DNS服务器安全部署的七大问题
来源:asp之家 发布时间:2010-01-20 18:44:00
DNS(Domain Name System)即域名系统是历史悠久的方法,它可以为具有IP地址的计算机分配域名,使计算机拥有字符型名称,如如IP地址为207.46.193.254的计算机即微软服务器www.microsoft.com。DNS采用了设计精良,多数时间运行都相当出色。然而,总有一些不如人意的情况,它会罢工,让管理员们头痛不已。那么如何查找其故障的蛛丝马迹?你的DNS系统中有哪些不尽如人意的地方?
有没有一些规律性的东西可以遵循?答案是肯定的,我们这儿给出DNS服务器的七大罪状,供您参考:
1.使用老版本的BIND。
Bind作为一款开放源码的DNS服务器软件,是目前世界上使用最为广泛的DNS服务器软件。几乎多数BIND 的老版本都存在着严重的、众所周知的漏洞。攻击者可以利用这些漏洞将我们的DNS域名服务器搞毁,并可以借此侵入运行它们的主机。因此应确保使用最新的BIND,并及时打补丁。
2.将所有重要的域名服务器放置到同一个子网中。
在这种情况下,一个设备的故障,如一台交换机或路由器,或一个网络连接的故障就会使互联网上的用户无法访问你的网站或向你发送电子邮件。
3.允许对未授权查询者的递归。
如果设置为下面这种情况:
(recursion yes no; [yes]
allow-recursion { address_match_list }; [all hosts]
则是不安全的。在这里,recursion选项指定named是否代替客户机查询其他域名服务器。通常不把域名服务器设置成关闭递归。至少我们应该对自身的客户机允许递归,但对外来查询禁止递归。因为如果可以为任意一个客户端处理递归查询,将会将域名服务器暴露给缓存投毒(Cache poisoning)和拒绝服务攻击。
4.允许那些未获得授权的辅助域名服务器进行区域传送。
区域传送(Zone Transfer)是指在多个DNS服务器之间复制区域数据库文件的过程。如果为任意的查询者提供区域传送服务,就会把域名服务器暴露给攻击者,导致服务器瘫痪。
5.没有采用DNS转发器。
DNS转发器是代表其他DNS服务执行DNS查询的服务器。许多域名服务器软件,包括微软的DNS Servers和一些更老的BIND域名服务器,并没有充分地保护自身以抵御缓存投毒,其它的DNS服务器软件也都存在着可被恶意响应利用的漏洞。但是许多管理员却允许这些域名服务器直接查询互联网上的其它域名服务器,根本不使用转发器。
6.错误地设置授权开始(Start of Authority :SOA)值。
SOA 标记区数据的开始,定义影响整个区的参数。许多管理员将区的值设得太低了,在刷新查询或区域传送开始失效时,这会导致系统运转的中断。自从RFC重新定义了SOA之后,还有一些人重置了逆向缓存(negative caching)TTL,结果又导致其值太高。
7.授权与区域数据中的不匹配的NS记录。
有一些管理员添加或删除了首要的域名服务器,却忘了对其区域的委托授权数据(即所谓的delegation data)作相应的改变。这样就会延长其解析域名时间,并会减少弹性。
当然,这些仅是管理员可能犯的一些一般性错误,不过却可以作为你配置DNS服务器的基本参考。
猜你喜欢
- 1、何谓虚拟系统“虚拟系统”的意思是“假的系统”,亦即当一个
- 现在做个人网站想成功,难也不难,不难也难。原因是现在网站太多了,想杀出一条大道是需要很大的魄力的,还有个人网站资金非常有限,不可能拿钱来砸,
- Fedora Core 3 在安装时默认把SELinux的选项激活了。SELinux比普通的Linux内核提供了更高的安全性,理论上说,在系
- 小说站新手的经验,献给广大想作文学站的朋友,希望能有借鉴的作用。自从文学网站出现在互联网以来,这种新兴的文学形式很快就风靡了整个世界。网络小
- # DedeCMS v5.3 归档插件+列表生成控制# jim.ma QQ:164186 jim.mail ~@~ 163.com程序中部分
- 在WordPress 3.0以后,有一个新的实用功能:你可以更改默认后台编辑器(TinyMCE)的样式,实现一个有趣的功能:在后台可视化编辑
- 相信很多人都曾经被面试官问过这样的问题:”你对自己未来5年的职业规划是怎样的?“,每当我被问起这个问题时,我的脑海中总是会浮现出《Twist
- 百度的每一次变动都揪动着站长们的心,大部分网站60%以上的流量来源于百度等搜索引擎。正因为百度有这么大的魅力,所以有千万的站长都在研究探索百
- 不算前言的前言好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧
- 在 UCHome 家园,用户可以根据不同的兴趣创建不同的群组(例如:“3D动画片爱好者”之类的群组),群组可以使群组成员产生真实的交互,增加
- 目前,服务器管理中的最热门话题是管理虚拟服务器的问题。服务器虚拟化能够让较少的硬件资源运行多个应用程序和操作系统。这对于希望提高服务器利用率
- 最近在用wordpress做一个小型的娱乐cms网站,并针对wordpress进行优化,基本ok了。但是wordpress看起来是很适合在l
- 在互联网web1.0时代,常用的网络营销有:搜索引擎营销、电子邮件营销、即时通讯营销、BBS营销、病毒式营销;但随着互联网发展至web2.0
- 相信大多数朋友都是iframe木马的受害者,有朋友的网站被注入了n回iframe,心情可想而知。而且现在ARP攻击,注入iframe也是轻而
- Discuz!7.0.0 作为目前优秀的社区产品,越来越多的得到站长的青睐,其中一个很重要的原因就是可调控性较强,站长可以根据自己的特点调整
- 内容摘要:编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或
- 北京时间11月6日消息,据国外媒体报道,雅虎与玫琳凯周四向美国德克萨斯州达拉斯联邦法院提交联合文件称,双方之间的法律纠纷已经和解。玫琳凯此前
- 这几天很多朋友的站都不同程度的快照回档,有的甚至直接被k的一页都不剩了,包括我自己的小站114美女也不能幸免,于是咨询了很多业内知名人士,总
- 度过了经济危机最严重的时间,最近视频行业重新热闹起来。不过,我感到很纳闷——易观国际的数据说,200
- 写点这些日子的心得吧。。。既然是一个团队,团队每个成员的想法也是非常重要的。凌晨了,睡不着,想了很多有关工作和生活的事儿。我记得以前有朋友问