当前位置: 首页 > 图文教程 > 服务器 > DNS服务器 > 经验:避免危害DNS服务器安全部署的七宗罪

DNS服务器
Windows 2003上网配置DNS的技巧
关于DNS服务器的配置问题(推荐)
哈,怎么跑到这里来问了?进来看
Win Server 2008 DNS服务器新增功能
Windows2003下DNS架设攻略
探查Linux DNS服务器运行状况
了解DNS服务器的工作原理及其过程
巧改DNS设置 提高局域网内开机速度
通过配置TCP/IP协议的方式使用DNS
DNS在操作系统中的简单配置
循环复用DNS实现多服务器的负载均衡
经验技巧:维护主、辅 DNS 服务器
教你查看本机DNS服务器地址的方法
Win2000 DNS服务器区域的类型
免费架设自己的DNS服务器
DNS服务器配置实例
Linux环境下架设DNS服务器教程
Linux下DNS服务器安装配置方法详细介绍
配置DNS辅助域名服务器和子域名服务器
构建DNS服务器指南

经验:避免危害DNS服务器安全部署的七宗罪


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-04   浏览: 98 ::
收藏到网摘: n/a

DNS(Domain Name System)即域名系统是历史悠久的方法,它可以为具有IP地址的计算机分配域名,使计算机拥有字符型名称,如如IP地址为207.46.193.254的计算机即微软服务器www.microsoft.com。DNS采用了设计精良,多数时间运行都相当出色。然而,总有一些不如人意的情况,它会罢工,让管理员们头痛不已。那么如何查找其故障的蛛丝马迹?你的DNS系统中有哪些不尽如人意的地方?

有没有一些规律性的东西可以遵循?答案是肯定的,我们这儿给出DNS服务器的七大罪状,供您参考:

1.使用老版本的BIND。

Bind作为一款开放源码的DNS服务器软件,是目前世界上使用最为广泛的DNS服务器软件。几乎多数BIND 的老版本都存在着严重的、众所周知的漏洞。攻击者可以利用这些漏洞将我们的DNS域名服务器搞毁,并可以借此侵入运行它们的主机。因此应确保使用最新的BIND,并及时打补丁。

2.将所有重要的域名服务器放置到同一个子网中。

在这种情况下,一个设备的故障,如一台交换机或路由器,或一个网络连接的故障就会使互联网上的用户无法访问你的网站或向你发送电子邮件。

3.允许对未授权查询者的递归。

如果设置为下面这种情况:

 

(recursion yes|no; [yes] allow-recursion { address_match_list }; [all hosts]

则是不安全的。在这里,recursion选项指定named是否代替客户机查询其他域名服务器。通常不把域名服务器设置成关闭递归。至少我们应该对自身的客户机允许递归,但对外来查询禁止递归。因为如果可以为任意一个客户端处理递归查询,将会将域名服务器暴露给缓存投毒(Cache poisoning)和拒绝服务攻击。

4.允许那些未获得授权的辅助域名服务器进行区域传送。

区域传送(Zone Transfer)是指在多个DNS服务器之间复制区域数据库文件的过程。如果为任意的查询者提供区域传送服务,就会把域名服务器暴露给攻击者,导致服务器瘫痪。

5.没有采用DNS转发器。

DNS转发器是代表其他DNS服务执行DNS查询的服务器。许多域名服务器软件,包括微软的DNS Servers和一些更老的BIND域名服务器,并没有充分地保护自身以抵御缓存投毒,其它的DNS服务器软件也都存在着可被恶意响应利用的漏洞。但是许多管理员却允许这些域名服务器直接查询互联网上的其它域名服务器,根本不使用转发器。

6.错误地设置授权开始(Start of Authority :SOA)值。

SOA 标记区数据的开始,定义影响整个区的参数。许多管理员将区的值设得太低了,在刷新查询或区域传送开始失效时,这会导致系统运转的中断。自从RFC重新定义了SOA之后,还有一些人重置了逆向缓存(negative caching)TTL,结果又导致其值太高。

7.授权与区域数据中的不匹配的NS记录。

有一些管理员添加或删除了首要的域名服务器,却忘了对其区域的委托授权数据(即所谓的delegation data)作相应的改变。这样就会延长其解析域名时间,并会减少弹性。

当然,这些仅是管理员可能犯的一些一般性错误,不过却可以作为你配置DNS服务器的基本参考。