指定dns可以提高服務器安全性嗎?答案是可以的,服務器安全早已是經常談到的難題了,應對新手來說,看的多遠不如實際去采用。另外有所不同的服務器安全設置也是有相應差距的,之前早已跟大伙講到了web服務器的安全設置,接下來會給大伙解讀DNS服務器安全。考慮到DNS服務采用UDP協議,因而應對攻擊者來說,更易于把攻擊焦點匯集在DNS服務上。為了更好地DNS服務器的安全,下面介紹包括“指定dns提高服務器安全性”在內的10個高效提升DNS服務器安全的方法,期待可以幫到到大伙。
DNS解析是互聯網中一項重要基礎服務,它負責將簡單的域名翻譯成可由計算機識別的IP地址,從而實現人機交互并通過域名而不是復雜的IP地址去訪問web服務器,獲取相應的信息和服務。因此DNS解析在整個網絡互聯體系中充當著導航系統的角色,其重要性不言而喻。如果DNS解析出現故障,則域名和IP地址之間的指向關系就會出現問題,往往會導致通過域名無法打開網站,或者訪問到一個錯誤的網站。
服務器DNS安全問題有哪些?
DNS在設計之初只考慮了實用性,沒有相應的驗證機制,所以安全性較低,經常成為網絡攻擊的重點對象。
目前針對服務器DNS的攻擊主要有兩種:
一種是DNS
DDoS攻擊,也就是針對DNS服務器發動攻擊,造成DNS服務器的線路擁堵或宕機。DNS服務器發生故障,將無法及時回應遞歸服務器發起的解析請求,從而會導致其所管轄的所有域名都無法正常解析,這樣造成的危害比單獨針對web服務器發起攻擊要大得多。
另一種是DNS劫持,DNS劫持就是通過錯誤的域名解析記錄代替正確的記錄返回給客戶端,將客戶端引導至錯誤的IP地址,從而達到流量劫持,獲取非法收益的目的。
DNS劫持可通過DNS緩存投毒、修改NS記錄等方式達成。
1、采用DNS轉發器
DNS轉發器是為其余DNS服務器實現DNS查找的DNS服務器。采用DNS轉發器的關鍵目的是減輕DNS處置的壓力,把查詢要求從DNS服務器轉給轉發器,從DNS轉發器潛在地更大DNS高速緩存中獲益。采用DNS轉發器的另一個優勢是它阻止了DNS服務器轉發來源于互聯網DNS服務器的查找要求。假如你的DNS服務器儲存了你內部的域DNS資源記錄的情況下,這一點就特別關鍵。不要讓內部DNS服務器進行遞歸查詢并立即聯絡DNS服務器,反而是讓它采用轉發器來處置未授權的請求。
2、采用只緩沖DNS服務器
只緩沖DNS服務器是應對為授權域名的。它被用于遞歸查詢或是采用轉發器。當只緩沖DNS服務器接到一個匯報,它把結果儲存在高速緩存中,隨后把結果發送到向它提出DNS查找請求的系統。伴隨著時間流逝,只緩沖DNS服務器可以搜集大量的DNS匯報,這能更大地縮減它具備DNS響應的時長。把只緩沖DNS服務器身為轉發器采用,在你的監督控制下,可以提升組織安全性。內部DNS服務器可以把只緩沖DNS服務器作為自己的轉發器,只緩沖DNS服務器代替你的內部DNS服務器實現遞歸查詢。采用你自己的只緩沖DNS服務器身為轉發器可以提升安全性,由于你無需依賴你的ISP的DNS服務器身為轉發器,在你不可以確認ISP的DNS服務器安全性的狀況下,更是如此。
3、使用DNS廣告者
DNS廣告者(DNS
Advertisers)是一臺負責解析域中查詢的DNS服務器。例如,如果主機對于domain.com和corp.com是公開可用的資源,則公共DNS服務器就應該為domain.com和corp.com配置DNS區文件。
4、使用DNS解析者
DNS解析者是一臺可以完成遞歸查詢的DNS服務器,它能夠解析為授權的域名。例如,可能在內部網絡上有一臺可授權內部網絡域名internalcorp.com的DNS服務器。當網絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時,這臺DNS服務器通過向其他DNS服務器查詢來執行遞歸以獲得答案。
5、保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前,就保存在高速緩存中。DNS高速緩存能夠極大地提高組織內部的DNS查詢性能。但如果DNS服務器的高速緩存中被大量假的DNS信息
“污染” 了,用戶就有可能被送到惡意站點,而不是其原先想要訪問的網站。
6、使 DNS 只用安全連接:很多 DNS 服務器接受動態更新。動態更新特性使這些 DNS 服務器能記錄使用 DHCP 的主機的主機名和 IP
地址。DNS 能夠極大地減輕 DNS 管理員的工作強度,否則管理員必須手工配置這些主機的 DNS 資源記錄。然而,如果未檢測 DNS
更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為一臺文件服務器、Web 服務器或者數據庫服務器,以動態更新 DNS
主機記錄,如果有人想連接到這些服務器就一定會被轉移到其他的機器上。
7、禁用區域傳輸:區域傳輸發生在主 DNS 服務器和從 DNS 服務器之間。主 DNS 服務器授權特定域名,并且帶有可改寫的 DNS
區域文件,在需要的時候可以對該文件進行更新,從 DNS 服務器從主 DNS 服務器接收這些區域文件的只讀副本。從 DNS 服務器被用于提高來自內部或者互聯網
DNS 查詢響應性能。
8、使用防火墻來控制 DNS 訪問:防火墻可以用來控制哪個用戶可以連接到 DNS 服務器上。對于那些僅僅響應內部用戶查詢請求的 DNS
服務器,應該設置防火墻的配置,阻止外部主機連接這些 DNS 服務器。對于用作只緩存轉發器的 DNS 服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉發器的
DNS 服務器發來的查詢請求。防火墻策略設置的重要原因是它阻止內部用戶使用 DNS 協議連接外部 DNS 服務器。
9、在 DNS 注冊表中建立訪問控制:在基于 Windows 的 DNS 服務器中,應該在 DNS
服務器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的賬戶才能夠閱讀或修改這些注冊表設置。
上一篇:
2023年,如何獲得美國家庭靜態IP?
下一篇:
電子商務網站服務器需要什么配置?
