封鎖遞歸查詢可以使名字處事器進入被動模式,它再向外部的DNS發送查詢請求時,只會答復本身授權域的查詢請求,而不會緩存任何外部的數據,所以不行能蒙受緩存中毒進攻,可是這樣做也有負面的結果,低落了DNS的域名理會速度和效率。
以下語句僅答允172.168.10網段的主機舉辦遞歸查詢:
| allow-recusion {172.168.10.3/24; } |
(2)限制區傳送(zone transfer)
假如沒有限制區傳送,那么DNS處事器答允對任何人都舉辦區域傳輸,因此網絡架構中的主機名、主機IP列表、路由器名和路由IP列表,甚至包羅各主機地址的位置和硬件設置等環境都很容易被入侵者獲得在DNS設置文件中通過配置來限制答允區傳送的主機,從必然水平上能減輕信息泄漏。
可是,需要提醒用戶留意的是:縱然封閉整個區傳送也不能從基礎上辦理問題,因為進攻者可以操作DNS東西自動查詢域名空間中的每一個IP地點,從而得知哪些IP地點還沒有分派出去,操作這些閑置的IP地點,進攻者可以通過IP欺騙偽裝成系統信任網絡中的一臺主機來請求區傳送。
以下語句僅答允IP地點為172.168.10.1和172.168.10.2的主性可以或許同DNS處事器舉辦區域傳輸:
|
acl list { 221.3.131.5; 221.3.131.6; zone "test.com" { type master; file "test.com "; allow-transfer { list; }; }; }; |
(3)限制查詢(query)
假如任何人都可以對DNS處事器發出請求,那么這是不能接管的。限制DNS處事器的處事范疇很重要,可以把很多入侵者據之門外。
修改BIND的設置文件:/etc/named.conf插手以下內容即可限制只有210.10.0.0/8和211.10.0.0/8網段的查詢當地處事器的所有區信息,可以在options語句里利用如下的allow-query子句:
|
options { allow-query { 210.10.0.0/8; 211.10.0.0/8;}; }; |
(4)疏散DNS(split DNS)
回收split
DNS(疏散DNS)技能把DNS系統分別為內部和外部兩部門,外部DNS系統位于民眾處事區,認真正常對外理會事情;內部DNS系統則專門認真理會內部網絡的主機,當內部要查詢Internet上的域名時,就把查詢任務轉發到外部DNS處事器上,然后由外部DNS處事器完成查詢任務。把DNS系統分成表里兩個部門的長處在于Internet上其它用戶只能看到外部DNS系統中的處事器,而看不見內部的處事器,并且只有表里DNS處事器之間才互換DNS查詢信息,從而擔保了系統的安詳性。而且,韓國主機
韓國游戲代理,回收這種技能可以有效地防備信息泄漏。
在BIND 9中可以利用view語句舉辦設置疏散DNS。view語句的語法為:
|
view view_name { match-clients { address_match_list }; [ view_option; ...] zone_statement; ... }; |
◆match-clients:該子句很是重要,它用于指定誰能看到本view。可以在view語句中利用一些選項;
◆zone_statement:該子句指定在當前view中可見的區聲明。假如在設置文件中利用了view語句,則所有的zone語句都必需在view中呈現。對同一個zone而言,設置內網的view應該置于外網的view之前。
下面是一個利用view語句的例子,它來自于BIND9的尺度說明文檔:
|
view "internal" { match-clients { our-nets; }; // 匹配內網客戶的會見 recursion yes; // 對內網客戶答允執行遞歸查詢 zone "example.com" { // 界說內網客戶可見的區聲明 type master; file "example.com.hosts.internal"; }; }; view "external" { match-clients { any; };
// 匹配 Internet 客戶的會見 // 界說 Internet 客戶可見的區聲明 type master; file "example.com.hosts.external"; }; 夢飛科技 - 全球數據中心基礎服務領先供應商 |