分类: LINUX
2010-11-22 13:01:48
Rh333第四单元:bind安全.
目前互联网上的DNS应用极为广泛,这还仅限与IPV4时代,等到IPV6时代的时候,相信DNS的功能则更加不可被替代。通常对DNS的攻击是攻击其他服务器的第一步骤。
1.DNS的脆弱点:
(1)利用DNS信息,攻击其他服务器。例如通过获取DNS数据库文件,发现web和mail 服务器IP。
(2)欺骗查询的第三方主机,比如对方查询icbc.com,通过攻击DNS,将原本对应的IP 替换掉为一个钓鱼网站的IP。
(3)攻击手段包括:缓存中毒,或者直接攻击父域服务器
2.DNS解决方法.
运用TSIG进行DNS通信加密. (只有拿到TSIG KEY的人才能与服务器进行通信)
限制zone文件的传输,限制递归查询
在chroot环境下运行bind
配置日志信息
3.ports: UDP53.(用户查询) TCP53(主辅同步)
4.缓存DNS和转发DNS的区别
缓存DNS:先做转发,如果没有记录,从根查起
转发DNS:向目标服务器转发,如果没有记录不再查询
TSIG:Transaction Signatures
通过共享对称的密钥进行加密(一定要保证时间同步)
