bind dns安全问题

最新推荐文章于 2021-09-01 00:03:18 发布

weixin_34311757

最新推荐文章于 2021-09-01 00:03:18 发布

阅读量166

点赞数

文章标签：运维网络

原文链接：http://blog.51cto.com/5iqiong/772091

版权

一、dns版本问题：

下面分析下公网dns版本信息：
nslookup方法：

#nslookup -q=txt -class=CHAOS version.bind. 202.106.0.20
Server:         202.106.0.20
Address:        202.106.0.20#53
version.bind    text = "9.7.0-P1"

#nslookup -q=txt -class=CHAOS version.bind. 202.106.196.115
Server:         202.106.196.115
Address:        202.106.196.115#53

version.bind    text = "9.7.0-P1"
#nslookup -q=txt -class=CHAOS version.bind. ns1.sina.com.cn
Server:         ns1.sina.com.cn
Address:        202.106.184.166#53
version.bind    text = " " 隐藏了

#nslookup -q=txt -class=CHAOS version.bind. ns1.sohu.com
Server:         ns1.sohu.com
Address:        61.135.179.169#53
version.bind    text = " "   隐藏了

#nslookup -q=txt -class=CHAOS version.bind. ns1.baidu.com
Server:         ns1.baidu.com
Address:        202.108.22.220#53
version.bind    text = "baidu dns" 返回了一个信息

dig查询：
#dig @219.141.140.10 CHAOS TXT version.bind +short
"9.7.0-P1"

隐藏bind的版本：
修改bind主配置文件，option里面加入
version "I dont't know";

二、请求限制：
recursion
如果是yes，并且一个DNS询问要求递归，那么服务器将会做所有能够回答查询请求的工作。如果recursion是off的，并且服务器不知道答案，它将会返回一个推荐（referral）响应。默认值是yes。注意把recursion设为no，不会阻止用户从服务器的缓存中得到数据，它仅仅阻止新数据作为查询的结果被缓存。服务器的内部操作还是可以影响本地的缓存内容，如NOTIFY地址查询。

allow-recursion
设定哪台主机可以进行递归查询。如果没有设定，缺省是允许所有主机进行递归查询。注意禁止一台主机的递归查询，并不能阻止这台主机查询已经存在于服务器缓存中的数据。

allow-transfer
设定哪台主机允许和本地服务器进行域传输。allow-transfer也可以设置在zone语句中，这样全局options中的allow-transfer选项在这里就不起作用了。如果没有设定，默认值是允许和所有

主机进行域传输。
allow-transfer{ none; }; 可以禁止nslookup的ls查询

blackhole:
acl bkhole{192.168.1.0/24;192.168.1.1/32;};
option里面加入blackhole {bkhole;}
设定一个地址列表，服务器将不会接收来自这个列表的查询请求，或者解析这些地址。从这些地址来的查询将得不到响应。默认值是none。

另外option里面可以限制
files <size_spec> ; 服务器能同时打开的最大文件数。缺省为unlimited（不限制）。
例如限制10M;
files 100M; 一个数字(带单位)、unlimited 或是default, size_spec是unlimited

三、传输设置：
serial-query-rate 域传输限制，辅域名服务器将会定时查询主域名服务器，来确定域的串号是否改变。每个查询将会占用一些辅域名服务器网络带宽。为限制占用的带宽，BIND9 可以限制每

个查询发送的频率。serial-query-rate的值是一个整数，就是每秒能发送的最大查询数。默认值为20

transfers-in
可以同时运行的进入的域传输的最大值。默认值为10。增加transfers-in 的值，可以加速辅域的收敛速度，但也可能增加本地系统的负载。

transfers-out
可以同时运行的发出的传输的最大值。超过限定的域传输请求将会被拒绝，默认值为10。

四、服务器资源限制：
recursive-clients
服务器同时为用户执行的递归查询的最大数量。默认值1000，因为每个递归用户使用许多位内存，一般为20KB，主机上的recursive-clients选项值必须根据实际内存大小调整。
tcp-clients:服务器同时接受的TCP连接的最大数量，默认值100。
max-cache-size
服务器缓冲使用的最大内存量，用比特表示。但在缓存数据的量达到这个界限，服务器将会使记录提早过期这样限制就不会被突破。在多视图的服务器中，限制分别使用于每个视图的缓存。默认值没有限制，意味着只有当总的限制被突破的时候记录才会被缓存清除。

转载于:https://blog.51cto.com/5iqiong/772091

weixin_34311757

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
bind dns安全问题

一、dns版本问题：下面分析下公网dns版本信息：nslookup方法：#nslookup -q=txt -class=CHAOS version.bind. 202.106.0.20Server: 202.106.0.20Address: 202.106.0.20#53version.bind text =...
复制链接

扫一扫