68、DNS安全问题解析与应对策略

DNS安全问题解析与应对策略

1. 限制区域传输

限制区域传输到合法的从服务器是个不错的做法。可以使用访问控制列表（ACL）来实现，使配置更加清晰和有条理。以下是一个示例：

acl ourslaves {
    128.138.242.1 ;  // anchor
    ...
} ;
acl measurements { 
    198.32.4.0/24 ;  // Bill manning's measurements, v4 address
    2001:478:6:0::/48 ;  // Bill manning's measurements, v6 address
} ;

实际的限制通过以下行实现：

allow-transfer { ourslaves; measurements; } ;

这样，区域传输就被限制在我们自己的从服务器和一个互联网测量项目的机器上。该项目会遍历反向DNS树，以确定互联网的规模和配置错误的服务器的百分比。通过这种方式限制传输，可以防止其他站点使用如 dig 等工具转储整个数据库。

同时，还应通过路由器访问控制列表和每台主机的标准安全措施在较低级别保护网络。如果这些措施不可行，可以拒绝除密切监控的网关机器之外的所有DNS数据包。

2. 开放解析器问题

开放解析器是一种递归、缓存的名称服务器，它接受并回答来自互联网上任何人的查询。开