無論遞歸還是授權DNS服務器,均需要考慮安全。下面是一些建議(基於bind),供參考。
1.授權DNS服務器限制名字服務器遞歸查詢功能,遞歸dns服務器要限制遞歸訪問的客戶(啓用白名單IP段)
2.限制區傳送zone transfer,主從同步的DNS服務器範圍啓用白名單,不在列表內的DNS服務器不允許同步zone文件
allow-transfer{ };
allow-update{ };
3. 啓用黑白名單
已知的攻擊IP 加入bind的黑名單,或防火牆上設置禁止訪問;
通過acl設置允許訪問的IP網段;
通過acl設置允許訪問的IP網段;通過acl設置允許訪問的IP網段;
通過acl設置允許訪問的IP網段;通過acl設置允許訪問的IP網段;
4.隱藏BIND的版本信息
5.使用非root權限運行BIND
4.隱藏BIND的版本信息
5.使用非root權限運行BIND
6.刪除DNS上不必要的其他服務
創建一個DNS服務器系統就不應該安裝Web、POP、gopher、NNTP News等服務
建議不安裝以下軟件包:1)X-Windows及相關的軟件包;2)多媒體應用軟件包;3)任何不需要的編譯程序和腳本解釋語言;4)任何不用的文本編輯器;5)不需要的客戶程序;6)不需要的其他網絡服務。
確保域名解析服務的獨立性,運行域名解析服務的服務器上不能同時開啓其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供。
7.使用dnstop監控DNS流量
#yum install libpcap-devel ncurses-devel
下載源代碼 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#
8.DNS Flood Detector是針對DNS服務器的Syn Flood攻擊檢測工具,用於偵測惡意的使用DNS查詢功能。
下載源代碼:http://www.adotout.com/dnsflood-1.10.tgz
|
9.增強DNS服務器的防範Dos/DDoS功能
|
10.[防中間人攻擊(Man in the Middle Attack)]:對域名服務協議是否正常進行監控,即利用對應的服務協議或採用相應的測試工具向服務端口發起模擬請求,分析服務器返回的結果,以判斷當前服務是否正常以及內存數據是否變動。在條件允許的情況下,在不同網絡內部部署多個探測點分佈式監控;
11.[防ddos攻擊]提供域名服務的服務器數量應不低於2臺,建議獨立的名字服務器數量爲5臺。並且建議將服務器部署在不同的物理網絡環境中; 使用入侵檢測系統,儘可能的檢測出中間人攻擊行爲; 在域名服務系統周圍部署抗攻擊設備,應對這類型的攻擊;利用流量分析等工具檢測出DDoS攻擊行爲,以便及時採取應急措施;
12.[防 緩存窺探(Cache Snooping)]:限制遞歸服務的服務範圍,僅允許特定網段的用戶使用遞歸服務。
13. [防緩存中毒(或DNS欺騙)(Cache Poisoning or DNS Spoofing)]:對重要域名的解析結果進行重點監測,一旦發現解析數據有變化能夠及時給出告警提示; 部署dnssec;
14. 建立完善的數據備份機制和日誌管理系統。應保留最新的3個月的全部解析日誌。並且建議對重要的域名信息系統採取7×24的維護機制保障。應急響應到場時間不能遲於30分鐘。