dns伺服器安全

1、DNS伺服器相關問題

用戶您好，請問您搭建DNS伺服器是採用什麼平台搭建的？或者說您是採用哪個操作系統搭建的？

2、對於DNS伺服器一般會遇到哪些安全問題？

1、拒絕服務攻擊：發送大量查詢請求，導致dns伺服器負載過高，無法響應
2、劫持：將A域名的IP篡改成指定的惡意IP，使用這個DNS伺服器的用戶如果訪問A域名，就會被引向惡意頁面

3、dns系統中，有哪些措施提高域名伺服器的可靠性

DNS軟體是黑客熱衷攻擊的目標，它可能帶來安全問題，在網路安全防護中，DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力，把查詢請求從DNS伺服器轉給轉發器， 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話， 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器，而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS伺服器
只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋，它把結果保存在高速緩存中，然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS伺服器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS伺服器作為轉發器使用，在你的管理控制下，可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器，只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性，因為你不需要依賴你的ISP的DNS服務 器作為轉發器，在你不能確認ISP的DNS伺服器安全性的情況下，更是如此。
3.使用DNS廣告者
DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如，如果你的主機對於domain.com 和corp.com是公開可用的資源，你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。
除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成遞歸查詢的DNS伺服器，它能夠解析為授權的域名。例如，你可能在內部網路上有一台DNS伺服器，授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時，這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用，你也可以讓它僅為外部用戶服務，這樣你就不用在沒有辦法控制的外部設立DNS伺服器了，從而提高了安全性。當然，你也可以讓DNS解析者同時被內、外部用戶使用。

4、DNS伺服器被劫持？

1
當看到提示時；
不要急於修復；
按「Win+R」打開【運行】窗口；
輸入「cmd」回車版，打開【命令提權示符】窗口；
2
輸入「nslookup」，回車；
查看DNS地址是否正確。
若正確，說明可能是電腦管理軟體，如魔方、騰訊電腦管家等的安全提示，說明你的DNS設置不夠安全，有被劫持的隱患；
建議不要直接用相應軟體的修復功能，否則DNS會被修改為管理軟體建議的DNS地址；
3
打開資源管理器，
選中系統盤，如C盤；
在搜索框輸入「hosts」回車；
找到「hosts」文件；
或者直接打開目錄，找到hosts文件；如圖：
4
選擇「記事本」；
單擊「確定」；
用記事本打開hosts文件；
5
認真檢查hosts文件，
看是否有被綁定的不明的域名及IP地址；
若有，刪除相應綁定的域名及IP地址；保存；
END
二：如何防止DNS被篡改？
首先，安裝正版防毒系統，防止木馬病毒，防止hosts文件被惡意篡改；
建議本機設置靜態的DNS，不要自動獲取；
建議路由器設置靜態DNS，
更改路由器密碼

5、DNS伺服器有問題是什麼原因？

網路設置的問題

這種原因比較多出現在需要手動指定IP、網關、DNS伺服器聯網方式下，及使用代理伺服器上網的。仔細檢查計算機的網路設置。

DNS伺服器的問題

當IE無法瀏覽網頁時，可先嘗試用IP地址來訪問，如用 Bbs.winzheng.com 的http://218.30.80.30，如果可以訪問，那麼應該是DNS的問題，造成DNS的問題可能是連網時獲取DNS出錯或DNS伺服器本身問題。

IE瀏覽器本身的問題

當IE瀏覽器本身出現故障時，自然會影響到瀏覽了;或者IE被惡意修改破壞也會導致無法瀏覽網頁。這時可以嘗試用「黃山IE修復專家」來修復(建議到安全模式下修復)，或者重新IE網路防火牆的問題。

6、DNS伺服器的保護技巧

DNS解析是Internet絕大多數應用的實際定址方式；它的出現完美的解決了企業服務與企業形象結合的問題，企業的DNS名稱是Internet上的身份標識，是不可重覆的唯一標識資源，Internet的全球化使得DNS名稱成為標識企業的最重要資源。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力，把查詢請求從DNS伺服器轉給轉發器， 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話， 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器，而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS伺服器
只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋，它把結果保存在高速緩存中，然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS伺服器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS伺服器作為轉發器使用，在你的管理控制下，可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器，只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性，因為你不需要依賴你的ISP的DNS服務 器作為轉發器，在你不能確認ISP的DNS伺服器安全性的情況下，更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一台負責解析域中查詢的DNS伺服器。
除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸 查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成遞歸查詢的DNS伺服器，它能夠解析為授權的域名。例如，你可能在內部網路上有一台DNS伺服器，授權內部網路域名伺服器。當網路中的客戶機使用這台DNS伺服器去解析時，這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用，你也可以讓它僅為外部用戶服務，這樣你就不用在沒有辦法控制的外部設立DNS伺服器了，從而提高了安全性。當然，你也 可以讓DNS解析者同時被內、外部用戶使用。
5.保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS伺服器都能夠將DNS查詢結果在答復給發出請求的主機之前，就保存在高速緩存中。DNS高速緩存 能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS伺服器的高速緩存中被大量假的DNS信息「污染」了的話，用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS伺服器都能夠通過配置阻止緩存污染。WindowsServer 2003 DNS伺服器默認的配置狀態就能夠防止緩存污染。如果你使用的是Windows 2000 DNS伺服器，你可以配置它，打開DNS伺服器的Properties對話框，然後點擊「高級」表。選擇「防止緩存污染」選項，然後重新啟動DNS伺服器。
6.使DDNS只用安全連接
很多DNS伺服器接受動態更新。動態更新特性使這些DNS伺服器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減
輕DNS管理員的管理費用 ，否則管理員必須手工配置這些主機的DNS資源記錄。
然而，如果未檢測的DDNS更新，可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為台文件伺服器、Web伺服器或者資料庫伺服器動態更新 的DNS主機記錄，如果有人想連接到這些伺服器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險，通過要求安全連接到DNS伺服器執行動態升級。這很容易做到，你只要配置你的DNS伺服器使用活動目錄綜合區 (Active Directory Integrated Zones)並要求安全動態升級就可以實現。這樣一來，所有的域成員都能夠安全地、動態更新他們的DNS信息。
7.禁用區域傳輸
區域傳輸發生在主DNS伺服器和從DNS伺服器之間。主DNS伺服器授權特定域名，並且帶有可改寫的DNS區域文件，在需要的時候可以對該文件進行更新 。從DNS伺服器從主力DNS伺服器接收這些區域文件的只讀拷貝。從DNS伺服器被用於提高來自內部或者互聯網DNS查詢響應性能。
然而，區域傳輸並不僅僅針對從DNS伺服器。任何一個能夠發出DNS查詢請求的人都可能引起DNS伺服器配置改變，允許區域傳輸傾倒自己的區域數據 庫文件。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃，並攻擊關鍵服務架構。你可以配置你的DNS伺服器，禁止區域傳輸請求，或者僅允 許針對組織內特定伺服器進行區域傳輸，以此來進行安全防範。
8.使用防火牆來控制DNS訪問
防火牆可以用來控制誰可以連接到你的DNS伺服器上。對於那些僅僅響應內部用戶查詢請求的DNS伺服器，應該設置防火牆的配置，阻止外部主機連接 這些DNS伺服器。對於用做只緩存轉發器的DNS伺服器，應該設置防火牆的配置，僅僅允許那些使用只緩存轉發器的DNS伺服器發來的查詢請求。防火牆策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS伺服器。
9.在DNS注冊表中建立訪問控制
在基於Windows的DNS伺服器中，你應該在DNS伺服器相關的注冊表中設置訪問控制，這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
鍵應該僅僅允許管理員和系統帳戶訪問，這些帳戶應該擁有完全控制許可權。
10.在DNS文件系統入口設置訪問控制
在基於Windows的DNS伺服器中，你應該在DNS伺服器相關的文件系統入口設置訪問控制，這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
應用服務防火牆
針對以上的問題AX有一個解決方式，就是DNS應用服務防火牆，AX在這問題有三個有力的方法，可以有效的緩解這些攻擊所造成的影響：
1、首先將非DNS協定的封包過濾（Malformed Query Filter)
2、再來將經由DNS伺服器查詢到的訊息做緩存（DNS Cache)
3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制（Connection Rate Limit)
Malformed Query Filter:
這種非正常的封包通常都是用來將對外網路的頻寬給撐爆，當然也會造成DNS伺服器的忙碌，所以AX在第一線就將這類的封包過濾，正確的封包傳遞到後方的伺服器，不正常的封包自動過濾掉避免伺服器的負擔。
DNS Cache:
當DNS查詢的回應回到AX時，AX可以預先設定好哪些Domain要Cache哪些不需要Cache，如果有Cache，當下一個同樣的查詢來到AX時，AX就能從Cache中直接回應，不需要再去DNS伺服器查詢，一方面減輕了DNS伺服器的負擔，另一方面也加快了回應的速度。
再者，當企業選用此功能時更能僅設定公司的Domain做Cache，而非關此Domain的查詢一律不Cache或者拒絕回應，這樣更能有效的保護企業的DNS伺服器。
而ISP之類需提供大量查詢的服務，更適合使用此功能，為DNS服務提供更好更快的回應。
Connection RateLimit:
當查詢的流量大到一定的程度時，例如同一個Domain每秒超過1000個請求，此時在AX上可以啟動每秒的連線控制，控制進入到後端DNS伺服器的查詢量，超過的部分直接丟棄，更嚴格的保護DSN伺服器的資源。
相信許多人期待在日新月異的網際網路中看到創新的網路技術，並能提供更好的網路應用服務。而確保DNS服務的不間斷持續運作並讓DNS服務所提供的資訊是正確的，這也是一切網路應用服務的基礎
熱門事件
北京2014年1月21日，全國大范圍出現DNS故障，下午15時20分左右，中國頂級域名根伺服器出現故障，大部分網站受影響，此次故障未對國家頂級域名.CN造成影響，所有運行服務正常。

7、DNS服務異常是什麼意思

DNS服務異常就是伺服器故障，找不到伺服器的地址。

解決方法如下：

1、首先打開此軟體，如下圖所示。當電腦中沒有此軟體，可通過其他能夠正常上網的電腦下載並復制到可移動設備中，在切換至當前電腦進行安裝。

2、進入後通過找到斷網急救箱並點擊打開，如下圖所示。

3、在打開後能夠看到修復DNS外還可修復其他選項，如下圖所示，此時通過點擊全面診斷並等待診斷完成.

4、通過診斷結果如下圖所示，當DNS存在問題或其他項存在問題，只需要點擊立即修復即可完成修復工作。

6、完成後檢查能否正常使用上網功能，如果不行的話可通過診斷修復完成頁面強力修復按鈕再次修復，可能會重啟電腦，做好數據保存。

(7)dns伺服器安全擴展資料

DNS重要性

1、技術角度看

DNS解析是互聯網絕大多數應用的實際定址方式； 域名技術的再發展、以及基於域名技術的多種應用，豐富了互聯網應用和協議。

2、資源角度看

域名是互聯網上的身份標識，是不可重復的唯一標識資源； 互聯網的全球化使得域名成為標識一國主權的國家戰略資源。

DNS主要功能

每個IP地址都可以有一個主機名，主機名由一個或多個字元串組成，字元串之間用小數點隔開。有了主機名，就不要死記硬背每台IP設備的IP地址，只要記住相對直觀有意義的主機名就行了。這就是DNS協議的功能。

主機名到IP地址的映射有兩種方式：

1）靜態映射，每台設備上都配置主機到IP地址的映射，各設備獨立維護自己的映射表，而且只供本設備使用；

2）動態映射，建立一套域名解析系統（DNS），只在專門的DNS伺服器上配置主機到IP地址的映射，網路上需要使用主機名通信的設備，首先需要到DNS伺服器查詢主機所對應的IP地址。 [1] 

通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。在解析域名時，可以首先採用靜態域名解析的方法，如果靜態域名解析不成功，再採用動態域名解析的方法。可以將一些常用的域名放入靜態域名解析表中，這樣可以大大提高域名解析效率。

參考資料來源：網路—DNS

8、如何判斷WiFi 的DNS伺服器是否安全？

WIFI里填寫的DNS無所謂安全不安全，DNS本來就是解析IP地址的，你可以填寫地區通用DNS不就完了嗎。

9、保護DNS伺服器幾種有效方法

　　DNS軟體是黑客熱衷攻擊的目標，它可能帶來安全問題，在網路安全防護中，DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。1.使用DNS轉發器DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力，把查詢請求從DNS伺服器轉給轉發器， 從DNS轉發器潛在地更大DNS高速緩存中受益。使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話， 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器，而是讓它使用轉發器來處理未授權的請求。2.使用只緩沖DNS伺服器只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋，它把結果保存在高速緩存中，然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS伺服器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。把只緩沖DNS伺服器作為轉發器使用，在你的管理控制下，可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器，只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性，因為你不需要依賴你的ISP的DNS服務 器作為轉發器，在你不能確認ISP的DNS伺服器安全性的情況下，更是如此。3.使用DNS廣告者DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如，如果你的主機對於domain.com 和corp.com是公開可用的資源，你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。4.使用DNS解析者DNS解析者是一台可以完成遞歸查詢的DNS伺服器，它能夠解析為授權的域名。例如，你可能在內部網路上有一台DNS伺服器，授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時，這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用，你也可以讓它僅為外部用戶服務，這樣你就不用在沒有辦法控制的外部設立DNS伺服器了，從而提高了安全性。當然，你也可以讓DNS解析者同時被內、外部用戶使用。