專門討論DNS的安全性。也許有的人會覺得奇怪，DNS的安全性好像很少聽人提到，其實，DNS的安全尤勝過其它的網(wǎng)絡(luò)安全。我先隨便說說DNS的安全隱患：1.防火墻不會限制對DNS的訪問2.DNS可以泄漏內(nèi)

專門討論DNS的安全性。


也許有的人會覺得奇怪，DNS的安全性好像很少聽人提到，其實，DNS的安全
尤勝過其它的網(wǎng)絡(luò)安全。我先隨便說說DNS的安全隱患：
1.防火墻不會限制對DNS的訪問
2.DNS可以泄漏內(nèi)部的網(wǎng)絡(luò)拓樸結(jié)構(gòu)
3.DNS存在許多簡單有效的遠程緩沖溢出攻擊
4.幾乎所有的網(wǎng)站都需要DNS
5.DNS的本身性能問題可是關(guān)系到整個應(yīng)用的關(guān)鍵
6.國內(nèi)關(guān)于DNS安全的資料太少，只怕狼真的來了的時候，大家來不及操家伙
...
哎呀，一下子扯開了，大家就當(dāng)看評書把，;)
安全的一個重要標(biāo)志是可用性。對于DNS服務(wù)器而言這點尤其重要，在現(xiàn)實
生活中經(jīng)常定義攻擊者入侵系統(tǒng)獲取數(shù)據(jù)為一個安全問題，但是對于DNS服務(wù)器
來說，遭到了拒絕服務(wù)攻擊則是一件更嚴重的問題。
失去了DNS服務(wù)器的話，任何在internet網(wǎng)絡(luò)上的人將不能夠再使用域名找到你
的服務(wù)器，不可想像讓普通的網(wǎng)民們使用202.106.184.200來代替www.sina.com.cn
使用。更嚴重的是，沒有了DNS的服務(wù)，所有的郵件發(fā)送都將失敗，而你的內(nèi)部
網(wǎng)絡(luò)將由于解析域名的失敗而失去和外部網(wǎng)絡(luò)的聯(lián)系。

DNS的一些注意事項
注冊了一個域名以后，可以最大為你的域名設(shè)置6個DNS服務(wù)器名。
例如，microsoft.com公司的就為自己設(shè)置了五個DNS服務(wù)器來解析自己的域名：
Name Servers:
DNS4.CP.MSFT.NET 207.46.138.11
DNS5.CP.MSFT.NET 207.46.138.12
Z1.MSFT.AKADNS.COM 216.32.118.104
Z7.MSFT.AKADNS.COM 213.161.66.158
DNS1.TK.MSFT.NET 207.46.232.37
這樣，即使這三個中的兩個停止了工作，但是了，仍然可以有一個會對外提供服務(wù)，
而對于廣大的用戶而言，當(dāng)出現(xiàn)這種多個DNS服務(wù)器停止服務(wù)帶來的唯一的影響
就是查詢域名的時候會延遲，因為它需要一個一個的去查詢，直到找到最后的一個為止。
而上面這一個步驟也是你應(yīng)付惡意攻擊者對DNS服務(wù)器進行拒絕服務(wù)攻擊的一個
保護手段。
一個能夠放到電信局使用的DNS服務(wù)器，一般的基本配置是一個U，
它應(yīng)該有足夠的RAM來將數(shù)據(jù)庫放入內(nèi)存中。一般來說，512M是足夠用了，
而且值得考慮的是，在你的DNS服務(wù)器前面加道防火墻，讓防火墻把那些
成天只知道攻擊的人阻擋在外面。
如果你有多個DNS服務(wù)器來進行解析域名的工作的話，一個值得考慮的
問題是，如果這些服務(wù)器都是處于接近100的處理量，每個都接近飽和的時候，
那么你應(yīng)該考慮多再給你的dns服務(wù)器減壓的問題：一是為了應(yīng)用上考慮，
其次從安全上來說，如果這樣的系統(tǒng)，只要攻擊者讓一臺DNS服務(wù)器癱瘓了，
那么繁重的處理工作自然會壓垮其它的DNS服務(wù)器的。
如果純粹從理論上出發(fā)，那么一