DNS软件是黑客热【hēi kè rè】衷攻击【zhōng gōng jī】的目标，它可能带来安全问题🎬。本文提🚘供了【gòng le】10个保护【gè bǎo hù】🕔DNS服务器🙋最有效的方法。

1.使用DNS转发器

DNS转发器是为其他DNS服务器

完成DNS查询的DNS服务器【fú wù qì】。使用🈸DNS转发器【zhuǎn fā qì】的主要📖目的是减轻DNS处理的【chù lǐ de】💰压力✏，把查询【bǎ chá xún】请求从DNS服务器【fú wù qì】转给转【zhuǎn gěi zhuǎn】🍉发器， 从DNS转发器【zhuǎn fā qì】潜在地更大DNS高速缓存中受🥦益【yì】📕。

使用🤣DNS转发器【zhuǎn fā qì】👖的另一个好处🤪是它阻止了【zhǐ le】DNS服务器【fú wù qì】🤙转发来自互联【zì hù lián】💆网💻DNS服务器【fú wù qì】🤙的查询🍎请求。如果你【rú guǒ nǐ】的DNS服务器【fú wù qì】🤙保存了【bǎo cún le】你内部🔶的域【de yù】DNS资源记录的话， 这一点就非常重要🏰。不让内部🔶DNS服务器【fú wù qì】🤙进行递🖌归查询并直接🐣联系DNS服务器【fú wù qì】🤙，而是让它使用【tā shǐ yòng】🤣转发器【zhuǎn fā qì】👖来处理未授权🚚的请求【de qǐng qiú】。

2.使用只缓冲DNS服务器

只缓冲【zhī huǎn chōng】👔DNS服务器【fú wù qì】是针对为授权🚯域名的【de】😽。它被用做递归查询或者使用转发器【zhuǎn fā qì】🚓。当只缓冲【zhī huǎn chōng】👔DNS服务器【fú wù qì】收到一个反馈【gè fǎn kuì】，它把结果保存在高速【zài gāo sù】🆒缓存中，然后把 结果发送给向它提出🧠DNS查询请【chá xún qǐng】🥑求的【de】系统🔰。随着时间推移🎁，只缓冲【zhī huǎn chōng】👔DNS服务器【fú wù qì】可以收集大量🍚的【de】DNS反馈，这能极【zhè néng jí】大地缩😼短它提【duǎn tā tí】🕢供【gòng】DNS响应的【xiǎng yīng de】时间。

把只缓冲【zhī huǎn chōng】DNS服务器【fú wù qì】🥗作为转【zuò wéi zhuǎn】发器【fā qì】🦄使用【shǐ yòng】，在你的【de】😱管理控制下【xià】，可以提【kě yǐ tí】高组织安全性🥚。内部【nèi bù】🆕DNS服务器【fú wù qì】🥗可以把🛰只缓冲【zhī huǎn chōng】DNS服务器【fú wù qì】🥗当作自💐己的【de】转🐦发器【fā qì】，只缓冲【zhī huǎn chōng】 DNS服务器【fú wù qì】🥗代替你的内部【de nèi bù】🆕DNS服务器【fú wù qì】🥗完成递【wán chéng dì】🕑归查询📴。使用【shǐ yòng】你自己的【de】🖤只缓冲【zhī huǎn chōng】DNS服务器【fú wù qì】🥗作为转【zuò wéi zhuǎn】发器【fā qì】🦄能够提高安全【gāo ān quán】性🥚，因为你不需要依赖你🏈的【de】ISP的【de】DNS服务 器作为转【zuò wéi zhuǎn】发器【fā qì】🦄，在你不能确认【néng què rèn】ISP的【de】DNS服务器【fú wù qì】🥗安全性🥚的【de】情况下【xià】，更是如此【cǐ】🎪。

3.使用【shǐ yòng】🌷DNS广告者(DNS advertisers)

DNS广告者【guǎng gào zhě】是一台负责解析域中【xī yù zhōng】💈查询的DNS服务器。例如【lì rú】，如果你的主机【de zhǔ jī】🆓对于domain.com 和🚔corp.com是公开🎡可用的资源【zī yuán】🦍，你的公【nǐ de gōng】🤔共DNS服务器就应该【jiù yīng gāi】为🏟 domain.com 和🚔corp.com配置DNS区文件。

除DNS区文件🦎宿主的其他【qí tā】🎨DNS服务器【fú wù qì】之外的DNS广告者【guǎng gào zhě】设置🐂，是🚶DNS广告者【guǎng gào zhě】只回答其授权👔的域名的查询【de chá xún】💡。这种【zhè zhǒng】DNS服务器【fú wù qì】不会对【bú huì duì】🔉其他【qí tā】🎨DNS服务器【fú wù qì】进行递归💽 查询【chá xún】💡。这让用【zhè ràng yòng】户不能🍱使用你⛸的公共DNS服务器【fú wù qì】来解析其他【qí tā】🎨域名。通过减少与运行一个公开DNS解析者【jiě xī zhě】👦相关的【xiàng guān de】风险【fēng xiǎn】👝，包括缓存中毒【cún zhōng dú】，增加了【zēng jiā le】🦖安全。

4.使用DNS解析者

DNS解析者📇是一台可以完成递归查询的📒DNS服务器【fú wù qì】🚶，它能够🥊解析为授权的【shòu quán de】📒域名。例如📮，你可能【nǐ kě néng】在内部【zài nèi bù】🎩网络上有一台【yǒu yī tái】🔱DNS服务器【fú wù qì】🚶，授权内【shòu quán nèi】🎶部网络⬆域名 internalcorp.com的📒DNS服务器【fú wù qì】🚶。当网络【dāng wǎng luò】中的📒客户机使😪用这台DNS服务器【fú wù qì】🚶去解析【qù jiě xī】techrepublic.com时，这台DNS服务器【fú wù qì】🚶通过向💿其他DNS服务器【fú wù qì】🚶查询来执行递🔔归 以获得答案【dá àn】。

DNS服务器【fú wù qì】🙏和【hé】DNS解析者【jiě xī zhě】😿之间的【zhī jiān de】❎区别是DNS解析者【jiě xī zhě】😿是仅仅【shì jǐn jǐn】针对解【zhēn duì jiě】析互联🎉网主机名。DNS解析者【jiě xī zhě】😿可以是👝未授权DNS域名的👏只缓存DNS服务器【fú wù qì】🙏。你可以🔔让DNS 解析者【jiě xī zhě】😿仅对内部用户使用【hù shǐ yòng】，你也可【nǐ yě kě】⬇以让它【yǐ ràng tā】仅为外部用📶户服务【hù fú wù】🚒，这样你【zhè yàng nǐ】🎎就不用在没有【zài méi yǒu】办法控制的外部设立DNS服务器【fú wù qì】🙏了，从而提高了安全性📜。当然，你也【nǐ yě】 可以让🚧DNS解析者【jiě xī zhě】😿同时被内、外部用📶户使用【hù shǐ yòng】。

5.保护DNS不受缓存污染

DNS缓存污【huǎn cún wū】染已经【rǎn yǐ jīng】😱成了日🍂益普遍【yì pǔ biàn】的问题🥣。绝大部分DNS服务器【fú wù qì】🍑都能【néng】😴够将【gòu jiāng】🍄DNS查询结【chá xún jié】果在答复给发【fù gěi fā】出请求的主机✉之前【zhī qián】，就保存【jiù bǎo cún】在高速🤣缓存中【huǎn cún zhōng】🚪。DNS高速缓存 能【néng】😴够极大地提高【dì tí gāo】你组🎲织内部🈹的DNS查询性能【néng】😴。问题是🚈如果你的DNS服务器【fú wù qì】🍑的高速缓存中【huǎn cún zhōng】🚪被大量假的DNS信息“污染”了的话，用户就有可能【yǒu kě néng】💜被送到【bèi sòng dào】恶意站点 而不是他们原【tā men yuán】先想要访问的网站。

绝大部【jué dà bù】分【fèn】🧓DNS服务器【fú wù qì】👸都能够通过配置阻止【zhì zǔ zhǐ】缓存污染【cún wū rǎn】。WindowsServer 2003 DNS服务器【fú wù qì】👸默认的【mò rèn de】🤗配置状🍬态就能☝够防止【gòu fáng zhǐ】缓✳存污染【cún wū rǎn】。如果你【rú guǒ nǐ】使用的是【shì】🗃Windows 2000 DNS服务器【fú wù qì】👸，你可以🀄配置它，打开DNS服务器【fú wù qì】👸的Properties对话框，然后点击🎫“高级”表。选择🆚“防止缓【fáng zhǐ huǎn】✳存污染【cún wū rǎn】”选项【xuǎn xiàng】，然后重新启动DNS服务器【fú wù qì】👸。

6.使DDNS只用安全连接

很多DNS服务器【fú wù qì】🖐接受动态更【dòng tài gèng】💴新。动态更【dòng tài gèng】💴新特性使这些DNS服务器【fú wù qì】🖐能记录使用【yòng】DHCP的【de】📘主机的【de】📘主机名【zhǔ jī míng】和【hé】IP地址【dì zhǐ】♋。DDNS能够极大地减【dà dì jiǎn】😽轻DNS管理员的【de】📘管理费用【yòng】 ，否则管理员必须手工💂配置这【pèi zhì zhè】🔕些主机的【de】📘DNS资源记🥕录。

然而【rán ér】🎵，如果未检测的DDNS更新，可能会带来很严重的【yán chóng de】🔄安全问题。一个恶【yī gè è】意用户😓可以配【kě yǐ pèi】置主机【zhì zhǔ jī】🚺成为台👀文件服【wén jiàn fú】🎺务器、Web服务器或者数据库服务器动🥍态更新【tài gèng xīn】 的DNS主机记【zhǔ jī jì】💙录，如果有🏧人想连接到这些服务【xiē fú wù】器就一定会被转移到【zhuǎn yí dào】其他的🗓机器上。

你可以【nǐ kě yǐ】🔦减少恶意DNS升级的【shēng jí de】🤱风险【fēng xiǎn】👿，通过要【tōng guò yào】求安全连接到【lián jiē dào】📽DNS服务器执行动🚢态升级。这很容【zhè hěn róng】易做到，你只要🚔配置你的DNS服务器使用活动目录【dòng mù lù】综合区【zōng hé qū】 (Active Directory Integrated Zones)并要求🏑安全动态升级就可以【jiù kě yǐ】实现【shí xiàn】。这样一来，所有的🎀域成员都能够🍧安全地🔴、动态更新他们【xīn tā men】🚓的DNS信息。

7.禁用区域传输

区域传输发生🎉在主【zhǔ】DNS服务器【fú wù qì】📃和从DNS服务器【fú wù qì】📃之间。主【zhǔ】DNS服务器【fú wù qì】📃授权特🖌定域名🐘，并且带【bìng qiě dài】♏有可改🚛写的DNS区域文⏺件，在需要【zài xū yào】👢的时候可以对该文件【gāi wén jiàn】🧤进行更【jìn háng gèng】新 。从DNS服务器【fú wù qì】📃从主【zhǔ】力📘DNS服务器【fú wù qì】📃接收这些区域【xiē qū yù】文⏺件的只读拷贝。从DNS服务器【fú wù qì】📃被用于提高来【tí gāo lái】🕸自内部【zì nèi bù】或者互🔕联网DNS查询响【chá xún xiǎng】应性能。

然而🕥，区域传【qū yù chuán】输👻并不仅仅针对从📧DNS服务器【fú wù qì】⚓。任何一😺个能够【gè néng gòu】发出🦊DNS查询请【chá xún qǐng】求的人都可能👠引起🚂DNS服务器【fú wù qì】⚓配置改变💈，允许区【yǔn xǔ qū】域传输👻倾倒自己的区【jǐ de qū】域数据 库文件。恶意用户可以使用这些信息【xiē xìn xī】来侦察【lái zhēn chá】🍣你组织【nǐ zǔ zhī】内部的命名计划🍬，并攻击关键服🥣务架构【wù jià gòu】。你可以【nǐ kě yǐ】配置你【pèi zhì nǐ】的DNS服务器【fú wù qì】⚓，禁止区域传【qū yù chuán】输👻请求，或者仅【huò zhě jǐn】允【yǔn】 许针对组织内特定服☕务器进【wù qì jìn】行区域🏬传输，以此来【yǐ cǐ lái】✋进行安全防范。

8.使用防火墙来控制DNS访问

防火墙【fáng huǒ qiáng】可以用🔸来控制谁可以【shuí kě yǐ】连接到😚你的【nǐ de】🎁DNS服务器【fú wù qì】🕌上。对于那些仅仅🐷响应内部用户【hù】🚡查询请【chá xún qǐng】🔂求的【qiú de】DNS服务器【fú wù qì】🕌，应该设🧒置防火【zhì fáng huǒ】🌒墙的配🏯置🌞，阻止外部主机连接 这些【zhè xiē】DNS服务器【fú wù qì】🕌。对于用做只缓存转发【cún zhuǎn fā】器的DNS服务器【fú wù qì】🕌，应该设🧒置防火【zhì fáng huǒ】🌒墙的配🏯置🌞，仅仅允许那些使用只缓存转发【cún zhuǎn fā】器的DNS服务器【fú wù qì】🕌发来的查询请【chá xún qǐng】🔂求【qiú】。防火墙【fáng huǒ qiáng】策略设🤐置的重【zhì de chóng】🐽要一点是阻止【shì zǔ zhǐ】🤝内部用户【hù】🚡使用DNS协议连【xié yì lián】接外部DNS服务器【fú wù qì】🕌。

9.在DNS注册表中建立访问控制

在基于【zài jī yú】😑Windows的⚡DNS服务器👧中【zhōng】，你应该在DNS服务器👧相关的⚡注册表❤中设置【zhōng shè zhì】🤸访问控【fǎng wèn kòng】制🍶，这样只有那些需要访问的⚡帐户才【zhàng hù cái】能够阅【néng gòu yuè】读或修改【gǎi】👺这些注册表❤设置。

HKLM\CurrentControlSet\Services\DNS键应该【jiàn yīng gāi】💛仅仅允许管理🍆员和系统帐户【tǒng zhàng hù】🐦访问【fǎng wèn】，这些帐【zhè xiē zhàng】♎户应该拥有完全控制权限。

10.在DNS文件系统入口设置访问控制

在【zài】基于🥎Windows的DNS服务器🅾中【zhōng】，你应该在【zài】DNS服务器🅾相关的🥈文件【wén jiàn】系统入口【tǒng rù kǒu】设置访问控制，这样只有需要访问的【fǎng wèn de】帐户才📓能够阅读或修😳改这些【gǎi zhè xiē】文件【wén jiàn】。

%system_directory%\DNS文件夹【wén jiàn jiá】及子文【jí zǐ wén】件夹应该仅仅【gāi jǐn jǐn】🤢允许系🧟统帐户【tǒng zhàng hù】访问📵，系统帐户【tǒng zhàng hù】应该拥有完全控制权限🧟。