- 1、本文档共43页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
DNS安全配置v1.0.0.0
* 提一下原理 * * 一是为了应用上考虑, 其次从安全上来说,如果这样的系统,只要攻击者让一台DNS服务器瘫痪了, 那么繁重的处理工作自然会压垮其它的DNS服务器的。 这样,即使这三个中的两个停止了工作,但是了,仍然可以有一个会对外提供服务, 而对于广大的用户而言,当出现这种多个DNS服务器停止服务带来的唯一的影响 就是查询域名的时候会延迟,因为它需要一个一个的去查询,直到找到最后的一个为止。 而上面这一个步骤也是你应付恶意攻击者对DNS服务器进行拒绝服务攻击的一个 保护手段。 举例:微软发言人称这是其DNS服务器所引起的故障。该公司承认,它配置基础设施的方式 ,给了黑客可乘之机。该公司在某单一网络上运行着所有4台重要的DNS服务器。 攻击微软网站的黑客,显然将矛头对准了该网络中用来指引数据流量的路由器, 通过发送大量数据,使需要进行域名解析的数据无法抵达DNS服务器。 对这次攻击的分析如下: 在1月30号前,可以查询微软的DNS的配置结果如下: DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 DNS6.CP.MSFT.NET 0 DNS7.CP.MSFT.NET 1 Z1.MSFT.AKADNS.COM 04 可以看到,在这个以前的DNS设计中,微软的用来解析自己网站的DNS服务器显然都在 同一个路由器(或防火墙设备)后面,而这次黑客的攻击只所以得逞,就是在于他们攻击 了这个路由器(或防火墙),让大量的数据包堵塞了这个路由器(或防火墙),而正常的 DNS解析请求无法到达内部的四个DNS服务器上。从而导致了,微软的附属网站多次发生瘫痪。 通过上面的分析,我们再来看看目前微软新的DNS布置计划,这是今天的微软的 DNS配置结果如下: DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 Z1.MSFT.AKADNS.COM 04 Z7.MSFT.AKADNS.COM 58 DNS1.TK.MSFT.NET 7 可以看到,最大的改变莫过于取消了4台放置在同一个路由器后面的DNS,而将DNS的解析 任务分布到了其它的地方,而这其它的DNS服务器显然已经不再是在同一个路由器后面了。 * * * 提一下原理 * 提一下原理 DNS服务器安全配置--chroot chroot 是 ”change root” 的缩写, chroot重定义了一个程序的运行环境。重定义了一个程序的“ROOT”目录或“/”。也就是说,对于chroot了的程序或shell来说,chroot环境之外的目录是不存在的。 DNS服务器安全配--Chroot方法步骤 建立”监狱式”目录 拷贝本身服务软件和其他要求的文件 拷贝所需要系统库文件 变换启动脚本,使系统启动正确环境 DNS服务器安全配置 及时更新安装最新版本 DNS服务器安全配置—系统冗余 配置多个DNS服务器(冗余性和高可用性) 恶意攻击者对DNS服务器进行拒绝服务攻击的一个保护手段。 为了应用上考虑 配置的方式 DNS负载均衡 主、备方式 第四章 DNS的安全运维 DNS系统维护的注意事项 测试服务器能否正常解析 (nslookup ) DNS最新版本 日志审计 DNS系统维护的注意事项 日志审计-方式 1、默认/var/log/messages 2、定制named.conf DNS系统维护的注意事项 日志审计-logging的配置 logging {? ?? ???? ? channel 指定应该向哪里发送日志数据 ?? ?? ?? ? ? ?? category 类别规定了哪些数据需要记录 }; DNS系统维护的注意事项 日志审计-logging的配置 ? ??channel string; {? ?? ?? ?? ?? ? file logfile;;? ? ? ? ? ?? ?? syslog optional_facility;;? ?? ?? ?? ?? ? null;? ?? ?? ?? ?? ? stderr;? ?? ?? ?? ?? ? ? ? ? ? severity logseverity;;? ?? ?? ?? ?? ? ? ? ? ? print-time boolean;;? ?? ?? ?? ?? ? ? ? ? ? print-severity boolean;;? ?? ?? ?? ?? ? ? ? ? ? print-category boolean;;? ?? ???}; severity critical、error、warning、notice、info、debug
您可能关注的文档
- 大型网站建设5_搜索引擎优化.ppt
- flash mx 2004 教案第10章.ppt
- 9 面向对象的系统开发方法.ppt
- 通电导体在磁场中的受力.0.0.ppt
- 第一次上机练习及提示.ppt
- YCYA日结果计划周结果计划个人战略to simom-Keith-1002V0.0.ppt
- 从蒸汽机到互联网0.0.ppt
- 11-NX6_Drafting UG高级建模.ppt
- 第6讲 文档视图结构(SDI)中类之间的访问.ppt
- 第三章 Servlet编程-Servlet高级编程.ppt
- GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 中国国家标准 GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 《GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs)》.pdf
- GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- 中国国家标准 GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 中国国家标准 GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 《GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样》.pdf
- 《GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯》.pdf
- 中国国家标准 GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯.pdf
文档评论(0)