封锁递归查询可以使名字处事器进入被动模式,它再向外部的DNS发送查询请求时,只会答复本身授权域的查询请求,而不会缓存任何外部的数据,所以不行能蒙受缓存中毒进攻,可是这样做也有负面的结果,低落了DNS的域名理会速度和效率。
以下语句仅答允172.168.10网段的主机举办递归查询:
allow-recusion {172.168.10.3/24; } |
(2)限制区传送(zone transfer)
假如没有限制区传送,那么DNS处事器答允对任何人都举办区域传输,因此网络架构中的主机名、主机IP列表、路由器名和路由IP列表,甚至包罗各主机地址的位置和硬件设置等环境都很容易被入侵者获得在DNS设置文件中通过配置来限制答允区传送的主机,从必然水平上能减轻信息泄漏。
可是,需要提醒用户留意的是:纵然封闭整个区传送也不能从基础上办理问题,因为进攻者可以操作DNS东西自动查询域名空间中的每一个IP地点,从而得知哪些IP地点还没有分派出去,操作这些闲置的IP地点,进攻者可以通过IP欺骗伪装成系统信任网络中的一台主机来请求区传送。
以下语句仅答允IP地点为172.168.10.1和172.168.10.2的主性可以或许同DNS处事器举办区域传输:
acl list { 221.3.131.5; 221.3.131.6; zone "test.com" { type master; file "test.com "; allow-transfer { list; }; }; }; |
(3)限制查询(query)
假如任何人都可以对DNS处事器发出请求,那么这是不能接管的。限制DNS处事器的处事范畴很重要,可以把很多入侵者据之门外。
修改BIND的设置文件:/etc/named.conf插手以下内容即可限制只有210.10.0.0/8和211.10.0.0/8网段的查询当地处事器的所有区信息,可以在options语句里利用如下的allow-query子句:
options { allow-query { 210.10.0.0/8; 211.10.0.0/8;}; }; |
(4)疏散DNS(split DNS)
回收split
DNS(疏散DNS)技能把DNS系统分别为内部和外部两部门,外部DNS系统位于民众处事区,认真正常对外理会事情;内部DNS系统则专门认真理会内部网络的主机,当内部要查询Internet上的域名时,就把查询任务转发到外部DNS处事器上,然后由外部DNS处事器完成查询任务。把DNS系统分成表里两个部门的长处在于Internet上其它用户只能看到外部DNS系统中的处事器,而看不见内部的处事器,并且只有表里DNS处事器之间才互换DNS查询信息,从而担保了系统的安详性。而且,韩国主机
韩国游戏代理,回收这种技能可以有效地防备信息泄漏。
在BIND 9中可以利用view语句举办设置疏散DNS。view语句的语法为:
view view_name { match-clients { address_match_list }; [ view_option; ...] zone_statement; ... }; |
◆match-clients:该子句很是重要,它用于指定谁能看到本view。可以在view语句中利用一些选项;
◆zone_statement:该子句指定在当前view中可见的区声明。假如在设置文件中利用了view语句,则所有的zone语句都必需在view中呈现。对同一个zone而言,设置内网的view应该置于外网的view之前。
下面是一个利用view语句的例子,它来自于BIND9的尺度说明文档: