很多站長多遇到或知道DNS服務器解析失敗這種情況很讓人糟心,根據全球1000家機構數據,2018年間,77%的機構遭受了至少一次基于DNS的網絡攻擊。涵蓋了通信、教育、金融、醫療保健等行業。惡意軟件和網絡釣魚域名鎖定、DNS隧道與DDoS攻擊,也造成了極大的影響。導致的損失,已增加57%。91%的惡意軟件利用了域名服務器解析服務(DNS)。對目標、甚至DNS服務器發起攻擊”。不得不警惕的是欺詐者已經大量通過定向和定制活動,來提升針對特定行業部門的網絡釣魚受害率。
受DNS攻擊所影響的組織,平均損失較上一年增加約57%——從2017年的45.6萬美元,到了2018年的71.5萬美元——這一點尤其令人感到不安。考慮到所有因素,雖然DNS攻擊從一個行業部門、轉到另一個行業部門的影響差異很大。但對所有組織機構來說,部署恰當的DNS攻擊檢測和防護措施,仍然是至關重要的。本文提供了10個保護DNS服務器最有效的方法。
1、使用DNS服務器轉發器
使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS服務器轉給轉發器,
從DNS轉發器潛在地更大DNS快取記憶體中受益。另一個好處是它阻止了DNS服務器轉發來自互聯網DNS服務器的查詢請求。如果您的DNS服務器保存了您內部的域DNS資源記錄的話,這一點就非常重要。不讓內部DNS服務器進行遞迴查詢并直接聯繫DNS服務器,而是讓它使用轉發器來處理未授權的請求。
2、設定只緩衝DNS服務器
當只緩衝DNS服務器收到一個回饋,它把結果保存在快取記憶體中,然后把
結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩衝DNS服務器可以收集大量的DNS回饋,這能極大地縮短它提供DNS回應的時間。可以提高組織安全性。內部DNS服務器可以把只緩衝DNS服務器當作自己的轉發器,只緩衝
DNS服務器代替您的內部DNS服務器完成遞迴查詢。使用您自己的只緩衝DNS服務器作為轉發器能夠提高安全性。
3、DNS服務器廣告者
DNS廣告者是一臺負責解析域中查詢的DNS服務器。如果您的主機對于domain.com
和corp.com是公開可用的資源,您的公共DNS服務器就應該為domain.com
和corp.com配置DNS區檔。除DNS區檔宿主的其他DNS服務器之外的DNS廣告者設置,是DNS廣告者只回答其授權的功能變數名稱的查詢。這種DNS服務器不會對其他DNS服務器進行遞迴
查詢。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
4、使用DNS解析者
DNS解析者是一臺可以完成遞迴查詢的DNS服務器,它能夠解析為授權的功能變數名稱。DNS解析者是僅僅針對解析互聯網主機名稱。DNS解析者可以是未授權DNS功能變數名稱的只緩存DNS服務器。您可以讓DNS
解析者僅對內部用戶使用,您也可以讓它僅為外部使用者服務,這樣您就不用在沒有辦法控制的外部設立DNS服務器了,從而提高了安全性。當然,您也
可以讓DNS解析者同時被內、外部用戶使用。
5、保護DNS服務器不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答覆給發出請求的主機之前,就保存在快取記憶體中。DNS快取記憶體
能夠極大地提高您組織內部的DNS查詢性能。問題是如果您的DNS服務器的快取記憶體中被大量假的DNS資訊“污染”了的話,用戶就有可能被送到惡意網站
而不是他們塬先想要訪問的網站。
6、DNS服務器只用安全連接
7、禁用區域傳輸
8、使用防火墻來控制DNS服務器訪問
防火墻可以用來控制誰可以連接到您的DNS服務器上。對于那些僅僅回應內部用戶查詢請求的DNS服務器,應該設置防火墻的配置,阻止外部主機連接
這些DNS服務器。對于用做只緩存轉發器的DNS服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要一點是阻止內部使用者使用DNS協定連接外部DNS服務器。
9、在DNS服務器註冊表中建立存取控制
在基于Windows的DNS服務器中,您應該在DNS服務器相關的註冊表中設置存取控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些註冊表設置。HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制許可權。
10、在DNS服務器檔案系統入口設置存取控制
在基于Windows的DNS服務器中,您應該在DNS服務器相關的檔案系統入口設置存取控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些檔。
第十一種當然是搭配服務器供應商的CDN服務器進行解析,二者可以相輔相成的,二者搭配起來能使網站更加安全,快速。當用戶訪問加入CDN服務的網站時,域名解析請求將最終交給全局負載均衡DNS進行處理。全局負載均衡DNS通過一組預先定義好的策略,將當時最接近用戶的節點地址提供給用戶,使用戶能夠得到快速的服務。
上一篇:
公司租用云服務器劃算嗎?
下一篇:
云服務器未來趨勢如何?
