扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
DNS(Domain name system)服务器处于网络服务的核心。没有DNS,你不能够解析互联网地址,客户就不能给你发邮件或者浏览你的网站。不幸的是,DNS服务器非常容易受到各种各样的攻击,这些攻击可能是:
容易遭到黑客攻击的软件
旧的软件--无论是操作系统和DNS软件--有很多广为人知的漏洞可能会危及到DNS。结果,你应该经常为DNS服务器的操作系统打安全补丁,并总是采用最新版本的DNS服务器软件。
而且,你还要记住,新的软件版本并不意味着完全安全,但是它确实能够把已知的攻击风险降到最低。
欺诈和病毒
黑客们通常使用动态更新来欺骗正常配置的DNS服务器,使它们接受不良登陆。你能够通过采用TSIG(Transaction Signatures)和从授权的DNS服务器那里更新包过滤来阻止这类攻击。
禁止获取glue record(DNS寻找Host A的记录)并限制能够生成递归请求的地址访问DNS服务器能够进一步减少DNS服务器感染病毒的风险。
拒绝服务
拒绝服务攻击(DoS)能够把你的服务器同世界隔离开来,同时也能够把世界同你的网络隔离开。为了阻止DoS攻击,要在你的DNS架构中消除"单点失误"(single points of failure)。不要把你所有的DNS服务器都放在你网络中同一个子网里。
为了提高安全性,在不同的地方(物理意义上的)放置一台DNS会帮助想要访问你的网络的客户得到更好的响应。这是建立商业伙伴关系的绝好机会,可以在不同的地点共同部署各自的服务。
为了进一步提高抗击DoS攻击的能力,你至少需要使用两台DNS服务器:一台在内部,一台在外部。
内部的DNS服务器应该只对内部客户端提供名称解析。把它配置成一台递归服务器(也就是说,它向其他DNS服务器请求信息)。但是,它应该只对内部客户提供服务,而不是面向互联网提供服务。
把外部DNS服务器设置成非递归的(也就是说它不向其他的DNS服务器请求信息),并让它在互联网上代表你的DNS区域。而且,把来自互联网的访问限制在TCP/UDP 53端口。
增强DNS的安全性
通过限制授权服务器之间的域通信,你就能清除发生在DNS服务器之间的不重要的通信;而且,你还可以防止黑客获得你网络中所包含的内容的清单。
区传输(zone transfer)中包含了大量对于黑客来说是非常宝贵的信息。如果你有一个从DNS服务器,不要忘记也要对它进行防护。如果你必须允许区传输,通过TSIG和加密文件来进行服务器之间的授权和认证。
总结
当你在网络里部署一台DNS服务器,或者对它进行安全防护时,记得要在它投入工作之前,从外部尝试去攻击它,并尝试用假的记录来修改缓存里的内容。如果你能够成功,就要重新进行设置,并调整包过滤规则,从而堵住这一安全漏洞。
对于黑客来说,DNS服务器有着超乎寻常的价值。因为DNS服务器通常没有被监视,也很少升级。当你配置DNS服务器或者检查你的网络安全性的时候,请务必记住这一点。DNS服务器安全应当得到足够的重视。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者