DNS安全问题与防护措施.pdfVIP

谈谈DNS安全问题——安全小课堂第三十期

安全小课堂第三十期DNS就是把我们地址进行转换成对应IP地址的一种系统，DNS服务可以用于外部和

公司，主机名到IP地址的转换。本期，我们来聊一聊DNS安全问题。

本期我们邀请到唯品会安全专家Mils猪八戒安全专家胡松林大家欢呼╰(*°▽°*)╯/01/豌豆妹首先请科普下DNS吧。

小新DNS就是把我们地址进行转换成对应IP地址的一种系统，是Internet上作为和IP地址相互映射

的一个分布式数据库。其实就是转换IP和IP转换的服务系统。

柴可夫斯为当用户在URL输入一个地址的时候，这些字⺟单词或者符号，计算机是无法理解的，计算机只通过

IP地址工作，所以DNS服务是将主机名解析成为IP地址的方法，当用户Internet上特定主机时候就可以

采用主机名而非IP地址了。

/02/豌豆妹那DNS服务的作用呢？小新DNS服务可以用于外部和公司，主机名到IP地址的转换，类似

于⻩页人的及他们相应的，我们更容易记住人的和公司的名称，而不是或者IP地址。

小丸子DNS服务的作用就是，互联网上的主机都是用IP来进行标示的，如果大家上网都去记住IP是非常的，

并不好记忆。为了能有更好的体验，和用户的记忆习惯，DNS就产生了，他主要负责把我们比较好记忆的

转换成对应的主机IP。

/03/豌豆妹能说说DNS的么？哆啦A梦DNS存在几个主要的安全隐患，容易DNS（缓存、

DNS信息持、DNS重定向）、服务、分布式服务、缓冲区溢出等的。

/04/豌豆妹那从DNS安全角度考虑，如何防止那些呢？

葫芦娃从网络的角度看，DNS控制与邮件控制类似，最安全的方法就是将网络DNS和外部网络隔开。

以下的控制可以加强在相应位置上对网络的控制，同时他们只可能在应用层工作，这些限制方式包括：

不要将你的主从DNS服务器放在同一处进而DNS服务器控制区域传输；

想要获取你BIND版本的CHAOS查询进而隐藏BIND版本号；

及时更新系统补丁确保BIND等使用的是稳定版本；

关闭DNS服务器的gluefetching选项optionno-fetch-glue；

使用非root权限运行BIND/usr/local/sbin/named-uusera；

限定哪台主机能够发起区域传输和递归查询从而限制请求；

使用签名来认证区域传输；使用高强度验证机制DNSSEC；缩小系统DNS查询的重传次数和限制SYN频率从而

提高系统响应能力；

控制你区域中的哪个部分对哪个子网可见。小新另外还有8种最佳做法~可以结合网络拓扑看的那种~

（1）不要将你所有的DNS服务器放在同一区域。

通常在域环境中，最基本的DNS配置服务器有两台，一台服务器是域中的主服务器，另外一台则是从服务器。

当你的网络规模扩大时，你也许就会有多台主从服务器了，所以建议不要将你所有的DNS服务器放在同一区域，同

TalkaboutDNS安全issues-安全小son堂第三十期

SecurityClassroomNo.30DNSisasystemthatconvertsthedomainnameaddresswevisitintothecorrespondingIP

address.TheDNSservicecanbeusedexternallyandwithinthecompanytopro