域名 被恶意泛解析是域名安全最常见的问题之一,服务商往往起到决定性作用,那么作为站点自身该做哪些工作呢?从业者洪石陈管理着多个当地媒体站点,虽然他说自己是网站安全领域内的小学生,但还是很愿意分享一些网站安全工作的心得。百度站长平台特意向洪石陈约稿,请他来分享一下站点如何从自身出发降低被泛解析的风险,下面就是他的反馈内容,希望可以帮到各位站长,同时也欢迎更多网站安全专家在百度站长平台进行分享。
一,域名泛解析成因
1、站点自身问题
1)站点在域名服务商网站注册的帐号密码过于简单,帐号密码被盗,导致域名信息被恶意篡改。
2)站点在各种与域名有关的服务端注册时,使用了相同的帐号和密码,被黑客破解一个密码后顺利劫持域名。
3)现在很多 域名解析 平台支持泛解析设置,如图1所示,在添加A记录时,主机记录若填写“*”,就实现了泛解析,一旦域名被劫持,就会快速在域名下生成众多 二级域名 、三级域名。
图1:域名解析平台新增一条泛解析记录
2、域名服务商问题
1)网站被攻击,黑客盗取众多注册用户的信息。
2)域名服务商的安全漏洞导致域名被恶意篡改,甚至出现过域名服务商设置了域名锁之后,域名持有人无法修改信息,黑客却可以通过漏洞进行域名解析的修改。
二,降低域名恶意泛解析从自身做起
1、多从安全角度出发,选择专业可靠、技术能力强的域名注册商,即使他的收费会贵一点。
2、选择域名注册商时,详细咨询客服注册商对域名被劫持等安全问题是否有解决方案,之前的安全问题是如何处理的。
3、与域名相关的帐号密码尽量复杂,一定不能使用弱口令(123456之流),且与域名相关的多个帐号密码不要使用相同组合。
4、进行域名解析设置时,如果没有特殊需求,一定不要使用泛解析功能,可以在决定使用哪个二级域名时再进行单个二级域名的解析操作。
5、建议使用百度云加速,享受高防智能DNS,免费的。百度云加速可以隐藏网站真实IP,如图2图3所示,ping网站时显示的是 IP地址 是通过百度云加速 DNS解析 的IP地址,即百度IP地址,隐藏网站真实IP地址,提高网站安全系数。
图2:PING域名获取网站的IP地址
图3:该IP地址经查询为北京百度网讯科技有限公司电信节点
如何减少网页首屏加载压力和时间
网友上网都不喜欢用太多的时间等待网页的打开,等待的越长,用户可能会直接关闭网页,这样就会损失很多流量!其次,关键字的排名与网页的打开速度也有关系,这个主要体现搜索引擎对用户体验度上,用户体验度好,排名相对其它网站就好些。 因此我觉得我们有必要去提高网页的打开速度,这个不需要太多的成本投入,只需要平时多注意一些小技巧就行了!下面给出20种方法帮你提高网站访问速度缩短网页加载时间。 1、减少页面HTTP请求数量比较直接的理解就是要减少调用其他页面、文件的数量。 A/html/rfc2397。 2、使用CDN(Content Delivery Network)网络加速现在国内做CDN加速业务的公司很多,简单讲,就是将你的图片、视频扩散到CDN网络所能到达之处,让用户访问时能就近下载到这些文件,从而达到网络提速的目的,这样做,同时能减轻你自己网站的负载。 3、添加文件过期或缓存头对于同一用户频繁访问的图片、Js脚本文件等可以在Apache或Nginx设置其缓冲时间,例如设置24小时过期时间,这样用户在访问过该页面之后再次访问时,同一组图片或JS不会再重复下载,从而减少了HTTP请求,用户访问速度明显有所提升,同时服务器负载也会下降。 下面给出nginx配置中缓存控制的例子:4、服务器开启gzip压缩这个大家都比较了解,即将需要传输的内容压缩后传输到客户端再解压,这样在网络上传输的数据量会大幅减小。 通常在服务器上的Apache、Nginx可以直接开启这个设置,也可以从代码角度直接设置传输文件头,增加gzip的设置,也可以从负载均衡设备直接设置。 不过需要留意的是,这个设置会略微增加服务器的负担。 5、css格式定义放置在文件头部这项设置对于用户端是慢速网络或网页内容比较庞大的情况比较有利,可以在网页逐步呈现的同时仍会保持格式信息,不影响网页美感。 6、Javascript脚本放在文件末尾很多Javascript脚本执行效率低下,或者有的第3方域名脚本出现意外无法载入,如果将这些脚本放置到页面比较靠前的位置,可能会导致我们自己网站的内容载入速度下降甚至无法正常加载,所以一般将这些脚本放置在网页文件末尾,一定要放置在前面的脚本要改用所谓的“后载入”方式加载,在主体网页加载完成后再加载,防止其影响到主体网页的加载速度。 7、避免使用CSS脚本(CSS Expressions)有时为了要css的参数动态改变,可能会采用cssexpression来实现,但这样做得不偿失,会使用户端浏览器负担明显加重,所以不建议这样做,如果需要改变,可以使用Javascript脚本去实现。 8、css、javascript改由外部调用如果css、js内容比较庞大,尽量不要写到同1个页面中去,改由外部载入比较妥当,因为浏览器本身会对css、js文件进行缓存。 9、压缩Javascript、CSS代码一般js、css文件中存在大量的空格、换行、注释,这些利于阅读,如果能够压缩掉,将会很有利于网络传输。 这方面的工具也有很多,一般可以保留开发版本,利用工具生成生产版本,2个文件比较,一般压缩率能达到50%以上,减少的数据量还是比较可观的。 我这个博客刚改版完成,各种代码还没有进行优化和压缩,目前yslow评级只能达到D,等有时间进行部分优化,达到C等级应该问题不大。 10、避免采用301、302转向11、养成良好的开发维护习惯,尽量避免脚本重复调用12、配置ETags13、Ajax采用缓存调用这个的使用可以参照Discuz论坛代码,里面对于大量使用的Ajax调用都采用了缓存 调用方式,一般采用附加特征参数方式实现,注意其中的就是特征参数,这个参数不变化就使用缓存文件,如果发生变化则重新下载新文件或更新信 息。 14、合理使用Flush用户端发送浏览请求后,服务器端一般要花销200-500ms去处理这些请求,在此期间,用户端浏览器处于等待状态,如果要减少用户等待时间,可以在适当的位置使用flush,将已经就绪的内容推送到用户端,这在php中很容易实现例如:15、Ajax调用尽量采用GET方法调用实际使用XMLHttpRequest时,如果使用POST方法实现,会发生2次HTTP请求,而使用GET方法只会发生1次HTTP请求。 如果改用GET方法,HTTP请求减少50%!16、尽可能减少DCOM元素这个很好理解,就是尽可能减少网页中各种<>元素数量,例如的冗余很严重,而我们完全可以用取代之。 17、使用多域名负载网页内的多个文件、图片记得有资料说明,IE在网页载入过程中,在同1时刻,对同1域名并行加的HTTP请求数量最高为2个,如果网页需要加载的文件数量超过2个(通常远远超过..),要加快网页访问速度,最好将文件分布到多个域名,例如19楼,其js文件采用独立的域名,据说网络的图片服务器数量在20台以上。 18、缩减iframe的使用,如无必要,尽量不要使用iframe通常用于不同域名内容的加载,这同时也可能因iframe内容加载速度影响到主网页加载速度,如果可能,把需要加载的内容抓取到本地直接嵌入。 如果实在需要iframe加载,采用后载入方式实现。 19、优化图片文件优化图片文件,减小其尺寸,特别是缩略图,一定要按尺寸生成缩略图然后调用,不要在网页中用resize方法实现,虽然这样看到的图片外形笑了,但是其加载的数据量一点也没减少。 曾经见过有人在网页中加载的缩略图,其真实尺寸有10M之巨…普通图像、icon也要尽可能压缩后,可以采用web图像保存、减少颜色数等等方法实现。 20、当页面内容庞大到一定程度,可以采用分页的方式展现,或者taobao的那种翻页后载入方式。
DNS欺骗攻击和防范方法有哪些
一 什么是DNSDNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。 在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 二 DNS的工作原理DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。 当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。 因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。 其实,域名的最终指向是IP。 在IPV4中IP是由32位二进制数组成的,将这32位二进制数分成4组每组8个二进制数,将这8个二进制数转化成十进制数,就是我们看到的IP地址,其范围是在0~255之间。 因为,8个二进制数转化为十进制数的最大范围就是0~255。 现在已开始试运行、将来必将代替IPV6中,将以128位二进制数表示一个IP地址。 大家都知道,当我们在上网的时候,通常输入的是如 这样子的网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。 再如,我们去一WEB服务器中请求一WEB页面,我们可以在浏览器中输入网址或者是相应的IP地址,例如我们要上新浪网,我们可以在IE的地址栏中输入 也可输入这样子 218.30.66.101 的IP地址,但是这样子的IP地址我们记不住或说是很难记住,所以有了域名的说法,这样的域名会让我们容易的记住。 DNS:Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,这一命名的方法或这样管理域名的系统叫做域名管理系统。 DNS:Domain Name Server 域名服务器 域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析(如上面的 与 218.30.66.101 之间的转换),域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 三 DNS欺骗攻击DNS欺骗即域名信息欺骗是最常见的DNS安全问题。 当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。 DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。 网络攻击者通常通过以下几种方法进行DNS欺骗。 1、缓存感染:黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。 这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。 2、DNS信息劫持:入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。 每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。 黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。 3、DNS重定向攻击者能够将DNS名称查询重定向到恶意DNS服务器。 这样攻击者可以获得DNS服务器的写权限。 四 DNS的防范方法防范方法其实很简单,总结来说就只有两条。 (1) 直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。 但这需要你记住要访问的IP地址。 (2) 加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。 只要能做到这些,基本上就可以避免DNS欺骗攻击了。 现在知道为什么当你在浏览器中输入正确的URL地址,但是打开的并不是你想要去的网站了吧,这就是神奇的DNS欺骗,希望学习DNS协议欺骗攻击技术有所帮助
连接已重置
基本上有三点原因:1、域名的dns解析出了问题;2、服务器上绑定域名没有成功;3、如果是自己配置的服务器,请关闭您的防火墙,或降低防火墙的访问限制!
