- 1、本文档共27页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
配置dns 服务器在指定的ip 地址上侦听
LOGO LOGO DNS Security 夏威 主要安全问题 单点故障 软件漏洞 域名劫持 拒绝服务攻击 缓冲区中毒 区域信息泄漏 单点故障 将域名翻译为IP的过程,就是DNS解析 通过DNS服务器访问网络 单点故障 DNS服务器S2为网络节点A、B、C、D、E提供域名解析服务,由于大部分的网络应用通过域名访问Internet所以如果S2不能正常工作,则其所辖的所有节点都无法通过域名连接到网络,S2成为该子网的瓶颈,存在单点故障风险问题. DNS单点故障 软件漏洞 BIND是一种开源的DNS(Domain Name System)协议的实现,包含对域名的查询和响应所需的所有软件。它是互联网上最广泛使 用的一种DNS服务器,对于类UNIX系统来说,已经成为事实上的标准。 构成严重威胁的漏洞主要有两种.一种是缓冲区溢出漏洞。另一种是拒绝服务(DoS)漏洞。 域名劫持 域名劫持就是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回假的IP地址或者什么也不做使得请求失去响 应,其效果就是对特定的网址不能访问或访问的是假网址。 域名劫持 其实施步骤如下: 一、获取劫持域名注册信息 二、控制该域名的E-MAIL帐号 三、修改注册信息 四、使用E-MAIL收发确认函 拒绝服务攻击 是指攻击者尝试使用递归查询塞满网络中的一个或多个 DNS 服务器,从而拒绝网络服务的可用性。 一次DoS攻击日志 正常日志 缓冲区中毒 在缓存数据的生存期(TTL)内,缓存区中毒的机器又可能将错误的数据传播出去,导致更多的服务器缓存中毒.如果减少缓存数据的生存期可以减少缓存中毒的影响范围,但过于频繁的缓存数据更新将大大增加服务器的负担! 区域信息泄露 DNS服务器作为公开开放的数据库,对域名请求查询通常不加以验证,网络拓扑、子网结构等信息容易泄漏也为各类攻击提供了机会. 防范 安全级别介绍 低级安全性 低级安全性是一种标准的 DNS 部署,不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接 威胁的专用网络中才部署该级 DNS 安全性。??? ??企业的 DNS 结构完全暴露给 Internet。 ??? ??标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。 ??? ??所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。 ??? ??所有 DNS 服务器都允许向任何服务器进行区域传输。 ??? ??所有 DNS 服务器都配置为侦听其所有 IP 地址。 ??? ??在所有 DNS 服务器上禁用防止缓存污染。 ??? ??允许对所有 DNS 区域进行动态更新。 ??? ??用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。 安全级别介绍 中级安全性??? 中级安全性使用可用的 DNS 安全功能,不在域控制器上运行 DNS 服务器,也不在 Active Directory 中存储 DNS 区域。??? ??企业的 DNS 结构有限暴露给 Internet。 ??? ??所有 DNS 服务器在本地都无法解析名称时,将其配置为使用转发器指向内部 DNS 服务器的特定列表。 ??? ??所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。 ??? ??配置 DNS 服务器在指定的 IP 地址上侦听。 ??? ??在所有 DNS 服务器上已启用缓存污染防止。 ??? ??不允许对任何 DNS 区域进行动态更新。 ??????内部 DNS 服务器通过防火墙与外部 DNS 服务器通信,该防火墙具有所允许 的源和目标地址的有限列表。 ??? ??防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。 ??????所有 Internet 名称解析都使用代理服务器和网关执行。 安全级别介绍 高级安全性??? 高级安全性使用与中级安全性相同的配置,DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时,也使用可用的安全功能。此外,高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置,但是,每当不需要 Internet 连接时,则建议使用该配置。??? ??企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。 ??? ??企业网络使用内部 DNS 根目录和名称空间,其中对于 DNS 区域的所有权限都是内部的。 ??? ??
您可能关注的文档
最近下载
- 小升初基础专题专项突破句子赏析(试题)部编版语文六年级下册.docx
- Unit3 My weekend plan B let's talk and learn课件人教PEP英语六上.pptx
- 美丽汉字上海市小学生二届到十届2023年中文自修杯汉字小达人试卷(含参考答案).pdf
- 2024年无线电装接工(高级)职业技能考试题库大全(附答案).docx
- 九年级第一次模拟考后家长会.ppt VIP
- 河北机关事业单位工人考试图书仓储员试题(卷)与答案解析.doc
- 美丽汉字上海市小学生2023年第十届中文自修杯汉字小达人试卷(含答案).docx
- 医疗器械APQP新产品开发的资料.pdf
- 管径流量与压力关系表新.docx
- SOLIDWORKS中文版基础教程(SOLIDWORKS 2018版)PPT课件(全).pptx VIP
文档评论(0)