新闻中心
CDN高防技术如何避免DNS服务器不可用和解析失败
2018-11-23
阅读()
来源:互联数据

很多站长多遇到或知道DNS服务器解析失败这种情况很让人糟心,根据全球1000家机构数据,2018年间,77%的机构遭受了至少一次基于DNS的网络攻击。涵盖了通信、教育、金融、医疗保健等行业。恶意软件和网络钓鱼域名锁定、DNS隧道与DDoS攻击,也造成了极大的影响。导致的损失,已增加57%。91%的恶意软件利用了域名服务器解析服务(DNS)。对目标、甚至DNS服务器发起攻击”。不得不警惕的是欺诈者已经大量通过定向和定制活动,来提升针对特定行业部门的网络钓鱼受害率。


受DNS攻击所影响的组织,平均损失较上一年增加约57%——从2017年的45.6万美元,到了2018年的71.5万美元——这一点尤其令人感到不安。考虑到所有因素,虽然DNS攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说,部署恰当的DNS攻击检测和防护措施,仍然是至关重要的。本文提供了10个保护DNS服务器最有效的方法。

DNS服务器域名解析失败


1、使用DNS服务器转发器


使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS快取记忆体中受益。另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果您的DNS服务器保存了您内部的域DNS资源记录的话,这一点就非常重要。不让内部DNS服务器进行递迴查询并直接联繫DNS服务器,而是让它使用转发器来处理未授权的请求。


2、设定只缓衝DNS服务器


当只缓衝DNS服务器收到一个回馈,它把结果保存在快取记忆体中,然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓衝DNS服务器可以收集大量的DNS回馈,这能极大地缩短它提供DNS回应的时间。可以提高组织安全性。内部DNS服务器可以把只缓衝DNS服务器当作自己的转发器,只缓衝 DNS服务器代替您的内部DNS服务器完成递迴查询。使用您自己的只缓衝DNS服务器作为转发器能够提高安全性。


3、DNS服务器广告者


DNS广告者是一台负责解析域中查询的DNS服务器。如果您的主机对于domain.com 和corp.com是公开可用的资源,您的公共DNS服务器就应该为domain.com 和corp.com配置DNS区档。除DNS区档宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的功能变数名称的查询。这种DNS服务器不会对其他DNS服务器进行递迴 查询。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。

DNS服务器域名解析


4、使用DNS解析者


DNS解析者是一台可以完成递迴查询的DNS服务器,它能够解析为授权的功能变数名称。DNS解析者是仅仅针对解析互联网主机名称。DNS解析者可以是未授权DNS功能变数名称的只缓存DNS服务器。您可以让DNS 解析者仅对内部用户使用,您也可以让它仅为外部使用者服务,这样您就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,您也 可以让DNS解析者同时被内、外部用户使用。


5、保护DNS服务器不受缓存污染


DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答覆给发出请求的主机之前,就保存在快取记忆体中。DNS快取记忆体 能够极大地提高您组织内部的DNS查询性能。问题是如果您的DNS服务器的快取记忆体中被大量假的DNS资讯“污染”了的话,用户就有可能被送到恶意网站 而不是他们塬先想要访问的网站。


6、DNS服务器只用安全连接


7、禁用区域传输

DNS域名服务器防御方案

8、使用防火墙来控制DNS服务器访问

防火墙可以用来控制谁可以连接到您的DNS服务器上。对于那些仅仅回应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部使用者使用DNS协定连接外部DNS服务器。


9、在DNS服务器註册表中建立存取控制

在基于Windows的DNS服务器中,您应该在DNS服务器相关的註册表中设置存取控制,这样只有那些需要访问的帐户才能够阅读或修改这些註册表设置。HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制许可权。


10、在DNS服务器档案系统入口设置存取控制

在基于Windows的DNS服务器中,您应该在DNS服务器相关的档案系统入口设置存取控制,这样只有需要访问的帐户才能够阅读或修改这些档。


第十一种当然是搭配服务器供应商的CDN服务器进行解析,二者可以相辅相成的,二者搭配起来能使网站更加安全,快速。当用户访问加入CDN服务的网站时,域名解析请求将最终交给全局负载均衡DNS进行处理。全局负载均衡DNS通过一组预先定义好的策略,将当时最接近用户的节点地址提供给用户,使用户能够得到快速的服务。

相关阅读