国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關(guān)注微信公眾號(hào)

如何保護(hù)域名服務(wù)器DNS的安全?
2007-09-29   網(wǎng)絡(luò)

域名服務(wù)器DNS在Internet通信中具有舉足輕重的作用,它負(fù)責(zé)對(duì)域名和IP地址進(jìn)行轉(zhuǎn)換。正是因?yàn)樗淖饔弥匾@些服務(wù)器往往具有較高的系統(tǒng)配置,通常位于高速主干網(wǎng)上,以便快速響應(yīng)大量用戶的查詢請(qǐng)求。另外,由于域名服務(wù)系統(tǒng)的分布性和開放性,域名服務(wù)器常常被安置在防火墻的外面。這些特征使其成為黑客進(jìn)行攻擊的優(yōu)選目標(biāo)。目前,黑客對(duì)DNS服務(wù)器的攻擊主要有三種方法:地址欺騙、拒絕服務(wù)和遠(yuǎn)程漏洞入侵。

地址欺騙攻擊利用了RFC標(biāo)準(zhǔn)協(xié)議中的某些不完善的地方,以達(dá)到修改域名指向的目的。當(dāng)黑客控制著一個(gè)或多個(gè)Internet上正式運(yùn)行的DNS服務(wù)器時(shí),黑客可以指定這些服務(wù)器負(fù)責(zé)解析某個(gè)區(qū)域,并且在這個(gè)區(qū)域內(nèi)加入大量偽造的數(shù)據(jù)(A記錄、NS記錄等),然后黑客使用DNS查詢工具向受害者的DNS服務(wù)器發(fā)送一個(gè)遞歸查詢請(qǐng)求,引誘受害者的 DNS服務(wù)器去查詢黑客的DNS服務(wù)器,黑客的DNS服務(wù)器在返回的查詢結(jié)果中包含了那些事先偽造的數(shù)據(jù),受害者的DNS服務(wù)器在收到查詢結(jié)果后,將此結(jié)果送回黑客的查詢工具,同時(shí)也緩存了查詢結(jié)果中的偽造數(shù)據(jù)。這樣,黑客通過修改自己的DNS服務(wù)器上的數(shù)據(jù),可以使被攻擊的DNS服務(wù)器返回任何錯(cuò)誤的地址指向。

針對(duì)DNS服務(wù)器的拒絕服務(wù)攻擊有兩種,一種攻擊針對(duì)DNS服務(wù)器軟件本身,通常利用BIND軟件程序中的漏洞,導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù)。這種攻擊很容易對(duì)付,只要為BIND軟件安裝相應(yīng)的補(bǔ)丁程序或更新軟件即可。另一種黑客攻擊的目標(biāo)不是DNS服務(wù)器本身,而是利用DNS服務(wù)器作為中間的“攻擊放大器”,去攻擊Internet上其他的計(jì)算機(jī),導(dǎo)致被攻擊的計(jì)算機(jī)拒絕服務(wù)。黑客首先向多個(gè)DNS服務(wù)器發(fā)送大量的查詢請(qǐng)求,這些查詢請(qǐng)求數(shù)據(jù)包中的源IP地址為被攻擊主機(jī)的IP地址,DNS服務(wù)器將大量的查詢結(jié)果發(fā)送給被攻擊主機(jī),使被攻擊主機(jī)所在的網(wǎng)絡(luò)擁塞或不再對(duì)外提供服務(wù)。通過限制查詢主機(jī)的IP地址可以減輕這種攻擊的影響,但是不可能從根本上解決這個(gè)問題。

由于BIND服務(wù)器軟件的許多版本存在緩沖區(qū)溢出漏洞,黑客可以利用這些漏洞遠(yuǎn)程入侵BIND服務(wù)器所在的主機(jī),并以root身份執(zhí)行任意命令。這就是針對(duì)DNS服務(wù)器的遠(yuǎn)程漏洞入侵攻擊。這種攻擊的危害性比較嚴(yán)重,黑客不僅獲得了DNS服務(wù)器上所有授權(quán)區(qū)域內(nèi)的數(shù)據(jù)信息,甚至可以直接修改授權(quán)區(qū)域內(nèi)的任意數(shù)據(jù),同時(shí)可以利用這臺(tái)主機(jī)作為攻擊其他機(jī)器的“跳板”。

為了保護(hù)域名服務(wù)器DNS的安全,建議采取以下措施。

1.使用最新版本的DNS服務(wù)器軟件

Internet上當(dāng)前使用最廣泛的DNS服務(wù)器軟件為BIND(Berkeley Internet Name Domain),它可以運(yùn)行在各種UNIX平臺(tái)上,某些版本也支持Windows NT平臺(tái)。BIND軟件是一個(gè)免費(fèi)軟件,由Internet軟件協(xié)會(huì)(Internet Software Consortium)開發(fā)和維護(hù)。BIND軟件分為兩個(gè)系列:版本4系列和版本8系列。Internet軟件協(xié)會(huì)強(qiáng)烈建議使用BIND 8系列中的版本8.2.2+P5。最新版本的DNS服務(wù)器軟件雖然消除了大部分目前已知的漏洞,但并不意味著DNS服務(wù)器的徹底安全,因?yàn)殡S著新漏洞的發(fā)現(xiàn),“最新版本”將成為不安全的舊版本,這時(shí)必須使用更新的軟件版本或安裝相應(yīng)的補(bǔ)丁程序。Internet軟件協(xié)會(huì)網(wǎng)站的地址為http://www.isc.org,最新的BIND軟件可以從它的FTP服務(wù)器下載。

2.關(guān)閉遞歸查詢和線索查找功能

    如果可能,關(guān)閉BIND服務(wù)器的遞歸查詢功能,這將使DNS服務(wù)器進(jìn)入被動(dòng)模式,即它決不會(huì)向外部的DNS發(fā)送查詢請(qǐng)求,只會(huì)回答對(duì)自己的授權(quán)域的查詢請(qǐng)求,因此不會(huì)緩存任何外部的數(shù)據(jù),所以不可能遭受地址欺騙攻擊。另外,還應(yīng)該關(guān)閉線索查找功能。通常DNS服務(wù)器在返回查詢結(jié)果時(shí),如果結(jié)果中包含NS記錄而沒有NS記錄對(duì)應(yīng)的A記錄,那么DNS服務(wù)器會(huì)去查找這個(gè)A記錄,這種情況叫線索查找。使用這個(gè)功能可能導(dǎo)致欺騙攻擊。

3.限制對(duì)DNS進(jìn)行查詢的IP地址

DNS服務(wù)器接收的查詢請(qǐng)求按照來源可分為兩類:來自外部其他DNS服務(wù)器的查詢請(qǐng)求和來自本地網(wǎng)絡(luò)主機(jī)的查詢請(qǐng)求。DNS服務(wù)器之間的查詢使用交互方式(非遞歸方式)。來自外部DNS服務(wù)器的查詢,其查詢對(duì)象常常為被查詢DNS服務(wù)器所負(fù)責(zé)管理的授權(quán)區(qū)域內(nèi)的數(shù)據(jù)。來自本地網(wǎng)絡(luò)主機(jī)的查詢一般都使用遞歸方式,其查詢對(duì)象既可以是被查詢 DNS服務(wù)器所負(fù)責(zé)的授權(quán)區(qū)域內(nèi)的數(shù)據(jù),也可以是外部的非授權(quán)區(qū)域的數(shù)據(jù)。如果查詢對(duì)象是授權(quán)區(qū)域內(nèi)的數(shù)據(jù),則DNS服務(wù)器直接將內(nèi)存或緩存中的結(jié)果返回給進(jìn)行查詢的主機(jī);如果查詢對(duì)象是外部的非授權(quán)區(qū)域的數(shù)據(jù),則DNS首先在緩存中進(jìn)行查詢,如果找到匹配的結(jié)果則返回給進(jìn)行查詢的主機(jī),否則將查詢請(qǐng)求發(fā)送給外部的DNS服務(wù)器。早期版本的BIND軟件沒有限制進(jìn)行查詢的IP地址的功能,Internet上任何主機(jī)都可以向DNS服務(wù)器發(fā)送遞歸或非遞歸查詢請(qǐng)求,DNS服務(wù)器都進(jìn)行回答。這不僅讓他人可能濫用DNS服務(wù)器,黑客還可能利用這個(gè)功能欺騙DNS服務(wù)器,因此需要限制對(duì)DNS進(jìn)行查詢的IP地址,僅允許指定IP地址網(wǎng)絡(luò)的主機(jī)查詢外部的非授權(quán)域。

4.限制對(duì)DNS進(jìn)行遞歸查詢的IP地址

如果遞歸查詢請(qǐng)求來自不允許的IP地址,則應(yīng)該將此查詢以非遞歸查詢對(duì)待。

5.限制區(qū)域傳輸

區(qū)域傳輸一般用于主DNS服務(wù)器和輔DNS服務(wù)器之間的數(shù)據(jù)同步,當(dāng)主DNS服務(wù)器對(duì)其所管理的授權(quán)區(qū)域內(nèi)的數(shù)據(jù)進(jìn)行改動(dòng)后,輔DNS服務(wù)器按照規(guī)定的時(shí)間間隔使用區(qū)域傳輸從主DNS服務(wù)器獲取改動(dòng)后的信息,然后刷新自己相應(yīng)區(qū)域內(nèi)的數(shù)據(jù)。利用區(qū)域傳輸功能,還可以獲得整個(gè)授權(quán)區(qū)域內(nèi)的所有主機(jī)信息,這正是黑客所感興趣的內(nèi)容,根據(jù)這些信息,黑客可以輕松地推測(cè)網(wǎng)絡(luò)結(jié)構(gòu),并從主機(jī)的域名信息判斷其功能或發(fā)現(xiàn)那些防范措施較弱的計(jì)算機(jī)。BIND軟件的默認(rèn)設(shè)置允許任何人進(jìn)行區(qū)域傳輸。因此,必須在配置文件中加以限制。

6.限制對(duì)BIND軟件的版本信息進(jìn)行查詢

黑客為了利用特定版本BIND軟件的漏洞,首先需要確定BIND軟件的版本號(hào),默認(rèn)情況下,BIND服務(wù)器軟件不限制對(duì)自身版本號(hào)的查詢,任何人都可以很容易地獲取BIND軟件的版本號(hào)。因此需要限制對(duì)BIND軟件的版本信息進(jìn)行查詢。

為了保證DNS服務(wù)器的安全運(yùn)行,不僅要使用可靠的服務(wù)器軟件,還要對(duì)DNS服務(wù)器進(jìn)行正確的配置。


熱詞搜索:

上一篇:網(wǎng)絡(luò)機(jī)房服務(wù)器及網(wǎng)絡(luò)設(shè)備管理應(yīng)包括哪些方面內(nèi)容
下一篇:如何將Windows 2000系統(tǒng)配置成路由器工作模式?

分享到: 收藏
国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区
久久99热狠狠色一区二区| 99国产麻豆精品| 看电视剧不卡顿的网站| 欧美大度的电影原声| 麻豆成人免费电影| 久久精品亚洲麻豆av一区二区| 国产成人免费视频网站| 亚洲欧美激情视频在线观看一区二区三区 | 日韩写真欧美这视频| 久久av资源网| 一区二区三区日韩| 久久久99精品久久| 在线一区二区三区做爰视频网站| 日韩电影在线看| 国产精品久久久久永久免费观看| 欧美三级视频在线| 高清日韩电视剧大全免费| 亚洲一区二区三区四区在线免费观看| 日韩欧美在线1卡| 94-欧美-setu| 国产曰批免费观看久久久| 亚洲一区二区三区四区在线| 久久综合九色综合欧美就去吻| 色视频成人在线观看免| 国产一区二区免费看| 亚洲二区视频在线| 国产精品久久久久久妇女6080| 日韩欧美一区中文| 欧美色综合天天久久综合精品| 成人黄动漫网站免费app| 麻豆传媒一区二区三区| 一区二区不卡在线播放| 中文子幕无线码一区tr| 亚洲精品一线二线三线 | 92国产精品观看| 国产精一品亚洲二区在线视频| 日韩精品成人一区二区在线| 亚洲精品videosex极品| 亚洲人成网站在线| 中文字幕日韩一区| 国产精品毛片无遮挡高清| 久久久噜噜噜久久中文字幕色伊伊 | 美女一区二区在线观看| 亚洲成人福利片| 亚洲色图制服诱惑| 亚洲视频在线观看三级| 国产日韩欧美一区二区三区乱码 | 精品一区二区久久| 日韩和欧美一区二区三区| 亚洲午夜久久久久久久久电影网 | 久久久91精品国产一区二区精品| 欧美精品一区二区三区四区| 日韩美女视频在线| 精品久久国产老人久久综合| 日韩视频一区二区三区在线播放 | 久久精品水蜜桃av综合天堂| 久久综合给合久久狠狠狠97色69| 日韩欧美成人一区| 2023国产一二三区日本精品2022| 精品久久久久久无| 日本一区二区三区在线观看| 亚洲视频在线一区| 亚洲国产成人av网| 青青草97国产精品免费观看 | 中文字幕的久久| 综合激情成人伊人| 一区二区三区蜜桃| 日本不卡在线视频| 国产乱一区二区| 9l国产精品久久久久麻豆| 在线视频综合导航| 欧美日韩免费视频| 精品国偷自产国产一区| 亚洲国产精品t66y| 一区二区三区日韩在线观看| 日日夜夜精品免费视频| 狠狠色丁香久久婷婷综合丁香| 成人黄色国产精品网站大全在线免费观看 | gogogo免费视频观看亚洲一| 91九色02白丝porn| 日韩女优电影在线观看| 国产精品国产自产拍在线| 亚洲妇熟xx妇色黄| 高清在线观看日韩| 欧美精品久久一区| 欧美极品aⅴ影院| 亚洲一区在线视频观看| 国产在线精品一区二区| 色婷婷亚洲精品| 久久久美女毛片| 日韩av电影天堂| 99视频一区二区| 日韩视频免费直播| 亚洲综合在线电影| 国产不卡视频一区| 欧美一区二区免费观在线| 亚洲婷婷国产精品电影人久久| 免费在线看一区| 欧美亚洲综合色| 中文字幕在线一区免费| 国产一区欧美二区| 6080午夜不卡| 亚洲国产精品精华液网站| 91蝌蚪国产九色| 久久新电视剧免费观看| 丝袜美腿亚洲综合| 色婷婷av一区二区| 亚洲欧洲性图库| 韩国一区二区三区| 日韩欧美高清一区| 日韩经典一区二区| 欧美日韩一区二区三区视频| 亚洲欧美视频一区| 成a人片国产精品| 欧美激情一区二区三区| 国产一区二区毛片| 精品国产亚洲在线| 久久99在线观看| 日韩精品一区在线观看| 日本一区中文字幕| 制服视频三区第一页精品| 亚洲综合在线视频| 欧美亚洲一区二区在线观看| 亚洲欧洲精品一区二区三区不卡| 国产99精品在线观看| 欧美国产综合一区二区| 丁香六月久久综合狠狠色| 国产日韩欧美高清在线| 国产精品一区二区在线观看不卡| www久久精品| 成人看片黄a免费看在线| 国产精品久久久久久妇女6080 | 国产精品灌醉下药二区| 99视频精品免费视频| 亚洲欧洲美洲综合色网| 色8久久人人97超碰香蕉987| 亚洲综合成人网| 欧美一区二区视频在线观看2020| 日韩不卡免费视频| 欧美r级在线观看| 国产精品亚洲午夜一区二区三区| 国产片一区二区| 欧美在线免费观看视频| 午夜欧美在线一二页| 日韩欧美一区二区三区在线| 精品系列免费在线观看| 国产精品―色哟哟| 欧洲国内综合视频| 日韩国产精品久久久久久亚洲| 日韩午夜av一区| 成人黄色电影在线| 亚洲国产精品欧美一二99| 2023国产精品视频| 91黄色在线观看| 麻豆成人久久精品二区三区小说| 国产午夜精品一区二区三区嫩草 | 午夜精品福利一区二区三区蜜桃| 欧美乱妇15p| 国产精品一区免费视频| 亚洲精品老司机| 精品国产乱码91久久久久久网站| 成人精品gif动图一区| 亚洲午夜一区二区三区| 久久久久久97三级| 欧美在线影院一区二区| 国产一区在线精品| 亚洲图片欧美一区| 久久在线免费观看| 色94色欧美sute亚洲线路一ni| 免费人成精品欧美精品| 亚洲欧美视频在线观看视频| 精品福利一二区| 日本高清成人免费播放| 久久精品国产免费| 亚洲日本韩国一区| 久久综合久久综合久久综合| 欧美在线999| 成人爽a毛片一区二区免费| 五月婷婷激情综合网| 亚洲图片你懂的| 久久综合狠狠综合久久综合88| 欧美日韩在线播放| 一本久道久久综合中文字幕| 国产精品中文字幕欧美| 视频一区二区中文字幕| 亚洲乱码中文字幕综合| 亚洲国产精品ⅴa在线观看| 日韩一区二区免费在线观看| 在线观看视频91| 99久久国产免费看| 国产不卡一区视频| 国产一区二区精品在线观看| 看片网站欧美日韩| 另类小说欧美激情| 全国精品久久少妇| 日韩va欧美va亚洲va久久| 亚洲成人三级小说| 亚洲国产精品综合小说图片区| 亚洲男人的天堂一区二区| 国产精品美日韩|