DNS安全

最新推荐文章于 2024-01-03 16:34:11 发布
最新推荐文章于 2024-01-03 16:34:11 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: dns 安全 文章标签: dns 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hou123456/article/details/48785045
版权

无论递归还是授权DNS服务器,均需要考虑安全。下面是一些建议(基于bind),供参考。

1.授权DNS服务器限制名字服务器递归查询功能,递归dns服务器要限制递归访问的客户(启用白名单IP段)
2.限制区传送zone transfer,主从同步的DNS服务器范围启用白名单,不在列表内的DNS服务器不允许同步zone文件
   allow-transfer{ };   
   allow-update{ };
3. 启用黑白名单
   已知的攻击IP 加入bind的黑名单,或防火墙上设置禁止访问;
  通过acl设置允许访问的IP网段;
通过acl设置允许访问的IP网段;通过acl设置允许访问的IP网段;
4.隐藏BIND的版本信息

5.使用非root权限运行BIND

  
4.隐藏BIND的版本信息

5.使用非root权限运行BIND

6.删除DNS上不必要的其他服务

创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务
建议不安装以下软件包:1)X-Windows及相关的软件包;2)多媒体应用软件包;3)任何不需要的编译程序和脚本解释语言;4)任何不用的文本编辑器;5)不需要的客户程序;6)不需要的其他网络服务。

确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。

 
7.使用dnstop监控DNS流量
  #yum install libpcap-devel ncurses-devel
  下载源代码  http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
  #
8.DNS Flood Detector是针对DNS服务器的Syn Flood攻击检测工具,用于侦测恶意的使用DNS查询功能。
  下载源代码:http://www.adotout.com/dnsflood-1.10.tgz
9.增强DNS服务器的防范Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况
缩短retries次数:Linux系统默认的tcp_synack_retries是5次
限制SYN频率
防范SYN Attack攻击:   # echo 1 > /proc/sys/net/ipv4/tcp_syncookies    把这个命令加入"/etc/rc.d/rc.local"文件中,
10.[防中间人攻击(Man in the Middle Attack)]:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
11.[防ddos攻击]提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统,尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备,应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;

12.[防 缓存窥探(Cache Snooping)]:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
13. [防缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing)]:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec;

14. 建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。

 

hou123456
关注
专栏目录
DNS安全简述(未完成)
dandelion0x0的博客
04-05 4400
什么是DNS DNS代表域名系统(Domain Name System),是一种互联网协议,它将可读的名称转换为IP地址,将IP地址转换回名称,并为许多基于互联网的服务提供易于记住的名称。 DNS结构 DNS负责分配不断增长的网络设备名称列表。它通过建立责任层次来实现这一点。这通常用一棵倒立的树来表示,如图1-1所示,其中根服务器位于顶部,叶子(代表互联网上的所有终端主机节点)位于底部。整个树表示DNS的名称空间。每个负责部分命名空间的服务器称为“域名服务器”一些域名服务器只是发送数据包,直到找到答案
DNS安全概述
最新发布
2401_84466361的博客
08-04 1172
举个例子:现在很多服务都是托管在云上面,如果一个子域名曾经使用过,并且对外提供了服务,在下线服务的时候没有移除相应的DNS记录,同一个云上的其他用户就有可能使用原服务相同的公网IP。也有一些运营商,出于某种目的,会支持DNS流量,但是其提供的硬件资源不够,引起DNS解析异常缓慢甚至超时,严重影响用户体验。是一种由DNS客户端(通常是用户的应用程序,如一个浏览器)向本地DNS解析器发出解析请求,然后本地DNS解析器负责查询最终结果并将结果返回给客户端,而中间的所有查询请求都由本地DNS解析器代替客户端完成。
DNS安全和预防措施
weixin_34279579的博客
09-25 179
2019独角兽企业重金招聘Python工程师标准>>> ...
dns 安全
weixin_34203426的博客
11-21 180
域名系统组织架构 DNS是全球互联网中最重要的基础服务之一,也是如今唯一的一种有中心点的服务。全球域名系统组织与管理架构如下图所示: ICANN互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers)。负责IP地址空间的分配、协议标识符的指派、通用顶级域名(gTLD)、国家和地区顶级域名(ccTLD)...
DNS安全威胁及防范
lmix___的博客
07-16 2225
域名系统(Domain Name System, DNS)负责域名和IP地址的转换。 DNS既可以使用TCP,又可以使用UDP,端口为53. DNS主从服务器之间传输时使用TCP协议; 客户端和DNS服务器之间传输时使用的是UDP协议。 1.域名层次空间 域名分量:···.三级域名.二级域名.顶级域名 不区分大小写,除连字符-外,不能使用其它符号。 不同级别的域名中可能会有重复的域名...
DNS安全白皮书 -360.pdf
02-17
### DNS安全白皮书 -360.pdf 关键知识点概览 #### 1. 背景介绍 - **互联网的普及与网络安全的重要性** - 随着互联网技术的不断发展,人们的生活越来越依赖于互联网服务。无论是社交媒体、金融服务、电子商务还是...
DNS-Reset-Checker:评估 Web 应用程序 DNS 安全性的工具
07-23
用于评估 Web 应用程序 DNS 安全性的工具。 背景 Web 应用程序的 DNS 安全性? 什么? DNS 是 Web 应用程序许多功能的核心部分。 这包括发送电子邮件。 如果 Web 应用程序要发送电子邮件,首先需要将电子邮件域解析...
互联网DNS安全研究现状与挑战
01-20
现有研究主要通过设计增强协议、监测机制和使用方法来提高DNS系统的安全防护能力,但近期的DNS攻击事件表明,DNS安全依然存在很多极具挑战性的问题没有解决。从安全增强、行为监测和隐私保护等方面对现有成果和挑战...
详解DNS部署与安全方案:保护你的网络免受攻击
weixin_43263566的博客
11-03 2464
DNS部署与安全
DNS部署与安全
Paranoid_truggle的博客
02-28 3828
1.DNS 域名服务 作用:为客户机提供域名解析服务器 2.域名组成 2.1域名组成概念 如“www.sina.com.cn”是一个域名,从严格意义上来讲,“sina.com.cn”才被称为域名(全球唯一),而“www”是主机名。 “主机名.域名”称为完全限定域名(FQDN),一个域名下可以有多个主机,域名全球唯一,那么“主机名。域名”肯定也是全球唯一的。 以“sina.com.cn”域名为例,一般管理员在命名其主机的时候会根据其主机的功能而命名,比如网站的是www,博客的是blog,论坛的是bbs,那么对
dns解析及安全
weixin_34038652的博客
05-05 805
1、DNS系统 DNS是英文DomainNameSystem(域名系统)的缩写,它是一种可以将域名和IP地址相互映射的以层次结构分布的数据库系统,为互联网的运行提供关键性的基础服务。各种基于域名的Web访问,email系统、文件共享系统等都依靠DNS服务得以正常实现。DNS系统采用备份技术和缓存技术保证了数据库运行的可靠性和服务速率。 2、DNS服务原理 D...
网络安全——DNS介绍
weixin_54055099的博客
08-29 957
DNS的信息获取
DNS安全与访问控制
有莘不破的博客
01-03 1600
介绍DNS安全和访问控制的基本内容,了解看看。
dns安全:让黑客更难以利用dns服务器攻击域名
jklbnm12的博客
09-23 280
早期数据显示,2020年里大型分布式拒绝服务(DDoS)攻击相对平静,但这是否意味着2021年会延续这一风平浪静的趋势呢?尽管谁都知道网络安全预测不易,还是有专家指出,DNS安全的发展令网络罪犯只有改变策略才能苟延残喘。 NS1共同创始人兼首席执行官 Kris Beevers 称:当前市场的关注重点不在大型DDoS攻击上,但背后的暗战从来没缺席。虽然小型高针对性DDoS攻击是网络安全领域常见特征,但2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击工具的难
DNS安全与稳定性
Kim_Weir的专栏
06-03 4392
DNS安全与稳定性1. 域名劫持域名劫持一直是困扰许多开发者的问题之一,其表现即域名A应该返回的DNS解析结果IP1被恶意替换为了IP2,导致A的访问失败或访问了一个不安全的站点。下面我们一起看看几种常见的域名劫持的场景。一种可能的域名劫持方式即黑客侵入了宽带路由器并对终端用户的Local DNS进行篡改,指向黑客自己伪造的Local DNS,进而通过控制Local DNS的逻辑返回错误的IP信息...
DNS安全为何是网络安全的核心?
TOMHAN的博客
11-06 1448
DNS服务的简单分类 对于大多数公司和用户来说,DNS可以分为三个基本类别:内部权威DNS,外部权威DNS和递归DNS。总的来说,DNS(域名系统)是一个分布式系统,为IP地址映射提供域名,以便用户和应用程序可以利用结构化命名约定来记忆和连接到分布式的服务,而不是用难记的IP地址访问这些服务。这很像在电话联系人列表中记住朋友或同事的姓名,而不是记住他们的实际电话号码。 内部权威DNS负责回答来...
DNS安全:KEY与SIG资源记录操作指南
"RFC2541 - DNS安全操作考虑" 这篇文档RFC2541主要关注DNS(域名系统)在安全操作方面的考虑,特别是涉及到使用KEY和SIG(Signature)DNS资源记录的情况。DNS是互联网的核心组件,负责将人类可读的域名转换为IP地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值