元的价格收购域名注册服务商Register.com。 Web.com相关负责人表示,公司将以1.35亿美元收购Register.com,其中包括向Register.com支付的2000万美元现金,承 担后者1.1亿美元的债务和500万美元的卖方票据。 閱讀全文
.cn域名注册量从全球第二跌至第四 还将下跌
一年前,发展速度惊人的.cn顶级域名似有取代.com,成为全球注册量最多的顶级域名之势。但一年之后,这并未成为现实,.cn 域名的位置反而从去年的 全球第二跌至第四,.com仍稳居第一。
根据VeriSign的统计,截至2010年第一季度,全球域名总数超过了1.93亿,第一季度净增加1100万。前10的顶级域名分别 为:.com、.de、.net、.cn、.uk、.org、.info、.nl、.eu和.ru。 閱讀全文
13台DNS根服务器升级 DNSSEC将改变互联网未来
5月5日,由ICANN,美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC(Domain Name System Security Extensions,域名系统安全扩展)升级,DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名,确保返回的域名地址是未经篡改 的。 DNSSEC是为阻止中间人攻击而设计的,利用中间人攻击,黑客可以劫持DNS请求,并返回一个假地址给请求方,这种攻击手段类似于正常的 DNS重定向,人们在不知不觉中被转到另一个URL。
据Melbourne IT首席战略官,ICANN董事Bruce Tonkin说,本次升级将会给那些毫无准备的网络管理员一个措手不及,响应标准DNS请求往往只有一个单一的数据包(UDP协议),大小一般不会超过 521字节,在某些较旧的网络设备中,比这个大的请求将会被出厂默认配置阻止掉,它会认为超过这个大小的数据包是异常的。
截至UTC 5月5日17:00点,所有发送给用户DNS解析器的DNSSEC签名的消息将会变大到2KB,是原来的4倍,但这么大的数据包可能会被许多网络设备拒绝 接收,因此这个响应消息很可能会通过TCP分成多个数据包进行发送。
Tonkin有点担心,虽然DNSSEC已经提上日程有一段时间了,但许多IT和网络管理员还没有测试他们的旧路由器和防火墙,如果不能处理更大的DNS 响应数据包就麻烦了。
他说:“企业网络中的设备可能会阻止比以往更大的DNS请求响应数据包”。
DNSSEC其实早在 2009年11月就在全球13台根服务器上准备好了,到目前为止,它只会导致许多旧网络设备载入网页略有延迟。
不是所有DNS根服务器都会响应每一个请求,用户机器上的DNS解析器会逐个请求这13台根服务器,直到返回一个满意的答复。当13台具有 DNSSEC签名功能的根服务器全部上线后,所有的响应不会抵达旧设备的企业网络,Tonkin希望大型ISP能解决这个问题,让家庭用户不受影响。
他说:“我不能保证所有ISP都准备好了,ISP会为你翻译DNS,但企业网络可能影响比较大,因为企业可能运行了自己的DNS服务器”。
从这个意义上来说,5月5日可与千年虫危机匹敌。Tonkin预计会有大量的组织遇到互联网接入问题,大量的网络管理员将会抓破头皮寻找问题的根源。
这个问题可能需要数天才能完全消除,晚上未关机的用户可能会访问到一些页面,那也仅仅是缓存中的内容。Tonkin建议网络管理员尽快运行一系列简单的测 试,确保他们的网络可以处理更大的DNS响应包。
【51CTO.com译稿,合作站点转载请注明原文译者和出处。】
原文:Warning: Why your Internet might fail on May 5 作者:Brett Winterford
免费顶级域名.cg注册免费一级域名.rw申请
先进入http://www.nic.cg/cgi-bin/search.pl
在这里输入 你要注册的youname.cg或者.
如果注册了,就会出现ALREADY TAKEN.几个红字
没注册就出现一个叫填 EMAIL的框
填入你的EMAIL
(注意,一般邮箱不能申请只有以@zj.com和@china.com.cn的邮箱可以申请, 自己试吧!)
然后进入下一页
Domain Name : xxx
Domain Country : .cg
You can also register the domain in the following country at once :
Is this domain to be delegated to
a Citizen/resident of the country ? No Yes (copy of passport will be required) If you already have registered a free domain, you must select ’No’. 就选NO
Organization registering the domain
Name Surname : 名字
Organization name : 组织
Street : 街道
City – Zip Code : 城市和邮编
Country : 国家选china
Telephone : 电话
Telefax : 传真号码
E-Mail Address : 电子邮件(这个要和刚才填的一样)
IMPORTANT: not the e-mail of the registrar but the Delegated Organization’s email address, so that we may have a direct contact with them. The registrar can use the billing e-mail address BUT NOT THIS ONE. This is a cause of rejection.
下面的基本上和上面填的一样,对照着填就行了
Billing Contact
Name Surname :
Organization name :
Street :
City – Zip Code :
Country :
Country :
Telephone :
Telefax :
E-Mail Address :
下面填DNS服务器信息,我用的是POWERDNS的
DNS Information
Primary DNS Host Name : dns-eu1.powerdns.net
Primary DNS IP Address : 213.244.168.217
Secondary DNS Host Name : dns-eu2.powerdns.net
Secondary DNS IP Address : 212.72.55.217
Please choose a password: 填密码
This password will allow you to login to our web site to view the status of your request, change contact information, dns etc… Password:
Re-enter Password: 再填一次密码
OK, 注册流程基本上到这就完毕了
到信箱看,有第一封系统发的信
会收到第二封信通知你是否成功
OVER
(编 辑:免费吧)
中国开通镜像服务器 域名解析不绕道美国
12 月19日消息,网通集团宣布,已与美国威瑞信(VeriSign)公司达成协议,将开通根域名中国镜像服务器,今后中国网民访问.com以及.net网站 时,域名解析将不再由设置在境外的域名服务器提供服务,长期以来在中国访问.com以及.net网站的安全性问题得到了保障,上网速度也将提升.网通集团 表示,已于12月14日与美国Verisign公司在北京举行签字仪式,正式开通互联网根域名中国镜像服务器.
由于此事的重要性,美国商务部古铁雷斯部长、中国商务部易小准副部长、信息产业部电信管理局韩夏副局长、Verisign公司约翰·多诺万副总裁、中国网通集团公司朱立军副总裁等共同出席了签约仪式,并启动了根域名服务器的开通.
解决了访问.com网站的安全问题
此次建立互联网根域名中国镜像服务器是在信息产业部的直接领导下,由中国网通集团公司与美国Verisign公司共同合作完成的.
据悉,以前,中国互联网网民访问.com、.net网站时,域名解析需由设置在中国境外的域名服务器提供服务.一直到去年,美国商务部还曾宣布,将坚持保 留对互联网域名根服务器(rootserver)的监控权,这一声明的隐含信息是:美国将继续掌握全球互联网的最终控制权.因此,有关网络信息安全问题再 次成为互联网业界的关注焦点.
信产部电信管理局和网通相关人士表示,此次开通根域名中国镜像服务器有非常重要的意义,解决了中国网民访问.com 、.net网站时,域名解析需由设置在中国境外的域名服务器提供服务的问题,使中国互联网的安全性和稳定性得到进一步保证;同时,将大大提高了中国境内互 联网用户连接相关网站的速度,有利于促进中国互联网的发展.
中国政府网率先启用”政务”专用中文域名
新闻来源:新华网
记者日前从中央编办政务和公益机构域名注册管理中心了解到,中国政府网已率先开始使用“中国政府网.政务”专用中文域名。
据了解,中国政府网还使用了“中国政府.政务”、“国务院.政务”、“国务院办公厅.政务”、“中央人民政府门户网站.政 务”等多个专用中文域名,网民今后就可以通过这些专用中文域名直接访问中央政府门户网站。 中 国政府网是我国最高级别的中央政府门户网站,是国务院和国务各部门,以及各省、自治区、直辖市人民政府在国际互联网上发布政府信息和提供在线服务的综合平 台。中国政府网专用中文域名的开通标志着我国政府网站域名规 范工作又迈上了一个新的台阶,对于进一步加强政府网站建设管理工作具有十分重要的意义。
在采访过程中,一些网民表示,以往我国政府网站在使用英文域名时很难做到非常规范,有的网站使用英文,有的使用汉语拼音,或者仅是几个字母的缩写,很难准确记忆,同时从域名上看也无法反映网站主办者的机构性质。
调查显示,我国的普通网民很少有人能够准确记忆10个以上的政府网站的英文域名,如何能使习惯于使用中文的我国网民用最直接的方式准确找到政府网站,政务专用中文域名的设立为此建立了一条绿色的通道。
另外,一些政府网站的管理者表示,“政务”、“公益”专用中文域名的设立和应用为政府网站在互联网中建立了一个明确的标识,便于网民准确识别,能够有效避免假冒网站所带来的社会危害,同时也对于保护政府部门和公益机构的合法权益具有十分重要的意义。
DNS漏洞 迫使互联网核心协议升级
DNS(Domain Name System,域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露,让本身就不够安全的互联网更增添了恐慌和猜测.
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名 将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名.开发周期长达11 年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击.
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色.简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便 地访问互联网,而不用去记住能被机器直接读取的IP数串.比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址.不只浏览 网页需要DNS,E-mail和SSL证书同样需要DNS.
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击.诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息.黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址.
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客.一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈.
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题.如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中.”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法.而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的.
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID 的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能.转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有 abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应.
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补.他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护.
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司.10年来,他9次站在Black Hat大会上发言.现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节.
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应.
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补.他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护.
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面.新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合.当服务 器提出DNS请求时,它使用一个独特的交易ID来确定请求.这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求.
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655.”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息.Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质.现在,攻击者不 仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口.这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效.
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏 洞),发送大量查询到DNS检验服务器,然后对查询进行分析.据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务 器.
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、 Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁.不过,还是有消息人士指 出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞.
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后.另外,他们为了降低成本,还缺乏独立 分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险.
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成.当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的.但 是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的 DNS服务,访问互联网,同样存在遭受DNS攻击的可能.
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信 道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器.
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug.著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞.
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable=”YES”,执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器.这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌 面系统的攻击行为,从而大大提高黑客的攻击成本.但缺点是,这样做意味着无法有效利用上游DNS的缓存.
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC.DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本.
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制.唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了.遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC.
发改委:2010年底前发展50万IPv6试商用用户
昨日,国家发改委在其网站上公布了下一代互联网业务试商用及设备产业化专项的通知.通知指出,为积极、稳妥推动我国下一代互联网业务应用和产业发展,按照中国下一代互联网示范工程总体安排,将组织实施下一代互联网业务试商用及设备产业化专项.通知强调,大力促进IPv6业务试商用,在2010年底前发展50万以上IPv6试商用用户,积极推进下一代互联网由试验向商用的转型,培育形成新的经济增长点,带动我国信息产业持续健康发展.
据 专家介绍,以IPv6为核心的下一代网络的出现,将引发全球的网络革命.IPv6也被称作下一代互联网协议,它是用来替代现行的IPv4协议的一种新的 IP协议.由于现行的IP地址资源有限,已不能满足用户的需求,因此国际互联网研究组织发布了新的主机标识方法,即IPv6.
发改委还在通知中指出,要实现关键设备产业化.配合新型技术及业务的应用和试商用,实现具有自主知识产权的下一代互联网关键设备的批量生产能力.
DNS漏洞攻击代码已经公布 危险迫在眉睫
Infoworld 报道,著名黑客HD Moore已经率先公布了可用代码.利用这段代码可以对DNS服务器进行投毒,将一条恶意纪录植入目标服务器,该服务器将随机发起域名查询,此时攻击者可以提供伪造的响应,将域名服务器中的纪录指向其特定站点.这个漏洞攻击可以默默的改变用户的升级服务下载恶意软件,IOActive研究者Dan Kaminsky很早发现漏洞并且无意中这周公布了漏洞使得开发出攻击代码.infoworld.com网站也提醒了这个攻击导致的网络钓鱼欺骗的问题.
通过这个网址http://metasploit.com/dev/trac/changeset/5579可以看到国外黑客发布的DNS漏洞攻击代码。
.org域名将首先使用DNS安全扩展协议
基于目前互联网爆出的DNS漏洞问题,ICANN近日批准了一项符合公众利益的重要决定,.org域名将首先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名.
DNS自身的缺陷最早被发现于1990年,但是一直没有相关的问题解决方法,最新的“cache投毒”方法据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的.
DNSSEC 发展于1997年1月,开发周期长达11年,DNS安全扩展(DNSSEC)协议创建的目的是为了解决原DNS协议中的漏洞,使之不再 容易遭受攻击。不过因为DNSSEC会产生额外的数据开销而得不到普及。根据早期的协定,如果要使用DNSSEC,必须将之覆盖整个互联网。而且,有关隐 私和法律方面的疑虑涌现出来,使之无法获得普及。
不过,.org域名实际上并不是最需要考虑到域名,但是鉴于一些国家已经拥有了自己的顶级域名,这不是ICANN所能控制的,可以简单而 快速从 DNS转移到DNSSEC的顶级域名目前只有.org。不过如果ICANN可以控制全面的互联网访问权限,那么全部域名转移也不是不可能。至于ICANN 和美国政府是否可以值得信任,则是另外一个问题。
从.org域名的转移我们可以看到,尽管步伐缓慢,不过DNS将最终转移到DNSSEC上。
《连线》:DNS 漏洞细节被泄露,攻击即将开始
尽管 Dan Kaminsky 努力掩盖他所发现的 DNS 严重漏洞的细节,Matasano 安全公司的一个员工还是在他的博客上泄露了这些资料,虽然文章被立即删除,但已经有人拿到了这些资料,并发表在别的地方。Kaminsky 在他的博客上发表了一个紧急消息,赶快打补丁,别睡觉,使用 OpenDNS…
HD Moore,Metasploit 的作者说,黑客们正在加紧制作攻击工具,今天的晚些时候会有攻击出现。本月初,IOActive 的 Kaminsky 公布了 DNS 系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造任何网站,银行网站,Google,Gmail 以及其它 Web 邮件网站。
Kaminsky 是在同多个 DNS 系统商共同开发安全补丁的时候发现了这个漏洞。Kaminsky 在记者会宣布了这个由多家厂商共同开发的 DNS 补丁,并呼吁 DNS 服务器所有者立即更新他们的系统。
但 Kaminsky 在宣布这个漏洞的时候,没有透露相关技术细节,以便 DNS 系统管理员知道其严重性,Kaminsky 承诺会在下月的 Las Vegas 黑帽安全大会上透露漏洞细节,在这之前,他给 DNS 系统管理员预留了一个月的时间升级系统。Kaminsky 同时恳求那些安全专家不要试图猜测漏洞的细节,但很多人将他的恳求当作一个挑战。
德国的安全专家 Halvar Flake 最先发表了漏洞细节,Kaminsky 曾被要求私下里公布细节,帮助那些系统管理员升级系统,同时,一些系统管理员以及安全专家指责 Kaminsky 是在拿那些过去的众所周知的 DNS 漏洞炒作。
Matasano 的创始人Thomas Ptacek 也曾置疑过 Kaminsky 的发现,然而当 Kaminsky 私下里向他透露过漏洞细节之后便不再出声。Ptacek 并没有参与漏洞细节的公布,但作为 Matasano 的创始人,他仍然发表了一个声明为这件事道歉。
Kaminsky 发现的 DNS 漏洞会让黑客在 10 秒之内发起一个“缓存毒药攻击”,使 DNS 服务器将用户引导到恶意网站。Kaminsky 说,这是一个非常严重的 Bug,会影响到任何网站,Kaminsky 不打算向 Matasano 追究到底细节到底是如何泄露的,但呼吁人们立即升级 DNS 系统。
本文国际来源:http://blog.wired.com/27bstroke6/2008/07/details-of-dns.html
中文翻译:COMSHARP CMS
高达79.24%网民会选择注册“.中国”域名
“.中国”域名将启用极大的调动了2亿中国网民的互联网归属感和认同感.
近日,ICANN理事会通过一项重要决议,允许使用其他语言包括中文等作为互联网顶级域字符,“.中国”将于2009年写入全球根域名系统,成为首批新设的非拉丁语系字符顶级域之一.最新调查显示,高达79.24%的网民会选择注册“.中国”域名.而有业内人士却指出,近八成网民欲注册“.中国”域名对广大企业来说并不是好事.
●中国域名有利品牌文化传播 八成网民欲注册
这意味着,届时全球华人在浏览器地址栏不仅可以通过输入英文域名lenovo.com.cn,还将可以通过直接输入中国域名“联想.中国”在互联网上访问联想公司的网站.
网友冯健表示,中国网民这么多,完全可以借此机会向世界推广中国的文学、语言,意义深远;现在我们都是用英文输入,也应该让外国人来学学汉语,以后让世界也流行中文域名.
“外国人用外文域名,中国人用中文域名,不是很好吗?”一位腾讯威海网友如是表示.显然,中国域名将启用在网民中获得了巨大的认同,这在一项调查中得到充分证实.网易的最新调查显示,高达79.24%的网民会选择注册“.中国”域名.
●专家提醒:企业应及早行动 防范品牌遭遇“强娶”
近八成网民欲注册中国域名对广大企业来说并不是好事.
网络法律学者张樊指出,一个新域名后缀启用之后必然带来注册剧增问题.据了解,欧洲联盟的顶级代码“.eu”在向欧盟居民开放注册后,就吸引了大批民众集中注册.据欧盟委员会统计,在注册开放后100分钟内注册人数高达30万,仅当天便有数十万个人用户提交了注册申请.
张樊认为,“.中国”域名的类似情况可能会更突出,因为它允许将更多的中文商标直接注册成域名.据介绍,对于国内企业来说,绝大部分企业商标用的是中文,过去由于无法直接将其商标注册成域名,极大阻碍了企业品牌在互联网上的传播.
如今,中国域名的启用将给企事业单位的网络品牌传播带来一种全新的体验.相比之下,更多国人能够记住的是企事业单位的中文品牌,而非英文商标.如在十三亿国人中,“海信”的知名度要比“Hisense”高得多.
由于“.中国”域名与“.com”、“.cn”结尾的域名一样,遵循“先注先得”的国际惯例,因此同样具有稀缺性与唯一性的特点.网舟咨询总经理翟文军表示,具有唯一性的域名存在着被他人或竞争对手提前注册的可能性,从而产生企业网络资源和品牌边缘化,因此企业要提高域名品牌意识,加强自身资源保护.
《北京晨报》消息
DNS爆漏洞 可致黑客控制网络
计算机行业巨头正在忙于修复互联网基础中的一个安全漏洞。这个安全漏洞能够让黑客控制互联网通信。
主要软件和硬件厂商几个月来一直在秘密研制本周二发布的这个软件“补丁”以修复这个漏洞。这个安全漏洞存在于计算机被路由到网页地址的方式中。Securosis公司分析师Rich Mogul在媒体电话会议上说,这是整个互联网地址解析方案工作方式的一个非常基本的问题。你拥有这个互联网,但是,它不是你预期的那样的互联网。黑客会控制一切。
这个安全漏洞可能导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗人们泄漏自己的账户号码、口令和其它信息。黑客还能够利用这个安全漏洞把用户引导到他要用户访问的网页,无论用户在网络浏览器上输入什么地址。
IOActive公司的安全研究人员Dan Kaminsky在6个月前发现了这个域名系统安全漏洞,并且立即联系微软、Sun和思科等行业巨头合作制定一个解决方案。
Kaminsky说,人们应该担心这个问题。但是,他们不必恐慌。我们已经给你许多时间测试和使用这个补丁。以前还从来没有这种规模的修复安全漏洞的事情。
Kaminsky建立了一个网页,网址是http://www.doxpara.com/。人们可以在那里查看自己的计算机是否存DNS安全漏洞。