如何堵住DNS安全漏洞

      DNS(Domain name system)服务器处于网络服务的核心。没有DNS,你不能够解析互联网地址,客户就不能给你发邮件或者浏览你的网站。不幸的是,DNS服务器非常容易受到各种各样的攻击,这些攻击可能是:

       容易遭到黑客攻击的软件旧的软件--无论是操作系统和DNS软件--有很多广为人知的漏洞可能会危及到DNS。结果,你应该经常为DNS服务器的操作系统打安全补丁,并总是采用最新版本的DNS服务器软件。

      而且,你还要记住,新的软件版本并不意味着完全安全,但是它确实能够把已知的攻击风险降到最低。

      欺诈和病毒黑客们通常使用动态更新来欺骗正常配置的DNS服务器,使它们接受不良登陆。你能够通过采用TSIG(Transaction Signatures)和从授权的DNS服务器那里更新包过滤来阻止这类攻击。

      禁止获取glue record(DNS寻找Host A的记录)并限制能够生成递归请求的地址访问DNS服务器能够进一步减少DNS服务器感染病毒的风险。

      拒绝服务拒绝服务攻击(DoS)能够把你的服务器同世界隔离开来,同时也能够把世界同你的网络隔离开。为了阻止DoS攻击,要在你的DNS架构中消除"单点失误"(single points of failure)。不要把你所有的DNS服务器都放在你网络中同一个子网里。

      为了提高安全性,在不同的地方(物理意义上的)放置一台DNS会帮助想要访问你的网络的客户得到更好的响应。这是建立商业伙伴关系的绝好机会,可以在不同的地点共同部署各自的服务。

      为了进一步提高抗击DoS攻击的能力,你至少需要使用两台DNS服务器:一台在内部,一台在外部。

      内部的DNS服务器应该只对内部客户端提供名称解析。把它配置成一台递归服务器(也就是说,它向其他DNS服务器请求信息)。但是,它应该只对内部客户提供服务,而不是面向互联网提供服务。

      把外部DNS服务器设置成非递归的(也就是说它不向其他的DNS服务器请求信息),并让它在互联网上代表你的DNS区域。而且,把来自互联网的访问限制在TCP/UDP 53端口。

      增强DNS的安全性通过限制授权服务器之间的域通信,你就能清除发生在DNS服务器之间的不重要的通信;而且,你还可以防止黑客获得你网络中所包含的内容的清单。

      区传输(zone transfer)中包含了大量对于黑客来说是非常宝贵的信息。如果你有一个从DNS服务器,不要忘记也要对它进行防护。如果你必须允许区传输,通过TSIG和加密文件来进行服务器之间的授权和认证。

     总结当你在网络里部署一台DNS服务器,或者对它进行安全防护时,记得要在它投入工作之前,从外部尝试去攻击它,并尝试用假的记录来修改缓存里的内容。如果你能够成功,就要重新进行设置,并调整包过滤规则,从而堵住这一安全漏洞。

      对于黑客来说,DNS服务器有着超乎寻常的价值。因为DNS服务器通常没有被监视,也很少升级。当你配置DNS服务器或者检查你的网络安全性的时候,请务必记住这一点。DNS服务器安全应当得到足够的重视。

实易简介

  实易科技是一家专注于智能DNS解决方案的高新技术企业。多年来,实易科技一直秉承“技术为本,服务至上”宗旨,专注为客户提供高品质的智能DNS解决方案及服务。

关注我们