DNS：保护dns服务器十大最有效方法

　　【温馨提醒】文章内容仅供参考,海外服务器租用\托管方案,请咨询YINGSOO客服,24小时免费电话400-630-3752

DNS

　　dns软体是骇客热衷攻击的目标，它可能带来安全问题。本文提供了10个保护dns服务器最有效的方法。

一. 使用dns转发器dns转发器是为其他dns服务器完成dns查询的dns服务器。使用dns转发器的主要目的是减轻dns处理的压力，把查询请求从dns服务器转给转发器，从dns转发器潜在地更大dns快取记忆体中受益。使用dns转发器的另一个好处是它阻止了dns服务器转发来自互联网dns服务器的查询请求。如果您的dns服务器保存了您内部的域dns资源记录的话，这一点就非常重要。不让内部dns服务器进行递迴查询并直接联繫dns服务器，而是让它使用转发器来处理未授权的请求。二. 使用只缓衝dns服务器只缓衝dns服务器是针对为授权功能变数名称的。它被用做递迴查询或者使用转发器。当只缓衝dns服务器收到一个回馈，它把结果保存在快取记忆体中，然后把结果发送给向它提出dns查询请求的系统。随着时间推移，只缓衝dns服务器可以收集大量的^{[香港云主机租用]}dns回馈，这能极大地缩短它提供dns回应的时间。把只缓衝dns服务器作为转发器使用，在您的管理控制下，可以提高组织安全性。内部dns服务器可以把只缓衝dns服务器当作自己的转发器，只缓衝 dns服务器代替您的内部dns服务器完成递迴查询。使用您自己的只缓衝dns服务器作为转发器能够提高安全性，因为您不需要依赖您的isp的dns服务器作为转发器，在您不能确认isp的dns服务器安全性的情况下，更是如此。三. 使用dns广告者(dns advertisers)dns广告者是一台负责解析域中查询的dns服务器。例如，如果您的主机对于domain.com 和corp.com是公开可用的资源，您的公共dns服务器就应该为 domain.com 和corp.com配置dns区档。除dns区档宿主的其他dns服务器之外的dns广告者设置，是dns广告者只回答其授权的功能变数名称的查询。这种dns服务器不会对其他dns服务器进行递迴查询。这让用户不能使用您的公共dns服务器来解析其他功能变数名称。通过减少与运行一个公开dns解析者相关的风险，包括缓存中毒，增加了安全。四. 使用dns解析者dns解析者是一台可以完成递迴查询的dns服务器，它能够解析为授权的功能变数名称。例如，您可能在内部网路上有一台dns服务器，授权内部网路功能变数名称 internalcorp.com的dns服务器。当网路中的客户机使用这台dns服务器去解析techrepublic.com时，这台dns服务器通过向其他dns服务器查询来执行递迴以获得答案。dns服务器和dns解析者之间的区别是dns解析者是仅仅针对解析互联网主机名称。dns解析者可以是未授权dns功能变数名称的只缓存dns服务器。您可以让dns 解析者仅对内部用户使用，您也可以让它仅为外部使用者服务，这样您就不用在没有办法控制的外部设立dns服务器了，从而提高了安全性。当然，您也可以让dns解析者同时被内、外部用户使用。五. 保护dns不受缓存污染dns缓存污染已经成了日益普遍的问题。绝大部分dns服务器都能够将dns查询结果在答覆给发出请求的主机之前，就保存在快取记忆体中。dns快取记忆体能够极大地提高您组织内部的dns查询性能。问题是如果您的dns服务器的快取记忆体中被大量假的dns资讯“污染”了的话，用户就有可能被送到恶意网站而不是他们塬先想要访问的网站。绝大部分dns服务器都能够通过配置阻止缓存污染。windowsserver 2003 dns服务器预设的配置状态就能够防止缓存污染。如果您使用的是windows 2000 dns服务器，您可以配置它，打开dns服务器的properties对话方块，然后点击“高级”表。选择“防止缓存污染”选项，然后重新开机dns服务器。六. 使ddns只用安全连接很多dns服务器接受动态更新。动态更新特性使这些dns服务器能记录使用dHcp的主机的主机名称和ip位址。ddns能够极大地减轻dns管理员的管理费用，否则管理员必须手工配置这些主机的dns资源记录。然而，如果未检^{[cdn网络加速器]}测的ddns更新，可能会带来很严重的安全问题。一个恶意使用者可以配置主机成为台档案服务器、web服务器或者资料库服务器动态更新的dns主机记录，如果有人想连接到这些服务器就一定会被转移到其他的机器上。您可以减少恶意dns升级的风险，通过要求安全连接到dns服务器执行动态升级。这很容易做到，您只要配置您的dns服务器使用活动目录综合区 (Active directory integrated Zones)并要求安全动态升级就可以实现。这样一来，所有的域成员都能够安全地、动态更新他们的dns资讯。七. 禁用区域传输区域传输发生在主dns服务器和从dns服务器之间。主dns服务器授权特定功能变数名称，并且带有可改写的dns区域档，在需要的时候可以对该档进行更新。从dns服务器从主力dns服务器接收这些区域档的唯读拷贝。从dns服务器被用于提高来自内部或者互联网dns查询回应性能。然而，区域传输并不仅仅针对从dns服务器。任何一个能够发出dns查询请求的人都可能引起dns服务器配置改变，允许区域传输倾倒自己的区域资料库档。恶意使用者可以使用这些资讯来侦察您组织内部的命名计画，并攻击关键服务架构。您可以配置您的dns服务器，禁止区域传输请求或者仅允许针对组织内特定服务器进行区域传输，以此来进行安全防範。八. 使用防火墙来控制dns访问防火墙可以用来控制谁可以连接到您的dns服务器上。对于那些仅仅回应内部用户查询请求的dns服务器，应该设置防火墙的配置，阻止外部主机连接这些dns服务器。对于用做只缓存转发器的dns服务器，应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的dns服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部使用者使用dns协定连接外部dns服务器。九. 在dns註册表中建立存取控制在基于windows的dns服务器中，您应该在dns服务器相关的註册表中设置存取控制，这样只有那些需要访问的帐户才能够阅读或修改这些註册表设置。HKLm\currentcontrolset\services\dns键应该仅仅允许管理员和系统帐户访问，这些帐户应该拥有完全控制许可权。十. 在dns档案系统入口设置存取控制在基于windows的dns服务器中，您应该在dns服务器相关的档案系统入口设置存取控制，这样只有需要访问的帐户才能够阅读或修改这些档。

　　香港服务器租用那些要素需要我们关注

　　1、访问速度方^{[杭州传奇服务器]}面：访问速度的响应率一般指的Ping值，众所周知香港距离中国大陆距离遥远，只是制约香港服务器像大陆热销的最大绊脚石，但是香港服务器Ping有的高，有的低。香港服务器到中国目前最好的机房Ping在30ms左右,但由于香港到你的本地网络之前不知道有多少个节点路由在做数据交换，所以一般香港服务器ping在50ms左右就算合格，其中本公司香港服务器就能达到。

　　2、稳定性方面：稳定一直是站长对服务器的根本要求，稳定涵盖了网络，硬体，突发情况多方面因素，所以选一款稳定的机房作为业务发展根基亦是客观重要的。香港机房里面也是参差不齐，很多著名机房在稳定性方面做的很好，但不乏乌合之众。有些机房动不动就磁盘损失，或者主板短路。再者就是不提前通知就来个切割线路或者更换路由等大工程，一断可能就是几个小时甚至几天，让站长们愁的痛不欲生。在这其中当然是很多代理商的奸诈行为，他们一机多卖，或者以次充好，所以一定要多注意。

　　3、丢包率方面：所谓“抽风”，由于中国距离阔度大，链路复杂，所以丢包率一直居高不下，所以好的服务器丢包一定要低，这样才能保证我们站长业务稳定发展。那么丢包率应该在多少呢?丢包率一直是由于节点路由器数量的多少而影响，距离不会影响丢包，比如香港服务器到香港丢包一直很少，但是比邻广东就高了很多，就是由于大陆内路由节点太多导致，很多站长自己本地网络是A^{[美国服务器和美国VPS到底好用不]}DSL或者小区光纤，这样一来又多了很多节点。那么好的香港机房应该在优化数据传输链路上面下费苦工，减少路由，这样丢包肯定会明显减少，目前比较过的香港服务器丢包不到2%，基本没什么丢包的。

　　4、防攻击方面：香港服务器因为IP多而得名，可以通过DNS轮训技术达到一定的防御，但这其中有一些机房拥有非常好的防御力，这些机房就是高防客户的首选香港IDC行业在3年前很少听说有专门做DDOS防御业务的，但是近些年随着中国客户的涌入，很多商家亦是到客户需求，越来越多的增加DDOS防御系统的建立，比如新世界机房，香港电讯机房，在防御领域颇为瞩目。

　　5、价格方面，有的IDC会有以次充好的情况，以低价吸引客户，但是提供的产品确实不敢恭维。因此大家要注意不是越便宜的就好!需要选择服务好，口碑好，有资质的主机商。

　　6、售后服务方面：看一个IDC的质量如何，服务器的质量和售后的技能支持是两个最重要的参数。售后服务是利便有问题能尽快的获得IDC的支持，所以主机商的售后服务也是比较重要的。

　　YINGSOO热线：400-630-3752