本文收集總結了幾點保護DNS服務器(qì)的有(yǒu)效方法。
1.使用DNS轉發器(qì)
DNS轉發器(qì)是為(wèi)其他DNS服務器(qì)
完成DNS查詢的DNS服務器(qì)。使用DNS轉發器(qì)的主要目的是減輕DNS處理(lǐ)的壓力,把查詢請(qǐng)求從DNS服務器(qì)轉給轉發器(qì), 從DNS轉發器(qì)潛在地更大(dà)DNS高(gāo)速緩存中受益。
使用DNS轉發器(qì)的另一個(gè)好處是它阻止了DNS服務器(qì)轉發來(lái)自互聯網DNS服務器(qì)的查詢請(qǐng)求。如果你(nǐ)的DNS服務器(qì)保存了你(nǐ)內(nèi)部的域DNS資源記錄的話(huà), 這一點就非常重要。不讓內(nèi)部DNS服務器(qì)進行(xíng)遞歸查詢并直接聯系DNS服務器(qì),而是讓它使用轉發器(qì)來(lái)處理(lǐ)未授權的請(qǐng)求。
2.使用隻緩沖DNS服務器(qì)
隻緩沖DNS服務器(qì)是針對為(wèi)授權域名的。它被用做(zuò)遞歸查詢或者使用轉發器(qì)。當隻緩沖DNS服務器(qì)收到一個(gè)反饋,它把結果保存在高(gāo)速緩存中,然後把 結果發送給向它提出DNS查詢請(qǐng)求的系統。随着時(shí)間(jiān)推移,隻緩沖DNS服務器(qì)可(kě)以收集大(dà)量的DNS反饋,這能極大(dà)地縮短(duǎn)它提供DNS響應的時(shí)間(jiān)。
把隻緩沖DNS服務器(qì)作(zuò)為(wèi)轉發器(qì)使用,在你(nǐ)的管理(lǐ)控制(zhì)下,可(kě)以提高(gāo)組織安全性。內(nèi)部DNS服務器(qì)可(kě)以把隻緩沖DNS服務器(qì)當作(zuò)自己的轉發器(qì),隻緩沖 DNS服務器(qì)代替你(nǐ)的內(nèi)部DNS服務器(qì)完成遞歸查詢。使用你(nǐ)自己的隻緩沖DNS服務器(qì)作(zuò)為(wèi)轉發器(qì)能夠提高(gāo)安全性,因為(wèi)你(nǐ)不需要依賴你(nǐ)的ISP的DNS服務 器(qì)作(zuò)為(wèi)轉發器(qì),在你(nǐ)不能确認ISP的DNS服務器(qì)安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一台負責解析域中查詢的DNS服務器(qì)。例如,如果你(nǐ)的主機對于domain.com 和(hé)corp.com是公開(kāi)可(kě)用的資源,你(nǐ)的公共DNS服務器(qì)就應該為(wèi) domain.com 和(hé)corp.com配置DNS區(qū)文件。
除DNS區(qū)文件宿主的其他DNS服務器(qì)之外的DNS廣告者設置,是DNS廣告者隻回答(dá)其授權的域名的查詢。這種DNS服務器(qì)不會(huì)對其他DNS服務器(qì)進行(xíng)遞歸 查詢。這讓用戶不能使用你(nǐ)的公共DNS服務器(qì)來(lái)解析其他域名。通(tōng)過減少(shǎo)與運行(xíng)一個(gè)公開(kāi)DNS解析者相關的風險,包括緩存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可(kě)以完成遞歸查詢的DNS服務器(qì),它能夠解析為(wèi)授權的域名。例如,你(nǐ)可(kě)能在內(nèi)部網絡上(shàng)有(yǒu)一台DNS服務器(qì),授權內(nèi)部網絡域名 internalcorp.com的DNS服務器(qì)。當網絡中的客戶機使用這台DNS服務器(qì)去解析techrepublic.com時(shí),這台DNS服務器(qì)通(tōng)過向其他DNS服務器(qì)查詢來(lái)執行(xíng)遞歸 以獲得(de)答(dá)案。
DNS服務器(qì)和(hé)DNS解析者之間(jiān)的區(qū)别是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可(kě)以是未授權DNS域名的隻緩存DNS服務器(qì)。你(nǐ)可(kě)以讓DNS 解析者僅對內(nèi)部用戶使用,你(nǐ)也可(kě)以讓它僅為(wèi)外部用戶服務,這樣你(nǐ)就不用在沒有(yǒu)辦法控制(zhì)的外部設立DNS服務器(qì)了,從而提高(gāo)了安全性。當然,你(nǐ)也 可(kě)以讓DNS解析者同時(shí)被內(nèi)、外部用戶使用。
5.保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大(dà)部分DNS服務器(qì)都能夠将DNS查詢結果在答(dá)複給發出請(qǐng)求的主機之前,就保存在高(gāo)速緩存中。DNS高(gāo)速緩存 能夠極大(dà)地提高(gāo)你(nǐ)組織內(nèi)部的DNS查詢性能。問題是如果你(nǐ)的DNS服務器(qì)的高(gāo)速緩存中被大(dà)量假的DNS信息“污染”了的話(huà),用戶就有(yǒu)可(kě)能被送到惡意站(zhàn)點 而不是他們原先想要訪問的網站(zhàn)。
絕大(dà)部分DNS服務器(qì)都能夠通(tōng)過配置阻止緩存污染。WindowsServer 2003 DNS服務器(qì)默認的配置狀态就能夠防止緩存污染。如果你(nǐ)使用的是Windows 2000 DNS服務器(qì),你(nǐ)可(kě)以配置它,打開(kāi)DNS服務器(qì)的Properties對話(huà)框,然後點擊“高(gāo)級”表。選擇“防止緩存污染”選項,然後重新啓動DNS服務器(qì)。
6.使DDNS隻用安全連接
很(hěn)多(duō)DNS服務器(qì)接受動态更新。動态更新特性使這些(xiē)DNS服務器(qì)能記錄使用DHCP的主機的主機名和(hé)IP地址。DDNS能夠極大(dà)地減輕DNS管理(lǐ)員的管理(lǐ)費用 ,否則管理(lǐ)員必須手工配置這些(xiē)主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可(kě)能會(huì)帶來(lái)很(hěn)嚴重的安全問題。一個(gè)惡意用戶可(kě)以配置主機成為(wèi)台文件服務器(qì)、Web服務器(qì)或者數(shù)據庫服務器(qì)動态更新 的DNS主機記錄,如果有(yǒu)人(rén)想連接到這些(xiē)服務器(qì)就一定會(huì)被轉移到其他的機器(qì)上(shàng)。
你(nǐ)可(kě)以減少(shǎo)惡意DNS升級的風險,通(tōng)過要求安全連接到DNS服務器(qì)執行(xíng)動态升級。這很(hěn)容易做(zuò)到,你(nǐ)隻要配置你(nǐ)的DNS服務器(qì)使用活動目錄綜合區(qū) (Active Directory Integrated Zones)并要求安全動态升級就可(kě)以實現。這樣一來(lái),所有(yǒu)的域成員都能夠安全地、動态更新他們的DNS信息。
7.禁用區(qū)域傳輸
區(qū)域傳輸發生(shēng)在主DNS服務器(qì)和(hé)從DNS服務器(qì)之間(jiān)。主DNS服務器(qì)授權特定域名,并且帶有(yǒu)可(kě)改寫的DNS區(qū)域文件,在需要的時(shí)候可(kě)以對該文件進行(xíng)更新 。從DNS服務器(qì)從主力DNS服務器(qì)接收這些(xiē)區(qū)域文件的隻讀拷貝。從DNS服務器(qì)被用于提高(gāo)來(lái)自內(nèi)部或者互聯網DNS查詢響應性能。
然而,區(qū)域傳輸并不僅僅針對從DNS服務器(qì)。任何一個(gè)能夠發出DNS查詢請(qǐng)求的人(rén)都可(kě)能引起DNS服務器(qì)配置改變,允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據 庫文件。惡意用戶可(kě)以使用這些(xiē)信息來(lái)偵察你(nǐ)組織內(nèi)部的命名計(jì)劃,并攻擊關鍵服務架構。你(nǐ)可(kě)以配置你(nǐ)的DNS服務器(qì),禁止區(qū)域傳輸請(qǐng)求,或者僅允 許針對組織內(nèi)特定服務器(qì)進行(xíng)區(qū)域傳輸,以此來(lái)進行(xíng)安全防範。
8.使用防火(huǒ)牆來(lái)控制(zhì)DNS訪問
防火(huǒ)牆可(kě)以用來(lái)控制(zhì)誰可(kě)以連接到你(nǐ)的DNS服務器(qì)上(shàng)。對于那(nà)些(xiē)僅僅響應內(nèi)部用戶查詢請(qǐng)求的DNS服務器(qì),應該設置防火(huǒ)牆的配置,阻止外部主機連接 這些(xiē)DNS服務器(qì)。對于用做(zuò)隻緩存轉發器(qì)的DNS服務器(qì),應該設置防火(huǒ)牆的配置,僅僅允許那(nà)些(xiē)使用隻緩存轉發器(qì)的DNS服務器(qì)發來(lái)的查詢請(qǐng)求。防火(huǒ)牆策略設置的重要一點是阻止內(nèi)部用戶使用DNS協議連接外部DNS服務器(qì)。
9.在DNS注冊表中建立訪問控制(zhì)
在基于Windows的DNS服務器(qì)中,你(nǐ)應該在DNS服務器(qì)相關的注冊表中設置訪問控制(zhì),這樣隻有(yǒu)那(nà)些(xiē)需要訪問的帳戶才能夠閱讀或修改這些(xiē)注冊表設置。
HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理(lǐ)員和(hé)系統帳戶訪問,這些(xiē)帳戶應該擁有(yǒu)完全控制(zhì)權限。
10.在DNS文件系統入口設置訪問控制(zhì)
在基于Windows的DNS服務器(qì)中,你(nǐ)應該在DNS服務器(qì)相關的文件系統入口設置訪問控制(zhì),這樣隻有(yǒu)需要訪問的帳戶才能夠閱讀或修改這些(xiē)文件。
%system_directory%\DNS文件夾及子文件夾應該僅僅允許系統帳戶訪問,系統帳戶應該擁有(yǒu)完全控制(zhì)權限。
企業網站(zhàn)建設解決方案 營銷型網站(zhàn)建設解決方案 行(xíng)業門(mén)戶網站(zhàn)建設解決方案 外貿網站(zhàn)解建設決方案 品牌形象網站(zhàn)建設解決方案 購物商城網站(zhàn)建設解決方案 政府網站(zhàn)建設解決方案 手機網站(zhàn)建設解決方案 教育培訓網站(zhàn)建設解決方案 珠寶高(gāo)端奢飾品網站(zhàn)建設解決方案 房(fáng)地産、地産項目網站(zhàn)建設解決方案 集團、上(shàng)市企業網站(zhàn)建設解決方案 數(shù)碼、電(diàn)子産品網站(zhàn)建設解決方案 美容、化妝品行(xíng)業網站(zhàn)建設解決方案
10年專業互聯網服務經驗 重慶最專業網站(zhàn)團隊 資深行(xíng)業分析策劃 B2C營銷型網站(zhàn)建設領先者 最前沿視(shì)覺設計(jì)、研發能力 時(shí)刻最新技(jì)術(shù)領先研發能力 具有(yǒu)完備的項目管理(lǐ) 完善的售後服務體(tǐ)系 深厚的網絡運營經驗
中技(jì)互聯一直秉承專業、誠信、服務、進取的價值觀,堅持優秀的商業道(dào)德,以用戶最終價值為(wèi)導向,向用戶提供優質産品和(hé)優質服務,從而赢得(de)了用戶的信賴。始終以不懈的努力、更高(gāo)的目标來(lái)要求自己。
主營業務:網站(zhàn)建設 | 重慶網站(zhàn)建設 | 重慶網站(zhàn)設計(jì) | 重慶網站(zhàn)制(zhì)作(zuò) | 重慶網頁設計(jì) | 重慶網站(zhàn)開(kāi)發
CopyrightZJCOO technology Co., LTD. All Rights Reserved.
渝ICP 備11003429号