恶意域名指向要如何防范？

时间：2023-02-01 13:32:02 | 来源：建站知识

时间：2023-02-01 13:32:02 来源：建站知识

曾经发生过这样一件事，有一位管理员因为网站经常被攻击，结果昏了头，把网站的域名解析到当地公安局网站的IP上，导致公安局网站被攻击出现故障，最后被抓获判刑。这类出于种种目的将自己的域名通过域名服务商的服务，解析到他人的服务器上，而被解析的服务器上实际没有相应的站点，这种情况称为恶意域名指向。

一般情况下，要使域名能访问到网站需要两步，第一步，将域名解析到网站所在的主机，第二步，在web服务器中将域名与相应的网站绑定。但是，如果通过主机IP能直接访问某网站，那么把域名解析到这个IP也将能访问到该网站，而无需在主机上绑定，也就是说任何人将任何域名解析到这个IP就能访问到这个网站。非法网站被工信部扫描到之后， 域名是不友善的域名，比如曾经指向非法网站，容易引发搜索引擎惩罚，连带IP受到牵连。即使域名没什么问题，但流量也会被劫持到别的域名，从而遭到广告联盟的封杀。

假设已知域名“Example Domain”通过DNS解析到ip：192.168.1.1上，通过修改hosts文件，在文件中添加一行“fakesite.com - Sold 192.168.1.1”，保存并退出。

Hosts文件：windowsxp 默认路径在 C:/WINDOWS/system32/drivers/etc/hosts(可用记事本打开); Centos5.4 的默认路径在/etc/hosts;此时在浏览器中访问 香港服务器_香港站群服务器_香港机房 - 后浪云，如果返回的结果和正常访问，Example Domain 的返回结果是一直的话，则说明该网站是可以被恶意指向的。

恶意域名指向要如何防范呢？

一般情况下可以将每个网站均绑定主机头即可有效防止 dns 恶意解析。

Apache，在 httpd.conf 中添加类似如下配置：

DocumentRoot "/var/www/defaultdenysite"

Order Allow,Deny

Deny from All

DocumentRoot "/var/www/mywebsite" ServerName www.mywebsite.com

第一段 virtualhost 配置是将恶意指向的站点全部返回 403;第二段 virtualhost 是正常的用户网站配置。

TIPS：修改完后请先重启 Apache

如果配置不生效，请将第一段 virtualhost 配置为第一个 virtualhost;注：这个配置时 linux 下的配置哦，如果是 windows 系统，DocumentRoot 路径需要改成 windows 下路径，Nginx

在 nginx.conf 中 http 段落内添加 server 段的配置，同样是返回 403 server

{

listen 80 default; return 403;

}

TIPS：

修改完后请先重启 nginx;某些较低版本按照上述写法可能会不能通过 nginx 配置文件检查。

防范而已域名指向还有很多小技巧，比如找大型可靠的域名商注册和管理域名；进行域名解析设置时，如果没有特殊需求，一定不要使用泛解析功能，可以在决定使用哪个二级域名时再进行单个二级域名的解析操作；与域名相关的帐号密码尽量复杂，一定不能使用弱口令(123456之流)，且与域名相关的多个帐号密码不要使用相同组合；还可以使用CDN加速，隐藏自己网站真实的IP等。