 | citydog on 免费用户的复合DNS修改通知 |
 | iZhangJun on 免费用户的复合DNS修改通知 |
 | 8thzone on DNSPod用户手机验证上线 |
| iZhangJun on DNSPod使用向导上线! |
 | 阿尔萨斯 on 如何取得DNSPOD邀请码 |
由于国内很多域名注册商都不允许用户添加多个DNS服务器(基本上只能添加2个),为了保证用户域名的稳定,之前DNSPod推出了一个复合DNS给大家使用(ns1.dnspood.net/ns2.dnspood.net),使用了复合DNS以后,用户只需要添加2个DNS就可以享受到6个DNS的稳定。但由于域名太相似,经常有人没看清楚中间是两个o,导致填写错误的情况时有发生。
为了彻底把这个问题区分开来,我们决定把复合DNS的域名作一个更改,新的复合DNS为
f1g1ns1.dnspod.net
f1g1ns2.dnspod.net
未来新的复合DNS将会和旧的复合DNS同时运行。但为了方便大家,建议用户把DNS从旧的改为新的,这样可以减少很多问题。
如果大家有任何问题,欢迎联系我们。邮箱tech at dnspod.com
[转]腾讯科技讯 8月26日消息,北龙中网携域名注册管理机构CNNIC发布国内首份《中国域名服务及安全现状报告》,《报告》显示,我国目前域名服务器总量近百万,其中超过50%的域名服务器相对不安全,而我国57%的重要信息系统存在域名解析风险。
以下为《中国域名服务及安全现状报告》全文:
报告摘要:
- 截至2010年8月10日,监测到世界范围内域名服务器总量为16,306,432个,其中权威域名服务器2,903,550个,递归域名服务器 13,402,882个。活跃域名服务器数量为1,375,219个,其中权威域名服务器619,797个,递归域名服务器755,422个。
- 截至2010年8月10日,监测到国内的域名服务器总量为978,713个,其中权威域名服务器107,540 个,递归域名服务器871,173 个。国内活跃域名服务器数量为67,235个,其中权威域名服务器19,281个,递归域名服务器47,954个。
- 国内的域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。其中排名前10的地区域名服务器总量占全国域名服务器总量的90%以上。
- 对国内的所有权威服务器进行扫描,统计发现,62%以上使用Unix/Linux系统,95%以上使用ISC BIND软件。国内的权威域名服务器中53%开启了递归查询功能,远大于全球范围内31%的比率,存在一定的安全隐患。
- 对国内的所有递归域名服务系统进行全面扫描,统计发现,55%以上使用了Unix/Linux系统,94%以上使用ISC BIND软件。
- 统计发现,国内超过4%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻击,远高于全球范围0.98%的平均水平。
- 对国内重要信息系统所涉域名抽样统计发现, 57%的域名解析服务处于有风险的状态,其中11.8%的域名因配置管理不当,处于较高风险状态。
第一章 域名服务体系说明
域名(Domain Name)是由一串用点分隔的字符组成的互联网名称,是用于识别和定位互联网上计算机的层次结构式字符标识,类似于互联网上的门牌号码。
域名系统(DNS)是逐级授权的分布式数据查询系统,主要用于完成域名到IP地址的翻译转换功能。绝大多数互联网应用都基于域名系统开展,绝大多数互联网通信都必须先通过域名系统完成域名到IP地址的寻址转换。
图1 域名系统的位置角色
域名服务体系包括提供域名服务的所有域名系统,它包括两大部分、四个环节:即递归域名服务系统,以及由根域名服务系统、顶级域名服务系统、和其他各级域名服务系统组成的权威域名解析服务体系。
图2 域名服务体系的构成示意
域名服务体系中,根域名服务系统由ICANN授权的是十三家全球专业域名管理机构提供运营支持,顶级域名服务系统由ICANN签约的商业机构、或各国政府授权的科研管理机构负责运行维护,因此这两个环节的稳定运行有所保障。
而 大量的二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方;递归域名服务器一般由各网络 接入机构提供。这两个环节是数量众多、而安全状况相对薄弱的两个环节,根据监测和统计,两个环节的活跃的服务器619,797台套和755,422台套, 相对安全的服务器比例不足半数。其主要原因在于这两个环节的服务器众多、管理分散、规模有限,维护人员的技术水平也参差不齐,缺乏综合专业的安全服务能 力。
第二章 域名服务体系监测结果
一、根域名服务系统
根服务器的分布情况对互联网的访问性能有很大的影响。截至目前,全球域名系统13个根服务器在全球的镜像服务器数量共206个。根服务器及其镜像在欧洲有72个、美国51个、亚洲45个,中国大陆有F根、I根和J根的镜像服务器。
表 1 根域名服务器及其镜像的基本状况
*表示在国内有镜像服务
二、顶级域服务系统
(一)总体情况
根 据国际互联网域名体系的构成,顶级域名分为三类:通用顶级域名(gTLD,General Top Level Domain)、国家与地区顶级域名(ccTLD,Country Code Top Level Domain)和基础设施类顶级域(目前仅有.arpa)。其中通用顶级域gTLD共有20个,可细分为组织主办类(Sponsored)13个,通用类 (Generic)4个,及限制通用类(Generic-restricted)3个。国家与地区顶级域共计260个(包含“.中国”等新增的顶级域), 另外还有实验性顶级域11个,共计292个顶级域。
一般顶级域的运营者都比较注重系统的安全性,统计发现,操作系统69%以上都采用开源Linux,相对稳定性较高。也可以发现Windows的使用率约占20%。
图 3 顶级域服务系统操作系统类型分布
对顶级域服务系统使用的域名服务器进行探测扫描,统计发现95%以上使用开源软件ISC BIND。
表 2 顶级域服务系统所用域名解析软件分类
统计发现,拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的91%以上。
图 4 权威域名服务系统地域分布
(二)所属运营商
在对国内其他各级域名服务系统进行监测的同时,对这些权威服务器在各大运营商的分布状况进行统计,发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50%以上。
图 5 权威域名服务系统运营商分布
(三)软件版本类型
对国内各级域名服务系统中的所有权威服务器进行扫描,统计发现,62%以上的域名服务器使用开源的Linux系统,Microsoft Windows操作系统所占比例在36%左右。
图 6 权威域名服务系统操作系统类型分布
对国内各级域名服务系统中的所有权威域名服务器进行探测,其中95%以上的域名服务器使用开源的ISC BIND软件,国外权威域名服务系统中ISC BIND使用率约为93%。
表3 国内权威域名服务系统域名解析软件分类
(四)协议支持程度
中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比,支持TCP查询的比例略低于世界水平,中国各级域名服务系统支持EDNS0的比例略高于世界平均值。
中国各级域名服务系统中的权威域名服务器中,53%开启了递归查询功能,远大于世界各级域名服务器31%的递归功能开启比率,存在一定的安全隐患,这说明中国的各级域名服务系统配置方式存在问题。
图 7 权威域名服务系统协议支持程度
四、递归域名服务系统
(一)地域分布
中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。下图中十个地区的递归服务器总量占全国递归服务器总量的88%以上。
图 8 递归域名服务系统地域分布
(二)所属运营商
对中国境内的递归域名服务器进行运营商级的细化,62%以上的递归域名服务器分布在中国主流的运营商内,其中中国电信拥有的递归服务器数量最多,占全国递归域名服务器总量的21%以上。
图 9 递归域名服务系统运营商分布
(三)软件版本类型
对中国递归域名服务系统进行全面扫描,统计发现,超过55%的递归域名服务器运行在Linux等开源系统上,28%左右的递归域名服务运行在Microsoft Windows操作系统上。
图 10 递归域名服务系统操作系统类型分布
在对中国递归域名服务系统进行统计分析时,发现94%以上都采用的开源软件ISC BIND,国外递归域名服务系统中ISC BIND使用率约为86%。
表4 国内递归域名服务系统域名解析软件分类
(四)协议支持程度
中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比,中国递归服务器的协议支持程度与世界平均水平保持一致。
图 11 递归域名服务系统协议支持程度
(五)递归域名服务器端口随机性
递 归域名服务器对外发起查询使用的客户端端口的随机性对域名解析的安全程度具有很大影响,端口随机算法如果不够安全,会使域名服务器容易遭受缓存中毒攻击, 著名的卡明斯基漏洞就是利用递归服务器的客户端端口弱随机性发起的攻击。统计发现,中国超过4%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻 击,远高于世界范围的0.98%。
图 12 递归域名服务系统端口随机程度分布
第三章 国内重点权威域名安全抽样
重要信息系统涉及域名数量众多,根据重点域名的访问量及其服务范围,抽样调查了各行业的域名,主要来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生的各个行业。统计发现57%的重点域名解析服务处于有风险的状态,只有11%的域名解析服务安全等级为良好。
图 13 重点域名安全状况分布
通过对各行业的域名安全状况进行分析,教育机构的域名服务系统安全性最差,80%以上的域名解析服务处于有风险状态。
图 14 各行业重点域名安全等级分布
经过对重点域名列表进行扫描监测,统计发现,74%的域名配置了两台以上的域名服务器,但是这些配置两台以上域名服务器的域名中又有超过23%的域名服务器位于同一个网段内。
域名服务器作为权威服务器,应该将递归功能关闭,否则会存在安全隐患,通过统计分析发现,重点域名列表中有40%的域名服务器将递归功能开启,增加了被攻击的风险。
图 15 重点域名服务器递归功能开放统计
权 威服务器所用软件类型及版本将从很大程度上影响到域名服务器的安全性,通过对中国重点域名所使用的软件版本类型信息进行监测和统计,发现75%的域名服务 器使用开源软件ISC BIND,且在使用ISC BIND的域名服务器中14.93%以上的BIND版本过低,存在严重的安全隐患。
表 5 中国重点域名所用软件类别
第四章 DNSSec及全球实施状况
DNS 域名服务系统作为互联网服务的重要基础设施,其设计之初就存在严重的协议安全漏洞,近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大的损失。 为此IETF成立了工作组专门研究DNSSec安全扩展协议(DNS Security Extensions),并推出了一系列的RFC标准,从概念、协议设计、报文格式、加密算法及密钥管理等方面完善了原有DNS体系的不足之处,从而形成 一整套的DNSSec解决方案。
分析DNSSec的技术原理可发现,该解决方案遵循了如下目标和设计原则:
- 为DNS解析服务提供数据源身份认证和对数据完整性验证;
- 由于DNS是一个公共的网络服务基础设施,不能强制进行访问控制或者数据加密;
- DNSSec协议需要与原有DNS协议兼容;
- 支持增量部署;
部 署了DNSSEC的权威域名服务器在应答查询请求时,首先使用哈希算法计算应答报文的摘要,再将此摘要用自己的私钥加密生成签名后存储到报文中;查询方收 到应答报文,利用权威服务器的公钥解密签名获得摘要,再将此摘要与从报文数据计算出的摘要进行对比来完成数据的完整性验证。如果数据完整性验证成功,则也 同时完成了对数据源(权威域名服务器)的身份认证,否则认识身份认证失败。为了解决以安全的方式分发公钥所面临的挑战,使用了“信任链”的方法,所有 DNS认证过程的信任锚点均为根域名服务器。
图 16 DNSSec签名认证过程
自 2010年7月15日根正式提供DNSSec服务之后,实施DNSSec的顶级域数量逐渐增多,截至2010年8月13日,已有37个顶级域部署了 DNSSec,约占顶级域总量的13%。这些实施了DNSSec的顶级域中,有7个通用顶级域名,19国家与地区顶级域名,11个实验性顶级域名。
表 6 TLD实施DNSSec统计
在对区进行分布式监测时,还同时检验了实施DNSSec所用的密钥算法,经过统计发现95.43%的密钥使用的RSA/SHA-1算法,3.95%使用的RSA-NSEC3-SHA1算法。
表 7 DNSSec所用密钥算法统计
目 前根域名服务体系已经实施DNSSec,顶级域以及其他各级域名服务系统也纷纷将DNSSec的部署实施纳入章程。为了确保中国互联网的安全,国内各域名 服务提供主体要重视DNSSec的部署和实施工作,同时密切关注国外域名服务主体实施DNSSec遇到的困难和问题,并结合中国国情探索有利于中国互联网 健康发展的安全之路。
通过分析DNSSec的技术实现原理以及国外DNSSec实施案例,发现国内部署实施DNSSec将面临如下困难和问题:
第一,缺乏最佳的实践指导,各域名服务提供主体对DNSSec的实施方式尚未有统一认识。由于DNSSec尚未广泛部署,对即将面对的问题缺乏最佳的解决经验。
第二,部署实施DNSSec需要一系列技术性要求较高的专用设备,如密钥管理设备、签名设备等,市场上缺乏成熟的产品。
第二,实施DNSSec对域名解析系统有更高的要求,需要扩充域名解析系统的计算资源和存储能力以保证解析效率。
第三,由于部署DNSSec、实施EDNS0会使得DNS数据包增大,超过传统的512字节,增大网络流量,扩展的DNS数据包有可能超过路径最大传输单元(PMTU),发生丢包现象。
第四,部署实施DNSSec需要技术人员对DNS体系、加密算法等十分精通,国外实施DNSSec时因配置失误导致域名解析故障屡有发生。国内具备这些能力的专业技术人员严重缺乏。
第五,实施DNSSec可能增大DDoS攻击的成功率,因为DNS响应数据包增大,使得黑客更容易利用DNS系统形成放大攻击或反射攻击。
域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个互联网的发展和建设来说至关重要。分析发现,国内域名服务在配置管理和运行维护方面均存在不同程度的安全隐患,域名服务系统面临的风险以及安全防范建议如下:
风险一:信息更改或过期:各级域名解析系统通常与域名注册、WHOIS等系统协调工作,任一环节的漏洞都可能被黑客利用,篡改域名解析数据。权威域名解析服务的主服务器或辅服务器如因配置不当,也容易被攻击,造成权威解析服务故障。
防范建议:确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。
风险二:DNS系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不当或升级延迟,软件存在的漏洞容易被黑客利用。近年来开源软件BIND被广泛使用,一旦该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。
防范建议:采用安全的操作系统平台和域名解析软件,并关注软件商发布的最新安全漏洞,定期升级软件系统。
风 险三:域名劫持(Domain Name Hijacking):通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该 DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至会导致域名 所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,而且又是通过国际 注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
防范建议1:选择安全性高、服务便捷的域名注册服务机构和域名注册管理机构;
防范建议2:隐藏域名解析软件及操作系统等版本信息;
防范建议3:限制域名区文件的传送权限;
风险四:中间人攻击(Man in the Middle Attack):中间人攻击,是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息。中间人攻击大多数本质都是被动,其检测和防御十分困难。
防范建议1:使用入侵检测系统,尽可能的检测出中间人攻击行为;
防范建议2:需对域名服务器边界网络设备的流量、数据包进行监控,监控方式可基于监听、SNMP、NetFlow等网管技术和协议;
防范建议3:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
防范建议4:部署实施DNSSec;
风险五:NSEC游走:早期的DNSSec使用NSEC方案,会造成区文件被遍历、枚举,从而泄露所管理的域名解析数据,既是商业数据的泄露,也容易成为黑客攻击的靶子。
防范建议1:采用NSEC3方案解决该问题;
风 险六:分布式拒绝服务攻击(DDoS Attack):DDoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大 量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS瘫痪。2009年5月19日全国大面积断网事件起因即 为DDoS攻击。
防范建议1:提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;
防范建议2:限制递归服务的服务范围;
防范建议3:利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;
防范建议4:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
风险七:缓存窥探(Cache Snooping):DNS缓存窥探是一个确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询。攻击者通常利用缓存窥探寻找可攻击对象。
防范建议:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
风 险八:缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing):通过向DNS服务器注入非法网络域名地址实现缓存中毒攻击,对该类安全威胁的检测十分困难。利用该漏洞轻则可以让用户无法打开网页, 重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。由于软件实现技术水平参差不齐,端口、报文ID随机算法落后的域名服务器容易遭受缓存中毒攻击。
防范建议1:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示;
防范建议2:部署实施DNSSec;
风 险九:DNS放大、反射攻击:目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中,DNS服务器往往不受攻击目 标,而是充当了无辜的被利用者的角色。这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。这些DNS服务器随后将向表面上 是提出查询的那台服务器发回大量的回复,导致通讯流量的放大并且最终导致攻击目标瘫痪。提供递归域名解析服务的主体需要控制服务范围,尽可能的避免提供开放递归服务,并借助于流量分析监测等手段发现潜在的DDos攻。
防范建议1:利用流量分析等工具检测出攻击行为;
防范建议2:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
此 外,为了加强域名服务的安全可靠性,域名服务部署时,需要考虑单节点故障问题。所涉及的路由器、交换机等均需要有冗余备份能力,建立完善的数据备份机制和 日志管理系统。应保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。
附录1 术语定义
- DNS:全称为Domain Name System,即域名服务系统,是互联网的重要基础设施,完成了域名到IP地址的映射功能。
- IP:网络地址,标示互联网上的每一台主机。
- TCP:Transmission Control Protocol,传输控制协议,是一种面向连接的、可靠的、基于字节流的运输层通信协议。
- UDP:User Datagram Protocol,用户数据包协议,是一种无连接的传输层通信协议。
- DNSSec:DNS安全扩展协议,在传统DNS基础上提供数据源认证和完整性检查。
- EDNS0:DNS扩展协议第一个版本,实施DNSSec所必需的重要协议。
- ccTLD:Country Code Top Level Domain,国家及地区顶级域名。
- gTLD:Generic top-level domain,通用顶级域名。
- 根域名服务器:是互联网域名解析系统中最高级别的域名服务器。
- 权威域名服务器:提供权威名字解析服务的域名服务器。
- 递归域名服务器:具有处理递归查询功能的域名服务器。
- ISP:Internet Service Provider,互联网服务提供商。
附录2 全球技术动态及安全事件
技术动态
- 2009年6月2日,PIR(Public Internet Registry)对.ORG区文件进行了签名,宣告ORG正式支持DNSSec功能。
- 2009年6月10日,Matthew Dempsky(来自.ORG注册机构)发布了每个TLD的DNS信任依赖图(区与名字服务器之间),有助于研究DNS体系的安全状况。
- 2009年6月12日,CNNIC与ISC签署战略合作协议,双方将共同进行DNS基础服务软件以及相关技术的研发工作。
- 2009年7月2日,ENUM NL尝试使用DNSSEC对1.3.e164.arpa区进行签名,在正式提交信任锚点前进行测试。
- 2009年7月7日,DNS-OARC撰文称,近来随着DNSSEC部署的增加,不断暴露出部分DNS解析器不能接收较大应答消息的问题。
- 2009年8月,CNNIC技术人员正式加入BIND 10软件的核心开发团队,这将对研发中国自主产权的域名解析软件奠定坚实的基础。
- 2009年8月10日,ISC宣称Afilias和Neustar将为DLV区提供二级DNS服务,以此来支持DLV的注册。
- 2009年9月4日,为推进对根签名的进程,VeriSign公布了关于root DNSKEY response size的实验结果。
- 2009年9月17日,ICANN发布了L根数据膨胀的影响分析报告——“Root Zone Augmentation and Impact Analysis”。
- 2009年9月30日,ICANN提议:IDN项目于2009年11月16日启动。该提议已被提交到2009年10月下旬在首尔召开的ICANN会议的董事会上进行讨论。
- 2009年10月1日,ICANN发布根区膨胀模型的研究报告——“Root Scaling Study:Description of the DNS Root Scaling Model”(由TNO荷兰应用科学研究组织完成)。
- 2009年10月8日,在葡萄牙首都里斯本召开的RIPE 59会议上,来自ICANN的DNS工作组主席Joe Abley和VeriSign副总裁Matt Larson宣布了根签名的时间表。
- 2009年10月30日,在首尔ICANN会议上,ICANN董事会同意引入IDN ccTLD,这意味着很快将能够在网络上使用非拉丁字母的互联网地址。
- 2009年11月5日-6日,中国互联网络信息中心(CNNIC)在京承办“域名系统运行分析研究中心”(DNS-OARC)秋季工作会议。会议就DNS安全,IPv4向IPv6过渡,国际化域名(IDN)推进等问题进行了讨论。
- 2009年12月,Google提供了Public DNS解析服务。
- 2010年2月8日,CNNIC与ISC建立互联网技术联合实验室CILAB,双方依托联合实验室进行产品开发、服务平台运行、技术研究、以及国内业务拓展等方面的合作。
- 2010年4月30日,新华社报道了上海世博会官网expo2010.cn全球访问信息。作为互联网上显著的“中国”标识,expo2010.cn、expo.cn等一系列.CN域名的广泛应用,使国家域名成为上海世博会的网络“新地标”。
- 2010年7月10日, 互联网名称与编号分配机构(ICANN)授权互联网地址指派机构(IANA)将“.中国”域名正式写入全球互联网根域名系统(DNS)。至此,“.中国” 域名全球解析部署已实施完毕。全球网民在浏览器地址栏中直接输入已注册的“.中国”域名即可访问相应网站。
- 2010年7月15日,根签名服务器正式对外提供服务,标识着DNSSec在根服务器的部署已经完成。
域名安全事件
- 2009年5月19日,域名免费托管组织DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件。
- 2009年7月29日,BIND 9的所有版本被发现存在缺陷。攻击者只需向BIND 9服务器发送一个特殊的动态更新消息,就会导致服务器停止工作。专家称该缺陷比Kaminsky揭露的缓存毒药缺陷更加严重。
- 2009年9月8日,由于一个过期、错误的DLV key,.pr遭遇servfail。
- 2009年10月12日,瑞典当地时间21点45分,由于在日常维护中不正确的软件升级,顶级域名.se出现故障,导致整个瑞典互联网几乎完全瘫痪,所有的.se网站都无法访问。
- 2009年8月26日,波多黎各主要的域名注册机构遭受长达几个小时的攻击,造成Google, Microsoft, Yahoo, Coca-Cola等多家大公司的网站被重定向到某恶意网站。
- 2009年9月24日,EditDNS,著名托管型DNS提供商(popular hosted DNS provider),遭受了DDoS攻击。
- 2009年10月21日,Yammer(与Twitter类似,为商业人士提供的短消息服务)由于DNS配置错误而经历了长时间的瘫痪。
- 2009年10月22日,互联网基础服务提供商新网公司的DNS系统遭受十多分钟的持续攻击。
- 2010年1月12日,知名搜索引擎公司百度DNS被劫持,造成其网站数小时内无法被访问。
- 2010年1月20日,时代互联域名解析服务遭受攻击。
- 2010年2月8日,印度最大的软件开发商塔塔(Tata)咨询服务公司网站遭黑客攻击,经证实攻击手段为DNS劫持。
- 2010年2月22日,通信领域著名网站DSLReports域名服务器发生故障。
- 2010年3月9日,澳大利亚游戏网站Ubisoft遭受DDoS攻击。
- 2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。
- 2010年3月26日,国外著名VoIP提供商Line2的域名系统遭受DDoS攻击。
- 2010年5月15日,DENIC负责运营的德国国家顶级域DE因配置错误,导致成千上万的de域名无法访问。
- 2010年6月2日,Netscape网景公司的DNS服务遭受攻击并致瘫痪。
- 2010年6月3日,国外网站Quakelive因域名配置错误,造成网站长时间无法访问。
- 2010年8月3日,VeryCD部分地区无法访问,据官方微薄证实是DNS服务器遭受攻击所致。
- 2010年8月7日,国际知名DNS服务提供者DNS Made Easy遭受DDoS攻击,造成1.5小时的服务宕机。分析发现DDoS的攻击流量高达50Gbps,而针对DNS的攻击流量历史最高为49Gbps。
多谢,我的域名都已更改到godaddy了
CHINAZ携用户团购DNSPod VIP活动火热进行中,时间有限,惊喜无限!和CHIANZ用户一起团购吧!
第一重优惠:
DNSPod所有新注册用户参与本次团购即可享受330元/年DNSPod VIP服务。
第二重优惠:
凭CHINAZ注册ID参与团购就有机会享受3个月(价值90元)的DNSPod VIP服务额外赠送。按团购人数返还产品使用期,人越多越超值!
注:
超过100人(含),额外送1个月产品使用期(价值¥30元)
超过200人(含),额外送2个月产品使用期(价值¥60元)
超过500人(含),额外送3个月产品使用期(价值¥90元)
活动时间:
8月26日——9月24日
详情请登录:http://tuan.dnspod.com
现在暂时还用不着VIP,支持一下DNSPOD~
在日常沟通的过程中,我们偶尔会碰到无法取得联系的用户,
这让我们的工作无法继续进行,也无法将有关信息及时反馈给用户,
因此我们添加了短信验证功能,以确保每个用户都能及时接收到信息。
从现在开始:
1.对于老用户,我们会在您登录的过程中提示您进行短信认证,请您尽快将您的联系方式更改为可用手机号码,以避免对您域名的操作造成影响。我们会先尝试让你编辑短信,内容为网页上提示的6位数字,发送到网页上提示的号码,然后点击“短信已发出,点击验证”,这时候会出现30秒的倒数,如果验证成功,会回到回到原来的页面。30秒结束后,如果我们还没有收到您的短信,请仔细检查并再次发送,然后点击按钮,重新30秒倒数,如果依然没有验证成功,这时候会下发验证码到你的手机上,需要你填写验证码进行确认。如果两种验证方式均不成功,请Email联系tech@DNSPod.com,并附上您的帐号和手机号,方便我们督促接口提供商进行调整。
2.对于新用户,在您注册的过程中,我们需要您编辑短信,内容为网页上提示的6位数字,发送到我们网页上提示的号码。发送成功后,您需要点击验证按钮确认我们 是否收到短信。您需要通过这个操作来完成帐号的注册。
3.对于使用客户端和API的用户,如果您没有在网页上进行手机验证,我们会立即停止API的使用权限,请尽快到我们的网站进行手机验证。
我们衷心的希望这个过程不会影响到您的体验(当然这是完全免费的:))。
感谢您对DNSPod的关注和支持!
我发现如果不填写手机验证就无法再管理自己的域名了,必须要验证吗?抵制这样
新疆用户咋办?新疆用户咋办?新疆用户咋办?新疆用户咋办?新疆用户咋办?
新疆用户收不到这种验证码短信,不只是你们 而且 腾讯 淘宝 之类的都无法收到。
收不到短信啊
郁闷 都收不到短信
很可惜我死活也收不到验证码
这样真的不好啊。不验证就不能使用。哎,好杯具。不享受你这个服务就不行啊?又被服务一次
不爽,不过没办法 还是验证了
完全没有影响到使用。特别是看到(当然这是完全免费的:))。
嘿嘿。支持,已经通过手机验证。
我想问下我的子域名在没有通过短信验证的时候不能访问,是因为没有进行手机验证的原因吗?
186的号码,短信发了两个了还是通不过验证
好纳闷,好就没来,一进系统,打死个也进不去管理平台,貌似不友好,但实际上特别对我们这些用户负责。谢谢。另外还有点建议,现在进去如果不验证,还能提示修改手机号?万一别人密码丢了,让另外一些人给进去验证了手机怎么办呢?
不能用,点了N次了,用的是联通的
是不是不支持186的号码啊 一直发不出去
是啊.我也是186的号,发了2个短信也通不过.
我发了N个,用了一次联通,两次移动,都没反应。郁闷死。
移动,联通的手机都试了,都没收到短信,怎么办?
兽兽也还用这啊,你不要收费了么…
很郁闷 发了很对次了,通过不了。
我没有手机怎么搞呢……
看错了,是发短信
联通的 也通不过
发送至号码 12398288184032 发送失败 ,怎么回事 都不能用了
这个功能还不错哦
第一次发就成功了,12398这个号好像是电力的,谷歌了一下好像是国家电力的专用号,求真相。
136 的 发了两个通不过
新疆移动用户表示无法发出到那个 很长的号码上面 发送失败
我手机是186的,发了N次了,都没效,现在后台都进不了!!!!!
没用啊
建议你们使用QQ机器人验证。每个都有QQ,使用QQ验证,很方便,你们还不要花钱。
开源的qq robot ,官方http://im.jecat.cn/demo/
186无法发送
我发了五次短信,都无法通过验证。。
发了两次都没反应,记着改东西,怎么办?
186无法验证啊 发送了好几次了
额~~ 越来越麻烦了~!
麻烦了 今天才知道啊www.8thzone.cn
为了保证DNSPod用户的解析质量,我们从5月起就一直在对违规域名进行查处和封禁。
这期间也包括加入了新的帐号注册制度,通过发放邀请码对违规域名的随意添加做出部分限制。在域名的添加过程中,我们也做出了相应的审查制度。
当然,只是这些是不够的,我们相信,解析环境的维护是与大家密不可分的,现在,我们的域名举报功能上线!
您只需要点击
完成违规域名的举报,并在我们的企业qq(800020304)中留下您所举报的域名,我们将为您送上邀请码一枚!
希望我们共同努力,将DNSPod做的更加完善!
最近有很多用户问到邀请码如何获取,下面汇总几种DNSPod邀请码的获取方式供大家参考
方法一、百度贴吧每日发放
地址:http://tieba.baidu.com/f?kw=dnspod
DNSPod百度贴吧每日将不定时发放三个邀请码,有需要的用户请随时关注百度DNSPod贴吧。另外我们每日将在“邀请码发放帖”中从跟帖用户中抽取幸运用户发放邀请码。
推荐系数:四星
方法二、关注腾讯DNSPod微博
地址:http://t.qq.com/dnspod
DNSPod将不定期在腾讯微博发放定量邀请码。
推荐系数:三星
方法三、购买邀请码
具体方案正在筹划中,敬请期待。
推荐系数:三星
方法四、升级DNSPod VIP
升级VIP将直接获取邀请码,VIP咨询QQ:800020304,VIP咨询热线:4006-881-883 18605352878 18663826208
VIP介绍页:http://www.dnspod.com/About/Vip
推荐系数:四星
方法五、关注DNSPod每月活动
DNSPod官方每月将有活动送出部分邀请码。详情请参见官网及博客。
博客:http://blog.dnspod.com/
官网:http://www.dnspod.com/
推荐系数:三星
方法六、豆瓣小组活跃用户发放(6月29更新)
地址:http://www.douban.com/group/dnspod/
DNSPod会对豆瓣小组中的活跃用户(比如回答其他小组成员的提问,或者对DNSPod有好的建议)不定期的发放邀请码,并在参与话题回应的用户中抽取幸运用户发放邀请码。
推荐系数:四星
方法七、举报使用DNSPod的违规网站
地址:https://www.dnspod.com/Report/
在您完成举报之后,请在我们的企业qq(800020304)中留下您所举报的域名,我们会及时为您送上一枚邀请码!
推荐系数:四星
以上为暂时几种方法,如有其它新方法会及时补充到博客,敬请关注
欢迎大家提更多更好的意见!
非常支持
可以给一个邀请码吗?
邮箱 blueandhack@gmail.com
DNSPOD的邀请码是什么?有什么意义和作用?
我着实很想要一个邀请码….
真心求一个,谢谢你们36063081@qq.com
小生跪求邀请码 tsj100@qq.com
这个邀请码有什么用呢?
等好久了,排到我了吗
依然期等
邮箱:feiyueyijie@163.com
@Dili
就是注册dnspod账户用的,如果你以前已经是dnspod的用户,那就不需要了。
给个邀请码啊,排了很久了,chinaz@live.cn
等好久了,希望能得到要求码,谢谢!
chifung_huang@hotmail.com
非常支持,求个邀请码先,ajifang@gmail.com,谢了
一. 1元秒杀
2010年6月24日0点到6月30日24点每天下午14:00准点开秒!
届时DNSPod首页公告会登出相应淘宝链接,参加秒杀的用户请拍下链接后在淘宝附言里注明域名和手机号等联系方式,如不注明域名和手机号将取消VIP领取资格。客服人员将在当天秒杀结束后电话通知秒杀成功的用户,并发放VIP权限。所赠送的VIP权限只允许合法网站使用。如果使用在非法网站上将会被取消VIP权限。
如因不注明域名和联系方式,或者电话联系不上而造成无法发放VIP权限的,没被发放的VIP权限将自动滚动到第二天的秒杀活动中。
点击进入淘宝1元秒杀!
二. 新用户升级VIP优惠
在6月24日之前注册并正常使用DNSPod免费服务的域名, 在活动期间升级VIP可以享受以下优惠价格(需要发票除外):
1.350元/1年
2.680元/2年并赠送2个月VIP延长时间
3.980元/3年并赠送4个月VIP延长时间
4.1260元/4年并赠送8个月VIP延长时间
5.量大的用户请直接与销售人员联系以获取比以上价格更优惠的价格:
企业QQ:800020304
销售电话 :4006-881-883
销售手机1:18663826208
销售手机2 : 18605352878
三、老用户回馈
1.凡在活动期间接到我们随机拨打的电话的老VIP用户,可以享受第二条的优惠价格续费域名
2.凡在活动期间接到我们到期提醒电话的老VIP用户,所到期的域名可以享受第二条的优惠价格续费
四、常见问题
问:为什么提交申请的时候没显示优惠价格呢?
回答:因为价格会在审核订单的时候由相关人员更改,付款的时候可以看到
注:
1)本活动为特价体验,活动期间开具发票的用户除赠送1个月的延长时间外不享受其它优惠。
2)参加活动的各网站必须遵守互联网相关法律法规。
3)在法律允许范围内,DNSPod保留对此活动的最终解释权
6/13日DNSPod发布的博客“关于DNSPod 6/14-6/16号期间暂停新账户注册通知”中,我们提到过暂停新用户注册的原因,以及即将采取的“邀请码注册”的新注册方式。
DNSPod在此声明:
我们仍然欢迎广大免费用户使用和支持DNSPod,采取这种注册方式,也是为了更好的确保解析服务的正常和稳定。
我们坚信:有了用户的支持,才会有DNSPod更好的解析;将解析维护的更好,才会得到更多用户的支持。这两点是不可分割的!
关于新的注册方式,包括邀请码的申请和发放,我们将会在今后的几天内,于本博客内进行详细描述。
已经申请邀请码的用户,我们会尽快将邀请码发送到您的邮箱,给您带来的不便敬请谅解。
(vip域名可以直接联系DNSPod销售,在通过销售的审核之后直接获取邀请码。销售联系方式 – qq:800020304 电话:4006-881-883 18605352878 18663826208)
为了确保用户的解析质量,DNSPod在建立之初就拒绝为有关私服、色情、挂马、侵犯版权的域名提供解析服务。
我们也一直在对此类域名进行定期的检测和封禁。
而在近2天,由于私服网站的注册和解析,使得免费用户的解析中断长达10多分钟,造成了用户的很大不便。
因此,DNSPod决定如下:
1. 在未来的3天内(6/14-6/16)暂时停止新账户的注册。
2. 新域名的注册已经于6/13号 8点开启。
3. 将来DNSPod的新账户注册,将采取邀请注册,相关内容我们会在注册开始时通过公告通知大家。
4. DNSPod仍旧不会为有关私服、色情等域名提供解析,请现有私服、色情有关域名尽快转移,以避免给双方带来不必要的麻烦。
以上
DNSPod提供的API服务几乎可以实现WEB上的所有功能,包括一些WEB无法完成的,比如动态IP。我们也一直在对API进行改进,开发新的功能。现在您甚至可以使用API配合监控宝的URL回调API开放自主的故障切换功能。
在不断改进的过程中,我们发现使用API进行二次开发的热心用户越来越多,我们的第三方客户端也越来越多,在Windows、Linux、Mac等平台,甚至iPhone、Android上都有相应的客户端。
伴随着客户端增长而增长的是我们API服务器的压力。这些压力来自于对API的滥用,比如动态域名,很多开发者在这上面处理不当,产生了大量的无效请求,日日夜夜的无效请求影响了其他正常用户的使用。
对此我们决定开始对API的使用进行限制,具体限制方法如下:
| 免费域名 | VIP域名 | |
|---|---|---|
| 使用频率 | 每小时120次 | 不限制 |
| 登陆失败封禁 | 5分钟内登陆失败10次封禁一小时 | |
最后,感谢大家对DNSPod的支持!
yaya, 
AlanChang and 8 others are discussing. 
ssc11 and 31 others are discussing. 
iZhangJun 2:08 pm on September 1, 2010 Permalink
这样比较好,很容易区分
citydog 5:11 pm on September 1, 2010 Permalink
不光容易区分,而且很“正统”,那个dnspood,有点“山寨”的意思,现在的人,就喜欢“正统”~~