《中国移动DNS服务器安全配置手册》.doc

密 级： 文档编号： 项目代号： 中国移动DNS服务器 安全配置手册 Version 1.0 中国移动通信有限公司 二零零四年十一月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 与文档的主要关系 1 创建、修改、读取 负责编制、修改、审核 2 批准 负责本文档的批准程序 3 标准化审核 作为本项目的标准化负责人，负责对本文档进行标准化审核 4 读取 5 读取 1 常见的DNS攻击 6 1.1 区域传输 6 1.2 版本发现 6 1.3 DoS攻击 6 1.4 缓存破坏(cache poisoning) 7 1.5 缓冲区溢出 7 1.6 其他攻击技术 7 2 现有的DNS攻击防范措施 8 2.1 限制区域传输 8 2.2 限制版本欺骗 8 2.3 减轻DoS所造成的损失 8 2.4 防御缓存破坏 8 2.5 防御缓冲区溢出 9 2.6 应用Bogon过滤 9 2.7 Split DNS 9 2.8 用路由器和防火墙做DNS的安全防护 9 3 BIND安全配置 10 3.1 配置环境： 10 3.2 启动安全选项 10 3.3 配置文件中的安全选项 10 3.3.1 安全日志文件 11 3.3.2 隐藏版本信息 11 3.3.3 禁止DNS域名递归查询 11 3.3.4 增加出站查询请求的ID值的随机性 12 3.3.5 限制对DNS服务器进行域名查询的主机 12 3.3.6 限制对DNS服务器进行域名递归查询的主机 12 3.3.7 指定允许哪些主机向本DNS服务器提交动态DNS更新 12 3.3.8 限制对DNS服务器进行区域记录传输的主机 13 3.3.9 指定不接受哪些服务器的区域记录传输请求 13 3.3.10 一些资源限制选项 13 3.3.11 定义ACL地址名 14 3.3.12控制管理接口 14 3.4 通过TSIG对区域记录传输进行认证和校验 15 3.4.1 用TSIG签名来进行安全的DNS数据库手工更新 15 3.4.2 对区域记录传输（自动或手工）进行TSIG签名 16 3.5 实现BIND的chroot 17 3.5.1 chroot虚拟根环境 17 3.5.2 操作方法 18 4 Windows 2000 DNS安全配置(MSDNS) 21 4.1 开启日志功能 22 4.2 定期更新根服务器信息 23 4.3 禁止区域文件动态更新 24 4.4 禁止区域传输 25 4.5 其它设置 26 5 安全检查列表 27  1 常见的DNS攻击 目前DNS受到的网络攻击大致有这么几种：区域传输、版本发现、DoS、高速缓存破坏、缓冲区溢出等。 1.1 区域传输 进行区域传输攻击DNS的方法是执行无限制的区域传输或捏造许可证，造成的后果是主管的域名信息泄露。区域传输一般用于主DNS服务器和辅DNS服务器之间的数据同步，DNS服务器可以从主服务器获取最新区数据文件的副本，也就可以获得整个授权区域内的所有主机信息。一旦这些信息泄漏，攻击者就可以根据它轻松地推测主服务器的网络结构，并从这些信息中判断其功能或发现那些防范措施较弱的机器。 1.2 版本发现 发现软件版本有助于攻击者探测服务器。利用版本发现攻击DNS的方法是查询版本文件，造成的后果是软件版本泄密。软件版本信息很少被用到，应该被改变或清空。BIND（Berkeley Internet Name Domain）DNS 守护进程会响应许多dig版本查询，允许远程攻击者识别它的版本。 1.3 DoS攻击 Dos是Denial of Service的缩写，意为拒绝服务。DoS攻击是网络上一种简单但很有效的破坏性攻击手段，其中SYN Flood攻击是最为常见的DoS攻击方式。 SYN Flood攻击就是攻击者利用伪造的IP地址，连续向被攻击的服务器发送大量的SYN包。被攻击的服务器收到这些SYN包后，连续向那些虚假的客户机（伪造的IP地址指向的客户机）发送ACK确认包。很显然，服务器是不会收到ACK确认包的，于是服务器就只能等待了。当服务器因超时而丢弃这个包后，攻击者虚假的SYN包又源源不断地补充过来。在这个过程中，由于服务器不停顿地处理攻击者的SYN包，从而正常用户发送的SYN包会被丢弃，得不到处理，从而造成了服务器的拒绝服务。 1.4 缓存破坏(cache poisoning) 这是DNS面临的一种很普遍的攻击．它利用了DNS的缓存机制使某个名字服务器在缓存中存入错误的数据。当某名字服务器A收到递归查询请求，而A的数据库内没有相应的资源记录，那么它就会转发给名字服务器B，B做出应答，把回答