全面提升 BIND DNS 服务器安全

时间:2021-03-18 05:08:35
【文件属性】:

文件名称:全面提升 BIND DNS 服务器安全

文件大小:176KB

文件格式:PDF

更新时间:2021-03-18 05:08:35

DNS

此文是it168网站一篇约稿 ,这是前言: DNS 是因特网建设的基础,几乎所有的网络应用, 都必须依赖 DNS 系统做网址查询的指引动作。如果 DNS 系统运作不正常, 即使 Web 服务器都完好如初, 防火墙系统都善尽其职, 相关的后端应用服务器以及数据库系统运作正常, 因为无法在期限时间内查得到网址,将会导致电子邮件无法传递, 想要使用网域名称去连接某个网页, 也会因查不出网络地址,以致联机失败。2001 年 1 月 24 日, 美国微软公司所管理的相关网络系统, 遭受网络黑客的拒绝服务攻击后导致全球各地的用户 接近 24 小时的时间 无法连上该公司相关的网站,造成该公司相当严重的商业损失。根据以往的经验之中, 网络攻击的对象 多数主要集中在控制网络路由的设备(路由器, 防火墙等)和各类应用服务器(Web、邮件 等)。因此,目前多数的网络系统安全保护, 通常都集中在路由设备和应用服务器本身。然而, 这一次的微软公司被攻击事件, 与以往其它网站攻击事件的最大不同, 就在于这一次被攻击的对象是 DNS 服务器 而不是 WEB 服务器本身。这次的事件宣告另一种新型的网络攻击类别, 往后将可能成为常态。 就这个观点而言, 如何能加强确保 DNS 系统的运作正常, 或者当 DNS 系统在遭受网络攻击时候, 能够让管理者及早发现, 然后加以排除, 诸如此类, 正是日益重要的系统安全的重要课题。互联网上 DNS 服务器的事实标准就是 ISC 的 BIND,Netcraft 在 DNS服务器上的统计(http://www.netcraft.com/ )显示 2003 年第二季度进行的一个调查发现,在互联网上运行着的 DNS 服务器中,ISC 的 bind 占据了 95%的市场份额。互联网是由很多不可见的基础构件组成。这其中就包含了 DNS,它给用户提供了易于记忆的机器名称(比如yahoo.com),并且将它们翻译成数字地址的形式。对于那些用于公共服务的机器一般还提供“反向查询”的功能,这种功能可以把数字转换成名字。由于历史的原因,这种功能使用的 是被隐藏的“in-addr.arpa”域。对 in-addr 域的调查,可以让我们更加了解整个 Internet 是如 何运作的。Bill Manning 对 in-addr 域的调查发现,有 95%的域名服务器(2 的 2000 次方个服务器中)使用的是各种版本的“bind”。这其中包括了所有的 DNS 根服务器,而这些根服务器对整个服务器的正常运转起着至关重要的作用。


网友评论