DNS安全配置v1.0.0.0.ppt

* 提一下原理 * * 一是为了应用上考虑， 其次从安全上来说，如果这样的系统，只要攻击者让一台DNS服务器瘫痪了， 那么繁重的处理工作自然会压垮其它的DNS服务器的。 这样，即使这三个中的两个停止了工作，但是了，仍然可以有一个会对外提供服务， 而对于广大的用户而言，当出现这种多个DNS服务器停止服务带来的唯一的影响 就是查询域名的时候会延迟，因为它需要一个一个的去查询，直到找到最后的一个为止。 而上面这一个步骤也是你应付恶意攻击者对DNS服务器进行拒绝服务攻击的一个 保护手段。 举例：微软发言人称这是其DNS服务器所引起的故障。该公司承认，它配置基础设施的方式 ，给了黑客可乘之机。该公司在某单一网络上运行着所有4台重要的DNS服务器。 攻击微软网站的黑客，显然将矛头对准了该网络中用来指引数据流量的路由器， 通过发送大量数据，使需要进行域名解析的数据无法抵达DNS服务器。 对这次攻击的分析如下： 在1月30号前，可以查询微软的DNS的配置结果如下： DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 DNS6.CP.MSFT.NET 0 DNS7.CP.MSFT.NET 1 Z1.MSFT.AKADNS.COM 04 可以看到，在这个以前的DNS设计中，微软的用来解析自己网站的DNS服务器显然都在 同一个路由器（或防火墙设备）后面，而这次黑客的攻击只所以得逞，就是在于他们攻击 了这个路由器（或防火墙），让大量的数据包堵塞了这个路由器（或防火墙），而正常的 DNS解析请求无法到达内部的四个DNS服务器上。从而导致了，微软的附属网站多次发生瘫痪。 通过上面的分析，我们再来看看目前微软新的DNS布置计划，这是今天的微软的 DNS配置结果如下： DNS4.CP.MSFT.NET 1 DNS5.CP.MSFT.NET 2 Z1.MSFT.AKADNS.COM 04 Z7.MSFT.AKADNS.COM 58 DNS1.TK.MSFT.NET 7 可以看到，最大的改变莫过于取消了4台放置在同一个路由器后面的DNS，而将DNS的解析 任务分布到了其它的地方，而这其它的DNS服务器显然已经不再是在同一个路由器后面了。 * * * 提一下原理 * 提一下原理 DNS服务器安全配置--chroot chroot 是 ”change root” 的缩写， chroot重定义了一个程序的运行环境。重定义了一个程序的“ROOT”目录或“/”。也就是说，对于chroot了的程序或shell来说，chroot环境之外的目录是不存在的。 DNS服务器安全配--Chroot方法步骤 建立”监狱式”目录 拷贝本身服务软件和其他要求的文件 拷贝所需要系统库文件 变换启动脚本，使系统启动正确环境 DNS服务器安全配置 及时更新安装最新版本 DNS服务器安全配置—系统冗余 配置多个DNS服务器（冗余性和高可用性） 恶意攻击者对DNS服务器进行拒绝服务攻击的一个保护手段。 为了应用上考虑 配置的方式 DNS负载均衡 主、备方式 第四章 DNS的安全运维 DNS系统维护的注意事项 测试服务器能否正常解析 （nslookup ) DNS最新版本 日志审计 DNS系统维护的注意事项 日志审计-方式 1、默认/var/log/messages 2、定制named.conf DNS系统维护的注意事项 日志审计-logging的配置 logging {? ?? ???? ? channel 指定应该向哪里发送日志数据 ?? ?? ?? ? ? ?? category 类别规定了哪些数据需要记录 }; DNS系统维护的注意事项 日志审计-logging的配置 ? ??channel string; {? ?? ?? ?? ?? ? file logfile;;? ? ? ? ? ?? ?? syslog optional_facility;;? ?? ?? ?? ?? ? null;? ?? ?? ?? ?? ? stderr;? ?? ?? ?? ?? ? ? ? ? ? severity logseverity;;? ?? ?? ?? ?? ? ? ? ? ? print-time boolean;;? ?? ?? ?? ?? ? ? ? ? ? print-severity boolean;;? ?? ?? ?? ?? ? ? ? ? ? print-category boolean;;? ?? ???}; severity critical、error、warning、notice、info、debug