科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何堵住DNS安全漏洞

如何堵住DNS安全漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

没有DNS,你不能够解析互联网地址,客户就不能给你发邮件或者浏览你的网站。不幸的是,DNS服务器非常容易受到各种各样的攻击,那么如何堵住DNS的安全漏洞呢?

作者:TechRepublic.com 2006年10月26日

关键字: DNS HOW TO 漏洞管理

  • 评论
  • 分享微博
  • 分享邮件

DNS(Domain name system)服务器处于网络服务的核心。没有DNS,你不能够解析互联网地址,客户就不能给你发邮件或者浏览你的网站。不幸的是,DNS服务器非常容易受到各种各样的攻击,这些攻击可能是:

容易遭到黑客攻击的软件
旧的软件--无论是操作系统和DNS软件--有很多广为人知的漏洞可能会危及到DNS。结果,你应该经常为DNS服务器的操作系统打安全补丁,并总是采用最新版本的DNS服务器软件。

而且,你还要记住,新的软件版本并不意味着完全安全,但是它确实能够把已知的攻击风险降到最低。

欺诈和病毒
黑客们通常使用动态更新来欺骗正常配置的DNS服务器,使它们接受不良登陆。你能够通过采用TSIG(Transaction Signatures)和从授权的DNS服务器那里更新包过滤来阻止这类攻击。

禁止获取glue record(DNS寻找Host A的记录)并限制能够生成递归请求的地址访问DNS服务器能够进一步减少DNS服务器感染病毒的风险。

拒绝服务
拒绝服务攻击(DoS)能够把你的服务器同世界隔离开来,同时也能够把世界同你的网络隔离开。为了阻止DoS攻击,要在你的DNS架构中消除"单点失误"(single points of failure)。不要把你所有的DNS服务器都放在你网络中同一个子网里。

为了提高安全性,在不同的地方(物理意义上的)放置一台DNS会帮助想要访问你的网络的客户得到更好的响应。这是建立商业伙伴关系的绝好机会,可以在不同的地点共同部署各自的服务。

为了进一步提高抗击DoS攻击的能力,你至少需要使用两台DNS服务器:一台在内部,一台在外部。

内部的DNS服务器应该只对内部客户端提供名称解析。把它配置成一台递归服务器(也就是说,它向其他DNS服务器请求信息)。但是,它应该只对内部客户提供服务,而不是面向互联网提供服务。

把外部DNS服务器设置成非递归的(也就是说它不向其他的DNS服务器请求信息),并让它在互联网上代表你的DNS区域。而且,把来自互联网的访问限制在TCP/UDP 53端口。

增强DNS的安全性
通过限制授权服务器之间的域通信,你就能清除发生在DNS服务器之间的不重要的通信;而且,你还可以防止黑客获得你网络中所包含的内容的清单。

区传输(zone transfer)中包含了大量对于黑客来说是非常宝贵的信息。如果你有一个从DNS服务器,不要忘记也要对它进行防护。如果你必须允许区传输,通过TSIG和加密文件来进行服务器之间的授权和认证。

总结
当你在网络里部署一台DNS服务器,或者对它进行安全防护时,记得要在它投入工作之前,从外部尝试去攻击它,并尝试用假的记录来修改缓存里的内容。如果你能够成功,就要重新进行设置,并调整包过滤规则,从而堵住这一安全漏洞。

对于黑客来说,DNS服务器有着超乎寻常的价值。因为DNS服务器通常没有被监视,也很少升级。当你配置DNS服务器或者检查你的网络安全性的时候,请务必记住这一点。DNS服务器安全应当得到足够的重视。

查看本文的国际来源

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章