指定dns可以提高服务器安全性吗?
指定dns可以提高服务器安全性吗?服务器安全早已是经常谈到的难题了,应对新手来说,看的多远不如实际去采用。另外有所不同的服务器安全设置也是有相应差距的,之前早已跟大伙讲到了web服务器的安全设置,接下
指定dns可以提高服务器安全性吗?答案是可以的,服务器安全早已是经常谈到的难题了,应对新手来说,看的多远不如实际去采用。另外有所不同的服务器安全设置也是有相应差距的,之前早已跟大伙讲到了web服务器的安全设置,接下来会给大伙解读DNS服务器安全。考虑到DNS服务采用UDP协议,因而应对攻击者来说,更易于把攻击焦点汇集在DNS服务上。为了更好地DNS服务器的安全,下面介绍包括“指定dns提高服务器安全性”在内的10个高效提升DNS服务器安全的方法,期待可以帮到到大伙。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
DNS解析是互联网中一项重要基础服务,它负责将简单的域名翻译成可由计算机识别的IP地址,从而实现人机交互并通过域名而不是复杂的IP地址去访问web服务器,获取相应的信息和服务。因此DNS解析在整个网络互联体系中充当着导航系统的角色,其重要性不言而喻。如果DNS解析出现故障,则域名和IP地址之间的指向关系就会出现问题,往往会导致通过域名无法打开网站,或者访问到一个错误的网站。
服务器DNS安全问题有哪些?
DNS在设计之初只考虑了实用性,没有相应的验证机制,所以安全性较低,经常成为网络攻击的重点对象。
目前针对服务器DNS的攻击主要有两种:
一种是DNS DDoS攻击,也就是针对DNS服务器发动攻击,造成DNS服务器的线路拥堵或宕机。DNS服务器发生故障,将无法及时回应递归服务器发起的解析请求,从而会导致其所管辖的所有域名都无法正常解析,这样造成的危害比单独针对web服务器发起攻击要大得多。
另一种是DNS劫持,DNS劫持就是通过错误的域名解析记录代替正确的记录返回给客户端,将客户端引导至错误的IP地址,从而达到流量劫持,获取非法收益的目的。
DNS劫持可通过DNS缓存投毒、修改NS记录等方式达成。
1、采用DNS转发器
DNS转发器是为其余DNS服务器实现DNS查找的DNS服务器。采用DNS转发器的关键目的是减轻DNS处置的压力,把查询要求从DNS服务器转给转发器,从DNS转发器潜在地更大DNS高速缓存中获益。采用DNS转发器的另一个优势是它阻止了DNS服务器转发来源于互联网DNS服务器的查找要求。假如你的DNS服务器储存了你内部的域DNS资源记录的情况下,这一点就特别关键。不要让内部DNS服务器进行递归查询并立即联络DNS服务器,反而是让它采用转发器来处置未授权的请求。
2、采用只缓冲DNS服务器
只缓冲DNS服务器是应对为授权域名的。它被用于递归查询或是采用转发器。当只缓冲DNS服务器接到一个汇报,它把结果储存在高速缓存中,随后把结果发送到向它提出DNS查找请求的系统。伴随着时间流逝,只缓冲DNS服务器可以搜集大量的DNS汇报,这能更大地缩减它具备DNS响应的时长。把只缓冲DNS服务器身为转发器采用,在你的监督控制下,可以提升组织安全性。内部DNS服务器可以把只缓冲DNS服务器作为自己的转发器,只缓冲DNS服务器代替你的内部DNS服务器实现递归查询。采用你自己的只缓冲DNS服务器身为转发器可以提升安全性,由于你无需依赖你的ISP的DNS服务器身为转发器,在你不可以确认ISP的DNS服务器安全性的状况下,更是如此。
3、使用DNS广告者
DNS广告者(DNS Advertisers)是一台负责解析域中查询的DNS服务器。例如,如果主机对于domain.com和corp.com是公开可用的资源,则公共DNS服务器就应该为domain.com和corp.com配置DNS区文件。
4、使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,可能在内部网络上有一台可授权内部网络域名internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。
5、保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存能够极大地提高组织内部的DNS查询性能。但如果DNS服务器的高速缓存中被大量假的DNS信息 “污染” 了,用户就有可能被送到恶意站点,而不是其原先想要访问的网站。
6、使 DNS 只用安全连接:很多 DNS 服务器接受动态更新。动态更新特性使这些 DNS 服务器能记录使用 DHCP 的主机的主机名和 IP 地址。DNS 能够极大地减轻 DNS 管理员的工作强度,否则管理员必须手工配置这些主机的 DNS 资源记录。然而,如果未检测 DNS 更新,可能会带来很严重的安全问题。一个恶意用户可以配置主机成为一台文件服务器、Web 服务器或者数据库服务器,以动态更新 DNS 主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。
7、禁用区域传输:区域传输发生在主 DNS 服务器和从 DNS 服务器之间。主 DNS 服务器授权特定域名,并且带有可改写的 DNS 区域文件,在需要的时候可以对该文件进行更新,从 DNS 服务器从主 DNS 服务器接收这些区域文件的只读副本。从 DNS 服务器被用于提高来自内部或者互联网 DNS 查询响应性能。
8、使用防火墙来控制 DNS 访问:防火墙可以用来控制哪个用户可以连接到 DNS 服务器上。对于那些仅仅响应内部用户查询请求的 DNS 服务器,应该设置防火墙的配置,阻止外部主机连接这些 DNS 服务器。对于用作只缓存转发器的 DNS 服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的 DNS 服务器发来的查询请求。防火墙策略设置的重要原因是它阻止内部用户使用 DNS 协议连接外部 DNS 服务器。
9、在 DNS 注册表中建立访问控制:在基于 Windows 的 DNS 服务器中,应该在 DNS 服务器相关的注册表中设置访问控制,这样只有那些需要访问的账户才能够阅读或修改这些注册表设置。
