DNS安全性.docVIP

DNS安全性 专门讨论DNS的安全性。 也许有的人会觉得奇怪，DNS的安全性好像很少听人提到，其实，DNS的安全 尤胜过其它的网络安全。我先随便说说DNS的安全隐患： 1.防火墙不会限制对DNS的访问 2.DNS可以泄漏内部的网络拓朴结构 3.DNS存在许多简单有效的远程缓冲溢出攻击 4.几乎所有的网站都需要DNS 5.DNS的本身性能问题可是关系到整个应用的关键 6.国内关于DNS安全的资料太少，只怕狼真的来了的时候，大家来不及操家伙 ... 哎呀，一下子扯开了，大家就当看评书把，;) 安全的一个重要标志是可用性。对于DNS服务器而言这点尤其重要，在现实 生活中经常定义攻击者入侵系统获取数据为一个安全问题，但是对于DNS服务器 来说，遭到了拒绝服务攻击则是一件更严重的问题。 失去了DNS服务器的话，任何在internet网络上的人将不能够再使用域名找到你 的服务器，不可想像让普通的网民们使用00来代替 使用。更严重的是，没有了DNS的服务，所有的邮件发送都将失败，而你的内部 网络将由于解析域名的失败而失去与外部网络的联系。 DNS的一些注意事项 注册了一个域名以后，可以最大为你的域名设置6个DNS服务器名。 例如，公司的就为自己设置了五个DNS服务器来解析自己的域名： Name Servers: DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 Z1.MSFT.AKADNS.COM 04 Z7.MSFT.AKADNS.COM 58 DNS1.TK.MSFT.NET 7 这样，即使这三个中的两个停止了工作，但是了，仍然可以有一个会对外提供服务， 而对于广大的用户而言，当出现这种多个DNS服务器停止服务带来的唯一的影响 就是查询域名的时候会延迟，因为它需要一个一个的去查询，直到找到最后的一个为止。 而上面这一个步骤也是你应付恶意攻击者对DNS服务器进行拒绝服务攻击的一个 保护手段。 一个能够放到电信局使用的DNS服务器，一般的基本配置是一个U， 它应该有足够的RAM来将数据库放入内存中。一般来说，512M是足够用了， 而且值得考虑的是，在你的DNS服务器前面加道防火墙，让防火墙把那些 成天只知道攻击的人阻挡在外面。 如果你有多个DNS服务器来进行解析域名的工作的话，一个值得考虑的 问题是，如果这些服务器都是处于接近100%的处理量，每个都接近饱与的时候， 那么你应该考虑多再给你的dns服务器减压的问题：一是为了应用上考虑， 其次从安全上来说，如果这样的系统，只要攻击者让一台DNS服务器瘫痪了， 那么繁重的处理工作自然会压垮其它的DNS服务器的。 如果纯粹从理论上出发，那么一台DNS服务器是完全可以完成所有任务的， 但是对于实际应用而言，应该是在考虑到在失去了一台服务器的情况下，剩下的 应该还能够正常的工作（这就是在做大项目的时候经常说的冗余性与高可用性）。 前段日子，微软就遭受了沉重的专门针对DNS服务器的攻击，这次是 放在4台DNS服务器前的防火墙成了攻击目标，大量的数据包涌向这个路有器， 从而干扰了正常的DNS通信。导致微软的好几个主要站点都无法给外界提供服务。 上面是关于DNS设计时的一个基本原则，下面我们来分析一下这则新闻。 微软求助Akamai帮忙加固其网络 -------------------------------------------------------------------------------- 2001/01/30 17:15 ChinaByte 　　【ChinaByte综合消息】日前，微软的附属网站多次发生瘫痪，一度无法登录。 微软发言人称这是其DNS服务器所引起的故障。该公司承认，它配置基础设施的方式 ，给了黑客可乘之机。该公司在某单一网络上运行着所有4台重要的DNS服务器。 攻击微软网站的黑客，显然将矛头对准了该网络中用来指引数据流量的路由器， 通过发送大量数据，使需要进行域名解析的数据无法抵达DNS服务器。 -------------------------------------------------------------------------------- 对这次攻击的分析如下： 在1月30号前，可以查询微软的DNS的配置结果如下： DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 DNS6.CP.MSFT.NET 0 DNS7.CP.MSFT.NET 1 Z1.MSFT.AKADNS.COM 04 可以看到，在这个以前的DNS设计中，微软的用来解