' P) S- K. m5 N 4. 将区域传送仅限制在授权的设备上。 7 M5 H9 p) U/ I8 { 9 S" Z' X7 Y+ _& h. z 1 Q( d' b- X- k/ w8 ^ 5. 利用事务签名对区域传送和区域更新进行数字签名。) P" x& q( y/ a- X) N0 \. [
( K# X5 H" Y9 t9 V. N! p- T, f' w
6 [: W& ~! V/ g6 b; `
6. 隐藏运行在服务器上的BIND版本。% e' y& ]4 A7 U9 {( S" H
3 X9 ]; [+ Q, |! _2 l" f
; `# X' z F$ p5 `. H; E 7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。' s8 |8 {" k+ x# I; t
5 }: W2 n, v- N: G" i
0 H2 @: T3 K- t* a
8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。 . L9 D: F4 T N$ D1 O' k3 G' N 1 h6 w4 ^! T" z5 I1 s ; X, N( w- i) Y: b1 v3 ^让注册商承担责任: r( }* ^& a0 U: c6 ~: P
1 J! [: G- n0 X 域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。" E& V9 e1 Y N2 G g: U
' W2 {# K' L9 z/ e2 r# u 6 [4 L; u/ Z; a+ t/ P9 s& ^ Smith说:“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是,我找不出一家注册商这样做,自这件事发生后,我一直在寻找这样的注册商。”$ _7 \8 \3 Z0 Y/ S( W& o+ o
/ c w# {# H* c; O! p2 D* {
3 L$ d, E! k% i8 o, N
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。 6 m1 i9 c* |8 C# A) ~3 Y5 K5 ]0 p B- ~# |* @+ `
) T1 q1 {, C2 n7 J" Z2 c 不管您使用哪种DNS,请遵循以下最佳惯例: . A% c+ m2 H0 ?1 H+ v N) J ; U+ c; o. Q& V 6 d/ R) o3 i& ^. a( `7 D1 M 1.在不同的网络上运行分离的域名服务器来取得冗余性。, E$ S' W; W0 R1 D6 Z; F8 u
1 `9 H* ~4 j/ ~/ s+ e ; ~, p$ C4 {9 T% O 2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。: D" Q0 V' h1 C4 c
4 s, G6 _( Y8 z" s ' f5 F p' E9 M- z0 T7 u; N0 f' i
6 L1 `* I9 ]) j+ q$ s
3. 可能时,限制动态DNS更新。 0 @. A2 {! _' {2 ~: y2 p; U1 M2 ] 5 K6 s9 E& q6 J* w5 R2 m. ~3 z6 T: {3 ~/ S# T3 ^9 [ D6 q
4. 将区域传送仅限制在授权的设备上。- C j" F+ H4 T% o3 `& e0 n