DNS軟件是黑客熱衷攻擊的目標，它可能帶來安全問題。本文提供了10個保護DNS服務器最有效的方法。

　　1.使用DNS轉發(fā)器

　　DNS轉發(fā)器是為其他DNS服務器完成DNS查詢的DNS服務器。使用DNS轉發(fā)器的主要目的是減輕DNS處理的壓力，把查詢請求從 DNS服務器轉給轉發(fā)器，從DNS轉發(fā)器潛在地更大DNS高速緩存中受益。

　　使用DNS轉發(fā)器的另一個好處是它阻止了DNS服務器轉發(fā)來自互聯(lián)網(wǎng)DNS服務器的查詢請求。如果你的DNS服務器保存了你內(nèi)部的域DNS資源 記錄的話，這一點就非常重要。不讓內(nèi)部 DNS服務器進行遞歸查詢并直接聯(lián)系DNS服務器，而是讓它使用轉發(fā)器來處理未授權的請求。

　　2.使用只緩沖DNS服務器

　　只緩沖DNS服務器是針對為授權域名的。它被用做遞歸查詢或者使用轉發(fā)器。當只緩沖DNS服務器收到一個反饋，它把結果保存在高速緩存中，然后 把結果發(fā)送給向它提出 DNS查詢請求的系統(tǒng)。隨著時間推移，只緩沖DNS服務器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。

　　把只緩沖DNS服務器作為轉發(fā)器使用，在你的管理控制下，可以提高組織安全性。內(nèi)部DNS服務器可以把只緩沖DNS服務器當作自己的轉發(fā)器，只 緩沖DNS服務器代替你的內(nèi)部DNS服務器完成遞歸查詢。使用你自己的只緩沖DNS服務器作為轉發(fā)器能夠提高安全性，因為你不需要依賴你的ISP的DNS 服務器作為轉發(fā)器，在你不能確認ISP的DNS服務器安全性的情況下，更是如此。

　　3.使用DNS廣告者 (DNSadvertisers)

　　DNS廣告者是一臺負責解析域中查詢的DNS服務器。例如，如果你的主機對于domain.com和corp.com是公開可用的資源，你的公共DNS服務器就應該為domain.com和 corp.com配置DNS區(qū)文件。

　　除DNS區(qū)文件宿主的其他DNS服務器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服 務器進行遞歸查詢。這讓用戶不能使用你的公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。

　　4.使用DNS解析者

　　DNS解析者是一臺可以完成遞歸查詢的DNS服務器，它能夠解析為授權的域名。例如，你可能在內(nèi)部網(wǎng)絡上有一臺DNS服務器，授權內(nèi)部網(wǎng)絡域名 internalcorp.com的DNS服務器。當網(wǎng)絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時，這臺DNS服務器通 過向其他DNS服務器查詢來執(zhí)行遞歸以獲得答案。

　　DNS服務器和DNS解析者之間的區(qū)別是DNS解析者是僅僅針對解析互聯(lián)網(wǎng)主機名。 DNS解析者可以是未授權DNS域名的只緩存DNS服務器。你可以讓DNS解析者僅對內(nèi)部用戶使用，你也可以讓它僅為外部用戶服務，這樣你就不用在沒有辦 法控制的外部設立DNS服務器了，從而提高了安全性。當然，你也可以讓DNS解析者同時被內(nèi)、外部用戶使用。

　　5.保護DNS不受緩存污染

　　DNS緩存污染已經(jīng)成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發(fā)出請求的主機之前，就保存在高速緩存中。DNS 高速緩存能夠極大地提高你組織內(nèi)部的DNS查詢性能。問題是如果你的DNS服務器的高速緩存中被大量假的DNS信息“污染”了的話，用戶就有可能被送到惡 意站點而不是他們原先想要訪問的網(wǎng)站。

　　絕大部分DNS服務器都能夠通過配置阻止緩存污染。 WindowsServer2003DNS服務器默認的配置狀態(tài)就能夠防止緩存污染。如果你使用的是 Windows2000DNS服務器，你可以配置它，打開DNS服務器的Properties對話框，然后點擊“高級”表。選擇“防止緩存污染”選項，然 后重新啟動DNS服務器。

　　6.使DDNS 只用安全連接

　　很多DNS服務器接受動態(tài)更新。動態(tài)更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減

　　輕DNS管理員的管理費用，否則管理員必須手工配置這些主機的DNS資源記錄。

　　然而，如果未檢測的DDNS更新，可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務器、Web服務器或者數(shù)據(jù)庫服務器動態(tài)更新的 DNS主機記錄，如果有人想連接到這些服務器就一定會被轉移到其他的機器上。

　　你可以減少惡意 DNS升級的風險，通過要求安全連接到DNS服務器執(zhí)行動態(tài)升級。這很容易做到，你只要配置你的DNS服務器使用活動目錄綜合區(qū) (ActiveDirectoryIntegratedZones)并要求安全動態(tài)升級就可以實現(xiàn)。這樣一來，所有的域成員都能夠安全地、動態(tài)更新他們的 DNS信息。

　　7.禁用區(qū)域傳輸

　　區(qū)域傳輸發(fā)生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名，并且?guī)в锌筛膶懙腄NS區(qū)域文件，在需要的時候可以對該文件 進行更新。 從DNS服務器從主力DNS服務器接收這些區(qū)域文件的只讀拷貝。從DNS服務器被用于提高來自內(nèi)部或者互聯(lián)網(wǎng)DNS查詢響應性能。

　　然而，區(qū)域傳輸并不僅僅針對從DNS服務器。任何一個能夠發(fā)出DNS查詢請求的人都可能引起DNS服務器配置改變，允許區(qū)域傳輸傾倒自己的區(qū)域 數(shù)據(jù)庫文 件。惡意用戶可以使用這些信息來偵察你組織內(nèi)部的命名計劃，并攻擊關鍵服務架構。你可以配置你的DNS服務器，禁止區(qū)域傳輸請求，或者僅允許針對組織內(nèi)特 定服務器進行區(qū)域傳輸，以此來進行安全防范。

　　8.使用防火墻來控制DNS訪問

　　防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內(nèi)部用戶查詢請求的DNS服務器，應該設置防火墻的配置，阻止外部主機連 接這些 DNS服務器。對于用做只緩存轉發(fā)器的DNS服務器，應該設置防火墻的配置，僅僅允許那些使用只緩存轉發(fā)器的DNS服務器發(fā)來的查詢請求。防火墻策略設置 的重要一點是阻止內(nèi)部用戶使用DNS協(xié)議連接外部DNS服務器。

　　9.在DNS注冊表中建立訪問控制

　　在基于Windows的DNS服務器中，你應該在DNS服務器相關的注冊表中設置訪問控制，這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。

　　HKLMCurrentControlSetServicesDNS鍵應該僅僅允許管理員和系統(tǒng)帳戶訪問，這些帳戶應該擁有完全控制權限。

　　10.在DNS文件系統(tǒng)入口設置訪問控制

　　在基于Windows的DNS服務器中，你應該在DNS服務器相關的文件系統(tǒng)入口設置訪問控制，這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。

　　%system_directory%DNS文件夾及子文件夾應該僅僅允許系統(tǒng)帳戶訪問，系統(tǒng)帳戶應該擁有完全控制權限。