Linux應(yīng)用環(huán)境下九大DNS安全保障技巧 (2)

mple.com.hosts.external"； }；

    }；

    接下來，需要在example.com.hosts.internal中創(chuàng)建內(nèi)網(wǎng)客戶可見的區(qū)文件，并在 example.com.hosts.external中創(chuàng)建Internet客戶可見的區(qū)文件。該區(qū)文件的編寫可以根據(jù)用戶的實(shí)際情況，可以參看上面介紹的內(nèi)容，此處不再贅述。

    (5)隱藏BIND的版本信息

    通常軟件的漏洞和風(fēng)險(xiǎn)信息是和特定版本相關(guān)的，因此版本號是黑客進(jìn)行攻擊所需要搜集的最有價(jià)值的信息之一。黑客使用dig命令可以查詢BIND的版本號，然后黑客就能夠通過版本號查詢知道這個(gè)軟件有那些漏洞，并尋求相應(yīng)的工具來針對該漏洞進(jìn)行攻擊。因此，隨意公開 BIND版本號是不明智的，具有很大的風(fēng)險(xiǎn)。其實(shí)，隱藏BIND版本號比較簡單，只需要修改配置文件/etc/named.conf，在option部分添加version聲明將BIND的版本號信息進(jìn)行覆蓋即可。使用下面的配置聲明將BIND版本號覆蓋，當(dāng)有人請求版本信息時(shí)，將無法得到有用的版本信息：

    options {

    version “Unkown”

    }；

    (6)使用非root權(quán)限運(yùn)行BIND

    在Linux內(nèi)核2.3.99以后的版本中，可以以-u選項(xiàng)以非root權(quán)限運(yùn)行BIND。該命令表示以 nobody用戶身份運(yùn)行BIND，使用nobody身份運(yùn)行能夠降低緩沖區(qū)溢出攻擊所帶來的危險(xiǎn)。命令如下：

    #/usr/local/sbin/named –u nobody

    (7)刪除DNS上不必要的其他服務(wù)

    刪除DNS機(jī)器上不必要的其他服務(wù)。網(wǎng)絡(luò)服務(wù)是造成系統(tǒng)安全的重要原因，常見的DoS攻擊、弱腳本攻擊以及緩沖區(qū)溢出攻擊都是由于系統(tǒng)存在網(wǎng)絡(luò)服務(wù)所引起的。在安裝DNS運(yùn)行所依賴的操作系統(tǒng)前，就應(yīng)該確定在系統(tǒng)中運(yùn)行的服務(wù)的最小集合，創(chuàng)建一個(gè)DNS服務(wù)器系統(tǒng)就不應(yīng)該安裝Web、POP、gopher、NNTP News等服務(wù)。建議不安裝以下軟件包：

    (1)X-Windows及相關(guān)的軟件包；

    (2)多媒體應(yīng)用軟件包；

    (3)任何不需要的編譯程序和腳本解釋語言；

    (4)任何不用的文本編輯器；

    (5)不需要的客戶程序；

    (6)不需要的其他網(wǎng)絡(luò)服務(wù)。

    (8)合理配置DNS的查詢方式

    DNS的查詢方式有兩種，遞歸查詢和迭代查詢。合理配置這兩種查詢方式，能夠在實(shí)踐中取得較好的效果。

    其中，遞歸查詢是最常見的查詢方式，工作方式是：域名服務(wù)器將代替提出請求的客戶機(jī)(下級DNS服務(wù)器)進(jìn)行域名查詢，若域名服務(wù)器不能直接回答，則域名服務(wù)器會在域各樹中的各分支的上下進(jìn)行遞歸查詢，最終將返回查詢結(jié)果給客戶機(jī)，在域名服務(wù)器查詢期間，客戶機(jī)將完全處于等待狀態(tài)。

    迭代查詢又稱重指引查詢。其工作方式為：當(dāng)服務(wù)器使用迭代查詢時(shí)能夠使其他服務(wù)器返回一個(gè)最佳的查詢點(diǎn)提示或主機(jī)地址，若此最佳的查詢點(diǎn)中包含需要查詢的主機(jī)地址，則返回主機(jī)地址信息，若此時(shí)服務(wù)器不能夠直接查詢到主機(jī)地址，則是按照提示的指引依次查詢，直到服務(wù)器給出的提示中包含所需要查詢的主機(jī)地址為止，一般的，每次指引都會更靠近根服務(wù)器(向上)，查尋到根域名服務(wù)器后，則會再次根據(jù)提示向下查找。

    綜合上面兩點(diǎn)，我們可以看出來，遞歸查詢就是客戶機(jī)會等待最后結(jié)果的查詢，而迭代查詢是客戶機(jī)等到的不一定是最終的結(jié)果，而可能是一個(gè)查詢提示。因而存在如下兩個(gè)問題：

    二級DNS向一級DNS發(fā)起遞歸查詢，會對一級DNS造成性能壓力，所有跨域查詢都要經(jīng)過一級DNS響應(yīng)給對應(yīng)二級DNS；

    二級DNS向一級DNS發(fā)起遞歸查詢，再由一級向歸屬DNS發(fā)起遞歸的模式查詢響應(yīng)會有一定延時(shí)；

    因此，有很多流量很大的DNS服務(wù)器是禁止客戶機(jī)使用遞歸查詢，用這種方式來減輕服務(wù)器的流量。

    (9)使用dnstop監(jiān)控DNS流量

    在維護(hù)DNS服務(wù)器時(shí)，用戶往往希望知道到底是哪些用戶在使用DNS服務(wù)器，同時(shí)也希望能對DNS狀態(tài)查詢做一個(gè)統(tǒng)計(jì)，以及時(shí)地知道DNS的工作情況和狀態(tài)。在傳統(tǒng)的方式下，用戶通常使用的是tcpdump等開源工具來進(jìn)行抓包并通過查看53端口的流量來查看DNS 數(shù)據(jù)包。由于tcpdump并沒有針對DNS流量進(jìn)行特殊定制，因此使用起來可能不是非常方便。因此，用戶可以使用專用于DNS的dnstop工具查詢 DNS服務(wù)器狀態(tài)。

    dnstop是一種非常優(yōu)秀的開源軟件，用戶可以到網(wǎng)站http：//dns.measurement- factory.com/tools/dnstop/src/上進(jìn)行下載使用

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]