今天给各位分享dns安全加固内容的知识,其中也会对dns面临的安全隐患进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
DNS防护有什么作用
DNS是域名系统(DomainNameSystem)的缩写,简单的理解一下,我们要访问百度,然后在浏览器中输入百度的地址就可以访问百度的网站了。如果我们访问网站的时候要输入ip地址的话,显然既不方便也不容易记忆,所以我们用域名来访问网站。域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,所以,他们之间需要转换。它们之间的转换工作即称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS防护的作用就在于对域名解析进行防护,使你的网络浏览更稳定更快速。360安全卫士里有相应的工具呢
保护DNS服务器几种有效方法
DNS软件是黑客热衷攻击的目标,它可能带来安全问题,在网络安全防护中,DNS的安全保护就显得尤为重要。本文结合相关资料和自己多年来的经验列举了四个保护DNS服务器有效的方法。以便读者参考。 1.使用DNS转发器 DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。 使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。 2.使用只缓冲DNS服务器 只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。 把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。 3.使用DNS广告者 DNS广告者是一台负责解析域中查询的DNS服务器。例如,如果你的主机对于domain.com 和corp.com是公开可用的资源,你的公共DNS服务器就应该为 domain.com 和corp.com配置DNS区文件。 除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。 4.使用DNS解析者 DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名 internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。 DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,你也可以让DNS解析者同时被内、外部用户使用。
linux 安全加固指的是什么?
这个涉及到有点广泛,在安全性方面,Linux内核提供了经典的Unix自主访问控制(root用户、用户ID安全机制), 以及部分支持了POSIX.1e标准草案中的Capabilities安全机制。自主访问控制(Discretionary Access Control,DAC)是指主体对客体的访问权限是由客体的属主或超级用户决定的,而且此权限一旦确定,将作为以后判断主体对客体是否有及有什么权限的惟一依据。只有客体的属主或超级用户才有权更改这些权限。传统Linux系统提供DAC支持,客体在Linux系统当中主要是指文件、目录等系统资源,主体是指访问这些资源的用户或进程。控制粒度为客体的拥有者、属组和其他人。简单说,1.文件系统及访问权限 2.用户和账号管理。3.系统审计
DNS优化实例(BIND)
1、禁止递归查询
2、客户端安装缓存软件NSCD
3、CHROOT安全加固
4、负载均衡
5、DNS视图技术(智能DNS)
1、禁止递归查询
recursion on;
2、客户端安装缓存软件NSCD
yum -y install nscd
vi /etc/ncsd.conf
logfile /var/log/nscd.log
threads 4
max-threads 32
server-user nscd
debug-level 0
reload-count 5
paranoia no
restart-interval 3600
enable-cache hosts yes
positive-time-to-live hosts 3600
negative-time-to-live hosts 20
suggested-size hosts 211
check-files hosts yes
persistent hosts yes
shared hosts yes
max-db-size hosts 33554432
3、安全加固chroot
yum install -y bind bind-utils bind-libs bind-chroot
cp -R /usr/share/doc/bind- /sample/var/named/ /var/named/chroot/var/named/
touch /var/named/chroot/var/named/data/cache_dump.db
touch /var/named/chroot/var/named/data/named_stats.txt
touch /var/named/chroot/var/named/data/named_mem_stats.txt
touch /var/named/chroot/var/named/data/named.run
mkdir /var/named/chroot/var/named/dynamic
touch /var/named/chroot/var/named/dynamic/managed-keys.bind
chmod -R 777 /var/named/chroot/var/named/data
chmod -R 777 /var/named/chroot/var/named/dynamic
cp -p /etc/named.conf /var/named/chroot/etc/named.conf
//开机启动
/usr/libexec/setup-named-chroot.sh /var/named/chroot on
systemctl stop named
systemctl disable named
systemctl start named-chroot
systemctl enable named-chroot
ln -s ‘/usr/lib/systemd/system/named-chroot.service’ ‘/etc/systemd/system/multi-user.target.wants/named-chroot.service’
4、负载均衡
设置多个A记录,BIND会自动轮询
5、DNS视图技术,即根据来源IP选择解析,来源IP的定位可以通过日志来查询
logging {
channel default_debug {
file “data/named.run”;
severity dynamic;
};
channel query_log { #开启请求日志
file “/var/log/dns/query.log” versions 5 size 30m;
severity info;
print-time yes;
print-category yes;
};
category queries {
query_log;
};
};
view “view_localnet_45” {
match-clients { # 使用match-clients指令,指定匹配来自这些用户的ip
localnet45; # 写的是acl配置文件定义的aclname
};
zone “ljf.com” {
type master;
file “ljf.com.zone45”; #不同的匹配规则我这里写的是用不同的域名文件,方便管理
};
};
view “view_localnet_141” {
match-clients {
localnet141;
};
zone “ljf.com” {
type master;
file “ljf.com.zone141”;
};
};
include “/etc/named.root.key”;
include “/etc/named/acl/localnet141.conf”; # 引入acl配置文件
include “/etc/named/acl/LocalNet45.conf”; # 引入acl配置文件
cat /etc/named/acl/localnet141.conf
acl “localnet141” {
192.168.141.0/24; #针对192.168.141的网段
};
cat /etc/named/acl/LocalNet45.conf
acl “localnet45” { # 定义acl的名字,方便named.conf里面的match-clients 去调用
192.168.45.0/24; # 针对192.168.45的网段
};
cat /var/named/ljf.com.zone141
$TTL 1D
@ IN SOA @ rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ IN NS ns
www IN A 192.168.141.3
ns IN A 102.168.141.3
cat /var/named/ljf.com.zone45
$TTL 1D
@ IN SOA @ rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ IN NS ns
www IN A 192.168.45.128
test IN A 192.168.45.2
ns IN A 192.168.45.129
dns包含两方面的内容
DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。
域名DNS安全有哪些威胁
uery flood 通过不断的发DNS请求报文来耗尽目的DNS资源,形成拒绝服务。具体分类包括源IP是否随机以及目的域名是否随机等。
response flood 通过不断的发DNS响应报文来达到拒绝服务的目的。
udp floodv DNS底层协议为UDP,基于UDP的各种flood攻击也都会给DNS带来危害。
折射攻击(反射攻击) 伪造源IP为第三方,借助DNS的回包来达到DoS掉第三方的目的。属于“借刀*** ”的手段。
放大攻击 折射攻击的一种。通过恶意的构造响应报文来达到流量放大作用,从而对第三方形成带宽攻击。请求报文几十字节,响应报文几千字节,意味着可以形成百倍以上流量放大系数。
缓存投毒 每一台DNS都有缓存,缓存投毒指的是通过恶意手段污染DNS缓存,形成DNS劫持或者拒绝服务。
漏洞攻击 利用各种漏洞来达到入侵并控制DNS服务器目的。漏洞不仅仅指DNS程序本身的,也有可能是机器或者网络其它的“问题点”。
社会工程学手段 所有的系统都需要人的维护,而人永远是安全中最脆弱的一环。
关于dns安全加固内容和dns面临的安全隐患的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
原文链接:http://www.jx-ev.com/info/7961.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22465