为什么它与你有关,浏览器输入url到发起http请求所经历的过程

2020-05-07 08:46栏目:新闻资讯
TAG:

图片 1

  • 1、不可信任的基础设施:Wi-Fi

  • 2、安全通信协议:HTTPS

  • 3、历史遗留问题:DNS

  • 4、最后一英里的安全:VPN

  • 原文:Tips to Secure Your Network in the Wake of KRACK | KONSTANTIN RYABITSEV OCTOBER 18, 2017

图片 2

近年来,DNS一直是网络攻击的常见对象,2019年当然也不例外。已知的攻击包括重定向一家组织的部分或全部域名以获得访问受保护资源的权限、拦截流量甚至获得该域名的TLS证书。组织应定期进行DNS审查和审计。下面的指导说明将让您的审查迈出第一步。

KRACK 攻击将目标放在你的移动设备和 Wi-Fi 接入点之间的链路,它可能是一台路由器 —— 在你的家里、办公室、社区图书馆或者你最喜欢咖啡店。 下面这些技巧能够帮助您提高网络连接的安全性。

用户输入url

互联网上的每一个人和每一件事都依赖于域名系统的正常运作。近年来,DNS一直是网络攻击的常见对象,2019年当然也不例外。大多数这类攻击的目的远比简单地让一家公司网络崩溃或破坏一个网站更加险恶;已知的攻击包括重定向一家组织的部分或全部域名以获得访问受保护资源的权限、拦截流量甚至获得该域名的TLS证书。组织应定期进行DNS审查和审计。下面的指导说明将让您的审查迈出第一步。

关于 DNS 和根证书你需要了解的内容。

密钥重安装攻击 (KRACK, Key Reinstallation Attacks) 概要如下:

当用户输入url,操作系统会将输入事件传递到浏览器中,在这过程中,浏览器可能会做一些预处理,比如 Chrome 会根据历史统计来预估所输入字符对应的网站,例如输入goog,根据之前的历史发现 90% 的概率会访问「www.google.com 」,因此就会在输入回车前就马上开始建立 TCP 链接甚至渲染了。

为什么DNS常被攻击?

-- Anxhelo Lushka

  • 基于 WPA2 无线握手协议的漏洞,攻击者可能在你的设备和Wi-Fi接入点之间嗅探或者操纵流量
  • WPA2 标准存在定义含糊以及标准实现不够严谨,特别是对于 Linux 和 Android 设备来说问题尤其糟糕。事实上,在底层操作系统被修补之前,该漏洞允许攻击者强制所有无线通信流量不进行任何加密。
  • 这个漏洞可以在客户端修补,所以事情并没有到不可收拾的地步。WPA2 无线加密标准并没有过时,WEP (Wired Equivalent Privacy,有线等效保密协议)标准也是同样的道理(解决该问题的方案并不是切换到 WEP )。
  • 最流行的 Linux 发行版已经在客户机上发送修复此漏洞的更新,所以需要尽快更新。
  • Android 将很快为这个漏洞推送补丁程序。如果您的设备正在接收 Android 安全补丁,您不久就会收到一个修复程序。如果您的设备不再接收这样的更新,那么这个特殊的漏洞仅仅是您停止使用旧的、不支持更新的 Android 设备的另一个原因。

接着是输入url之后,点击回车,这时浏览器会对 URL 进行检查,首先判断协议,如果是 http 就按照 Web 来处理,另外还会对这个 URL 进行安全检查。安全检查完成之后,在浏览器内核中会先查看缓存,然后设置 UA 等 HTTP 信息,接着调用不同平台下网络请求的方法。

DNS对于任何有线上平台的组织都是至关重要的。因此,攻击域名是一个攻击任何线上组织的有效方法,具体途径包括拒绝服务、污损、滥用等其他方式。域名不仅代表您的品牌,也是您的客户与您进行业务互动的方式。在当今世界,域名对于网页、语音、视频、聊天、API及公司可能提供或使用的所有其他服务都至关重要。简而言之,拥有自己域名的控制权对您的生意至关重要。

由于最近发生的一些事件,我们(Privacy Today 组织)感到有必要写一篇关于此事的短文。它适用于所有读者,因此它将保持简单 —— 技术细节可能会在稍后的文章发布。

也就是说,从我的观点来看,Wi-Fi 仅仅是不可信任基础设施链条中的另一个环节,我们应该避免把它当作完全可信的通信渠道。

注意:浏览器和浏览器内核是不同的概念,浏览器指的是 Chrome、Firefox,而浏览器内核则是 Blink、Gecko,浏览器内核只负责渲染,GUI 及网络连接等跨平台工作则是浏览器实现的。

对这个问题缺乏重视是对您的DNS存在的最大威胁。许多组织认为DNS的安装设置是理所当然的,只需配置一次就可以永远保留它。然而,对手便会利用这种忽视和由此产生的弱点。定期进行DNS审查和审计是一项基本的预防措施。

什么是 DNS,为什么它与你有关?

1、不可信任的基础设施:Wi-Fi

如果现在阅读本文是通过你的笔记本电脑或者移动电话,那么你的通信链可能看起来应该是这样的:

图片 3

KRACK 攻击将目标放在你的移动设备和 Wi-Fi 接入点之间的链路,它可能是一台路由器 —— 在你的家里、办公室、社区图书馆或者你最喜欢咖啡店。

图片 4

实际上,这个图应该类似于这样:

图片 5

Wi-Fi 仅仅是我们漫长的通信链中的第一个不应该信任的环节。如果让我猜的话,你正在使用的 Wi-Fi 路由器可能从开始使用的那天起就没有收到过安全更新。更糟的是,它可能是默认的或容易被猜到的管理凭据(用户名/口令/密钥等),从来就没有更改过。除非你自己初始化并配置了路由器,同时你还能记住自己最后一次是什么时候更新它的固件,总之,你应该假设它现在是由别人控制,不能被信任。

通过 Wi-Fi 路由器,我们进入了一个由各类不可信任基础设施覆盖的区域 — 取决于你的偏执狂水平。在我们的上游有各类 ISP 和服务提供商,他们中的许多人捕获,监视,改变,分析和销售我们的个人流量,试图从我们的浏览习惯中获得更多的钱。通常,他们自己的安全补丁计划留下了许多有待改进的地方,最终使我们的流量暴露在恶意人士的眼里。

通常在互联网上,我们不得不担心强大的、国家级的演员操纵核心网络协议(例如 BGP hijacking,BGP 劫持 ) ,为了支持质量监控程序或者执行国家级的流量过滤能力。

http网络请求

攻击从哪里开始?

DNS 的意思是 域名系统(Domain Name System),你每天都会接触到它。每当你的 Web 浏览器或任何其他应用程序连接到互联网时,它就很可能会使用域名。简单来说,域名就是你键入的地址:例如 duckduckgo.com 。你的计算机需要知道它所导向的地方,会向 DNS 解析器寻求帮助。而它将返回类似 176.34.155.23 这样的 IP —— 这就是连接时所需要知道的公开网络地址。 此过程称为 DNS 查找。

2、安全通信协议:HTTPS

幸运的是,我们有一个基于不安全介质进行安全通信的解决方案,我们每天都在使用它 —— HTTPS 协议对我们的 Internet 流量进行点对点加密,并确保我们可以信任我们所通信的站点。

Linux 基金会发起 “Let’s Encrypt” 项目,Let’s Encrypt is a free, automated, and open Certificate Authority.,便于网站所有者全球提供终端到终端的加密,这有助于确保任何受损的设备,我们的个人设备,我们要访问的网站之间没有通信泄密风险。

好吧…只能说尽量接近没有风险。

图片 6

包括通过 DNS 查询 IP,以及通过 Socket 发送数据。DNS,英文是Domain Name System,中文叫域名系统,是Internet的一项服务,它将域名和IP地址相互映射的一个分布式数据库,假设用户在浏览器中输入的是www.google.com,大概过程:

攻击者可以通过DNS根区域、DNS注册中心/顶级域、域名注册器、DNS名称注册器、DNS区域文件、权威的DNS名称服务器和递归DNS解析器等对其进行攻击。攻击者还可以劫持路由,或以欺骗方式得到DNS服务器的IP地址。综上所述,攻击面十分的广泛。好消息是DNS本身有较强的抵抗能力,而且也有许多组织关注着DNS的安全、稳定和弹性。

展开剩余83%

3、历史遗留问题:DNS

即使我们忠实地使用 HTTPS 协议来创建一个可信的通信渠道,攻击者还有一个机会,访问我们的 Wi-Fi 路由器或改变我们的 Wi-Fi 流量 — 例如 KRACK 攻击 — 可以诱导我们同错误的网站通信。他们可以这样做事利用了另一个事实,即我们仍然十分依赖于 DNS —— 一种上世纪80年代开始应用,不加密,非常容易被欺骗协议。

图片 7

DNS (Domain Name System,域名系统)可以将人类友好的域名例如“linux.com”转换成 IP 地址 —— 计算机可以基于 IP 地址相互通信。为了将域名转换成 IP 地址,计算机会查询解析器软件 —— 通常运行在 Wi-Fi 路由器上或操作系统本身。解析器将查询一个包括 “root” 域名服务器的分布式网络,找出系统在互联网上所谓的“权威”的信息,域名“Linux .com”对应的IP地址。

麻烦的是,上述过程都是基于未经身份验证的通信,很容易假冒,明文协议和响应都可以很容易地被攻击者改变,使查询返回不正确的数据。如果有人设法进行 DNS 查询欺骗并返回错误的IP地址,他们就可以操纵我们系统的 HTTP 请求到指定的地方。

幸运的是,HTTPS 协议有很多内置的保护,可以确保不容易被别人假装成另一个站点。恶意服务器上的 TLS 证书必须匹配您请求的 DNS名称 ,TLS 证书由一个卓有声誉的 数字证书认证中心(Certificate Authority, CA)签发 ,并获得浏览器认可。如果不是这样的话,浏览器会显示出一个很大的警告:你要与之沟通的主机不是他们所说的那个人。如果你看到这样的警告,在选择忽略之前,请格外小心,因为你可能会泄露你的秘密给那些会使用它们的人攻击你。

如果攻击者完全控制了路由器,他们首先可以阻止您的连接使用HTTPS,通过拦截服务器的响应,指示浏览器设置安全连接(这称为“SSL strip 攻击”)。为了帮助保护您免受这种攻击,网站可以增加一个 特殊响应报头,告诉浏览器它们在未来始终使用HTTPS 协议进行通信,但这只是在你的第一次访问之后才有效。对一些非常受欢迎的网站,浏览器现在包括一个硬编码的域名列表,可以设置在第一次访问的时候也使用 HTTPS 协议 。

DNS 欺骗的解决方案称为 DNSSEC (Domain Name System Security Extensions ,CDNS安全扩展,由 IETF 提供的一系列 DNS 安全认证的机制,RFC 2535 ),但它看起来距离被接受的那一天还很遥远,其中有一个重要的障碍 —— 实时感知。DNSSEC 普遍使用之前,我们必须假定,我们收到的 DNS 信息不完全可信的。

进行DNS查询的主机或软件叫做DNS解析器,用户使用的工作站或电脑都属于解析器。域名解析就是利用DNS解析器得到对应IP过程,解析器会向域名服务器进行查询处理。如果输入的是域名,则需要进行dns查询,将域名解析成ip。主要过程如下:

第一个重点领域是DNS区域的管理。DNS区域管理是许多组织在其安全和网络审查中容易忽视的一个问题。不要低估攻击的范围和潜在危害:只要进入并访问DNS区域和/或注册器,攻击者就可以重定向入站电子邮件、通过攻击者控制的主机引导流量,甚至可以获得TLS证书。

这对你的隐私、安全以及你的自由都有一定的影响:

4、最后一英里的安全:VPN

所以,如果你不能信任 Wi-Fi — 和/或在地下室的无线路由器,它可能比你的大多数宠物的年龄都大,你可以采取什么措施来确保你的设备和互联网通信“最后一英里”的完整性呢?

一个可接受的解决方案是使用一个信誉良好的 VPN 提供商,在你的系统和基础设施之间建立安全通信链路。我们的希望在于他们比你的路由器厂商和你当前的互联网服务提供商更加关注安全,所以他们可以更好地保证您的流量不受嗅探,或者遏制恶意人士的骚扰。让你所有的工作站和移动设备使用 VPN ,可确保类似 漏洞,例如 KRACK 攻击或不安全的路由器等,不影响你与外部世界通信的完整性。

图片 8

这里的重要警告是,在选择 VPN 提供商时,必须保证它们的合理地可信性;否则,您只是同另一组恶意行为者进行交易。远离任何提供“免费 VPN”的提供商,他们很可能把你作为间谍目标,或者出售您的流量给营销公司赚钱。

并非所有的设备都需要安装 VPN,但您每天使用的、涉及访问个人私人信息网站的—— 尤其是访问您的金钱和身份信息(政府、银行网站、社交网络等)的任何东西都必须得到安全保护。VPN 不是应对所有网络层漏洞的灵丹妙药,但它肯定会有所帮助,当你在机场使用不安全的 Wi-Fi 卡,或者下次类似 KRACK 漏洞被发现的时候。

从浏览器缓存中查找域名www.google.com的IP地址在浏览器缓存中没找到,就在操作系统缓存中查找,这一步中也会查找本机的hosts看看有没有对应的域名映射(当然已经缓存在系统DNS缓存中了)在系统中也没有的话,就到你的路由器来查找,因为路由器一般也会有自己的DNS缓存

域名注册商和DNS区域文件

隐私

如果以上都没有找到,则继续往下向dns域名服务器查询

除此之外,域名注册商控制域名的权威名称服务器的列表。这些授权包括对有关域具有权威性的DNS服务器的主机名和IP地址。权威的DNS服务器有一个主区域文件的副本,并用权威答案回应DNS查询。近年来大规模攻击的兴起已经改变了域所有者操作其权威命名服务器的方式。过去,大多数组织在自己的系统上操作权威的命名服务器。而如今,组织有了更多选择。有些域名注册商提供全面服务包,由注册商负责管理和维护域名的完整DNS配置。例如,基于云的提供者如Akamai的FastDNS可以提供应对DDoS攻击的增强弹性功能,以及简化的基础设施管理。

由于你要求解析器获取域名的 IP,因此它会确切地知道你正在访问哪些站点,并且由于“物联网”(通常缩写为 IoT),甚至它还知道你在家中使用的是哪个设备。

用户电脑的解析器向LDNS(也就是Local DNS,互联网服务提供商ISP),发起域名解析请求,查询www.google.com的IP地址,这是一个递归查找过程在缓存没有命中的情况下,LDNS向根域名服务器.查询www.google.com的IP地址,LDNS的查询过程是一个迭代查询的过程根告诉LDNS,我不知道www.google.com对应的IP,但是我知道你可以问com域的授权服务器,这个域归他管LDNS向com的授权服务器问www.google.com对应的IP地址com告诉LDNS,我不知道www.google.com对应的IP,但是我知道你可以问google.com域的授权服务器,这个域归他管LDNS向google.com的授权服务器问www.google.com对应的IP地址google.com查询自己的ZONE文件(也称区域文件记录),找到了www.google.com对应的IP地址,返回给LDNSLDNS本地缓存一份记录,把结果返回给用户电脑的解析器在这之后,用户电脑的解析器拿到结果后,缓存在自己操作系统DNS缓存中,同时返回给浏览器,浏览器依旧会缓存一段时间。

DNS审查和审计工作

安全

注意:域名查询时有可能是经过了CDN调度器的(如果有cdn存储功能的话);而且,需要知道dns解析是很耗时的,因此如果解析域名过多,会让首屏加载变得过慢,可以考虑dns-prefetch优化。

新闻报道、计算机应急响应小组和政府通知可能会敦促您做DNS审计,但建议往往到此为止。这篇文章的其余部分是一家组织应该审查的主题领域的集合,以评估他们目前的DNS态度。这些建议是基于Akamai自身经验、ICANN的安全和稳定性咨询委员会、DNS操作分析和研究中心以及其他DNS专家的工作所得出。

你可以相信解析器返回的 IP 是正确的。有一些检查措施可以确保如此,在正常情况下这一般不是问题。但这些可能措施会被破坏,这就是写作本文的原因。如果返回的 IP 不正确,你可能会被欺骗引向了恶意的第三方 —— 甚至你都不会注意到任何差异。在这种情况下,你的隐私会受到更大的危害,因为不仅会被跟踪你访问了什么网站,甚至你访问的内容也会被跟踪。第三方可以准确地看到你正在查看的内容,收集你输入的个人信息等等。你的整个身份可以轻松接管。

有了 IP 地址,就可以通过 Socket API 来发送数据了,这时可以选择 TCP 或 UDP 协议。http本质是tcp协议。TCP是一种面向有连接的传输层协议。他可以保证两端(发送端和接收端)通信主机之间的通信可达。他能够处理在传输过程中丢包、传输顺序乱掉等异常情况;此外他还能有效利用宽带,缓解网络拥堵。建立TCP连接一开始都要经过三次握手:

审查对域名注册商的访问

自由

第一次握手,请求建立连接,发送端发送连接请求报文第二次握手,接收端收到发送端发过来的报文,可知发送端现在要建立联机。然后接收端会向发送端发送一个报文第三次握手,发送端收到了发送过来的报文,需要检查一下返回的内容是否是正确的;若正确的话,发送端再次发送确认包

按照注册商的要求检查组织中当前的域管理员,并确保他们符合您的期望。检查与注册商配置的所有域并确保您知道组织中有哪些人可以访问注册商的在线门户,同时与这些用户进行确认。如果您有与多个注册商注册的域名,确保您向每一个注册商重复这个操作。尽管如此,还是建议您考虑将注册合并到一个单一的注册商下。同时,找机会核实您所有的域名都在您的域名注册审计中--有些人可能已经使用个人账户注册了一个域名,如果他们离开了您所在的组织,这可能会导致失去控制。

审查通常是通过 DNS 实施的。这不是最有效的方法,但它非常普遍。即使在西方国家,它也经常被公司和政府使用。他们使用与潜在攻击者相同的方法;当你查询 IP 地址时,他们不会返回正确的 IP。他们可以表现得就好像某个域名不存在,或完全将访问指向别处。

在TCP连接建立完成之后就可以发送HTTP请求了。

攻击者会充分利用一家组织忽略的DNS漏洞。他们会找到没有妥善维护的账户,并对其进行破坏。因此您的第一步就是在每个注册商处检查、更新和记录哪些人可以访问哪些区域。

DNS 查询的方式

注意:浏览器对同一个域名有连接数限制,大部分是 6,中往往一个资源下载就需要对应一个tcp/ip请求,而像 HTTP 2.0 协议尽管只使用一个 TCP 连接来传输数据,但性能反而更好,而且还能实现请求优先级。

审查域名系统的角色和责任

由你的 ISP 提供的第三方 DNS 解析器

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 浏览器输入url到发起http请求所经历的过程

最少化访问原则是一个最安全的准则:人们只需要拥有完成其工作所需的最低访问权限。检查能够访问注册商的用户是否是其工作职能所必需。除了一次性审查之外,安排对每个人访问级别的反复审查。此外,确保至少有两个人可以访问每个注册门户;否则一旦管理员离职,访问权限的丧失将对组织造成灾难性后果。

大多数人都在使用由其互联网接入提供商提供的第三方解析器。当你连接调制解调器时(LCTT 译注:或宽带路由器),这些 DNS 解析器就会被自动取出,而你可能从来没注意过它。

请记住,攻击者经常利用社交媒体作为网络钓鱼尝试的一部分。他们可以很容易地在社交媒体平台上锁定知名度高的员工,因为他们知道组织在重组、裁员或员工退休后可能会忘记删除注册信息。

你自己选择的第三方 DNS 解析器

员工权限转让

如果你已经知道 DNS 意味着什么,那么你可能会决定使用你选择的另一个 DNS 解析器。这可能会改善这种情况,因为它使你的 ISP 更难以跟踪你,并且你可以避免某些形式的审查。尽管追踪和审查仍然是可能的,但这种方法并没有被广泛使用。

组织的预终止过程应该包括对用户角色的审核。作为审核的一部分,组织应该审核员工对资源的访问权限,比如注册账户或DNS云提供者,并终止所有权限。在合理的情况下,应尽快将权限赋予替代人员或继任人员。

你自己的 DNS 解析器

终止程序还应更换或撤销离职员工可以获得的所有机密。除了密码,这还应该包括双重身份验证令牌、口头身份验证密码以及组织文件中任何授权员工的登记名单。无论员工离职的情况如何,这些都应当是一种常规操作。这并不是对离职员工的玷污,而是组织规避威胁的必要手段。

你可以自己动手,避免使用别人的 DNS 解析器的一些危险。如果你对此感兴趣,请告诉我们。

更新所有注册资料

根证书

接下来,查看与您注册的域名相关联的联系信息。确保每个域名的有效期足够长,并正确设置其中的各选项如自动续约等。一个意外过期的域名可能会导致巨大的财务成本,在最坏的情况下,可能会无可挽回地丢失,或是被竞争对手注册。

什么是根证书?

域名也通常有四个联系点:注册人、技术、管理和账单联系人。您的注册商可能只会发送特定类型的讯息给这些角色中的一个,在某些争端中,注册人会处于优先的位置。确保所有的联系信息是最新的--因为在组织发展壮大、缩小、转移或被并购时,注册联系人的更新问题往往会被忽视。

每当你访问以 https 开头的网站时,你都会使用它发送的证书与之通信。它使你的浏览器能够加密通信并确保没有人可以窥探。这就是为什么每个人都被告知在登录网站时要注意 https。证书本身仅用于验证是否为某个域所生成。以及:

使用角色账户获取域注册信息

这就是根证书的来源。可以其视为一个更高的级别,用来确保其下的级别是正确的。它验证发送给你的证书是否已由证书颁发机构授权。此权限确保创建证书的人实际上是真正的运营者。

为了帮助管理域注册联系信息,组织经常使用一个角色账户来管理所有的四个必需的域联系点。角色账户的构建因组织而异,但基本思想是建立一个严格限制的邮件列表,所有域名注册信函都可以发送到该列表。这些角色职位通常被命名为域管理员或主机管理员,并列出组织的总部联系信息,包括地址、电话和传真号码。确保直接发送到这些号码的合法电话和传真仍将到达DNS管理员手中。使用角色职位,而不是指定的人员可以使得更改工作职责或者增加和删除人员更加灵活,而不需要在注册商处进行重要更新。如果使用邮件列表,您的定期审计应审查订阅邮件列表的员工,以限制潜在的滥用行为。

这也被称为信任链。默认情况下,你的操作系统包含一组这些根证书,以确保该信任链的存在。

不要使用个人电子邮件地址

滥用

个人电子邮件地址不应该用作企业、政府或组织域管理员的联系点。作为审查过程的一部分,确保个人电子邮件地址从未用于域名联系信息或注册商访问账户。

我们现在知道:

使用员工的个人电子邮件地址作为联络点,将会将域名的控制权移交到该员工手中。此外,您也无法知道您的员工在他们的个人电子邮件账户上使用了什么样的安全措施,因此您可能把自己暴露在一个心怀不满的现任或前任员工的报复行为面前。您所有的域名联系人应该包括由您的组织或母组织控制的电子邮件地址。

DNS 解析器在你发送域名时向你发送 IP 地址

还应该避免使用员工的组织或公司电子邮件地址。暴露参与管理公司域名的个人姓名,就会使他们面临更大的社会风险和针对公司的钓鱼式攻击。相反,应该使用基于角色或基于部门的名称,最好是让多个用户接收发送到这些地址的通信。

证书允许加密你的通信,并验证它们是否为你访问的域生成

防范钓鱼式攻击

根证书验证该证书是否合法,并且是由真实站点运营者创建的

网络钓鱼是破坏注册账户的主要攻击之一。您有可能遭遇到针对DNS管理员的钓鱼攻击,所以一个全面的钓鱼防御是必不可少的。以下一系列反钓鱼技术可提供有效保护,防止钓鱼式攻击。

怎么会被滥用呢?

使用通用的、基于角色职能的或基于部门的电子邮件地址,例如domainadmin@example.com。通过基于角色的账户收到的钓鱼邮件通常更容易被管理员发现。

如前所述,恶意 DNS 解析器可能会向你发送错误的 IP 以进行审查。它们还可以将你导向完全不同的网站。 这个网站可以向你发送假的证书。 恶意的根证书可以“验证”此假证书。

在年度安全审查中加入反钓鱼培训,并要求所有DNS管理员完成培训。

对你来说,这个网站看起来绝对没问题;它在网址中有 https,如果你点击它,它会说已经通过验证。就像你了解到的一样,对吗?不对!

在DNS管理员使用的所有设备上部署终端安全/安全软件并加强安保措施。

它现在可以接收你要发送给原站点的所有通信。这会绕过想要避免被滥用而创建的检查。你不会收到错误消息,你的浏览器也不会发觉。

启用电子邮件过滤服务,以防止一些常见的钓鱼和恶意软件攻击您的DNS管理员以及您的组织的其余部分。

而你所有的数据都会受到损害!

过滤DNS查询,防止员工访问已知的网络钓鱼网站。像Akamai的企业威胁保护器这样的工具提供DNS级别的企业安全。

结论

没有可以阻止网络钓鱼攻击的万全之策,但是采用正确的防御组合将有助于组织降低风险。

风险

凭证更新--更改密码

使用恶意 DNS 解析器总是会损害你的隐私,但只要你注意 https,你的安全性就不会受到损害。 使用恶意 DNS 解析程序和恶意根证书,你的隐私和安全性将完全受到损害。

定期更改密码是所有在线账户的良好做法,域名注册商账户也不例外。在对您的DNS基础设施进行审查时,要求每个具有注册服务器访问权限的人轮换他们的凭据。虽然您的组织可能有一个全面的密码策略,但是通常会忽略外部服务,如注册服务器。外部账户应遵守您的内部密码安全指导方针和轮换时间表。注册服务器账户的密码应该是长而复杂的;使用密码管理器可以很容易地以加密、冗长和易找到的方式生成和存储复杂的密码。密码永远不应该写下来或以未加密的形式存储。

可以采取的动作

注册商账户双重认证

不要安装第三方根证书!只有非常少的例外情况才需要这样做,并且它们都不适用于一般最终用户。

当您的注册商支持时,所有账户都应该使用双重身份验证。使用2FA时,任何试图登录到注册器的人不仅需要账户密码,还需要第二个因素,如智能手机应用程序或硬件令牌等。2FA可以阻止本来可能成功的网络钓鱼尝试。

不要被那些“广告拦截”、“军事级安全”或类似的东西营销噱头所吸引。有一些方法可以自行使用 DNS 解析器来增强你的隐私,但安装第三方根证书永远不会有意义。你正在将自己置身于陷阱之中。

如果可能的话,应该避免使用基于SMS的2FA。基于SMS的2FA仍然优于只使用密码保护的账户,但其他方法如基于时间的一次性密码、硬件令牌或基于推送的2FA应该是首选的。新的NIST数字身份指南建议,短信作为2FA的一部分应该被废弃。

实际看看

如果您的注册商不支持2FA,申请这个功能。如果他们不接受,考虑寻找替代的注册商。在许多情况下,同一顶级域名、通用顶级域名和通用顶级域名都会存在处于竞争关系的多个注册商。

警告

了解注册商的安全策略、工具和流程

有位友好的系统管理员提供了一个现场演示,你可以实时看到自己。这是真事。

世界上有数百个域名注册商,支持超过1500个顶级域名。一些注册商比其他机构有更好的安全措施。您的组织可以帮助引导行业朝着更好的方向发展。通过查看注册商的在线文档了解他们的安全实践和策略。如果无法找到此信息,请与注册商进行对话,并鼓励他们发布此信息。

千万不要输入私人数据!之后务必删除证书和该 DNS!

例如,您的注册商是否提供运营域所需的支持服务?注册商是否提供24x7技术支持,允许在非营业时间进行故障排除?ICANN的政策要求您的当前注册商通知您,他们从注册商那里收到的任何域名转移请求,表明有人已经要求将域名转移到一个新的注册商。您的注册商是否只通过电子邮件发送此信息,或者您可以选择通过电话或传真请求此信息?您的注册商是否发送通知所有其他更新到您的域名?ICANN的安全和稳定性咨询委员会与ICANN社区合作,提供DNS操作和安全指导。ICANN的SAC40保护域名注册服务免受剥削或滥用的措施和SAC44注册人保护域名注册账户指南是理解和评估注册商安全实践的出色指南。

如果你不知道如何操作,那就不要安装它。虽然我们相信我们的朋友,但你不要随便安装随机和未知的第三方根证书。

审核隐私注册选项

实际演示

许多域名注册商提供隐私或代理注册服务。这些服务会对公众隐藏您的个人联系信息,并用ICANN-联系信息取而代之。欧盟的一般数据保护条例已经改变了在像WHOIS这样的域注册数据库中发布信息的方式。作为一般原则,一个基于角色注册域名信息的方法可以兼容GDPR,同时在您的域名下向社区提供最新的联系信息。

链接在这里:

注:在某些情况下,代理服务器或隐私注册表会妨碍获取组织验证和扩展验证SSL/TLS证书所需的验证过程。启用或禁用代理或隐私注册的过程可能因注册商而异,在订阅这些服务之前,应充分了解时间表。在关闭隐私注册方面的延迟可能会导致证书轮换失败或域转移的延迟,如果需要这些服务的话。应该仔细考虑这些风险。

设置所提供的 DNS 解析器 安装所提供的根证书 访问 并输入随机登录数据 你的数据将显示在该网站上

在您的区域内检查和维护记录

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。

DNS区域包含许多主机名和子域,但许多DNS管理员可能不知道哪个部门或业务单位负责给定的条目。主机名指的是类型为A、AAAA、CNAME、TXT等的记录。子域由NS记录的存在来指示,并将对区域的该部分的控制委托给另一个名称服务器上的区域。

DNS管理员应该知道哪些组或团队负责他们组织区域文件中的每个条目。如果您的组织使用内部票据跟踪系统,信息可能存储在系统中,但在短时间内可能不容易访问。确保随着时间的推移精确地跟踪区域的更改可能需要对内部流程进行更新。一旦您可以在您的区域文件中确定每个条目的责任方,您应该执行定期审查并确保记录。验证每个主机名和子域的所有权,并删除过时的条目应该是常规DNS审查的一部分。

对于新的应用程序、服务或现场演示,可以快速添加记录,但是这些记录可能在相关服务关闭或迁移之后仍然存在很长时间。作为内部产品生命周期的一部分,确保对服务的关闭给予了足够的重视,关闭过程包括通知DNS管理员不再需要主机名或子域。

特别要注意委托的子域,因为它们的设计目的是将区域的一部分控制权让给另一个名称服务器。确保NS记录是准确的,并且它们仍然为子域提供权威的答案。如果您的组织将一个子域名委托给第三方DNS服务提供商,那么经常检查委托子域名的答案就更重要了,因为外部服务提供商可能会在没有通知您他们的客户的情况下重新使用这些IP地址。如果一个区域被委托给由您的组织在第三方云提供商中运行的名称服务器,那么一定要跟踪IP地址的变化并相应地更新区域委托。公共云计算倾向于快速重新启用IP地址,因此无法审计您的NS记录和相关的IP地址可能会导致域管理权的变更。

名称服务器和区域文件最佳实践

DNS审查应包括对您控制的所有名称服务器上的所有用户账户的审查,包括初级和次级名称服务器。可以访问名称服务器的用户可以直接编辑域文件或更改系统上运行的软件。不要仅仅依靠操作系统中的访问许可权或访问级别保护,因为利用或错误配置可能允许任何拥有账户的人访问区域文件或服务器配置实用程序。确保保存访问日志以跟踪什么人登录到服务器;访问控制和问责制对您的DNS基础设施的所有部分都至关重要。这在主辅模型中尤其重要,其中初级名称服务器包含区域文件的规范副本,而次级名称服务器定期或根据请求将其从主服务器转移过来。

DNS区域文件修改控制

审查还应该包括对区域文件本身的管理,以确保存在并执行适当的变更管理流程。区域文件的主副本应该存储在修订控制系统或其他访问控制存储器中。当出现更改请求时,DNS管理员生成一个更新的区域文件,将其放入一个审查程序中,检查其是否有错误,然后将新的副本推送到生产环境。在更新导致意外行为的情况下,应该有一个定期测试和易于执行的过程,将区域恢复到最后一个已知的良好状态;一个修订控制系统可以帮助促进这种恢复。审查您的DNS基础设施还应包括定期审查账户,编辑访问用于维护区域文件的修订控制系统。

与所有重要数据一样,区域文件及其更改日志应定期备份到安全的异地备份。可信备份与修订控制相结合,将有助于建立用于恢复文件的最后已知良好版本。

如果区域文件的主副本存在于云DNS提供商中,您应该确保所有可以编辑区域记录的账户都遵守为注册账户服务的强大安全条例。即使在使用云提供商时,也要确保定期存储区域文件的备份副本,以便在灾难恢复中使用。Akamai的FastDNS产品提供了粒度访问控制、双因素身份验证以及轻松下载专区副本以便备份或审计的能力。

您的域名是否在注册商处被锁定?

域锁定是防止未经授权更改域注册的一种方法。大多数域名注册商允许注册域名的注册商锁定,也称为客户端锁定。与注册商联系,看看他们是否支持这项服务。如果可用,确保您的域是锁定的。更具体地说,建议至少您的域名应该有客户端删除、客户端更新和客户端传输锁定功能,不要有客户端重置锁定。一些注册商在他们的门户只提供一个锁定选项,这往往会包含上述三个推荐的锁定功能。锁定功能集可以防止任何未经授权的更新或传输,同时也防止攻击者在没有首先解锁域之前删除域注册。而只要不设置重置锁定,您仍然可以更新域名或利用注册商的自动更新功能。许多注册商不会为锁定功能收取费用,有些甚至会默认锁定域名,无需您做任何事情。

除了客户端/注册商锁定,一些gTLD或ccTLD运营商还提供服务器锁定,也称为注册表锁定。服务器锁定为域更新增加了额外的保护层,只有在注册人的请求下,才能通过与注册操作员的协调的带外进程添加或删除服务器锁定。与客户端锁定一样,建议的服务器锁定是ServerDelete、ServerUpdate和ServerTransfer,出于与前面相同的原因,不建议使用ServerRenew。请注意,有些注册商/TLD运营商并不提供这项服务。使用服务器或注册表锁定服务通常需要额外的成本,并涉及增加的注册人/注册商交互。

请注意,添加或删除服务器/注册表锁定可能会导致更改域的延迟,例如更新注册联系信息、更新委托记录、域转移或域删除。例如,当转移域之间的注册,您需要在传输过程开始之前解除锁定域。

在对您的域进行更改时,请确保使用WHOIS来验证锁是否按预期应用。要查询WHOIS信息,您可以使用ICANN的WHOIS页面,通过计算机终端的WHOIS命令,或者注册网站的WHOIS页面。下面您可以看到一个应用客户机/注册机锁的例子:

同样,在检查客户端/注册商和服务器/注册表锁定的WHOIS时,应该从您的WHOIS查询返回以下内容:

抱最好的希望,做最坏的打算

域名注册商已被黑客入侵。DNS管理员账户已被攻破。等到这种情况发生就为时已晚了。将这些情况作为DNS审查工作的一部分进行准备。在您的域被劫持的情况下,向您的注册商询问他们的恢复过程。他们应该引导您完成准备适当文档的过程。ICANN的SAC044服务建议收集以下文档,以防备注册商域名在被劫持的最坏情况:

域名注册记录的副本。

结算记录,尤其是已显示付款的记录。

将域名与您发布的内容相关联的日志、存档或财务事务。

电话簿、营销材料等,其中包含将您与域名相关联的广告。

来自注册服务商和ICANN的提及域名的通信。

将您与域名相关联的法律文件、税务申报、政府颁发的身份证明、营业税通知等。

这份名单来自ICANNSSAC,一个由ICANN委员会任命的安全专家小组。您的组织应该充分利用他们来之不易的恢复被劫持域的经验。

后续措施?

本指南仅仅是您的DNS审查和审计练习的开始。未来的文章将深入探讨DNSSEC、权威的DNS基础设施、BGP劫持DNS资源、安全的DNS解析器以及DNS威胁的范围。

责任编辑:周星如

版权声明:本文由10bet十博官网发布于新闻资讯,转载请注明出处:为什么它与你有关,浏览器输入url到发起http请求所经历的过程