|
(1)限制名字服務(wù)器遞歸查詢功能
關(guān)閉遞歸查詢可以使名字服務(wù)器進(jìn)入被動(dòng)模式��,它再向外部的DNS發(fā)送查詢請(qǐng)求時(shí)��,只會(huì)回答自己授權(quán)域的查詢請(qǐng)求�,而不會(huì)緩存任何外部的數(shù)據(jù)��,所以不可能遭受緩存中毒攻擊���,但是這樣做也有負(fù)面的效果��,降低了DNS的域名解析速度和效率��。
以下語(yǔ)句僅允許172.168.10網(wǎng)段的主機(jī)進(jìn)行遞歸查詢:
allow-recusion {172.168.10.3/24�; }
(2)限制區(qū)傳送(zone transfer)
如果沒(méi)有限制區(qū)傳送��,那么DNS服務(wù)器允許對(duì)任何人都進(jìn)行區(qū)域傳輸�,因此網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表����、路由器名和路由IP列表,甚至包括各主機(jī)所在的位置和硬件配置等情況都很容易被入侵者得到在DNS配置文件中通過(guò)設(shè)置來(lái)限制允許區(qū)傳送的主機(jī)����,從一定程度上能減輕信息泄漏��。但是����,需要提醒用戶注意的是:即使封鎖整個(gè)區(qū)傳送也不能從根本上解決問(wèn)題����,因?yàn)楣粽呖梢岳肈NS工具自動(dòng)查詢域名空間中的每一個(gè)IP地址,從而得知哪些IP地址還沒(méi)有分配出去�����,利用這些閑置的IP地址�,攻擊者可以通過(guò)IP欺騙偽裝成系統(tǒng)信任網(wǎng)絡(luò)中的一臺(tái)主機(jī)來(lái)請(qǐng)求區(qū)傳送���。
以下語(yǔ)句僅允許IP地址為172.168.10.1和172.168.10.2的主機(jī)能夠同DNS服務(wù)器進(jìn)行區(qū)域傳輸:
acl list { 221.3.131.5��; 221.3.131.6�;
zone "test.com" { type master�; file "test.com ";
allow-transfer { list��; }�����;
};
}�����;
(3)限制查詢(query)
如果任何人都可以對(duì)DNS服務(wù)器發(fā)出請(qǐng)求�����,那么這是不能接受的���。限制DNS服務(wù)器的服務(wù)范圍很重要�����,可以把許多入侵者據(jù)之門外�。修改BIND的配置文件:/etc/named.conf加入以下內(nèi)容即可限制只有210.10.0.0/8和211.10.0.0/8網(wǎng)段的查詢本地服務(wù)器的所有區(qū)信息�,可以在options語(yǔ)句里使用如下的allow-query子句:
options {
allow-query { 210.10.0.0/8; 211.10.0.0/8�;};
}�����;
(4)分離DNS(split DNS)
采用split DNS(分離DNS)技術(shù)把DNS系統(tǒng)劃分為內(nèi)部和外部?jī)刹糠郑獠緿NS系統(tǒng)位于公共服務(wù)區(qū)�����,負(fù)責(zé)正常對(duì)外解析工作�;內(nèi)部DNS系統(tǒng)則專門負(fù)責(zé)解析內(nèi)部網(wǎng)絡(luò)的主機(jī),當(dāng)內(nèi)部要查詢Internet上的域名時(shí)����,就把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上,然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)�����。把DNS系統(tǒng)分成內(nèi)外兩個(gè)部分的好處在于Internet上其它用戶只能看到外部DNS系統(tǒng)中的服務(wù)器����,而看不見(jiàn)內(nèi)部的服務(wù)器��,而且只有內(nèi)外DNS服務(wù)器之間才交換DNS查詢信息�,從而保證了系統(tǒng)的安全性。并且���,采用這種技術(shù)可以有效地防止信息泄漏����。
在BIND 9中可以使用view語(yǔ)句進(jìn)行配置分離DNS。view語(yǔ)句的語(yǔ)法為:
view view_name {
match-clients { address_match_list }�����;
[ view_option��; ...]
zone_statement����; ...
};
其中:
match-clients:該子句非常重要�,它用于指定誰(shuí)能看到本view���?梢栽趘iew語(yǔ)句中使用一些選項(xiàng)���;
zone_statement:該子句指定在當(dāng)前view中可見(jiàn)的區(qū)聲明。如果在配置文件中使用了view語(yǔ)句����,則所有的zone語(yǔ)句都必須在view中出現(xiàn)。對(duì)同一個(gè)zone而言,配置內(nèi)網(wǎng)的view應(yīng)該置于外網(wǎng)的view之前��。
下面是一個(gè)使用view語(yǔ)句的例子��,它來(lái)自于BIND9的標(biāo)準(zhǔn)說(shuō)明文檔:
view "internal" { match-clients { our-nets���; }�;
// 匹配內(nèi)網(wǎng)客戶的訪問(wèn)
recursion yes����;
// 對(duì)內(nèi)網(wǎng)客戶允許執(zhí)行遞歸查詢 zone "example.com" {
// 定義內(nèi)網(wǎng)客戶可見(jiàn)的區(qū)聲明
type master; file "example.com.hosts.internal"���;
}�����;
}����;
view "external" { match-clients { any�; }�����;
// 匹配 Internet 客戶的訪問(wèn)
recursion no;
// 對(duì) Internet 客戶不允許執(zhí)行遞歸查詢 zone "example.com" {
// 定義 Internet 客戶可見(jiàn)的區(qū)聲明 type master����;
file "exa
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
