引言

    DNS作為一種在Internet廣泛使用的域名解析系統(tǒng)，經(jīng)常會受到一些非授權(quán)的訪問。DNS是一種基于BIND的服務(wù)，直到基于BIND 8.1.2版本，DNS服務(wù)才在安全方面做了相應(yīng)的限制。充分利用BIND自身已經(jīng)實現(xiàn)的保護功能，加強BIND安全性，從而能抵御目前已知的BIND安全漏洞，并使?jié)撛诘陌踩�漏洞對服�?wù)器造成的影響盡可能地減少。

1、利用查詢和同步可對安全方面加以限制

    查詢是ClientX寸Server直接提交的解析請求，要求Server返回解析的最終結(jié)果。同步是Secondary Server和Primary Server之間的數(shù)據(jù)同步�？梢酝ㄟ^限制查詢和同步提高系統(tǒng)安全性。

    BIND 8.1.2增加的安全特性寫在／etc/named．conf中。

    (1)對查詢的限制

    ①限制所有的查詢。

    option{

    allow-query{192. 168.1. 0/24; 128. 50. 0.0/16;}

    }；

    以上限制說明只有在括號中的網(wǎng)段才允許查詢。

    ⑦制對特定域的查詢。

    zone“central.sun.com”{

    allow-query{“training.net”;};

    }；

    allow-query中可以是網(wǎng)段、主機或是域。如果是網(wǎng)段，必須寫成網(wǎng)絡(luò)號加掩碼的形式，否則會出錯。如果是主機，可以寫IP地址，不用加掩碼。

    (2)對同步的限制

    ①限制某網(wǎng)段對所有域的同步。

    options{

    allow-transfer{ 128. 50.0. 0/24;};

    }；

    ②所有主機對特定域的同步作限制。

    zone“central.sun.com”{

    aLlow-transfer{none;};

    }；

    以上限制是禁止所有主機對本域的數(shù)據(jù)同步。option和zone所規(guī)定的限制是順序生效的。若在option選項為none，則全部禁止，下面zone中的限制將會被忽略；若在option選項中為允許，在zone中為禁止，則針對這一特定域的訪問被禁止。

    以上的限制，只是對于直接查詢才有效，對于遞歸查詢則不生效。

2、DNS server啟動進程和配置進程

    對DNS server啟動進程和配置也可以進行一些安全設(shè)置。

    (1)named進程啟動選項

    -r:關(guān)閉域名服務(wù)器的遞歸查詢功能（缺省為打開）。

    -u和-g:定義域名服務(wù)器運行時所使用的UID和GID。用于丟棄啟動時所需要的root特權(quán)。

    -t:指定當服務(wù)器進程處理完命令行參數(shù)后所要chroot()的目錄。

    (2)配置文件中的安全選項

    將安全事件寫到文件中，同時還保持原有的日志模式，可以添加以下內(nèi)容：

    logging{

    channel my_security_channel{

    file “my_security_file.log”versions 3size 20m;

    severity info;

    }；

    category security{

    my_security_channel;

    default_syslog; default_debug;};

    }

    其中my_security_channel是用戶自定義的channel名字，my_security_file.log是安全事件日志文件，缺省時沒有大小限制。

    在options中增加自定義的BIND版本信息，可隱藏BIND服務(wù)器的真正版本號。

    version “Who knows?”；

    ／／version 9.9.9;

    要禁止DNS域名遞歸查詢，在options中增加：

    recursion no;

    fetch-glue no;

    要增加出站查詢請求的ID值的隨機性，在options中增加：

    use-id-pool yes;

    注意：這會使服務(wù)器多占用超過128KB內(nèi)存，缺省值為no。

3、關(guān)于DNS客戶端查詢超時的解決辦法

    DNS客戶端的配置文件之一是／etc/resolv．conf，負責告訴客戶端當需要作DNS查詢時，先查哪個域，后查哪個域。發(fā)送查詢請求時，發(fā)送給哪一臺服務(wù)器。它通常的形式是：

    Searchdomainldomain2

    NameserverlP of first server

    NameserverlP of second server

    這兩個Nameserver之間的關(guān)系是：當?shù)谝慌_server不響應(yīng)時，查詢第二臺server。這樣就有一個問題：等多長時間算不響應(yīng)？缺省情況下當?shù)谝慌_server持續(xù)7 5妙不響應(yīng)，系統(tǒng)才會轉(zhuǎn)向第二臺server。怎樣能縮短時間？

    resolv．conf文件還支持另外的選項，形式是：

    Options optionlist

    這里的optionlist包括下面幾種與響應(yīng)時間有關(guān)的選項：

    (1)retry:n，retry用來設(shè)置嘗試連接服務(wù)器的次數(shù)，n缺省值為4。retry：O和retry：1等效。

    (2)retrans：n，retrans設(shè)置請求timeout時間的基準值，n的缺省值為5。每次請求的timeout時間會在上一次的基礎(chǔ)上增加一倍。在缺省情況下，75秒之后客戶端會放棄該服務(wù)器，轉(zhuǎn)向文件中規(guī)定的另一個服務(wù)器。

    如果希望resolv．conf文件中規(guī)定的server在較短的時間內(nèi)不響應(yīng)，就轉(zhuǎn)向另一臺server發(fā)出查詢請求，可以在該文件中增加以下兩行：

    optionsretry：3

    options retrans:2

    這樣設(shè)置的結(jié)果是：服務(wù)器14妙內(nèi)不響應(yīng)，客戶端會轉(zhuǎn)向另一臺DNS服務(wù)器發(fā)送查詢請求。

4、結(jié)論

    本文論述了DNS的一些安全措施，DNS的安全至關(guān)重要，所以要不斷的更新其版本及采取響應(yīng)的安全措施，以保證服務(wù)正常。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：DNS服務(wù)器安全及解析超時問題的解決

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155818.html