DNS 安全DNS 欺騙種類1． DNS 欺騙（DNS Spoffing）（1）緩存感染黑客會(huì)熟練的使用DNS 請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒有設(shè)防的DNS 服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS

DNS 安全

DNS 欺騙種類

1． DNS 欺騙（DNS Spoffing）

（1）緩存感染

黑客會(huì)熟練的使用DNS 請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒有設(shè)防的DNS 服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS 訪問時(shí)返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的W eb 服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。

（2）DNS 信息劫持

入侵者通過監(jiān)聽客戶端和DNS 服務(wù)器的對(duì)話，通過猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS 查詢ID 。每個(gè)DNS 報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID 號(hào)，DNS 服務(wù)器根據(jù)這個(gè)ID 號(hào)獲取請(qǐng)求源位置。黑客在DNS 服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站。

（3）DNS 復(fù)位定向

攻擊者能夠?qū)NS 名稱查詢復(fù)位向到惡意DNS 服務(wù)器。這樣攻擊者可以獲得DNS 服務(wù)器的寫權(quán)限。

2． 拒絕服務(wù)（Denial of service，DoS ）

黑客主要利用一些DNS 軟件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向運(yùn)行BIND 的設(shè)備發(fā)送特定的DNS 數(shù)據(jù)包請(qǐng)求，BIND 就會(huì)自動(dòng)關(guān)閉。攻擊者只能使BIND 關(guān)閉，而無法在服務(wù)器上執(zhí)行任意命令。如果得不到DNS 服務(wù)，那么就會(huì)產(chǎn)生一場(chǎng)災(zāi)難：由于網(wǎng)址不能解析為IP 地址，用戶將無方訪問互聯(lián)網(wǎng)。這樣，DNS 產(chǎn)生的問題就好像是互聯(lián)網(wǎng)本身所產(chǎn)生的問題，這將導(dǎo)致大量的混亂。

3． 分布式拒絕服務(wù)攻擊和緩沖區(qū)漏洞溢出攻擊（Buffer Overflow）

DDOS 攻擊通過使用攻擊者控制的幾十臺(tái)或幾百臺(tái)計(jì)算機(jī)攻擊一臺(tái)主機(jī)，使得服務(wù)拒絕攻擊更難以防范：使服務(wù)拒絕攻擊更難以通過阻塞單一攻擊源主機(jī)的數(shù)據(jù)流，來防范服務(wù)拒絕攻擊。Syn Flood是針對(duì)DNS 服務(wù)器最常見的分布式拒絕服務(wù)攻擊。

Bind 軟件的缺省設(shè)置是允許主機(jī)間進(jìn)行區(qū)域傳輸（zone transfer）。區(qū)域傳輸主要用于主域名服務(wù)器與輔域名服務(wù)器之間的數(shù)據(jù)同步，使輔域名服務(wù)器可以從主域名服務(wù)器獲得新的數(shù)據(jù)信息。一旦起用區(qū)域傳輸而不做任何限制，很可能會(huì)造成信息泄漏，黑客將可以獲得整個(gè)授權(quán)區(qū)域內(nèi)的所有主機(jī)的信息，判斷主機(jī)功能及安全性，從中發(fā)現(xiàn)目標(biāo)進(jìn)行攻擊。

解決方法

此解決方法是針對(duì)于有多個(gè)輔助DNS 服務(wù)器，防止在主域向輔域傳輸?shù)臅r(shí)候發(fā)生泄露或劫持而使用的，如果是單域是不需要考慮這些的，單域主要考慮的是緩存區(qū)感染、信息劫持和緩沖區(qū)益出以及分布式攻擊或拒絕服務(wù)攻擊。

緩存區(qū)感染和服務(wù)器被攻破是可以通過單一獨(dú)享網(wǎng)段來避免的。

拒絕服務(wù)攻擊和緩存區(qū)溢出漏洞是通過避免BIND 漏洞來避免的現(xiàn)在（2008-5-22日）最新的bind 的版本是9.5.a2

在主從域名服務(wù)器之間建立簽名

TSIG 技術(shù)

DNS 的事務(wù)簽名分為 TSIG (Transaction Signatures) 與 SIG0 (SIGnature)兩種。該如何選擇呢? 首先，要先判斷客戶端與服務(wù)器間的信任關(guān)系為何，若是可信任者，可選擇對(duì)稱式的 TSIG。TSIG 只有一組密碼，并無公開/私密金鑰之分；若是非完全信任者，可選擇非對(duì)稱式金鑰的 SIG0，雖有公開/私密金鑰之分，相對(duì)的，設(shè)定上也較復(fù)雜。至于要選用哪種較適合，就由自己來判斷。通常區(qū)帶傳輸是主域名服務(wù)器到輔助域名服務(wù)器。通常在主域名服務(wù)器配置文件/etc/named.conf的dns-ip-list 的訪問控制列表（ACL ，access control list ）會(huì)列出一些IP 地址，它們只能為主域進(jìn)行傳輸區(qū)帶信息。一個(gè)典型例子如下：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; }; };

都是黑客會(huì)利用IP 欺騙一個(gè)DNS 服務(wù)器，迫使其進(jìn)行非法區(qū)帶傳輸。TSIG 技術(shù)可以進(jìn)行有效防范。

1、TSIG 技術(shù)

交易簽章 (TSIGRFC 2845)，是為了保護(hù) DNS安全而發(fā)展的。從BIND 8.2版本開始引入 TSIG 機(jī)制，其驗(yàn)證 DNS 訊息方式是使用共享金鑰(Secret Key) 及單向雜湊函式(One-way hash function) 來提供訊息的驗(yàn)證和數(shù)據(jù)的完整性。主要針對(duì)區(qū)帶傳輸（ZONE Transfer）

進(jìn)行保護(hù)的作用，利用密碼學(xué)編碼方式為通訊傳輸信息加密以保證 DNS 訊息的安全，特別是響應(yīng)與更新的訊息數(shù)據(jù)。也就是說在DNS 服務(wù)器之間進(jìn)行轄區(qū)傳送時(shí)所提供保護(hù)的機(jī)制，以確保傳輸數(shù)據(jù)不被竊取及監(jiān)聽。下面以BIND 9.21為例：

首先在開始設(shè)置，必須為主域名服務(wù)器（master DNS）和輔助域名（ slave DNS） 進(jìn)行時(shí)間同步，否則會(huì)造成區(qū)帶傳輸?shù)氖　？梢允褂胣tp 或者rdate 工具進(jìn)行服務(wù)器時(shí)間同步。

假設(shè)要限制yourdomain.com 的主域到IP 地址分別是172.20.15.100 (ns1.yourdomain. com) 和 172.20.15.123 (ns2.yourdomain.com). 的兩個(gè)輔助域名服務(wù)器之間進(jìn)行區(qū)帶傳輸。在此將詳述 TSIG 的實(shí)際操作，可以防止DNS 服務(wù)器和黑客的DNS 服務(wù)器之間不會(huì)發(fā)生IP 欺騙。

步驟一：執(zhí)行 dnssec-keygen function 產(chǎn)生加密金鑰，一個(gè)為 public key 文件，另一個(gè)為 private key 文件：

產(chǎn)生加密金鑰：

dnssec-keygen -a hmac-md5 -b 128 -n HOST zone-xfr-key

該文件中公開金鑰（public key）是： Kzone-xfr-key. 157 08825.key；私有金鑰（priv ate key）是Kzone-xfr-key. 157 08825.private。此時(shí)查看文件通常包括以下內(nèi)容：

Private-key-format: v1.2

Algorithm: 157 (HMAC_MD5)

Key: YH8Onz5x0/twQnvYPyh1qg==

步驟二：使用TSIG 金鑰在主域名服務(wù)器和輔助域名服務(wù)器的設(shè)置文件named.conf 設(shè)定：

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

步驟三：將下面的聲明加入服務(wù)器ns1.yourdomain.com 的設(shè)置文件/etc/named.conf中：

server 172.20.15.123 {

keys { zone-xfr-key; };

};

步驟四：將下面的聲明加入服務(wù)器ns2.yourdomain.com 的設(shè)置文件/etc/named.conf中：

server 172.20.15.100 {

keys { zone-xfr-key; };

};

步驟五：為主域名服務(wù)器ns1.yourdomain.com 的yourdomain.com 區(qū)帶的設(shè)置文件/etc/named.conf 寫入以下配置：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

server 172.20.15.123 {

keys { zone-xfr-key; };

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; };

};

步驟六：為輔助域名服務(wù)器ns2.yourdomain.com 的yourdomain.com 區(qū)帶的設(shè)置文件/etc/named.conf 寫入以下配置：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

server 172.20.15.100 {

keys { zone-xfr-key; };

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; };

};

步驟七：再次重新啟動(dòng)主域名服務(wù)器和輔助域名服務(wù)器。

說明為確保安全性的問題，TSIG 可確認(rèn) DNS 之信息是由某特定 DNS Server 所提供。通常TSIG 應(yīng)用于域名服務(wù)器間的區(qū)帶傳輸，確保數(shù)據(jù)不會(huì)被篡改或產(chǎn)生 dns spoofing。 步驟八：

驗(yàn)證TSIG 技術(shù)是否生效，步驟如下：

刪除輔助域名服務(wù)器(ns2.yourdomain.com)的區(qū)帶文件。

重新啟動(dòng)輔助域名服務(wù)器。

檢查輔助域名服務(wù)器的區(qū)帶文件是否自動(dòng)建立。輔助域名服務(wù)器用來從主服務(wù)器中轉(zhuǎn)移一整套域信息。區(qū)帶文件是從主服務(wù)器轉(zhuǎn)移出的，作為磁盤文件保存在輔助域名服務(wù)器中。 注意事項(xiàng)：如果為域名服務(wù)器配置了TSIG ，那么要確保普通用戶不能接觸主域名服務(wù)器和輔助域名服務(wù)器的配置文件/etc/named.conf。另外也不能修改兩臺(tái)服務(wù)器的共享的TSIG 密鑰

以下的技術(shù)是在客戶端和DNS 服務(wù)器之間建立簽名認(rèn)證的方法。

DNSSEC 技術(shù)

DNS 欺騙是對(duì)目前網(wǎng)絡(luò)應(yīng)用，最大的沖擊在于冒名者借著提供假的網(wǎng)域名稱與網(wǎng)址的對(duì)照信息，可以將不知情用戶的網(wǎng)頁聯(lián)機(jī)，導(dǎo)引到錯(cuò)誤的網(wǎng)站，原本屬于用戶的電子郵件也可能因而遺失，甚而進(jìn)一步空開成為阻斷服務(wù)的攻擊。所幸，目前較新的 BIND 版本，針對(duì)這一類問題，已經(jīng)有加入許多改進(jìn)的方法，不過真正的解決方案，則有賴封包認(rèn)證機(jī)制的建立與推動(dòng)。DNSSEC 就是試圖解決這一類問題的全新機(jī)制， BIND9 已經(jīng)完整加以設(shè)計(jì)并完成。DNSS EC 引入兩個(gè)全新的資源記錄類型：KEY 和SIG ，允許客戶端和域名服務(wù)器對(duì)任何DNS 數(shù)據(jù)的來源進(jìn)行密碼驗(yàn)證。

DNSSEC 主要依靠公鑰技術(shù)對(duì)于包含在DNS 中的信息創(chuàng)建密碼簽名。密碼簽名通過計(jì)算出一個(gè)密碼hash 數(shù)來提供DNS 中數(shù)據(jù)的完整性，并將該hash 數(shù)封裝進(jìn)行保護(hù)。私/公鑰對(duì)中的私鑰用來封裝hash 數(shù)，然后可以用公鑰把hash 數(shù)譯出來。如果這個(gè)譯出的hash 值匹配接收者剛剛計(jì)算出來的hash 樹，那么表明數(shù)據(jù)是完整的。不管譯出來的hash 數(shù)和計(jì)算出來的hash 數(shù)是否匹配，對(duì)于密碼簽名這種認(rèn)證方式都是絕對(duì)正確的，因?yàn)楣€僅僅用于解密合法的hash 數(shù)，所以只有擁有私鑰的擁有者可以加密這些信息。下面我們看看如何為名稱是domain.com 的域建立DESSEC 配置。

步驟一：為 domain.com 域建立一對(duì)密鑰。在 /var/named 目錄下，使用命令： “/usr/local/sbin/dnssec-keygen -a DSA -b 768 -n ZONE domain.com” 這個(gè)命令產(chǎn)生一對(duì)長(zhǎng)度768位DSA 算法的私有密鑰（Kdomain.com. 003 29462.private）和公共密鑰（Kdomain.co m. 003 29462.key）。其中29462稱作密鑰標(biāo)簽（ key tag）。

步驟二：使用命令：“ /usr/local/sbin/dnssec-makekeyset -t 3600 -e now 30 Kdomain.com. 003 29462“建立一個(gè)密鑰集合。該命令以3，600 seconds 的生存時(shí)間（time-to-live ）建立密鑰集合，有效期限三十天，并且創(chuàng)建一個(gè)文件：domain.com.keyset 。

步驟三：使用命令“ /usr/local/sbin/dnssec-signkey domain.com.keyset Kdomain.com. 003 29462 “為密鑰集合簽字。然后建立一個(gè)簽字文件：domain.com.signedkey 。 步驟四：使用命令 “/usr/local/sbin/dnssec-signzone -o domain.com domain.db command ， where domain.db ”為區(qū)帶文件簽字。然后建立一個(gè)簽字文件： domain.db.signed。

步驟五：替換 配置文件/etc/named.conf中 domain.com的區(qū)帶文件部分。清單如下：

zone “domain.com” IN {

type master;

file “domain.db.signed”;

allow-update { none; }; };

從上面的配置過程我們也看到DNSSEC 的一些缺點(diǎn)：

除了配置負(fù)責(zé)，還有標(biāo)記和校驗(yàn)DNS 數(shù)據(jù)顯然會(huì)產(chǎn)生額外的開銷，從而影響網(wǎng)絡(luò)和服務(wù)器的性能。簽名的數(shù)據(jù)量很大，這就加重了域名服務(wù)器對(duì)互聯(lián)網(wǎng)骨干以及一些非骨干連接的負(fù)擔(dān)。產(chǎn)生和校驗(yàn)簽名也占用了很多中央處理器的時(shí)間。有時(shí)候，不得不把單處理器的DNS 服務(wù)器換成多處理器的DNSSEC 服務(wù)器。簽名和密鑰占用的磁盤空間和RAM 容量達(dá)到它們表示的數(shù)據(jù)所占容量的10倍。同時(shí)數(shù)據(jù)庫和管理系統(tǒng)也不得不進(jìn)行相應(yīng)的升級(jí)和擴(kuò)容。

總結(jié)：域名系統(tǒng)的配置和管理是一項(xiàng)比較復(fù)雜和繁瑣的系統(tǒng)管理任務(wù)，它對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行影響極大。為了保證DNS 服務(wù)器的安全運(yùn)行，不僅要使用可靠的服務(wù)器軟件版本，而且要對(duì)DNS 服務(wù)器進(jìn)行安全配置，本文介紹了TISG 和DNSSEC 技術(shù)有助于減少 DNS Spoofing 攻擊的發(fā)生，增進(jìn)網(wǎng)絡(luò)使用者對(duì)因特網(wǎng)使用的信任，杜絕信息系統(tǒng)遭受入侵與攻擊的產(chǎn)生。

DNS 的CHROOT 的安裝方式

一.bind-chroot 介紹

DNS 是一種將域名解析為IP 地址的服務(wù). 如:

www.turbolinux.com.cn

通過DNS 解析, 可以

得到210.77.38.126.

bind 是linux 的DNS 服務(wù)器程序.bind-chroot 是bind 的一個(gè)功能, 使bind 可以在一個(gè) chroot 的模式下運(yùn)行. 也就是說,bind 運(yùn)行時(shí)的/(根) 目錄, 并不是系統(tǒng)真正的/(根) 目錄, 只是 系統(tǒng)中的一個(gè)子目錄而已. 這樣做的目的是為了提高安全性. 因?yàn)樵赾hroot 的模式下,bind 可以 訪問的范圍僅限于這個(gè)子目錄的范圍里, 無法進(jìn)一步提升, 進(jìn)入到系統(tǒng)的其他目錄中.

二.bind-chroot 的安裝

1.rpm 包

在GTES10,10.5,11中, 都已包含有bind-chroot 包, 可以直接安裝相應(yīng)rpm 包.

# rpm -ivh bind-chroot.xxx.rpm

2. 源碼包安裝

源碼下載地址:

以bind-9.4.1-P1版本為例.

# tar zxvf bind-9.4.1-P1.tar.gz

# cd bind-9.4.1-P1

# ./configure

# make

# make install

三.bind-chroot 的使用

1.rpm 包方式

在GTES 11上, 如果已經(jīng)安裝了bind-chroot 的包, 則bind 的默認(rèn)啟動(dòng)方式就是chroot 方式. # /etc/init.d/named start

# ps -ef | grep named

named 2090 2613 1 0 07:49 ? 00:00:00 /usr/sbin/named -u named -t /var/named/chroot

2. 源碼包方式

使用源碼包安裝完成bind 后, 使用下面步驟進(jìn)行配置:

建立named 用戶

# useradd named

建立chroot 后所需的目錄和文件

# mkdir -p /var/named/chroot/etc

# mkdir /var/named/chroot/dev

# mkdir -p /var/named/chroot/var/named/data

# mkdir -p /var/named/chroot/var/run

# cp /var/named/* /var/named/chroot/var/named/

# cp /etc/rndc.key /var/named/chroot/etc/

建立chroot 后, 所需的設(shè)備文件

# cd /var/named/chroot/dev

# mknod null c 1 3

# mknod random c 1 8

# mknod zero c 1 5

# chmod 666 null random

# chown -R named.named /var/named /var/run

建立named.conf 配置文件

# vi /var/named/chroot/etc/named.conf

options {

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

// query-source address * port 53;

};

controls {

inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; };

};

zone "." IN {

type hint;

file "named.ca";

};

zone "localdomain" IN {

type master;

file "localdomain.zone";

allow-update { none; };

};

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { 127.0.0.1 ; };

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master;

file "named.ip6.local";

allow-update { none; };

};

zone "255.in-addr.arpa" IN {

type master;

file "named.broadcast";

allow-update { none; };

};

zone "0.in-addr.arpa" IN {

type master;

file "named.zero";

allow-update { none; };

};

include "/etc/rndc.key";

啟動(dòng)bind

# /usr/local/sbin/named -u named -t /var/named/chroot

# ps -ef | grep named

named 15739 1 0 08:27 ? 00:00:00 /usr/local/sbin/named -u named -t /var/named/chroot

現(xiàn)在bind 已經(jīng)運(yùn)行在chroot 模式下了.

DNS 欺騙（DNS Spoofing）:主要有以下三種形式。①攻擊者在自己的主機(jī)上安裝網(wǎng)絡(luò)偵聽器，劫持域名查詢請(qǐng)求，然后假冒DNS 的響應(yīng)，返回一個(gè)錯(cuò)誤解析地址，使發(fā)出該域名查詢請(qǐng)求的客戶機(jī)得到一個(gè)錯(cuò)誤的解析地址；②攻擊者通過污染DNS 的緩沖區(qū)（DNS Cache Poisoning ）將D N S 高速緩存內(nèi)的信息修改。由于D N S 的解析過程是先從本地的緩存中查找要求解析的域名的IP 地址，當(dāng)本地的緩存內(nèi)的信息被修改后，就會(huì)將一個(gè)被篡改后的IP 地址發(fā)送給請(qǐng)求者，使請(qǐng)求者得到一個(gè)錯(cuò)誤的解析地址。③攻擊者侵入操作系統(tǒng)，獲得管理員權(quán)限，直接修改DNS 數(shù)據(jù)文件。針對(duì)域名服務(wù)器的拒絕服務(wù)（DoS ）攻擊：這種攻擊主要有二種，一種是利用DNS 軟件本身的漏洞（如：UNIX 下使用BIND ，存在ZXFRBUG 、S R V B U G、S V G D I V E B U G 等）進(jìn)行攻擊；另一種是用戶端泛濫，攻擊者仿造源地址，產(chǎn)生一個(gè)查詢請(qǐng)求，使域名服務(wù)器忙于應(yīng)付大量的無效回應(yīng)，而無法處理正常的用戶請(qǐng)求。利用區(qū)傳輸造成DNS 信息泄密：名字

服務(wù)器通常含有域名空間中某一部分的完整信息，這一

部分稱為區(qū)。區(qū)的內(nèi)容是從文件或其它名字服務(wù)器中加載過來的。在加載的過程中，黑客可以劫獲傳輸?shù)膬?nèi)容，造成整個(gè)區(qū)域的信息泄露，同時(shí)在加載的過程中，也會(huì)增加服務(wù)器的負(fù)載。一旦DNS 系統(tǒng)被攻擊成功, 入侵者就會(huì)刪除日志文件，銷毀自己可能暴露的蛛絲馬跡，然后在DNS 系統(tǒng)中安裝程序，通過運(yùn)行它獲得管理員權(quán)限，同時(shí)開始向外進(jìn)行掃描，在幾分鐘內(nèi)就可發(fā)現(xiàn)大量的存在相同漏洞的服務(wù)器，并可對(duì)之重復(fù)上述攻擊，如此反復(fù)，后果不堪設(shè)想

避險(xiǎn)的方法：

1．防止單點(diǎn)故障：為每個(gè)域提供多臺(tái)域名服務(wù)器，不要將所有的域名服務(wù)器放在同一個(gè)子網(wǎng)中，將所有的域名服務(wù)器分別放在不同的路由器后面；所有的域名服務(wù)器不要使用同一條線路，避免因線路問題使所有的DNS 癱瘓；及時(shí)備份域名服務(wù)器，盡量將多個(gè)域名服務(wù)器運(yùn)行在不同的操作系統(tǒng)上。限制區(qū)域傳輸：區(qū)傳輸會(huì)暴露整個(gè)區(qū)域的信息并加重服務(wù)器負(fù)載，所以應(yīng)該嚴(yán)格限制區(qū)傳輸，防止黑客列舉區(qū)中的信息，了解網(wǎng)絡(luò)中的主機(jī)數(shù)目、機(jī)器型號(hào)和用途。

2． 專用D N S 服務(wù)器：在D N S 服務(wù)器上不要提供其它服務(wù)，如W W W 、E M A I L 等。對(duì)外只開放UDP53 和TCP53 端口，配置