|
mple.com.hosts.external"�; };
}��;
接下來���,需要在example.com.hosts.internal中創(chuàng)建內(nèi)網(wǎng)客戶可見的區(qū)文件����,并在 example.com.hosts.external中創(chuàng)建Internet客戶可見的區(qū)文件。該區(qū)文件的編寫可以根據(jù)用戶的實際情況�����,可以參看上面介紹的內(nèi)容���,此處不再贅述����。
(5)隱藏BIND的版本信息
通常軟件的漏洞和風(fēng)險信息是和特定版本相關(guān)的��,因此版本號是黑客進行攻擊所需要搜集的最有價值的信息之一�。黑客使用dig命令可以查詢BIND的版本號,然后黑客就能夠通過版本號查詢知道這個軟件有那些漏洞�,并尋求相應(yīng)的工具來針對該漏洞進行攻擊。因此�,隨意公開 BIND版本號是不明智的,具有很大的風(fēng)險�。其實,隱藏BIND版本號比較簡單����,只需要修改配置文件/etc/named.conf�����,在option部分添加version聲明將BIND的版本號信息進行覆蓋即可。使用下面的配置聲明將BIND版本號覆蓋�,當(dāng)有人請求版本信息時,將無法得到有用的版本信息:
options {
version “Unkown”
}�����;
(6)使用非root權(quán)限運行BIND
在Linux內(nèi)核2.3.99以后的版本中��,可以以-u選項以非root權(quán)限運行BIND��。該命令表示以 nobody用戶身份運行BIND�,使用nobody身份運行能夠降低緩沖區(qū)溢出攻擊所帶來的危險。命令如下:
#/usr/local/sbin/named –u nobody
(7)刪除DNS上不必要的其他服務(wù)
刪除DNS機器上不必要的其他服務(wù)��。網(wǎng)絡(luò)服務(wù)是造成系統(tǒng)安全的重要原因�,常見的DoS攻擊、弱腳本攻擊以及緩沖區(qū)溢出攻擊都是由于系統(tǒng)存在網(wǎng)絡(luò)服務(wù)所引起的�。在安裝DNS運行所依賴的操作系統(tǒng)前,就應(yīng)該確定在系統(tǒng)中運行的服務(wù)的最小集合�,創(chuàng)建一個DNS服務(wù)器系統(tǒng)就不應(yīng)該安裝Web�、POP�����、gopher����、NNTP News等服務(wù)。建議不安裝以下軟件包:
(1)X-Windows及相關(guān)的軟件包��;
(2)多媒體應(yīng)用軟件包�����;
(3)任何不需要的編譯程序和腳本解釋語言���;
(4)任何不用的文本編輯器���;
(5)不需要的客戶程序;
(6)不需要的其他網(wǎng)絡(luò)服務(wù)��。
(8)合理配置DNS的查詢方式
DNS的查詢方式有兩種���,遞歸查詢和迭代查詢�����。合理配置這兩種查詢方式�����,能夠在實踐中取得較好的效果���。
其中,遞歸查詢是最常見的查詢方式����,工作方式是:域名服務(wù)器將代替提出請求的客戶機(下級DNS服務(wù)器)進行域名查詢,若域名服務(wù)器不能直接回答��,則域名服務(wù)器會在域各樹中的各分支的上下進行遞歸查詢�,最終將返回查詢結(jié)果給客戶機,在域名服務(wù)器查詢期間����,客戶機將完全處于等待狀態(tài)。
迭代查詢又稱重指引查詢���。其工作方式為:當(dāng)服務(wù)器使用迭代查詢時能夠使其他服務(wù)器返回一個最佳的查詢點提示或主機地址��,若此最佳的查詢點中包含需要查詢的主機地址��,則返回主機地址信息�����,若此時服務(wù)器不能夠直接查詢到主機地址���,則是按照提示的指引依次查詢����,直到服務(wù)器給出的提示中包含所需要查詢的主機地址為止�����,一般的����,每次指引都會更靠近根服務(wù)器(向上),查尋到根域名服務(wù)器后�����,則會再次根據(jù)提示向下查找。
綜合上面兩點����,我們可以看出來,遞歸查詢就是客戶機會等待最后結(jié)果的查詢����,而迭代查詢是客戶機等到的不一定是最終的結(jié)果,而可能是一個查詢提示�����。因而存在如下兩個問題:
二級DNS向一級DNS發(fā)起遞歸查詢�,會對一級DNS造成性能壓力�,所有跨域查詢都要經(jīng)過一級DNS響應(yīng)給對應(yīng)二級DNS;
二級DNS向一級DNS發(fā)起遞歸查詢��,再由一級向歸屬DNS發(fā)起遞歸的模式查詢響應(yīng)會有一定延時��;
因此����,有很多流量很大的DNS服務(wù)器是禁止客戶機使用遞歸查詢,用這種方式來減輕服務(wù)器的流量���。
(9)使用dnstop監(jiān)控DNS流量
在維護DNS服務(wù)器時�,用戶往往希望知道到底是哪些用戶在使用DNS服務(wù)器,同時也希望能對DNS狀態(tài)查詢做一個統(tǒng)計����,以及時地知道DNS的工作情況和狀態(tài)。在傳統(tǒng)的方式下���,用戶通常使用的是tcpdump等開源工具來進行抓包并通過查看53端口的流量來查看DNS 數(shù)據(jù)包���。由于tcpdump并沒有針對DNS流量進行特殊定制,因此使用起來可能不是非常方便��。因此��,用戶可以使用專用于DNS的dnstop工具查詢 DNS服務(wù)器狀態(tài)�。
dnstop是一種非常優(yōu)秀的開源軟件,用戶可以到網(wǎng)站http://dns.measurement- factory.com/tools/dnstop/src/上進行下載使用
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
