恶意域名指向要如何防范?
时间:2023-02-01 13:32:02 | 来源:建站知识
时间:2023-02-01 13:32:02 来源:建站知识
曾经发生过这样一件事,有一位管理员因为网站经常被攻击,结果昏了头,把网站的域名解析到当地公安局网站的IP上,导致公安局网站被攻击出现故障,最后被抓获判刑。这类出于种种目的将自己的域名通过域名服务商的服务,解析到他人的服务器上,而被解析的服务器上实际没有相应的站点,这种情况称为恶意域名指向。
一般情况下,要使域名能访问到网站需要两步,第一步,将域名解析到网站所在的主机,第二步,在web服务器中将域名与相应的网站绑定。但是,如果通过主机IP能直接访问某网站,那么把域名解析到这个IP也将能访问到该网站,而无需在主机上绑定,也就是说任何人将任何域名解析到这个IP就能访问到这个网站。非法网站被工信部扫描到之后, 域名是不友善的域名,比如曾经指向非法网站,容易引发搜索引擎惩罚,连带IP受到牵连。即使域名没什么问题,但流量也会被劫持到别的域名,从而遭到广告联盟的封杀。
假设已知域名“Example Domain”通过DNS解析到ip:192.168.1.1上,通过修改hosts文件,在文件中添加一行“fakesite.com - Sold 192.168.1.1”,保存并退出。
Hosts文件:windowsxp 默认路径在 C:/WINDOWS/system32/drivers/etc/hosts(可用记事本打开); Centos5.4 的默认路径在/etc/hosts;此时在浏览器中访问 香港服务器_香港站群服务器_香港机房 - 后浪云,如果返回的结果和正常访问,Example Domain 的返回结果是一直的话,则说明该网站是可以被恶意指向的。
恶意域名指向要如何防范呢?
一般情况下可以将每个网站均绑定主机头即可有效防止 dns 恶意解析。
Apache,在 httpd.conf 中添加类似如下配置:
DocumentRoot "/var/www/defaultdenysite"
Order Allow,Deny
Deny from All
DocumentRoot "/var/www/mywebsite" ServerName www.mywebsite.com
第一段 virtualhost 配置是将恶意指向的站点全部返回 403;第二段 virtualhost 是正常的用户网站配置。
TIPS:修改完后请先重启 Apache
如果配置不生效,请将第一段 virtualhost 配置为第一个 virtualhost;注:这个配置时 linux 下的配置哦,如果是 windows 系统,DocumentRoot 路径需要改成 windows 下路径,Nginx
在 nginx.conf 中 http 段落内添加 server 段的配置,同样是返回 403 server
{
listen 80 default; return 403;
}
TIPS:
修改完后请先重启 nginx;某些较低版本按照上述写法可能会不能通过 nginx 配置文件检查。
防范而已域名指向还有很多小技巧,比如找大型可靠的域名商注册和管理域名;进行域名解析设置时,如果没有特殊需求,一定不要使用泛解析功能,可以在决定使用哪个二级域名时再进行单个二级域名的解析操作;与域名相关的帐号密码尽量复杂,一定不能使用弱口令(123456之流),且与域名相关的多个帐号密码不要使用相同组合;还可以使用CDN加速,隐藏自己网站真实的IP等。