全面提升BINDDNS服务器安全网站的一篇约稿，.PDF

全面提升BIND DNS 服务器安 作者：曹江华 此 文 是 it168 网 站 的 一 篇 约 稿 ， 希 望 网 友 指 正 。 原 文 链 接 ： http://publish.it 168.com/2005/ 1228/20051228077401.shtml 一、DNS 服务器的重要性 DNS 是因特网建设的基础，几乎所有的网络应用, 都必须依赖 DNS 系统做网址查询的 指引动作。如果 DNS 系统运作不正常, 即使 Web 服务器都完好如初, 防火墙系统都善尽 其职, 相关的后端应用服务器以及数据库系统运作正常, 因为无法在期限时间内查得到网址, 将会导致电子邮件无法传递, 想要使用网域名称去连接某个网页, 也会因查不出网络地址, 以致联机失败。2001 年 1 月24 日, 美国微软公司所管理的相关网络系统, 遭受网络黑客的 拒绝服务攻击后导致 球各地的用户 接近 24 小 的时间 无法连上该公司相关的网站, 造成该公司相当严重的商业损失。根据以往的经验之中, 网络攻击的对象 多数主要集中在 控制网络路由的设备(路由器, 防火墙等)和各类应用服务器(Web、邮件 等) 。因此, 目前多数 的网络系统安 保护, 通常都集中在路由设备和应用服务器本身。然而, 这一次的微软公司 被攻击事件, 以往其它网站攻击事件的最大不同, 就在于这一次被攻击的对象是 DNS 服 务器 而不是 WEB 服务器本身。这次的事件宣告另一种新型的网络攻击类别, 往后将可能 成为常态。 就这个观点而言, 如何能加强确保 DNS 系统的运作正常, 或者当DNS 系统在 遭受网络攻击 候, 能够让管理者及早发现, 然后加以排除, 诸如此类, 正是日益重要的系 统安全的重要课题。互联网上DNS 服务器的事实标准就是ISC 的BIND ，Netcraft 在DNS 服务器上的统计(/ )显示 2003 年第二季度进行的一个调查发现，在互 联网上运行着的DNS 服务器中，ISC 的bind 占据了95% 的市场份额。互联网是由很多不可 见的基础构件组成。这其中就包含了 DNS ，它给用户提供了易于记忆的机器名称( 比如 ) ，并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一般还提供 “反向查询”的功能，这种功能可以把数字转换成名字。由于历史的原因，这种功能使用的 是被隐藏的“ ”域。对in-addr 域的调查，可以让我们 加了解整个Internet 是如 何运作的。Bill Manning 对in-addr 域的调查发现，有95% 的域名服务器(2 的2000 次方个服 务器中)使用的是各种版本的 “bind ”。这其中包括了所有的 DNS 根服务器，而这些根服务 器对整个服务器的正常运转起着至关重要的作用。 二、DNS 服务面临的安 隐患： DNS 服务面临的安 隐患主要包括：DNS 欺骗（DNS Spoffing ）、拒绝服务 （Denial of service，DoS ）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击 （Buffer Overflow ）。 1.DNS 欺骗 DNS 欺骗即域名信息欺骗是最常见的DNS 安 问题。当一个DNS 服务器掉入陷阱，使用 了来自一个恶意DNS 服务器的错误信息，那么该DNS 服务器就被欺骗了。DNS 欺骗会使 那些易受攻击的DNS 服务器产生许多安 问题，例如：将用户引导到错误