專門討論DNS的安全性。也許有的人會(huì)覺得奇怪，DNS的安全性好像很少聽人提到，其實(shí)，DNS的安全尤勝過(guò)其它的網(wǎng)絡(luò)安全。我先隨便說(shuō)說(shuō)DNS的安全隱患：1.防火墻不會(huì)限制對(duì)DNS的訪問(wèn)2.DNS可以泄漏內(nèi)

專門討論DNS的安全性。


也許有的人會(huì)覺得奇怪，DNS的安全性好像很少聽人提到，其實(shí)，DNS的安全
尤勝過(guò)其它的網(wǎng)絡(luò)安全。我先隨便說(shuō)說(shuō)DNS的安全隱患：
1.防火墻不會(huì)限制對(duì)DNS的訪問(wèn)
2.DNS可以泄漏內(nèi)部的網(wǎng)絡(luò)拓樸結(jié)構(gòu)
3.DNS存在許多簡(jiǎn)單有效的遠(yuǎn)程緩沖溢出攻擊
4.幾乎所有的網(wǎng)站都需要DNS
5.DNS的本身性能問(wèn)題可是關(guān)系到整個(gè)應(yīng)用的關(guān)鍵
6.國(guó)內(nèi)關(guān)于DNS安全的資料太少，只怕狼真的來(lái)了的時(shí)候，大家來(lái)不及操家伙
...
哎呀，一下子扯開了，大家就當(dāng)看評(píng)書把，;)
安全的一個(gè)重要標(biāo)志是可用性。對(duì)于DNS服務(wù)器而言這點(diǎn)尤其重要，在現(xiàn)實(shí)
生活中經(jīng)常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個(gè)安全問(wèn)題，但是對(duì)于DNS服務(wù)器
來(lái)說(shuō)，遭到了拒絕服務(wù)攻擊則是一件更嚴(yán)重的問(wèn)題。
失去了DNS服務(wù)器的話，任何在internet網(wǎng)絡(luò)上的人將不能夠再使用域名找到你
的服務(wù)器，不可想像讓普通的網(wǎng)民們使用202.106.184.200來(lái)代替www.sina.com.cn
使用。更嚴(yán)重的是，沒有了DNS的服務(wù)，所有的郵件發(fā)送都將失敗，而你的內(nèi)部
網(wǎng)絡(luò)將由于解析域名的失敗而失去和外部網(wǎng)絡(luò)的聯(lián)系。

DNS的一些注意事項(xiàng)
注冊(cè)了一個(gè)域名以后，可以最大為你的域名設(shè)置6個(gè)DNS服務(wù)器名。
例如，microsoft.com公司的就為自己設(shè)置了五個(gè)DNS服務(wù)器來(lái)解析自己的域名：
Name Servers:
DNS4.CP.MSFT.NET 207.46.138.11
DNS5.CP.MSFT.NET 207.46.138.12
Z1.MSFT.AKADNS.COM 216.32.118.104
Z7.MSFT.AKADNS.COM 213.161.66.158
DNS1.TK.MSFT.NET 207.46.232.37
這樣，即使這三個(gè)中的兩個(gè)停止了工作，但是了，仍然可以有一個(gè)會(huì)對(duì)外提供服務(wù)，
而對(duì)于廣大的用戶而言，當(dāng)出現(xiàn)這種多個(gè)DNS服務(wù)器停止服務(wù)帶來(lái)的唯一的影響
就是查詢域名的時(shí)候會(huì)延遲，因?yàn)樗枰粋€(gè)一個(gè)的去查詢，直到找到最后的一個(gè)為止。
而上面這一個(gè)步驟也是你應(yīng)付惡意攻擊者對(duì)DNS服務(wù)器進(jìn)行拒絕服務(wù)攻擊的一個(gè)
保護(hù)手段。
一個(gè)能夠放到電信局使用的DNS服務(wù)器，一般的基本配置是一個(gè)U，
它應(yīng)該有足夠的RAM來(lái)將數(shù)據(jù)庫(kù)放入內(nèi)存中。一般來(lái)說(shuō)，512M是足夠用了，
而且值得考慮的是，在你的DNS服務(wù)器前面加道防火墻，讓防火墻把那些
成天只知道攻擊的人阻擋在外面。
如果你有多個(gè)DNS服務(wù)器來(lái)進(jìn)行解析域名的工作的話，一個(gè)值得考慮的
問(wèn)題是，如果這些服務(wù)器都是處于接近100的處理量，每個(gè)都接近飽和的時(shí)候，
那么你應(yīng)該考慮多再給你的dns服務(wù)器減壓的問(wèn)題：一是為了應(yīng)用上考慮，
其次從安全上來(lái)說(shuō)，如果這樣的系統(tǒng)，只要攻擊者讓一臺(tái)DNS服務(wù)器癱瘓了，
那么繁重的處理工作自然會(huì)壓垮其它的DNS服務(wù)器的。
如果純粹從理論上出發(fā)，那么一