Chinaunix首页 | 论坛 | 博客
  • 博客访问: 451544
  • 博文数量: 96
  • 博客积分: 4594
  • 博客等级: 上校
  • 技术积分: 1130
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-30 19:56
文章分类
文章存档

2012年(8)

2011年(49)

2010年(18)

2009年(21)

分类: LINUX

2010-11-22 13:01:48

Rh333第四单元:bind安全.

目前互联网上的DNS应用极为广泛,这还仅限与IPV4时代,等到IPV6时代的时候,相信DNS的功能则更加不可被替代。通常对DNS的攻击是攻击其他服务器的第一步骤。

1.DNS的脆弱点:

1)利用DNS信息,攻击其他服务器。例如通过获取DNS数据库文件,发现webmail 服务器IP

2)欺骗查询的第三方主机,比如对方查询icbc.com,通过攻击DNS,将原本对应的IP       替换掉为一个钓鱼网站的IP

 (3)攻击手段包括:缓存中毒,或者直接攻击父域服务器

2.DNS解决方法.

 运用TSIG进行DNS通信加密.  (只有拿到TSIG KEY的人才能与服务器进行通信)

 限制zone文件的传输,限制递归查询

 在chroot环境下运行bind

 配置日志信息

3.ports:  UDP53.(用户查询)   TCP53(主辅同步)

4.缓存DNS和转发DNS的区别

缓存DNS:先做转发,如果没有记录,从根查起

转发DNS:向目标服务器转发,如果没有记录不再查询

TSIG:Transaction Signatures

通过共享对称的密钥进行加密(一定要保证时间同步)

阅读(923) | 评论(0) | 转发(0) |
0

上一篇:apache高级配置

下一篇:CA-TSIG加密DNS传输

给主人留下些什么吧!~~