Updates from 十二月, 2013 Toggle Comment Threads | 键盘快捷键

  • DNSPod 5:38 pm on 2013 年 12 月 30 日 链接地址 | 回复  

    [新闻]吴洪声: 2013年DNS行业安全事件回顾 

    DNS作为互联网的基础服务和入口,对站长的重要性不言而喻。然而在中国,或者说世界范围来讲,DNS正在面临越来越严重的安全威胁,针对DNS服务的攻击也越来越严重。DNS攻击具体表现就是攻击流量越来越大、攻击手段越来越新颖。DNSPod为了保障用户的解析服务,这两年也做了很多相应的工作来应对这些攻击。

    1.DDoS

    虽然Anonymous没能黑掉13个根域名服务器,不过年初Spamhaus受到300G的攻击,攻击流量之大史无前例,对整个欧洲的互联网都造成了很大的影响。Spamhaus攻击是通过大量的递归DNS服务器反射放大攻击流量来攻击目标服务器,这是这两年比较流行的一种攻击方式。

    DNSPod服务器也经常受到或者被利用进行反射放大攻击,我们在防护此种类型的攻击上也做了大量的工作,比如在去年上半年关闭了any类型的查询,和腾讯安全中心研发部署了支持多种防护算法的防护设备,并且针对黑客不断变化的攻击方式不断更新防护算法,部署完成到现在近两年的时间里抗住了所有针对DNSPod的攻击。

    2013年9月,DNSPod受到一次超过100G流量的攻击,这次攻击不仅在攻击流量上刷新了DNSPod的记录,在攻击手段上也很新颖,不是直接打流量,也不是反射放大流量攻击。黑客通过向大量的递归服务器发送要攻击域名的查询请求,然后递归再向DNSPod的解析服务器发出查询请求,因为各地的递归服务器一般都在我们防护设备的白名单中,所以黑客通过这种方式绕过我们防护设备原有的过滤算法,迫使我们的解析服务器对攻击请求进行应答,当然DNSPod还是成功防御了此次攻击,没有用户受到影响。

    这次攻击之后除了我们针对性的更新防护算法之外,也已经在部署今年新研发的高性能解析服务器集群,单机可以处理最高1100万次DNS查询请求,到明年年初会在全国各地部署完成多个集群。届时,DNSPod的最高扛攻击能力会从现在的160G升级到300G以上。

    2013年8月底,.cn根域被DDoS,这是今年对国内互联网影响最大的一次攻击,包括.cn、.com.cn和.gov.cn等大量.cn后缀的域名的解析受到影响,攻击流量也刷新了.cn被攻击的最大记录,这次攻击DNSPod首先监控到并发布了相关消息,后续也配合CNNIC等有关部门进行了相应沟通和处理。

    2. DNS劫持

    DNS攻击的另一个流行方式就是DNS劫持,或者说域名劫持,黑客通过网站漏洞、撞库或者社工等方式将域名的NS或者记录修改成指定的值,从而达到自己的目的。

    通过网站漏洞的方式劫持域名今年有比较出名的就是5月土豆域名被劫持和6月点评网的域名被劫持,尤其是点评网域名被劫持和找回的过程更是比较戏剧化。这种攻击方式主要是对域名注册和服务商的安全性要求比较高,如果发现安全漏洞一定要重视并且尽快修复。

    然后就是密码的问题,不得不说的一件事是前几个月有很多用户跑到微博上质问说DNSPod存在漏洞,在DNSPod解析的域名被添加了泛解析或者二级域名,解析到了博彩或者黄色网站上,被搜索引擎K站。但是经过我们的彻查,发现出现这些问题的用户都是因为在DNSPod使用了和其他网站(主要是CSDN)相同的账号密码,而不是DNSPod的漏洞导致的。甚至道哥也在黑板报里对CSDN的密码库都已经泄漏了几年了还这么有效表示惊讶,当然也不能排除有些站长是修改过密码但觉得时间很长没事了,最后又改回了在CSDN用过的密码。

    针对这个问题DNSPod快速上线了很多功能来减少影响,包括多次提醒此类存在安全隐患的用户修改密码、禁止添加黑名单中的ip、异地登陆限制、微信锁定账号等等,到最后直接将所有存在安全隐患的用户账户全部锁定禁止修改。

    我们所做的这些工作都是治标不治本,最需要的还是站长提高安全意识,在DNSPod使用独立的强密码。而且近期DNSPod也将会把D令牌改为免费开启,通过动态密码减少密码泄漏问题对站长造成的影响。

    除了从已泄露的密码库获取账号密码来撞库外,另一个古老但非常有效的方式就是社工了,尤其国内个人资料泄露的情况比较严重的情况下,社工更是一个简单有效的进行域名劫持的方法。

    作为站长,防止社工主要的还是在重要的账号上使用单独私有的账号密码等信息,并保护好信息不被泄露,一旦发现异常马上更改。DNSPod为了防止社工,对审核用户资料和后台权限控制也限制的越来越严格,关闭和回收了部分技术支持的后台修改权限,尽量做到用户自助服务,后台修改需要经过多层严格检查,当然这个不可避免的会对正常用户的正常取回等操作有一定影响。

    今年还有一个影响比较大的DNS劫持事件就是对家用路由DNS的劫持,这个对国内普通网民来说可能不会关注也不会去修改自己家里路由器的默认密码或者去升级固件,现在主要是还靠桌面管家和安全助手等桌面工具来减少影响。

    总的来说,今年DNS行业发生了不少比较大的安全事件,整体的安全形势一直很严峻,DNSPod会一直和广大站长一起来应对威胁。

     

     
  • DNSPod 4:18 pm on 2013 年 11 月 6 日 链接地址 | 回复  

    [新闻]国内最大域名服务商澄清漏洞谣言 

    域名,虽说是一种看不见、摸不着的虚拟信息,但作为互联网的第一入口,域名是重要的无形资产,承载着品牌价值与商业价值。随着网络犯罪手法的日益多样,域名信息被窜改的情况时有发生。

    最近不少网友反映网站域名被泛解析了,主域名的收录中莫名其妙的出现了许多游戏娱乐站的二级域名,部分国际域名竟然被泛解析挂博彩和色情广告,还有的网站权重降低,百度直接不收录,快照停留在几天之前。

    针对域名被泛解析的情况,许多人猜测是域名解析商DNSPod出现了漏洞,对此小编电话联系了DNSPod负责人吴洪声。吴洪声表示,DNSPod的数据库是在隔离带内,除了少数一两个授权的人员,其他人都拿不到,包括他自己。公司内部程序员开发所接触到的数据都是虚假数据。

    不仅如此,DNSPod从创业之初就非常注意安全防范意识,而且其技术部门也在不断完善。为防止账号被盗,DNSPod新推出异地登陆告警功能,用户收到异地登陆告警后,可立即锁定账号防止黑客登陆。

    吴洪声还提到,DNSPod从第一行代码开始,用户的敏感数据就是加密的,包括密码。而且密码算法是吴洪声自己写的,同样一个密码,在存储的时候会有完全不一样的变化。即使拿到加密后的密文,也绝不可能破解或者碰撞出明文的。 (阅读全文 …)

     
  • DNSPod 12:52 pm on 2013 年 11 月 5 日 链接地址 | 回复
    Tags:   

    [新闻]如何保护好您的域名 

    尊敬的DNSPod用户:您好!

    域名是站长的最重要资产之一,域名被黑了,网站做的再好用户也看不到了。

    这次和大家分享下如何保护域名,提高域名安全的方法。

    密码安全

    密码安全其实都是老生常谈,不要和其它网站使用同一个密码,密码要有数字,大小写字母和特殊字符,定期修改密码等。

    如果单凭人脑去记忆这么多密码肯定是不现实的,所以还要靠工具,推荐使用KeePassX,它可以帮你生成足够复杂的强密码,并且给您安全的加密保存,Windows, Mac OS, Linux, 安卓手机苹果手机上都能用。

    如果您是在很多台设备上使用的话,可以用网盘把密码文件进行自动同步。

    定期查看日志

    DNSPod对用户的每一次操作都记录有详细的日志,在【域名设置】/【操作日志】里可以看到谁在什么时候在哪个IP上对你的域名进行了什么操作,如下图

    图1

     

     

     

     

     

     

     

    可以经常上去看一眼,看看有没有人恶意给你的域名添加记录,修改记录。每个操作都会有客户端操作的IP,如果不是自己的常见IP,那肯定就是帐号被人破解了,这时候就要赶紧修改密码了,修改成复杂密码。

    绑定微信,开通帐号登录提醒

    DNSPod很早就提供了绑定微信的功能,绑定微信后可以使用很多便利的服务,比如说你的帐号每次登陆DNSPod,您就可以收到一个实时的通知,如果不是您本人的操作,可以直接点击微信通知里的一个链接,把帐号进行锁定,这样黑客就无法做任何操作了。

    图2

     

     

    有了这个功能,你是不是就很有安全感了。

    使用锁定域名功能

    如果您的域名不经常修改记录,添加记录,DNSPod有一个域名锁定功能,
    域名锁定后,加锁期间不接受用户在DNSPod上的任何更改,这样就完全不用担心黑客对域名的恶意修改了。

    图三

     

     

    当然,如果您真的想在加锁期间修改记录的话,可以通过解锁码把域名解锁后进行操作。
    解锁码是独立于帐号密码的,在锁定域名时会出示给你,而且每次锁定都是变化的,所以黑客很难得到。

    D令牌

    以上的功能都是免费的,然后DNSPod还有杀手锏功能,D令牌,目前还是收费功能。

    您一定用过网上银行的动态口令和QQ的安全令牌吧,D令牌和那个原理是一样的,而且安卓,苹果,黑莓都可以安装使用。

    有了D令牌,您每次登陆DNSPod的时候,除了需要输入原有的账户密码外,还需要输入一个动态的一次性密码,另外即使是在账户登录的情况下,对于一些重要的操作,也会强制要求再次输入一次动态口令。

    图四

     

     

     

     

     

     

     

     

     

     

    用上了D令牌,瞬间就感觉域名安全了。

    总结

    DNSPod已经为用户做了很多提高域名安全性的功能,使用好这些功能就可以大大降低域名被黑的几率。

    网站安全的短板往往不在自身。缺乏安全意识的用户、不安全的第三方网站都会成为泄密的源头。您在DNSPod的帐号被登录,首先必须肯定的一点就是:您在DNSPod上用的帐号密码和其他网站一样。换句话说,您的银行卡密码您的女朋友知道,即使您的安全意识再高,黑客也可以从您女朋友身上套出密码。同理,DNSPod再安全,也没法阻挡别的网站被脱裤。如果您在DNSPod上用的密码和被脱裤网站上的一样,那请您一定要注意了~

    如果您对域名安全方面有什么建议,欢迎到我们的官方微博进行交流,谢谢。

     
  • DNSPod 4:35 pm on 2013 年 8 月 14 日 链接地址 | 回复  

    [新闻]DNSPod成为中国第一大域名服务商 

    腾讯科技报道:据国外域名统计机构WebHosting.info周三公布的最新数据显示,截至2013年8月12日,DNSPod解析域名总量达1398958个,超过法国OVH域名服务商,跻身全球第9位,超过万网、新网等国内知名域名服务商,成为中国域名持有量、解析量最大的域名解析服务商。 (阅读全文 …)

     
  • DNSPod 5:51 pm on 2012 年 3 月 30 日 链接地址 | 回复  

    [新闻]互联网将瘫痪?杞人忧天! 

    著名黑客组织匿名者(Anonymous)近日对外宣称,将于3月31日攻击13个DNS根服务器,以达到让全球互联网瘫痪的目的,我们从技术角度讨论一下13个DNS根服务器挂了会怎么样。
    做互联网的人都知道,DNS 解析是一个树状的结构,除了根以外的任意一个结点都是由上级授权的。比如你申请了一个域名 ietf.org.,并把它放在了DNSPod解析,这表示你指示 org. 域名服务器把 ietf.org. 的解析授权给 DNSPod。
    下面我们以org.来分析一下:
    org. 域名服务器是由根(.)授权的,根是由它自己授权的,所以在解析的开始我们需要一个默认相信的根的内容。一般的递归服务器(严格遵守标准)会使用这个数据:http://www.internic.net/zones/named.cache,并定时刷新(这里的TTL值为3600000,也就是41天左右,超过了RFC1034中规定的7天 :-)),也就是说递归服务器的实现应该在得到这个数据以后的 41 天后再次请求(事实上根服务器的 IP 极少变化,所有流行的递归服务器都把这个文件写在代码里,并不主动更新这个文件),所以对于这些递归服务器来说,如果 13 台根服务器都挂掉了,虽然它们将不能更新顶级域的内容(参见 http://www.internic.net/zones/root.zone),但是顶级域们也使用了 3600000 的 TTL,即从一次访问到失效之间相隔 41 天。也就是说,即使 13 台根服务器在3月31日当天全部挂掉,递归服务器起码也应该坚持到劳动节。如果是非标准但是普遍流行的就更不用担心了,它们会直接使用 http://www.internic.net/zones/root.zone 文件,或者把顶级域的 TTL 改为无穷大,这样就避免了去根服务器请求数据。那么 13 台根服务器挂掉对他们毫无影响,况且13台根服务器虽然遭受了无数次攻击,但是至今从来没有出现过全部挂掉的情况……

    通过上面的分析我们可以看出,3月31日广大站长完全不用担心。建议大家不要听信别有意图的人的话,他们这种行为也一定会贻笑大方。

    参考资料:

    1. http://www.internic.net
    2. http://www.ietf.org/rfc/rfc1034.txt
    3. http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers

     
  • DNSPod 6:23 pm on 2011 年 11 月 18 日 链接地址 | 回复  

    [新闻]网上流传的BIND9拒绝服务漏洞 

       关于网上流传的BIND9拒绝服务漏洞(http://www.cnbeta.com/articles/162561.htm

    #DNSPod#官方声明如下:

    DNSPod所使用的DNS服务器为自行研发的服务软件,不会受到此类漏洞的影响,请DNSPod用户放心 !
     
  • DNSPod 3:03 pm on 2011 年 5 月 4 日 链接地址 | 回复  

    [新闻]携手搜搜 共建域名获取新体验 

    继DNSPod和百度合作后,DNSPod又与腾讯搜搜展开了合作,有效的解决了域名更新之后令人头疼的搜索识别问题。今后DNSPod将为搜搜提供域名与IP地址数据,这样搜索引擎抓取的域名就会更加高效、准确。

    据了解,国内互联网每天新注册的域名及域名IP地址变更以百万计,若这些变化不能及时被搜索引擎发现或获取,将降低搜索引擎的收录速度、增加搜索引擎及DNS服务供应商的解析压力,进而降低DNS服务供应商的服务质量,并直接影响这些网站的流量。

    “DNSPod是国内最早提供免费智能DNS产品网站,DNS解析以免费为主,付费的增值服务包括安全防护,提供独立服务器及技术支持。致力于为各类网站提供高质量的电信、网通、教育网双线或者三线智能免费解析服务。DNSPod除了实时生效、不限制用户添加的域名和记录数量外,还提供了IPv6的支持和动态域名解析的功能。DNSPod的优势在于服务稳定、管理方便,可以一个帐号管理多个域名,目前有34万至35万主域名,约200万二级域名,每日约响应DNS解析请求42亿次。”DNSPod创始人吴洪声如是说

    据搜搜负责人介绍, DNSPod与 搜搜的合作,确保了今后新注册的域名能够快速被搜搜捕捉到,域名的IP地址变化也能够尽快被搜搜识别,这样的好处在于搜索引擎可以根据域名的实时变化信息对域名识别做出精准、高效地判断,及时提取正常域名,避免了以往新域名抓取过慢的弊端。此次合作可以说是多赢模式的典范,搜搜自身IP地址解析能力将大幅度提高,从而减轻了搜索引擎对DNS的压力,在DNSPod新增加的IP地址能够迅速被搜搜的搜索引擎抓取、收录,保证了DNSPod对于用户的服务质量,而站长更是可以从中获益,节省了网站推广成本。

    鉴于此,DNSPod提供的配置数据给予了搜搜强有力的支持,今后在DNSPod注册的网站IP发生变化时,搜搜都能够第一时间发现,保证了主站和子站的识别准确率,对于站点的调度也更加高效。

     如果您对此有任何疑问或者建议,请到我们的官方论坛http://bbs.dnspod.cn,微博或企业QQ咨询交流~~

     
  • DNSPod 3:17 pm on 2011 年 4 月 13 日 链接地址 | 回复  

    [新闻]百度数据推送开关,百度收录更快捷! 

    阿D很贴心的通知大家:

    以后任何站点只要使用DNSPod并打开推送开关,都可以争取尽早被百度收录哦~

    同时百度也可以更高效、准确地识别出网站的正常子域名和泛域名,避免了正常域名被泛域名淹没而收录过慢的问题。

     DNSPod与百度的合作后,考虑到用户的需求,阿D增加了这个功能。推送开关默认对于所有域名都是打开的。站长们可以根据自己的需要灵活控制哦~

    阿D很细心有木有!有木有!

    使用方法如下:

     1. 按钮在这里:

     

    2. 点击它出现:

    3. 点击确定后

    默认是打开的,这里演示的是关闭后再手动打开的方法,关闭类似。

     
  • DNSPod 3:16 pm on 2011 年 4 月 12 日 链接地址 | 回复  

    [新闻]支持香港中文域名啦~~~~ 


    香港中文域名支持已经上线啦!

    DNSPod这个功能对所有用户都是免费的! 不仅没有任何限制,而且它还支持好多后缀呢,请跟阿D往下看:

    公司.香港 同时添加 com.hk 后缀别名

    组织.香港 同时添加 組織.香港, org.hk 后缀别名

    网络.香港 同时添加 網絡.香港, net.hk 后缀别名

    教育.香港 同时添加 edu.hk 后缀别名

    政府.香港 同时添加 gov.hk 后缀别名

    个人.香港 同时添加 個人.香港, idv.hk 后缀别名

    香港 同时添加 hk 后缀别名

    如果域名繁体和简体不同,会同时添加繁体别名,如下图:

    此功能是不是特给力? 快去体验一下吧!

    如果您对此功能有任何疑问或者建议,请到我们的官方论坛找阿D咨询交流噢~~

     

     
  • DNSPod 9:23 am on 2011 年 4 月 11 日 链接地址 | 回复  

    [新闻]与百度展开合作:新域名可快速被收录 

    4月11日消息,DNSPod与百度正式展开合作,根据合作协议,百度与DNSPod通过技术对接获得DNS配置数据,从而实现新域名快速被搜索引擎抓取。

    DNSPod是国内最早提供免费智能DNS产品网站,致力于为各类网站提供高质量的电信、网通、教育网双线或者三线智能免费解析服务。DNSPod除了实时生效、不限制用户添加的域名和记录数量外,还提供了IPv6的支持和动态域名解析的功能。

    百度与DNSPod合作后,任何站点只要在DNSPod进行注册,百度就能第一时间获取到这个信息,更高效、准确地识别出网站的正常子域名和泛域名,避免了正常域名被泛域名淹没而收录过慢的问题。而以往,新域名都要等待一定时间才能被搜索引擎抓取。

    和百度合作后,对于DNSPod来说。一方面能够有效降低百度解析IP时对自身的压力,甚至理论压力可降至0;另一方面DNSPod新站点的数据能够被百度及时发现和收录,加快收录的速度,从而提升了DNSPod的服务效果。站长则可以获得一个新网站只要一注册百度spider就能立马知道的好处,可以大大节省了网站宣传推广的成本。

    除了中小网站和DNSPod外,百度自身也是合作的受益者。百度称,获取DNSPod配置数据后,百度能够极大提高IP解析速度和准确性,任何在DNSPod注册的网站IP发生变化时,百度都能够及时发现,从而提高对主站和子站判断的准确性,抓取站点时的调度也更加合理。

    有业内专家表示,泛域问题一直是互联网行业普遍存在的一个问题,举例来说,A.COM是一个域名,那么*.A.COM这种形式的站点就是泛域,它实际上可以代表无限多个站点。泛域问题一方面不利于搜索引擎判断网站,无法给用户展现最准确的结果;另一方面也增加了搜索引擎对外部DNS服务的请求数目,增加了DNS解析服务商的访问压力。

    上述专家认为,百度和DNSPod的合作,克服了这些问题,可为业界解决此类问题提供了一个范本。

     
c
写新的
j
下一篇文章/下一个回复
k
前一篇文章/以前的回复
r
回复
e
编辑
o
显示/隐藏 回复
t
回到顶部
l
go to login
h
show/hide help
shift + esc
取消