域名禁止解析器服务怎么解决_DNS服务器防护技巧_怎么保护DNS服务器安全

如何保障DNS服务器安全？

1. 使用 DNS 转发器

DNS 转发器是负责为其他 DNS 服务器完成 DNS 查询的 DNS 服务器。使用 DNS 转发器的主要目的是减轻 DNS 处理的压力，将查询请求从 DNS 服务器转移到转发器，并受益于 DNS 转发器可能更大的 DNS 缓存。

使用 DNS 转发器的另一个好处是，它可以防止您的 DNS 服务器转发来自 DNS 服务器的查询。如果您的 DNS 服务器存储内部域的 DNS 资源记录，这一点非常重要。不要让您的内部 DNS 服务器执行递归查询并直接联系您的 DNS 服务器，而是让它使用转发器来处理未经授权的请求。

2. 使用仅缓存的 DNS 服务器

仅缓存 DNS 服务器适用于非权威域。它用于递归查询或使用转发器。当仅缓存 DNS 服务器收到响应时，它会将结果存储在缓存中，然后将结果发送到发出 DNS 查询请求的系统。随着时间的推移，仅缓存 DNS 服务器可以收集大量 DNS 响应，这可以大大减少提供 DNS 响应所需的时间。

使用仅缓存 DNS 服务器作为转发器，在您的管理控制下，可以提高组织的安全性。内部 DNS 服务器可以使用仅缓存 DNS 服务器作为其转发器，由仅缓存 DNS 服务器代表您的内部 DNS 服务器完成递归查询。使用您自己的仅缓存 DNS 服务器作为转发器可以提高安全性，因为您不必依赖 ISP 的 DNS 服务器作为转发器，特别是当您不确定 ISP 的 DNS 服务器的安全性时。

3. 使用 DNS 广告商 (DNS)

DNS 广告商是负责解析域查询的 DNS 服务器。

DNS 区域文件主机以外的 DNS 广告服务器设置是仅响应其具有权威性的域的查询的 DNS 广告服务器。此 DNS 服务器不会对其他 DNS 服务器进行递归查询。这可防止用户使用您的公共 DNS 服务器解析其他域。这可降低与运行公共 DNS 解析器相关的风险（包括缓存中毒），从而提高安全性。

4. 使用 DNS 解析器

DNS 解析器是可以执行递归查询并将域名解析为权威的 DNS 服务器。例如，您的内部网络上可能有一个 DNS 服务器，该服务器对内部网络的域名服务器具有权威性。当网络上的客户端使用此 DNS 服务器进行解析时，此 DNS 服务器会通过查询其他 DNS 服务器来执行递归，以获取答案。

DNS 服务器和 DNS 解析器之间的区别在于，DNS 解析器仅用于解析 主机名。DNS 解析器可以是非权威 DNS 域的仅缓存 DNS 服务器。您可以为内部用户提供 DNS 解析器，也可以为外部用户提供 DNS 解析器，这样就无需在您控制范围之外设置 DNS 服务器，从而提高了安全性。当然，您也可以让内部和外部用户同时使用 DNS 解析器。

5. 保护 DNS 免受缓存污染

DNS 缓存污染已成为一个日益普遍的问题。大多数 DNS 服务器都能够在响应请求主机之前将 DNS 查询结果存储在缓存中。DNS 缓存可以大大提高组织内 DNS 查询的性能。问题是，如果您的 DNS 服务器的缓存被大量虚假 DNS 信息“污染”，用户可能会被发送到恶意网站，而不是他们原本打算访问的网站。

大多数DNS服务器都可以配置防止缓存污染，2003 DNS服务器默认配置就可以防止缓存污染，如果你使用的是2000 DNS服务器，可以打开DNS服务器对话框，点击“高级”选项卡进行配置，选择“防止缓存污染”选项，然后重启DNS服务器。

6. 启用 DDNS 仅使用安全连接

许多 DNS 服务器接受动态更新。动态更新功能使这些 DNS 服务器能够使用 DHCP 记录主机的主机名和 IP 地址。DDNS 可以大大减少

减少 DNS 管理员的管理开销，否则 DNS 管理员必须手动配置这些主机的 DNS 资源记录。

然而，如果未检测到 DDNS 更新，则可能会引发严重的安全问题。恶意用户可以将主机配置为文件服务器、Web 服务器或数据库服务器，以动态更新 DNS 主机记录，任何想要连接到这些服务器的人都将被重定向到另一台机器。

您可以通过要求与 DNS 服务器建立安全连接来执行动态更新，从而降低恶意 DNS 更新的风险。只需将您的 DNS 服务器配置为使用 集成区域并要求进行安全动态更新，即可轻松实现这一点。这样，所有域成员都可以安全且动态地更新其 DNS 信息。

7. 禁用区域传输

区域传输发生在主 DNS 服务器和从属 DNS 服务器之间。主 DNS 服务器对特定域名具有权威性，并且具有可重写的 DNS 区域文件，可在需要时进行更新。从属 DNS 服务器从主 DNS 服务器接收这些区域文件的只读副本。从属 DNS 服务器用于提高来自内部或 源的 DNS 查询响应的性能。

但是，区域传输并不局限于从属 DNS 服务器。任何能够发出 DNS 查询的人都可能导致 DNS 服务器配置更改，从而允许区域传输转储其自己的区域数据库文件。恶意用户可以使用此信息侦察您组织的内部命名方案并攻击关键服务基础设施。您可以将 DNS 服务器配置为禁止区域传输请求，或者仅允许区域传输到您组织内的特定服务器，以防万一。

8.使用防火墙控制 DNS 访问

防火墙可用于控制谁可以连接到您的 DNS 服务器。对于仅响应内部用户查询请求的 DNS 服务器，应将防火墙配置设置为阻止外部主机连接到这些 DNS 服务器。对于用作仅缓存转发器的 DNS 服务器，应将防火墙配置设置为仅允许来自使用仅缓存转发器的 DNS 服务器的查询请求。防火墙策略设置中的一个重要点是阻止内部用户使用 DNS 协议连接到外部 DNS 服务器。

9. 在 DNS 注册表中建立访问控制

在基于 DNS 的服务器中，您应该在与 DNS 服务器相关的注册表中设置访问控制，以便只有需要访问权限的帐户才能读取或修改这些注册表设置。

HKLM\\\DNS 密钥仅应由管理员和系统帐户访问，且这些帐户应具有完全控制权限。

10. 设置 DNS 文件系统条目的访问控制

在基于 DNS 的服务器中，您应该对与 DNS 服务器关联的文件系统条目设置访问控制，以便只有需要访问权限的帐户才能读取或修改这些文件。