DNS服務(wù)器是域名系統(tǒng)或者域名服務(wù),域名系統(tǒng)為Internet上的主機(jī)分配域名地址和IP地址。DNS軟件是黑客熱衷攻擊的目標(biāo)，它可能帶來(lái)安全問(wèn)題。本文提供了10個(gè)保護(hù)DNS服務(wù)器最有效的方法。

1.使用DNS轉(zhuǎn)發(fā)器

DNS轉(zhuǎn)發(fā)器是為其他DNS服務(wù)器完成DNS查詢(xún)的DNS服務(wù)器。使用DNS轉(zhuǎn)發(fā)器的主要目的是減輕DNS處理的壓力，把查詢(xún)請(qǐng)求從DNS服務(wù)器轉(zhuǎn)給轉(zhuǎn)發(fā)器， 從DNS轉(zhuǎn)發(fā)器潛在地更大DNS高速緩存中受益。

使用DNS轉(zhuǎn)發(fā)器的另一個(gè)好處是它阻止了DNS服務(wù)器轉(zhuǎn)發(fā)來(lái)自互聯(lián)網(wǎng)DNS服務(wù)器的查詢(xún)請(qǐng)求。如果你的DNS服務(wù)器保存了你內(nèi)部的域DNS資源記錄的話(huà)， 這一點(diǎn)就非常重要。不讓內(nèi)部DNS服務(wù)器進(jìn)行遞歸查詢(xún)并直接聯(lián)系DNS服務(wù)器，而是讓它使用轉(zhuǎn)發(fā)器來(lái)處理未授權(quán)的請(qǐng)求。

2.使用只緩沖DNS服務(wù)器

只緩沖DNS服務(wù)器是針對(duì)為授權(quán)域名的。它被用做遞歸查詢(xún)或者使用轉(zhuǎn)發(fā)器。當(dāng)只緩沖DNS服務(wù)器收到一個(gè)反饋，它把結(jié)果保存在高速緩存中，然后把 結(jié)果發(fā)送給向它提出DNS查詢(xún)請(qǐng)求的系統(tǒng)。隨著時(shí)間推移，只緩沖DNS服務(wù)器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應(yīng)的時(shí)間。

把只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器使用，在你的管理控制下，可以提高組織安全性。內(nèi)部DNS服務(wù)器可以把只緩沖DNS服務(wù)器當(dāng)作自己的轉(zhuǎn)發(fā)器，只緩沖 DNS服務(wù)器代替你的內(nèi)部DNS服務(wù)器完成遞歸查詢(xún)。使用你自己的只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器能夠提高安全性，因?yàn)槟悴恍枰蕾?lài)你的ISP的DNS服務(wù) 器作為轉(zhuǎn)發(fā)器，在你不能確認(rèn)ISP的DNS服務(wù)器安全性的情況下，更是如此。

3.使用DNS廣告者(DNS advertisers)

DNS廣告者是一臺(tái)負(fù)責(zé)解析域中查詢(xún)的DNS服務(wù)器。例如，如果你的主機(jī)對(duì)于domain.com 和corp.com是公開(kāi)可用的資源，你的公共DNS服務(wù)器就應(yīng)該為 domain.com 和corp.com配置DNS區(qū)文件。

除DNS區(qū)文件宿主的其他DNS服務(wù)器之外的DNS廣告者設(shè)置，是DNS廣告者只回答其授權(quán)的域名的查詢(xún)。這種DNS服務(wù)器不會(huì)對(duì)其他DNS服務(wù)器進(jìn)行遞歸 查詢(xún)。這讓用戶(hù)不能使用你的公共DNS服務(wù)器來(lái)解析其他域名。通過(guò)減少與運(yùn)行一個(gè)公開(kāi)DNS解析者相關(guān)的風(fēng)險(xiǎn)，包括緩存中毒，增加了安全。

4.使用DNS解析者

DNS解析者是一臺(tái)可以完成遞歸查詢(xún)的DNS服務(wù)器，它能夠解析為授權(quán)的域名。例如，你可能在內(nèi)部網(wǎng)絡(luò)上有一臺(tái)DNS服務(wù)器，授權(quán)內(nèi)部網(wǎng)絡(luò)域名 internalcorp.com的DNS服務(wù)器。當(dāng)網(wǎng)絡(luò)中的客戶(hù)機(jī)使用這臺(tái)DNS服務(wù)器去解析techrepublic.com時(shí)，這臺(tái)DNS服務(wù)器通過(guò)向其他DNS服務(wù)器查詢(xún)來(lái)執(zhí)行遞歸 以獲得答案。

DNS服務(wù)器和DNS解析者之間的區(qū)別是DNS解析者是僅僅針對(duì)解析互聯(lián)網(wǎng)主機(jī)名。DNS解析者可以是未授權(quán)DNS域名的只緩存DNS服務(wù)器。你可以讓DNS 解析者僅對(duì)內(nèi)部用戶(hù)使用，你也可以讓它僅為外部用戶(hù)服務(wù)，這樣你就不用在沒(méi)有辦法控制的外部設(shè)立DNS服務(wù)器了，從而提高了安全性。當(dāng)然，你也 可以讓DNS解析者同時(shí)被內(nèi)、外部用戶(hù)使用。

5.保護(hù)DNS不受緩存污染

DNS緩存污染已經(jīng)成了日益普遍的問(wèn)題。絕大部分DNS服務(wù)器都能夠?qū)NS查詢(xún)結(jié)果在答復(fù)給發(fā)出請(qǐng)求的主機(jī)之前，就保存在高速緩存中。DNS高速緩存 能夠極大地提高你組織內(nèi)部的DNS查詢(xún)性能。問(wèn)題是如果你的DNS服務(wù)器的高速緩存中被大量假的DNS信息“污染”了的話(huà)，用戶(hù)就有可能被送到惡意站點(diǎn) 而不是他們?cè)认胍L(fǎng)問(wèn)的網(wǎng)站。

絕大部分DNS服務(wù)器都能夠通過(guò)配置阻止緩存污染。WindowsServer 2003 DNS服務(wù)器默認(rèn)的配置狀態(tài)就能夠防止緩存污染。如果你使用的是Windows 2000 DNS服務(wù)器，你可以配置它，打開(kāi)DNS服務(wù)器的Properties對(duì)話(huà)框，然后點(diǎn)擊“高級(jí)”表。選擇“防止緩存污染”選項(xiàng)，然后重新啟動(dòng)DNS服務(wù)器。

6.使DDNS只用安全連接

很多DNS服務(wù)器接受動(dòng)態(tài)更新。動(dòng)態(tài)更新特性使這些DNS服務(wù)器能記錄使用DHCP的主機(jī)
的主機(jī)名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費(fèi)用 ，否則管理員必須手工配置這些主機(jī)的DNS資源記錄。

然而，如果未檢測(cè)的DDNS更新，可能會(huì)帶來(lái)很?chē)?yán)重的安全問(wèn)題。一個(gè)惡意用戶(hù)可以配置主機(jī)成為臺(tái)文件服務(wù)器、Web服務(wù)器或者數(shù)據(jù)庫(kù)服務(wù)器動(dòng)態(tài)更新 的DNS主機(jī)記錄，如果有人想連接到這些服務(wù)器就一定會(huì)被轉(zhuǎn)移到其他的機(jī)器上。

你可以減少惡意DNS升級(jí)的風(fēng)險(xiǎn)，通過(guò)要求安全連接到DNS服務(wù)器執(zhí)行動(dòng)態(tài)升級(jí)。這很容易做到，你只要配置你的DNS服務(wù)器使用活動(dòng)目錄綜合區(qū) (Active Directory Integrated Zones)并要求安全動(dòng)態(tài)升級(jí)就可以實(shí)現(xiàn)。這樣一來(lái)，所有的域成員都能夠安全地、動(dòng)態(tài)更新他們的DNS信息。

7.禁用區(qū)域傳輸

區(qū)域傳輸發(fā)生在主DNS服務(wù)器和從DNS服務(wù)器之間。主DNS服務(wù)器授權(quán)特定域名，并且?guī)в锌筛膶?xiě)的DNS區(qū)域文件，在需要的時(shí)候可以對(duì)該文件進(jìn)行更新 。從DNS服務(wù)器從主力DNS服務(wù)器接收這些區(qū)域文件的只讀拷貝。從DNS服務(wù)器被用于提高來(lái)自?xún)?nèi)部或者互聯(lián)網(wǎng)DNS查詢(xún)響應(yīng)性能。

然而，區(qū)域傳輸并不僅僅針對(duì)從DNS服務(wù)器。任何一個(gè)能夠發(fā)出DNS查詢(xún)請(qǐng)求的人都可能引起DNS服務(wù)器配置改變，允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù) 庫(kù)文件。惡意用戶(hù)可以使用這些信息來(lái)偵察你組織內(nèi)部的命名計(jì)劃，并攻擊關(guān)鍵服務(wù)架構(gòu)。你可以配置你的DNS服務(wù)器，禁止區(qū)域傳輸請(qǐng)求，或者僅允 許針對(duì)組織內(nèi)特定服務(wù)器進(jìn)行區(qū)域傳輸，以此來(lái)進(jìn)行安全防范。

8.使用防火墻來(lái)控制DNS訪(fǎng)問(wèn)

防火墻可以用來(lái)控制誰(shuí)可以連接到你的DNS服務(wù)器上。對(duì)于那些僅僅響應(yīng)內(nèi)部用戶(hù)查詢(xún)請(qǐng)求的DNS服務(wù)器，應(yīng)該設(shè)置防火墻的配置，阻止外部主機(jī)連接 這些DNS服務(wù)器。對(duì)于用做只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器，應(yīng)該設(shè)置防火墻的配置，僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器發(fā)來(lái)的查詢(xún)請(qǐng)求。防火墻策略設(shè)置的重要一點(diǎn)是阻止內(nèi)部用戶(hù)使用DNS協(xié)議連接外部DNS服務(wù)器。

9.在DNS注冊(cè)表中建立訪(fǎng)問(wèn)控制

在基于Windows的DNS服務(wù)器中，你應(yīng)該在DNS服務(wù)器相關(guān)的注冊(cè)表中設(shè)置訪(fǎng)問(wèn)控制，這樣只有那些需要訪(fǎng)問(wèn)的帳戶(hù)才能夠閱讀或修改這些注冊(cè)表設(shè)置。

HKLM\CurrentControlSet\Services\DNS鍵應(yīng)該僅僅允許管理員和系統(tǒng)帳戶(hù)訪(fǎng)問(wèn)，這些帳戶(hù)應(yīng)該擁有完全控制權(quán)限。

10.在DNS文件系統(tǒng)入口設(shè)置訪(fǎng)問(wèn)控制

在基于Windows的DNS服務(wù)器中，你應(yīng)該在DNS服務(wù)器相關(guān)的文件系統(tǒng)入口設(shè)置訪(fǎng)問(wèn)控制，這樣只有需要訪(fǎng)問(wèn)的帳戶(hù)才能夠閱讀或修改這些文件。
%system_directory%\DNS文件夾及子文件夾應(yīng)該僅僅允許系統(tǒng)帳戶(hù)訪(fǎng)問(wèn)，系統(tǒng)帳戶(hù)應(yīng)該擁有完全控制權(quán)限。
 

通過(guò)以上的介紹，相信大家對(duì)于DNS服務(wù)器的保措施已經(jīng)有了一個(gè)初步的認(rèn)識(shí)，為了更好更安全的保護(hù)自己的計(jì)算機(jī)，希望大家多多掌握網(wǎng)絡(luò)安全的知識(shí)，我們還會(huì)在今后的文章中繼續(xù)向大家介紹有關(guān)方面的內(nèi)容。

【編輯推薦】

1. 上海電信DNS服務(wù)器安全防護(hù)
2. 解讀黑客入侵?jǐn)?shù)據(jù)庫(kù)的六種途徑
3. 應(yīng)對(duì)Web服務(wù)器混合型攻擊需要四維防護(hù)