在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費注冊]

您的位置:電子發(fā)燒友網(wǎng)>電子百科>電腦硬件>服務(wù)器>

解讀DNS服務(wù)器以及保護的方法 - 全文

2018年01月14日 09:21 網(wǎng)絡(luò)整理 作者: 用戶評論(0

域名服務(wù)器英文為DomainNameServer,簡稱DNS。那么域名服務(wù)器是什么?它可以認為是一種軟件,可以認為是一種管理域名的方法,同樣的還可以認為是一個域名,實際而言,域名服務(wù)器也不過是裝有域名系統(tǒng)的服務(wù)器主機。而在域名服務(wù)器保存著域名及其對應(yīng)的IP地址,從而實現(xiàn)實現(xiàn)域名解析及IP之間的解析。因為,在我們上網(wǎng)并在地址欄輸入網(wǎng)址是通過域名服務(wù)器進行解析,并找到相應(yīng)的IP地址,如此才能實現(xiàn)站點的訪問。而對于域名最終的指向為IP地址。

DNS解析是Internet絕大多數(shù)應(yīng)用的實際定址方式;它的出現(xiàn)完美的解決了企業(yè)服務(wù)與企業(yè)形象結(jié)合的問題,企業(yè)的DNS名稱是Internet上的身份標識,是不可重覆的唯一標識資源,Internet的全球化使得DNS名稱成為標識企業(yè)的最重要資源。

解讀DNS服務(wù)器以及保護的方法

然而重要的資源就可能引起有心人士的關(guān)心,隨著Internet上DNS攻擊事件的發(fā)生,DNS的安全問題也成為大家關(guān)心的焦點,常見的方式為:

1、針對DNS系統(tǒng)的惡意攻擊:發(fā)動DNSDDOS攻擊造成DNS名稱解析癱瘓。

2、DNS名稱劫持:修改注冊訊息、劫持解析的結(jié)果。

當DNS服務(wù)器遭遇DNSSpoofing惡意攻擊時,不管是正常DNS查詢封包或非正常的封包都經(jīng)由UDPPort53進到內(nèi)部的DNS服務(wù)器,DNS服務(wù)器除了要處理正常封包外,還要處理這些垃圾封包,當每秒的封包數(shù)大到一定的量時,DNS服務(wù)器肯定無法處理了,此時正常的封包請求,也一定無法得到正常的回應(yīng),當查詢網(wǎng)站的IP無法被回應(yīng)時,用戶當然連接不到網(wǎng)站看不見網(wǎng)頁,如果是查詢郵件服務(wù)器時,那郵件也無法被寄出,重要的資料也無法被順利的傳遞了,因此,維護DNS服務(wù)的正常運作就是一件非常重要的工作。

那么,怎么保護DNS服務(wù)器?小編為大家介紹了DNS服務(wù)器的十種保護方法參考。

解讀DNS服務(wù)器以及保護的方法

1.使用DNS轉(zhuǎn)發(fā)器

DNS轉(zhuǎn)發(fā)器是為其他DNS服務(wù)器

完成DNS查詢的DNS服務(wù)器。使用DNS轉(zhuǎn)發(fā)器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS服務(wù)器轉(zhuǎn)給轉(zhuǎn)發(fā)器,從DNS轉(zhuǎn)發(fā)器潛在地更大DNS高速緩存中受益。

使用DNS轉(zhuǎn)發(fā)器的另一個好處是它阻止了DNS服務(wù)器轉(zhuǎn)發(fā)來自互聯(lián)網(wǎng)DNS服務(wù)器的查詢請求。如果你的DNS服務(wù)器保存了你內(nèi)部的域DNS資源記錄的話,這一點就非常重要。不讓內(nèi)部DNS服務(wù)器進行遞歸查詢并直接聯(lián)系DNS服務(wù)器,而是讓它使用轉(zhuǎn)發(fā)器來處理未授權(quán)的請求。

2.使用只緩沖DNS服務(wù)器

只緩沖DNS服務(wù)器是針對為授權(quán)域名的。它被用做遞歸查詢或者使用轉(zhuǎn)發(fā)器。當只緩沖DNS服務(wù)器收到一個反饋,它把結(jié)果保存在高速緩存中,然后把結(jié)果發(fā)送給向它提出DNS查詢請求的系統(tǒng)。隨著時間推移,只緩沖DNS服務(wù)器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應(yīng)的時間。

把只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器使用,在你的管理控制下,可以提高組織安全性。內(nèi)部DNS服務(wù)器可以把只緩沖DNS服務(wù)器當作自己的轉(zhuǎn)發(fā)器,只緩沖DNS服務(wù)器代替你的內(nèi)部DNS服務(wù)器完成遞歸查詢。使用你自己的只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務(wù)器作為轉(zhuǎn)發(fā)器,在你不能確認ISP的DNS服務(wù)器安全性的情況下,更是如此。

3.使用DNS廣告者(DNSadvertisers

DNS廣告者是一臺負責(zé)解析域中查詢的DNS服務(wù)器。例如,如果你的主機對于domain.com和corp.com是公開可用的資源,你的公共DNS服務(wù)器就應(yīng)該為domain.com和corp.com配置DNS區(qū)文件。

除DNS區(qū)文件宿主的其他DNS服務(wù)器之外的DNS廣告者設(shè)置,是DNS廣告者只回答其授權(quán)的域名的查詢。這種DNS服務(wù)器不會對其他DNS服務(wù)器進行遞歸查詢。這讓用戶不能使用你的公共DNS服務(wù)器來解析其他域名。通過減少與運行一個公開DNS解析者相關(guān)的風(fēng)險,包括緩存中毒,增加了安全。

解讀DNS服務(wù)器以及保護的方法

4.使用DNS解析者

DNS解析者是一臺可以完成遞歸查詢的DNS服務(wù)器,它能夠解析為授權(quán)的域名。例如,你可能在內(nèi)部網(wǎng)絡(luò)上有一臺DNS服務(wù)器,授權(quán)內(nèi)部網(wǎng)絡(luò)域名internalcorp.com的DNS服務(wù)器。當網(wǎng)絡(luò)中的客戶機使用這臺DNS服務(wù)器去解析techrepublic.com時,這臺DNS服務(wù)器通過向其他DNS服務(wù)器查詢來執(zhí)行遞歸以獲得答案。

DNS服務(wù)器和DNS解析者之間的區(qū)別是DNS解析者是僅僅針對解析互聯(lián)網(wǎng)主機名。DNS解析者可以是未授權(quán)DNS域名的只緩存DNS服務(wù)器。你可以讓DNS解析者僅對內(nèi)部用戶使用,你也可以讓它僅為外部用戶服務(wù),這樣你就不用在沒有辦法控制的外部設(shè)立DNS服務(wù)器了,從而提高了安全性。當然,你也可以讓DNS解析者同時被內(nèi)、外部用戶使用。

5.保護DNS不受緩存污染

DNS緩存污染已經(jīng)成了日益普遍的問題。絕大部分DNS服務(wù)器都能夠?qū)NS查詢結(jié)果在答復(fù)給發(fā)出請求的主機之前,就保存在高速緩存中。DNS高速緩存能夠極大地提高你組織內(nèi)部的DNS查詢性能。問題是如果你的DNS服務(wù)器的高速緩存中被大量假的DNS信息“污染”了的話,用戶就有可能被送到惡意站點而不是他們原先想要訪問的網(wǎng)站。

絕大部分DNS服務(wù)器都能夠通過配置阻止緩存污染。WindowsServer2003DNS服務(wù)器默認的配置狀態(tài)就能夠防止緩存污染。如果你使用的是Windows2000DNS服務(wù)器,你可以配置它,打開DNS服務(wù)器的Properties對話框,然后點擊“高級”表。選擇“防止緩存污染”選項,然后重新啟動DNS服務(wù)器。

6.使DDNS只用安全連接

很多DNS服務(wù)器接受動態(tài)更新。動態(tài)更新特性使這些DNS服務(wù)器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費用,否則管理員必須手工配置這些主機的DNS資源記錄。

然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務(wù)器、Web服務(wù)器或者數(shù)據(jù)庫服務(wù)器動態(tài)更新的DNS主機記錄,如果有人想連接到這些服務(wù)器就一定會被轉(zhuǎn)移到其他的機器上。

解讀DNS服務(wù)器以及保護的方法

你可以減少惡意DNS升級的風(fēng)險,通過要求安全連接到DNS服務(wù)器執(zhí)行動態(tài)升級。這很容易做到,你只要配置你的DNS服務(wù)器使用活動目錄綜合區(qū)(ActiveDirectoryIntegratedZones)并要求安全動態(tài)升級就可以實現(xiàn)。這樣一來,所有的域成員都能夠安全地、動態(tài)更新他們的DNS信息。

7.禁用區(qū)域傳輸

區(qū)域傳輸發(fā)生在主DNS服務(wù)器和從DNS服務(wù)器之間。主DNS服務(wù)器授權(quán)特定域名,并且?guī)в锌筛膶懙腄NS區(qū)域文件,在需要的時候可以對該文件進行更新。從DNS服務(wù)器從主力DNS服務(wù)器接收這些區(qū)域文件的只讀拷貝。從DNS服務(wù)器被用于提高來自內(nèi)部或者互聯(lián)網(wǎng)DNS查詢響應(yīng)性能。

然而,區(qū)域傳輸并不僅僅針對從DNS服務(wù)器。任何一個能夠發(fā)出DNS查詢請求的人都可能引起DNS服務(wù)器配置改變,允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù)庫文件。惡意用戶可以使用這些信息來偵察你組織內(nèi)部的命名計劃,并攻擊關(guān)鍵服務(wù)架構(gòu)。你可以配置你的DNS服務(wù)器,禁止區(qū)域傳輸請求,或者僅允許針對組織內(nèi)特定服務(wù)器進行區(qū)域傳輸,以此來進行安全防范。

8.使用防火墻來控制DNS訪問

防火墻可以用來控制誰可以連接到你的DNS服務(wù)器上。對于那些僅僅響應(yīng)內(nèi)部用戶查詢請求的DNS服務(wù)器,應(yīng)該設(shè)置防火墻的配置,阻止外部主機連接這些DNS服務(wù)器。對于用做只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器,應(yīng)該設(shè)置防火墻的配置,僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的DNS服務(wù)器發(fā)來的查詢請求。防火墻策略設(shè)置的重要一點是阻止內(nèi)部用戶使用DNS協(xié)議連接外部DNS服務(wù)器。

解讀DNS服務(wù)器以及保護的方法

9.在DNS注冊表中建立訪問控制

在基于Windows的DNS服務(wù)器中,你應(yīng)該在DNS服務(wù)器相關(guān)的注冊表中設(shè)置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設(shè)置。

HKLMCurrentControlSetServicesDNS鍵應(yīng)該僅僅允許管理員和系統(tǒng)帳戶訪問,這些帳戶應(yīng)該擁有完全控制權(quán)限。

10.在DNS文件系統(tǒng)入口設(shè)置訪問控制

在基于Windows的DNS服務(wù)器中,你應(yīng)該在DNS服務(wù)器相關(guān)的文件系統(tǒng)入口設(shè)置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。

上一頁12全文

非常好我支持^.^

(0) 0%

不好我反對

(0) 0%

( 發(fā)表人:金巧 )

      發(fā)表評論

      用戶評論
      評價:好評中評差評

      發(fā)表評論,獲取積分! 請遵守相關(guān)規(guī)定!

      ?
      主站蜘蛛池模板: 国产麻豆成人传媒免费观看 | 国产一级大片在线观看 | 五月天丁香花婷婷 | 免费看黄色片网站 | 性夜黄 a 爽免费看 性夜黄a爽影免费看 | 精品一区 二区三区免费毛片 | 欧美色惰| 天天干天天天天 | 午夜影视在线免费观看 | 亚洲资源在线播放 | 高清不卡毛片免费观看 | 国产美女精品久久久久中文 | 久操免费视频 | 中文字幕二区三区 | 国产免费播放一区二区三区 | 操欧洲美女 | 最新bt合集 | 女人张开腿男人猛桶视频 | rrr523亚洲国产片 | 丰满寡妇一级毛片 | 一级毛片成人免费看a | 中文字幕在线播放一区 | 国产精品久久久久久免费播放 | 四虎永久免费网站免费观看 | 202z国产高清日本在线播放 | 尻美女视频| 欧美成人免费网站 | 日本a级影院 | 欧美午夜视频在线观看 | 黄色美女免费网站 | 午夜两性色视频免费网站 | 欧美在线观看视频一区 | 男女刺激性视频大片 | 国产嫩草影院在线观看 | 欧美高清激情毛片 | 黄网站在线观看永久免费 | 永久免费观看午夜视频在线 | 欧美一区二区三区不卡免费观看 | 欧美性猛交xxx嘿人猛交 | 欧美黄网站 | www.av123|