曾經有一位友人提過,黑客假如只希望通過攻擊而癱瘓你的網站,最直接的方法不是 DDoS,而是針對網頁的 Domain DNS 進行攻擊/入侵,事關 Domain DNS 的控制平台一旦被入侵的話,那即使你的寄存服務供應商擁有強大的保安能力亦全無用處。

Domain?DNS?

Domain 不用多解釋,那就是大家瀏灠不同網頁時所輸入的網址,通過網址我們便可連到寄存網頁的伺服器位置,從而達致瀏灠目的。不過可能大家都知道了,在網絡傳輸的過程之中,其實只明白數字的 IP 位置,至於那些網址其實只為了方便人類記憶而設; DNS 背後理論暫且不說,簡單而言 DNS 就是能協助電腦明白指定 Domain 背後需要連到指定目標伺服器的 IP 位置。來到這裡,相信大家都會明白了!因此黑客根本無需攻入精心設計的網頁防護網又或者伺服器所在的網絡環境,基本上只需攻入 Domain 註冊服務供應商(例如是Namecheap、Goaddy)的控制後台,便可直接更改 DNS 並將你的網站指向另一個複製出來的釣魚網站又或者直接轉到帶有惡意程序的網站,就是這樣簡單便可嚴重影響目標網站的服務了。

如何預防?

預防的方法有很多,然而筆者常常認為「知己知彼、百戰百勝」這八字真言,所以要真正有效預防,我們便需要了解這些黑客們想入侵你的 Domain DNS 前,需要做些甚麼工作?此其一。其二是單純分享的資訊。假如你正在使用 .com.hk、.hk 等由 HKIRC 提供的 Domain 的話,其實可使用由她們提供的 DNS Lock 服務;啟用了此服務後,大家即使登入 Domain 的管理平台,更改 DNS 的欄位都會被鎖定,因此萬一黑客成功入侵你的 Domain 管理平台,亦將會無法更改你的 DNS。

而假如你需要更改 DNS 的話,便需致電 HKIRC 並讓他們的工作人員替你更改,其實有些「復古」….. 違反了 Internet 的方便性,就好比跟你說對付黑客的最佳方法就是不使用互聯網一樣…. 不過這亦是沒辨法之中的唯一方法,希望有關方面能研究出更「現代化」的方式,從而改善目前 DNS Lock 的做法。

好了,說了這麼多,接下來我們將會於下一篇文章帶大家深入了解黑客的想法,以及話你知黑客入侵 Domain 管理平台前需要做甚麼準備功夫,當你了解他們如何抽絲剝繭地了解 Domain 主人的資訊時,你便會知道應如何加強 Domain 管理平台的保安工作了。


 擒賊先擒王的道理:入侵網站應先擊破 Domain DNS

 https://www.facebook.com/hkitblog