如何堵住DNS安全漏洞

DNS（Domain name system）服务器处于网络服务的核心。没有DNS，你不能够解析互联网地址，客户就不能给你发邮件或者浏览你的网站。不幸的是，DNS服务器非常容易受到各种各样的攻击，这些攻击可能是：

容易遭到黑客攻击的软件
旧的软件--无论是操作系统和DNS软件--有很多广为人知的漏洞可能会危及到DNS。结果，你应该经常为DNS服务器的操作系统打安全补丁，并总是采用最新版本的DNS服务器软件。

而且，你还要记住，新的软件版本并不意味着完全安全，但是它确实能够把已知的攻击风险降到最低。

欺诈和病毒
黑客们通常使用动态更新来欺骗正常配置的DNS服务器，使它们接受不良登陆。你能够通过采用TSIG（Transaction Signatures）和从授权的DNS服务器那里更新包过滤来阻止这类攻击。

禁止获取glue record（DNS寻找Host A的记录）并限制能够生成递归请求的地址访问DNS服务器能够进一步减少DNS服务器感染病毒的风险。

拒绝服务
拒绝服务攻击（DoS）能够把你的服务器同世界隔离开来，同时也能够把世界同你的网络隔离开。为了阻止DoS攻击，要在你的DNS架构中消除"单点失误"（single points of failure）。不要把你所有的DNS服务器都放在你网络中同一个子网里。

为了提高安全性，在不同的地方（物理意义上的）放置一台DNS会帮助想要访问你的网络的客户得到更好的响应。这是建立商业伙伴关系的绝好机会，可以在不同的地点共同部署各自的服务。

为了进一步提高抗击DoS攻击的能力，你至少需要使用两台DNS服务器：一台在内部，一台在外部。

内部的DNS服务器应该只对内部客户端提供名称解析。把它配置成一台递归服务器（也就是说，它向其他DNS服务器请求信息）。但是，它应该只对内部客户提供服务，而不是面向互联网提供服务。

把外部DNS服务器设置成非递归的（也就是说它不向其他的DNS服务器请求信息），并让它在互联网上代表你的DNS区域。而且，把来自互联网的访问限制在TCP/UDP 53端口。

增强DNS的安全性
通过限制授权服务器之间的域通信，你就能清除发生在DNS服务器之间的不重要的通信；而且，你还可以防止黑客获得你网络中所包含的内容的清单。

区传输（zone transfer）中包含了大量对于黑客来说是非常宝贵的信息。如果你有一个从DNS服务器，不要忘记也要对它进行防护。如果你必须允许区传输，通过TSIG和加密文件来进行服务器之间的授权和认证。

总结
当你在网络里部署一台DNS服务器，或者对它进行安全防护时，记得要在它投入工作之前，从外部尝试去攻击它，并尝试用假的记录来修改缓存里的内容。如果你能够成功，就要重新进行设置，并调整包过滤规则，从而堵住这一安全漏洞。

对于黑客来说，DNS服务器有着超乎寻常的价值。因为DNS服务器通常没有被监视，也很少升级。当你配置DNS服务器或者检查你的网络安全性的时候，请务必记住这一点。DNS服务器安全应当得到足够的重视。

查看本文的国际来源