小编总结了几种保护DNS服务器的有效方法。需要的人可以参考。一,使用DNS转发器DNS转发器用于其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,将查询请求从DNS服务器传输到转发器,并从DNS转发器可能更大的DNS缓存中获益。使用DNS转发器的另一个好处是,它防止DNS服…

小编总结了几种保护DNS服务器的有效方法。需要的人可以参考。

一,使用DNS转发器

DNS转发器用于其他DNS服务器

完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,将查询请求从DNS服务器传输到转发器,并从DNS转发器可能更大的DNS缓存中获益。

使用DNS转发器的另一个好处是,它防止DNS服务器转发来自Internet DNS服务器的查询请求。如果DNS服务器保存内部域DNS资源的记录,这一点非常重要。与其让内部DNS服务器执行递归查询并直接联系DNS服务器,不如让它使用中继器来处理未经授权的请求。

二,使用仅缓冲DNS服务器

只有缓冲区DNS服务器用于授权域名。它用作递归查询或中继器。当仅缓冲区的DNS服务器收到反馈时,它将结果保存在缓存中,然后将结果发送到向其发出DNS查询请求的系统。随着时间的推移,仅仅缓冲DNS服务器就可以收集大量的DNS反馈,这可以大大缩短它提供DNS响应的时间。

使用仅缓冲区的DNS服务器作为转发器可以在您的管理控制下提高组织安全性。内部DNS服务器可以使用仅缓冲区的DNS服务器作为其自身的转发器,并且仅缓冲区的DNS服务器将替换您的内部DNS服务器以完成递归查询。使用您自己的缓冲区只有DNS服务器作为转发器可以提高安全性,因为您不需要依赖您的ISP的DNS服务器作为转发器,特别是如果您无法确认您的ISP的DNS服务器的安全性。

三,使用DNS广告商(DNS广告商)

DNS广告商是一个DNS服务器,负责析域中的查询。例如,如果主机是domain.com和corp.com的公共可用资源,则公共DNS服务器应为domain.com和corp.com配置DNS区域文件。

DNS广告商设置(承载DNS区域文件的DNS服务器除外)是只回答其授权域名查询的DNS广告商。此类型的DNS服务器不会递归查询其他DNS服务器。这将阻止用户使用您的公共DNS服务器解析其他域名。通过减少与运行公共DNS解析器相关的风险(包括缓存中毒)来提高安全性。

四,使用DNS解析程序

DNS解析程序是一个可以完成递归查询的DNS服务器,它可以解析为授权域名。例如,您可能在内部网络上有一个DNS服务器,该服务器授权内部网络域名internalcorp.com的DNS服务器。当网络上的客户端使用此DNS服务器解析techrepublic.com时,此DNS服务器通过查询其他DNS服务器来执行递归以获取答案。

DNS服务器和DNS解析程序之间的区别在于,DNS解析程序仅用于解析Internet主机名。DNS解析程序可以是仅缓存DNS服务器的未经授权的DNS域名。您可以让DNS解析程序只用于内部用户,也可以让它只为外部用户服务,这样就不需要在控件之外设置DNS服务器,这样可以提高安全性。当然,您也可以让内部和外部用户同时使用DNS解析器。

五,保护DNS免受缓存污染

DNS缓存污染已经成为一个越来越普遍的问题。大多数DNS服务器可以在回复请求主机之前将DNS查询结果存储在缓存中。DNS缓存可以大大提高组织内DNS查询的性能。问题是,如果你的DNS服务器的缓存被大量伪造的DNS信息“污染”,用户可能会被发送到恶意站点,而不是他们原来想访问的网站。

大多数DNS服务器都可以配置为防止缓存污染。windowsServer 2003 DNS服务器的默认配置状态可以防止缓存污染。如果使用的是Windows 2000 DNS服务器,则可以对其进行配置,打开“DNS服务器属性”对话框,然后单击“高级”表。选择“防止缓存污染”选项,然后重新启动DNS服务器。

六,使DDN仅使用安全连接

许多DNS服务器接受动态更新。动态更新功能使这些DNS服务器能够使用DHCP记录主机的主机名和IP地址。DDNS可以大大降低DNS管理员的管理成本,否则管理员必须手动配置这些主机的DNS资源记录。

但是,如果未检测到DDNS的更新可能会带来严重的安全问题。恶意用户可以将主机配置为文件服务器、Web服务器或数据库服务器的动态更新的DNS主机记录。如果有人想连接到这些服务器,它们将被转移到其他机器上。

您可以通过要求与DNS服务器的安全连接来降低恶意DNS升级的风险并执行动态升级。这很容易做到。您只需要将DNS服务器配置为使用Active Directory集成区域并要求安全的动态升级。这样,所有域成员都可以安全地动态地更新其DNS信息。

七,禁用区域传输

区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名,并附带一个可重写的DNS区域文件,该文件可以在需要时更新。从DNS服务器的主DNS服务器接收这些区域文件的只读副本。从DNS服务器用于提高来自内部或Internet的DNS查询响应的性能。

但是,区域传输不只是针对从DNS服务器。任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改,从而允许区域传输转储自己的区域数据库文件。恶意用户可以使用此信息侦察组织内的命名计划并攻击关键服务体系结构。您可以将DNS服务器配置为禁止区域传输请求,或仅允许将区域传输到组织中的特定服务器作为安全预防措施。

八,使用防火墙控制DNS访问

防火墙可用于控制谁可以连接到您的DNS服务器。对于只响应内部用户查询请求的DNS服务器,应设置防火墙配置以防止外部主机连接到这些DNS服务器。对于用作仅缓存转发器的DNS服务器,防火墙配置应设置为仅允许来自使用仅缓存转发器的DNS服务器的查询请求。防火墙策略设置的一个重要方面是防止内部用户使用DNS协议连接到外部DNS服务器。

九,在DNS注册表中建立访问控制

在基于Windows的DNS服务器中,应在与DNS服务器相关的注册表中设置访问控制,以便只有需要访问的帐户才能读取或修改这些注册表设置。

HKLM\CurrentControlSet\Services\DNS密钥应仅允许管理员和系统帐户访问,这些帐户应具有完全控制权限。

十,在DNS文件系统的入口设置访问控制

在基于Windows的DNS服务器中,应在DNS服务器的文件系统条目处设置访问控制,以便只有需要访问的帐户才能读取或修改这些文件。

%system-directory%\DNS文件夹和子文件夹只能由系统帐户访问,并且系统帐户应具有完全控制权限。

DNS服务器有哪些保护方法

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。