DNS 安全DNS 欺騙種類(lèi)1． DNS 欺騙（DNS Spoffing）（1）緩存感染黑客會(huì)熟練的使用DNS 請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒(méi)有設(shè)防的DNS 服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶(hù)進(jìn)行DNS

DNS 安全

DNS 欺騙種類(lèi)

1． DNS 欺騙（DNS Spoffing）

（1）緩存感染

黑客會(huì)熟練的使用DNS 請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒(méi)有設(shè)防的DNS 服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶(hù)進(jìn)行DNS 訪(fǎng)問(wèn)時(shí)返回給客戶(hù)，從而將客戶(hù)引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的W eb 服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶(hù)信息。

（2）DNS 信息劫持

入侵者通過(guò)監(jiān)聽(tīng)客戶(hù)端和DNS 服務(wù)器的對(duì)話(huà)，通過(guò)猜測(cè)服務(wù)器響應(yīng)給客戶(hù)端的DNS 查詢(xún)ID 。每個(gè)DNS 報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID 號(hào)，DNS 服務(wù)器根據(jù)這個(gè)ID 號(hào)獲取請(qǐng)求源位置。黑客在DNS 服務(wù)器之前將虛假的響應(yīng)交給用戶(hù)，從而欺騙客戶(hù)端去訪(fǎng)問(wèn)惡意的網(wǎng)站。

（3）DNS 復(fù)位定向

攻擊者能夠?qū)NS 名稱(chēng)查詢(xún)復(fù)位向到惡意DNS 服務(wù)器。這樣攻擊者可以獲得DNS 服務(wù)器的寫(xiě)權(quán)限。

2． 拒絕服務(wù)（Denial of service，DoS ）

黑客主要利用一些DNS 軟件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向運(yùn)行BIND 的設(shè)備發(fā)送特定的DNS 數(shù)據(jù)包請(qǐng)求，BIND 就會(huì)自動(dòng)關(guān)閉。攻擊者只能使BIND 關(guān)閉，而無(wú)法在服務(wù)器上執(zhí)行任意命令。如果得不到DNS 服務(wù)，那么就會(huì)產(chǎn)生一場(chǎng)災(zāi)難：由于網(wǎng)址不能解析為IP 地址，用戶(hù)將無(wú)方訪(fǎng)問(wèn)互聯(lián)網(wǎng)。這樣，DNS 產(chǎn)生的問(wèn)題就好像是互聯(lián)網(wǎng)本身所產(chǎn)生的問(wèn)題，這將導(dǎo)致大量的混亂。

3． 分布式拒絕服務(wù)攻擊和緩沖區(qū)漏洞溢出攻擊（Buffer Overflow）

DDOS 攻擊通過(guò)使用攻擊者控制的幾十臺(tái)或幾百臺(tái)計(jì)算機(jī)攻擊一臺(tái)主機(jī)，使得服務(wù)拒絕攻擊更難以防范：使服務(wù)拒絕攻擊更難以通過(guò)阻塞單一攻擊源主機(jī)的數(shù)據(jù)流，來(lái)防范服務(wù)拒絕攻擊。Syn Flood是針對(duì)DNS 服務(wù)器最常見(jiàn)的分布式拒絕服務(wù)攻擊。

Bind 軟件的缺省設(shè)置是允許主機(jī)間進(jìn)行區(qū)域傳輸（zone transfer）。區(qū)域傳輸主要用于主域名服務(wù)器與輔域名服務(wù)器之間的數(shù)據(jù)同步，使輔域名服務(wù)器可以從主域名服務(wù)器獲得新的數(shù)據(jù)信息。一旦起用區(qū)域傳輸而不做任何限制，很可能會(huì)造成信息泄漏，黑客將可以獲得整個(gè)授權(quán)區(qū)域內(nèi)的所有主機(jī)的信息，判斷主機(jī)功能及安全性，從中發(fā)現(xiàn)目標(biāo)進(jìn)行攻擊。

解決方法

此解決方法是針對(duì)于有多個(gè)輔助DNS 服務(wù)器，防止在主域向輔域傳輸?shù)臅r(shí)候發(fā)生泄露或劫持而使用的，如果是單域是不需要考慮這些的，單域主要考慮的是緩存區(qū)感染、信息劫持和緩沖區(qū)益出以及分布式攻擊或拒絕服務(wù)攻擊。

緩存區(qū)感染和服務(wù)器被攻破是可以通過(guò)單一獨(dú)享網(wǎng)段來(lái)避免的。

拒絕服務(wù)攻擊和緩存區(qū)溢出漏洞是通過(guò)避免BIND 漏洞來(lái)避免的現(xiàn)在（2008-5-22日）最新的bind 的版本是9.5.a2

在主從域名服務(wù)器之間建立簽名

TSIG 技術(shù)

DNS 的事務(wù)簽名分為 TSIG (Transaction Signatures) 與 SIG0 (SIGnature)兩種。該如何選擇呢? 首先，要先判斷客戶(hù)端與服務(wù)器間的信任關(guān)系為何，若是可信任者，可選擇對(duì)稱(chēng)式的 TSIG。TSIG 只有一組密碼，并無(wú)公開(kāi)/私密金鑰之分；若是非完全信任者，可選擇非對(duì)稱(chēng)式金鑰的 SIG0，雖有公開(kāi)/私密金鑰之分，相對(duì)的，設(shè)定上也較復(fù)雜。至于要選用哪種較適合，就由自己來(lái)判斷。通常區(qū)帶傳輸是主域名服務(wù)器到輔助域名服務(wù)器。通常在主域名服務(wù)器配置文件/etc/named.conf的dns-ip-list 的訪(fǎng)問(wèn)控制列表（ACL ，access control list ）會(huì)列出一些IP 地址，它們只能為主域進(jìn)行傳輸區(qū)帶信息。一個(gè)典型例子如下：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; }; };

都是黑客會(huì)利用IP 欺騙一個(gè)DNS 服務(wù)器，迫使其進(jìn)行非法區(qū)帶傳輸。TSIG 技術(shù)可以進(jìn)行有效防范。

1、TSIG 技術(shù)

交易簽章 (TSIGRFC 2845)，是為了保護(hù) DNS安全而發(fā)展的。從BIND 8.2版本開(kāi)始引入 TSIG 機(jī)制，其驗(yàn)證 DNS 訊息方式是使用共享金鑰(Secret Key) 及單向雜湊函式(One-way hash function) 來(lái)提供訊息的驗(yàn)證和數(shù)據(jù)的完整性。主要針對(duì)區(qū)帶傳輸（ZONE Transfer）

進(jìn)行保護(hù)的作用，利用密碼學(xué)編碼方式為通訊傳輸信息加密以保證 DNS 訊息的安全，特別是響應(yīng)與更新的訊息數(shù)據(jù)。也就是說(shuō)在DNS 服務(wù)器之間進(jìn)行轄區(qū)傳送時(shí)所提供保護(hù)的機(jī)制，以確保傳輸數(shù)據(jù)不被竊取及監(jiān)聽(tīng)。下面以BIND 9.21為例：

首先在開(kāi)始設(shè)置，必須為主域名服務(wù)器（master DNS）和輔助域名（ slave DNS） 進(jìn)行時(shí)間同步，否則會(huì)造成區(qū)帶傳輸?shù)氖　？梢允褂胣tp 或者rdate 工具進(jìn)行服務(wù)器時(shí)間同步。

假設(shè)要限制yourdomain.com 的主域到IP 地址分別是172.20.15.100 (ns1.yourdomain. com) 和 172.20.15.123 (ns2.yourdomain.com). 的兩個(gè)輔助域名服務(wù)器之間進(jìn)行區(qū)帶傳輸。在此將詳述 TSIG 的實(shí)際操作，可以防止DNS 服務(wù)器和黑客的DNS 服務(wù)器之間不會(huì)發(fā)生IP 欺騙。

步驟一：執(zhí)行 dnssec-keygen function 產(chǎn)生加密金鑰，一個(gè)為 public key 文件，另一個(gè)為 private key 文件：

產(chǎn)生加密金鑰：

dnssec-keygen -a hmac-md5 -b 128 -n HOST zone-xfr-key

該文件中公開(kāi)金鑰（public key）是： Kzone-xfr-key. 157 08825.key；私有金鑰（priv ate key）是Kzone-xfr-key. 157 08825.private。此時(shí)查看文件通常包括以下內(nèi)容：

Private-key-format: v1.2

Algorithm: 157 (HMAC_MD5)

Key: YH8Onz5x0/twQnvYPyh1qg==

步驟二：使用TSIG 金鑰在主域名服務(wù)器和輔助域名服務(wù)器的設(shè)置文件named.conf 設(shè)定：

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

步驟三：將下面的聲明加入服務(wù)器ns1.yourdomain.com 的設(shè)置文件/etc/named.conf中：

server 172.20.15.123 {

keys { zone-xfr-key; };

};

步驟四：將下面的聲明加入服務(wù)器ns2.yourdomain.com 的設(shè)置文件/etc/named.conf中：

server 172.20.15.100 {

keys { zone-xfr-key; };

};

步驟五：為主域名服務(wù)器ns1.yourdomain.com 的yourdomain.com 區(qū)帶的設(shè)置文件/etc/named.conf 寫(xiě)入以下配置：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

server 172.20.15.123 {

keys { zone-xfr-key; };

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; };

};

步驟六：為輔助域名服務(wù)器ns2.yourdomain.com 的yourdomain.com 區(qū)帶的設(shè)置文件/etc/named.conf 寫(xiě)入以下配置：

acl “dns-ip-list” {

172.20.15.100;

172.20.15.123;

};

key zone-xfr-key {

algorithm hmac-md5;

secret “YH8Onz5x0/twQnvYPyh1qg==”;

};

server 172.20.15.100 {

keys { zone-xfr-key; };

};

zone “yourdomain.com” {

type master;

file “mydomain.dns”;

allow-query { any; };

allow-update { none; };

allow-transfer { dns-ip-list; };

};

步驟七：再次重新啟動(dòng)主域名服務(wù)器和輔助域名服務(wù)器。

說(shuō)明為確保安全性的問(wèn)題，TSIG 可確認(rèn) DNS 之信息是由某特定 DNS Server 所提供。通常TSIG 應(yīng)用于域名服務(wù)器間的區(qū)帶傳輸，確保數(shù)據(jù)不會(huì)被篡改或產(chǎn)生 dns spoofing。 步驟八：

驗(yàn)證TSIG 技術(shù)是否生效，步驟如下：

刪除輔助域名服務(wù)器(ns2.yourdomain.com)的區(qū)帶文件。

重新啟動(dòng)輔助域名服務(wù)器。

檢查輔助域名服務(wù)器的區(qū)帶文件是否自動(dòng)建立。輔助域名服務(wù)器用來(lái)從主服務(wù)器中轉(zhuǎn)移一整套域信息。區(qū)帶文件是從主服務(wù)器轉(zhuǎn)移出的，作為磁盤(pán)文件保存在輔助域名服務(wù)器中。 注意事項(xiàng)：如果為域名服務(wù)器配置了TSIG ，那么要確保普通用戶(hù)不能接觸主域名服務(wù)器和輔助域名服務(wù)器的配置文件/etc/named.conf。另外也不能修改兩臺(tái)服務(wù)器的共享的TSIG 密鑰

以下的技術(shù)是在客戶(hù)端和DNS 服務(wù)器之間建立簽名認(rèn)證的方法。

DNSSEC 技術(shù)

DNS 欺騙是對(duì)目前網(wǎng)絡(luò)應(yīng)用，最大的沖擊在于冒名者借著提供假的網(wǎng)域名稱(chēng)與網(wǎng)址的對(duì)照信息，可以將不知情用戶(hù)的網(wǎng)頁(yè)聯(lián)機(jī)，導(dǎo)引到錯(cuò)誤的網(wǎng)站，原本屬于用戶(hù)的電子郵件也可能因而遺失，甚而進(jìn)一步空開(kāi)成為阻斷服務(wù)的攻擊。所幸，目前較新的 BIND 版本，針對(duì)這一類(lèi)問(wèn)題，已經(jīng)有加入許多改進(jìn)的方法，不過(guò)真正的解決方案，則有賴(lài)封包認(rèn)證機(jī)制的建立與推動(dòng)。DNSSEC 就是試圖解決這一類(lèi)問(wèn)題的全新機(jī)制， BIND9 已經(jīng)完整加以設(shè)計(jì)并完成。DNSS EC 引入兩個(gè)全新的資源記錄類(lèi)型：KEY 和SIG ，允許客戶(hù)端和域名服務(wù)器對(duì)任何DNS 數(shù)據(jù)的來(lái)源進(jìn)行密碼驗(yàn)證。

DNSSEC 主要依靠公鑰技術(shù)對(duì)于包含在DNS 中的信息創(chuàng)建密碼簽名。密碼簽名通過(guò)計(jì)算出一個(gè)密碼hash 數(shù)來(lái)提供DNS 中數(shù)據(jù)的完整性，并將該hash 數(shù)封裝進(jìn)行保護(hù)。私/公鑰對(duì)中的私鑰用來(lái)封裝hash 數(shù)，然后可以用公鑰把hash 數(shù)譯出來(lái)。如果這個(gè)譯出的hash 值匹配接收者剛剛計(jì)算出來(lái)的hash 樹(shù)，那么表明數(shù)據(jù)是完整的。不管譯出來(lái)的hash 數(shù)和計(jì)算出來(lái)的hash 數(shù)是否匹配，對(duì)于密碼簽名這種認(rèn)證方式都是絕對(duì)正確的，因?yàn)楣€僅僅用于解密合法的hash 數(shù)，所以只有擁有私鑰的擁有者可以加密這些信息。下面我們看看如何為名稱(chēng)是domain.com 的域建立DESSEC 配置。

步驟一：為 domain.com 域建立一對(duì)密鑰。在 /var/named 目錄下，使用命令： “/usr/local/sbin/dnssec-keygen -a DSA -b 768 -n ZONE domain.com” 這個(gè)命令產(chǎn)生一對(duì)長(zhǎng)度768位DSA 算法的私有密鑰（Kdomain.com. 003 29462.private）和公共密鑰（Kdomain.co m. 003 29462.key）。其中29462稱(chēng)作密鑰標(biāo)簽（ key tag）。

步驟二：使用命令：“ /usr/local/sbin/dnssec-makekeyset -t 3600 -e now 30 Kdomain.com. 003 29462“建立一個(gè)密鑰集合。該命令以3，600 seconds 的生存時(shí)間（time-to-live ）建立密鑰集合，有效期限三十天，并且創(chuàng)建一個(gè)文件：domain.com.keyset 。

步驟三：使用命令“ /usr/local/sbin/dnssec-signkey domain.com.keyset Kdomain.com. 003 29462 “為密鑰集合簽字。然后建立一個(gè)簽字文件：domain.com.signedkey 。 步驟四：使用命令 “/usr/local/sbin/dnssec-signzone -o domain.com domain.db command ， where domain.db ”為區(qū)帶文件簽字。然后建立一個(gè)簽字文件： domain.db.signed。

步驟五：替換 配置文件/etc/named.conf中 domain.com的區(qū)帶文件部分。清單如下：

zone “domain.com” IN {

type master;

file “domain.db.signed”;

allow-update { none; }; };

從上面的配置過(guò)程我們也看到DNSSEC 的一些缺點(diǎn)：

除了配置負(fù)責(zé)，還有標(biāo)記和校驗(yàn)DNS 數(shù)據(jù)顯然會(huì)產(chǎn)生額外的開(kāi)銷(xiāo)，從而影響網(wǎng)絡(luò)和服務(wù)器的性能。簽名的數(shù)據(jù)量很大，這就加重了域名服務(wù)器對(duì)互聯(lián)網(wǎng)骨干以及一些非骨干連接的負(fù)擔(dān)。產(chǎn)生和校驗(yàn)簽名也占用了很多中央處理器的時(shí)間。有時(shí)候，不得不把單處理器的DNS 服務(wù)器換成多處理器的DNSSEC 服務(wù)器。簽名和密鑰占用的磁盤(pán)空間和RAM 容量達(dá)到它們表示的數(shù)據(jù)所占容量的10倍。同時(shí)數(shù)據(jù)庫(kù)和管理系統(tǒng)也不得不進(jìn)行相應(yīng)的升級(jí)和擴(kuò)容。

總結(jié)：域名系統(tǒng)的配置和管理是一項(xiàng)比較復(fù)雜和繁瑣的系統(tǒng)管理任務(wù)，它對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行影響極大。為了保證DNS 服務(wù)器的安全運(yùn)行，不僅要使用可靠的服務(wù)器軟件版本，而且要對(duì)DNS 服務(wù)器進(jìn)行安全配置，本文介紹了TISG 和DNSSEC 技術(shù)有助于減少 DNS Spoofing 攻擊的發(fā)生，增進(jìn)網(wǎng)絡(luò)使用者對(duì)因特網(wǎng)使用的信任，杜絕信息系統(tǒng)遭受入侵與攻擊的產(chǎn)生。

DNS 的CHROOT 的安裝方式

一.bind-chroot 介紹

DNS 是一種將域名解析為IP 地址的服務(wù). 如:

www.turbolinux.com.cn

通過(guò)DNS 解析, 可以

得到210.77.38.126.

bind 是linux 的DNS 服務(wù)器程序.bind-chroot 是bind 的一個(gè)功能, 使bind 可以在一個(gè) chroot 的模式下運(yùn)行. 也就是說(shuō),bind 運(yùn)行時(shí)的/(根) 目錄, 并不是系統(tǒng)真正的/(根) 目錄, 只是 系統(tǒng)中的一個(gè)子目錄而已. 這樣做的目的是為了提高安全性. 因?yàn)樵赾hroot 的模式下,bind 可以 訪(fǎng)問(wèn)的范圍僅限于這個(gè)子目錄的范圍里, 無(wú)法進(jìn)一步提升, 進(jìn)入到系統(tǒng)的其他目錄中.

二.bind-chroot 的安裝

1.rpm 包

在GTES10,10.5,11中, 都已包含有bind-chroot 包, 可以直接安裝相應(yīng)rpm 包.

# rpm -ivh bind-chroot.xxx.rpm

2. 源碼包安裝

源碼下載地址:

以bind-9.4.1-P1版本為例.

# tar zxvf bind-9.4.1-P1.tar.gz

# cd bind-9.4.1-P1

# ./configure

# make

# make install

三.bind-chroot 的使用

1.rpm 包方式

在GTES 11上, 如果已經(jīng)安裝了bind-chroot 的包, 則bind 的默認(rèn)啟動(dòng)方式就是chroot 方式. # /etc/init.d/named start

# ps -ef | grep named

named 2090 2613 1 0 07:49 ? 00:00:00 /usr/sbin/named -u named -t /var/named/chroot

2. 源碼包方式

使用源碼包安裝完成bind 后, 使用下面步驟進(jìn)行配置:

建立named 用戶(hù)

# useradd named

建立chroot 后所需的目錄和文件

# mkdir -p /var/named/chroot/etc

# mkdir /var/named/chroot/dev

# mkdir -p /var/named/chroot/var/named/data

# mkdir -p /var/named/chroot/var/run

# cp /var/named/* /var/named/chroot/var/named/

# cp /etc/rndc.key /var/named/chroot/etc/

建立chroot 后, 所需的設(shè)備文件

# cd /var/named/chroot/dev

# mknod null c 1 3

# mknod random c 1 8

# mknod zero c 1 5

# chmod 666 null random

# chown -R named.named /var/named /var/run

建立named.conf 配置文件

# vi /var/named/chroot/etc/named.conf

options {

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

// query-source address * port 53;

};

controls {

inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; };

};

zone "." IN {

type hint;

file "named.ca";

};

zone "localdomain" IN {

type master;

file "localdomain.zone";

allow-update { none; };

};

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { 127.0.0.1 ; };

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master;

file "named.ip6.local";

allow-update { none; };

};

zone "255.in-addr.arpa" IN {

type master;

file "named.broadcast";

allow-update { none; };

};

zone "0.in-addr.arpa" IN {

type master;

file "named.zero";

allow-update { none; };

};

include "/etc/rndc.key";

啟動(dòng)bind

# /usr/local/sbin/named -u named -t /var/named/chroot

# ps -ef | grep named

named 15739 1 0 08:27 ? 00:00:00 /usr/local/sbin/named -u named -t /var/named/chroot

現(xiàn)在bind 已經(jīng)運(yùn)行在chroot 模式下了.

DNS 欺騙（DNS Spoofing）:主要有以下三種形式。①攻擊者在自己的主機(jī)上安裝網(wǎng)絡(luò)偵聽(tīng)器，劫持域名查詢(xún)請(qǐng)求，然后假冒DNS 的響應(yīng)，返回一個(gè)錯(cuò)誤解析地址，使發(fā)出該域名查詢(xún)請(qǐng)求的客戶(hù)機(jī)得到一個(gè)錯(cuò)誤的解析地址；②攻擊者通過(guò)污染DNS 的緩沖區(qū)（DNS Cache Poisoning ）將D N S 高速緩存內(nèi)的信息修改。由于D N S 的解析過(guò)程是先從本地的緩存中查找要求解析的域名的IP 地址，當(dāng)本地的緩存內(nèi)的信息被修改后，就會(huì)將一個(gè)被篡改后的IP 地址發(fā)送給請(qǐng)求者，使請(qǐng)求者得到一個(gè)錯(cuò)誤的解析地址。③攻擊者侵入操作系統(tǒng)，獲得管理員權(quán)限，直接修改DNS 數(shù)據(jù)文件。針對(duì)域名服務(wù)器的拒絕服務(wù)（DoS ）攻擊：這種攻擊主要有二種，一種是利用DNS 軟件本身的漏洞（如：UNIX 下使用BIND ，存在ZXFRBUG 、S R V B U G、S V G D I V E B U G 等）進(jìn)行攻擊；另一種是用戶(hù)端泛濫，攻擊者仿造源地址，產(chǎn)生一個(gè)查詢(xún)請(qǐng)求，使域名服務(wù)器忙于應(yīng)付大量的無(wú)效回應(yīng)，而無(wú)法處理正常的用戶(hù)請(qǐng)求。利用區(qū)傳輸造成DNS 信息泄密：名字

服務(wù)器通常含有域名空間中某一部分的完整信息，這一

部分稱(chēng)為區(qū)。區(qū)的內(nèi)容是從文件或其它名字服務(wù)器中加載過(guò)來(lái)的。在加載的過(guò)程中，黑客可以劫獲傳輸?shù)膬?nèi)容，造成整個(gè)區(qū)域的信息泄露，同時(shí)在加載的過(guò)程中，也會(huì)增加服務(wù)器的負(fù)載。一旦DNS 系統(tǒng)被攻擊成功, 入侵者就會(huì)刪除日志文件，銷(xiāo)毀自己可能暴露的蛛絲馬跡，然后在DNS 系統(tǒng)中安裝程序，通過(guò)運(yùn)行它獲得管理員權(quán)限，同時(shí)開(kāi)始向外進(jìn)行掃描，在幾分鐘內(nèi)就可發(fā)現(xiàn)大量的存在相同漏洞的服務(wù)器，并可對(duì)之重復(fù)上述攻擊，如此反復(fù)，后果不堪設(shè)想

避險(xiǎn)的方法：

1．防止單點(diǎn)故障：為每個(gè)域提供多臺(tái)域名服務(wù)器，不要將所有的域名服務(wù)器放在同一個(gè)子網(wǎng)中，將所有的域名服務(wù)器分別放在不同的路由器后面；所有的域名服務(wù)器不要使用同一條線(xiàn)路，避免因線(xiàn)路問(wèn)題使所有的DNS 癱瘓；及時(shí)備份域名服務(wù)器，盡量將多個(gè)域名服務(wù)器運(yùn)行在不同的操作系統(tǒng)上。限制區(qū)域傳輸：區(qū)傳輸會(huì)暴露整個(gè)區(qū)域的信息并加重服務(wù)器負(fù)載，所以應(yīng)該嚴(yán)格限制區(qū)傳輸，防止黑客列舉區(qū)中的信息，了解網(wǎng)絡(luò)中的主機(jī)數(shù)目、機(jī)器型號(hào)和用途。

2． 專(zhuān)用D N S 服務(wù)器：在D N S 服務(wù)器上不要提供其它服務(wù)，如W W W 、E M A I L 等。對(duì)外只開(kāi)放UDP53 和TCP53 端口，配置