让DNS更安全可靠可以从哪些方面加强
让DNS更安全可靠可以从以下方面加强:
建议使用非通用系统平台及非开源软:当下DNS一般采用传统的微软或开源的Bind软件+通用的服务器来搭建自己的DNS系统。在开放的互联网中DNS服务面临很多网络攻击和安全威胁。在域名安全方面,存在着域名劫持、缓存中毒、针对域名服务器的攻击、DNS重定向等各种对服务的威胁。对于windows或者bind这些软件来说自身无法提供必要的防护手段,需要借助其它设备和技术来抵御黑客攻击的风险,这增加了投资成本,同时也给运维带来了一定的困难。如采用通用系统平台及开源软件在发生安全漏洞预警的同时应及时更新补丁,对DNS底层承载系统进行加固,在非必要的情况下关闭除53端口的一切非DNS系统服务端口。
提供至少2个以上的DNS服务地址:DNS服务器的任务即是确定域名的解析,提供多个的DNS解析服务器这点很重要。根据用户网站情况的不同、程度不等,建议提供两台双链路以上DNS解析服务器。这样的作用是用户的DNS解析服务可以进行轮循处理,只要保证一个DNS服务器运转正常,即可确认网站的访问将不受故障影响,尽量减少宕机的比率。
智能DNS解析支持多路线多区域:通过链路负载均衡功能将流量分配到不同的服务器上,可减少各种灾害带来的影响,当一个地方的DNS服务器受到危害时,可通过轮循机制保持DNS的正常解析。同时,DNS智能解析服务建议覆盖国内全部运营商链路,可自动判断用户的来源路线,让用户网站的解析请求重新导向最近的服务节点,通过就近访问解决网络拥挤问题,提高网站响应速度。
DNS解析对外具有高防功能:在抵御外来网络攻击方面DNS解析服务器需要做充分的准备,对于SYN Flood、ACK Flood、ICMPFlood、UDP Flood、DNS Flood等形式的DDOS攻击,能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。此外,宕机检测也是DNS解析里一大重要功能。系统将对域名进行24小时不间断检测,当其中有服务器出现故障问题时,宕机检测将对用户的解析自动切换到预先设置的备用服务器IP,应急响应到场时间不超过设定时间,保证业务访问的可持续性。
建议采用TSIG和DNSSEC技术:交易签章(TSIGRFC2845),是为了保护DNS安全而发展的。从BIND8.2版本开始引入TSIG机制,其验证DNS讯息方式是使用共享金钥(SecretKey)及单向杂凑函式(One-wayhashfunction)来提供讯息的验证和数据的完整性。主要针对区带传输(ZONETransfer)进行保护的作用,利用密码学编码方式为通讯传输信息加密以保证DNS讯息的安全,特别是响应与更新的讯息数据。也就是说在DNS服务器之间进行辖区传送时所提供保护的机制,以确保传输数据不被窃取及监听。DNSSEC主要依靠公钥技术对于包含在DNS中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS中数据的完整性,并将该hash数封装进行保护。私/公钥对中的私钥用来封装hash数,然后可以用公钥把hash数译出来。如果这个译出的hash值匹配接收者刚刚计算出来的hash树,那么表明数据是完整的。不管译出来的hash数和计算出来的hash数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法的hash数,所以只有拥有私钥的拥有者可以加密这些信息。