惡意域名指向要如何防范？

時(shí)間：2023-02-01 13:32:02 | 來源：建站知識(shí)

時(shí)間：2023-02-01 13:32:02 來源：建站知識(shí)

曾經(jīng)發(fā)生過這樣一件事，有一位管理員因?yàn)榫W(wǎng)站經(jīng)常被攻擊，結(jié)果昏了頭，把網(wǎng)站的域名解析到當(dāng)?shù)毓簿志W(wǎng)站的IP上，導(dǎo)致公安局網(wǎng)站被攻擊出現(xiàn)故障，最后被抓獲判刑。這類出于種種目的將自己的域名通過域名服務(wù)商的服務(wù)，解析到他人的服務(wù)器上，而被解析的服務(wù)器上實(shí)際沒有相應(yīng)的站點(diǎn)，這種情況稱為惡意域名指向。

一般情況下，要使域名能訪問到網(wǎng)站需要兩步，第一步，將域名解析到網(wǎng)站所在的主機(jī)，第二步，在web服務(wù)器中將域名與相應(yīng)的網(wǎng)站綁定。但是，如果通過主機(jī)IP能直接訪問某網(wǎng)站，那么把域名解析到這個(gè)IP也將能訪問到該網(wǎng)站，而無需在主機(jī)上綁定，也就是說任何人將任何域名解析到這個(gè)IP就能訪問到這個(gè)網(wǎng)站。非法網(wǎng)站被工信部掃描到之后， 域名是不友善的域名，比如曾經(jīng)指向非法網(wǎng)站，容易引發(fā)搜索引擎懲罰，連帶IP受到牽連。即使域名沒什么問題，但流量也會(huì)被劫持到別的域名，從而遭到廣告聯(lián)盟的封殺。

假設(shè)已知域名“Example Domain”通過DNS解析到ip：192.168.1.1上，通過修改hosts文件，在文件中添加一行“fakesite.com - Sold 192.168.1.1”，保存并退出。

Hosts文件：windowsxp 默認(rèn)路徑在 C:/WINDOWS/system32/drivers/etc/hosts(可用記事本打開); Centos5.4 的默認(rèn)路徑在/etc/hosts;此時(shí)在瀏覽器中訪問 香港服務(wù)器_香港站群服務(wù)器_香港機(jī)房 - 后浪云，如果返回的結(jié)果和正常訪問，Example Domain 的返回結(jié)果是一直的話，則說明該網(wǎng)站是可以被惡意指向的。

惡意域名指向要如何防范呢？

一般情況下可以將每個(gè)網(wǎng)站均綁定主機(jī)頭即可有效防止 dns 惡意解析。

Apache，在 httpd.conf 中添加類似如下配置：

DocumentRoot "/var/www/defaultdenysite"

Order Allow,Deny

Deny from All

DocumentRoot "/var/www/mywebsite" ServerName www.mywebsite.com

第一段 virtualhost 配置是將惡意指向的站點(diǎn)全部返回 403;第二段 virtualhost 是正常的用戶網(wǎng)站配置。

TIPS：修改完后請(qǐng)先重啟 Apache

如果配置不生效，請(qǐng)將第一段 virtualhost 配置為第一個(gè) virtualhost;注：這個(gè)配置時(shí) linux 下的配置哦，如果是 windows 系統(tǒng)，DocumentRoot 路徑需要改成 windows 下路徑，Nginx

在 nginx.conf 中 http 段落內(nèi)添加 server 段的配置，同樣是返回 403 server

{

listen 80 default; return 403;

}

TIPS：

修改完后請(qǐng)先重啟 nginx;某些較低版本按照上述寫法可能會(huì)不能通過 nginx 配置文件檢查。

防范而已域名指向還有很多小技巧，比如找大型可靠的域名商注冊和管理域名；進(jìn)行域名解析設(shè)置時(shí)，如果沒有特殊需求，一定不要使用泛解析功能，可以在決定使用哪個(gè)二級(jí)域名時(shí)再進(jìn)行單個(gè)二級(jí)域名的解析操作；與域名相關(guān)的帳號(hào)密碼盡量復(fù)雜，一定不能使用弱口令(123456之流)，且與域名相關(guān)的多個(gè)帳號(hào)密碼不要使用相同組合；還可以使用CDN加速，隱藏自己網(wǎng)站真實(shí)的IP等。