dns服务器安全

1、DNS服务器相关问题

用户您好，请问您搭建DNS服务器是采用什么平台搭建的？或者说您是采用哪个操作系统搭建的？

2、对于DNS服务器一般会遇到哪些安全问题？

1、拒绝服务攻击：发送大量查询请求，导致dns服务器负载过高，无法响应
2、劫持：将A域名的IP篡改成指定的恶意IP，使用这个DNS服务器的用户如果访问A域名，就会被引向恶意页面

3、dns系统中，有哪些措施提高域名服务器的可靠性

DNS软件是黑客热衷攻击的目标，它可能带来安全问题，在网络安全防护中，DNS的安全保护就显得尤为重要。本文结合相关资料和自己多年来的经验列举了四个保护DNS服务器有效的方法。以便读者参考。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话， 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器，只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性，因为你不需要依赖你的ISP的DNS服务 器作为转发器，在你不能确认ISP的DNS服务器安全性的情况下，更是如此。
3.使用DNS广告者
DNS广告者是一台负责解析域中查询的DNS服务器。例如，如果你的主机对于domain.com 和corp.com是公开可用的资源，你的公共DNS服务器就应该为 domain.com 和corp.com配置DNS区文件。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器，它能够解析为授权的域名。例如，你可能在内部网络上有一台DNS服务器，授权内部网络域名 internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时，这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，你也可以让DNS解析者同时被内、外部用户使用。

4、DNS服务器被劫持？

1
当看到提示时；
不要急于修复；
按“Win+R”打开【运行】窗口；
输入“cmd”回车版，打开【命令提权示符】窗口；
2
输入“nslookup”，回车；
查看DNS地址是否正确。
若正确，说明可能是电脑管理软件，如魔方、腾讯电脑管家等的安全提示，说明你的DNS设置不够安全，有被劫持的隐患；
建议不要直接用相应软件的修复功能，否则DNS会被修改为管理软件建议的DNS地址；
3
打开资源管理器，
选中系统盘，如C盘；
在搜索框输入“hosts”回车；
找到“hosts”文件；
或者直接打开目录，找到hosts文件；如图：
4
选择“记事本”；
单击“确定”；
用记事本打开hosts文件；
5
认真检查hosts文件，
看是否有被绑定的不明的域名及IP地址；
若有，删除相应绑定的域名及IP地址；保存；
END
二：如何防止DNS被篡改？
首先，安装正版防毒系统，防止木马病毒，防止hosts文件被恶意篡改；
建议本机设置静态的DNS，不要自动获取；
建议路由器设置静态DNS，
更改路由器密码

5、DNS服务器有问题是什么原因？

网络设置的问题

这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。

DNS服务器的问题

当IE无法浏览网页时，可先尝试用IP地址来访问，如用 Bbs.winzheng.com 的http://218.30.80.30，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题。

IE浏览器本身的问题

当IE浏览器本身出现故障时，自然会影响到浏览了;或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复)，或者重新IE网络防火墙的问题。

6、DNS服务器的保护技巧

DNS解析是Internet绝大多数应用的实际定址方式；它的出现完美的解决了企业服务与企业形象结合的问题，企业的DNS名称是Internet上的身份标识，是不可重覆的唯一标识资源，Internet的全球化使得DNS名称成为标识企业的最重要资源。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话， 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器，只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性，因为你不需要依赖你的ISP的DNS服务 器作为转发器，在你不能确认ISP的DNS服务器安全性的情况下，更是如此。
3.使用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归 查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器，它能够解析为授权的域名。例如，你可能在内部网络上有一台DNS服务器，授权内部网络域名服务器。当网络中的客户机使用这台DNS服务器去解析时，这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，你也 可以让DNS解析者同时被内、外部用户使用。
5.保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前，就保存在高速缓存中。DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话，用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器，你可以配置它，打开DNS服务器的Properties对话框，然后点击“高级”表。选择“防止缓存污染”选项，然后重新启动DNS服务器。
6.使DDNS只用安全连接
很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减
轻DNS管理员的管理费用 ，否则管理员必须手工配置这些主机的DNS资源记录。
然而，如果未检测的DDNS更新，可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录，如果有人想连接到这些服务器就一定会被转移到其他的机器上。
你可以减少恶意DNS升级的风险，通过要求安全连接到DNS服务器执行动态升级。这很容易做到，你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来，所有的域成员都能够安全地、动态更新他们的DNS信息。
7.禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名，并且带有可改写的DNS区域文件，在需要的时候可以对该文件进行更新 。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而，区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变，允许区域传输倾倒自己的区域数据 库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划，并攻击关键服务架构。你可以配置你的DNS服务器，禁止区域传输请求，或者仅允 许针对组织内特定服务器进行区域传输，以此来进行安全防范。
8.使用防火墙来控制DNS访问
防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器，应该设置防火墙的配置，阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器，应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9.在DNS注册表中建立访问控制
在基于Windows的DNS服务器中，你应该在DNS服务器相关的注册表中设置访问控制，这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。
键应该仅仅允许管理员和系统帐户访问，这些帐户应该拥有完全控制权限。
10.在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中，你应该在DNS服务器相关的文件系统入口设置访问控制，这样只有需要访问的帐户才能够阅读或修改这些文件。
应用服务防火墙
针对以上的问题AX有一个解决方式，就是DNS应用服务防火墙，AX在这问题有三个有力的方法，可以有效的缓解这些攻击所造成的影响：
1、首先将非DNS协定的封包过滤（Malformed Query Filter)
2、再来将经由DNS服务器查询到的讯息做缓存（DNS Cache)
3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制（Connection Rate Limit)
Malformed Query Filter:
这种非正常的封包通常都是用来将对外网络的频宽给撑爆，当然也会造成DNS服务器的忙碌，所以AX在第一线就将这类的封包过滤，正确的封包传递到后方的服务器，不正常的封包自动过滤掉避免服务器的负担。
DNS Cache:
当DNS查询的回应回到AX时，AX可以预先设定好哪些Domain要Cache哪些不需要Cache，如果有Cache，当下一个同样的查询来到AX时，AX就能从Cache中直接回应，不需要再去DNS服务器查询，一方面减轻了DNS服务器的负担，另一方面也加快了回应的速度。
再者，当企业选用此功能时更能仅设定公司的Domain做Cache，而非关此Domain的查询一律不Cache或者拒绝回应，这样更能有效的保护企业的DNS服务器。
而ISP之类需提供大量查询的服务，更适合使用此功能，为DNS服务提供更好更快的回应。
Connection RateLimit:
当查询的流量大到一定的程度时，例如同一个Domain每秒超过1000个请求，此时在AX上可以启动每秒的连线控制，控制进入到后端DNS服务器的查询量，超过的部分直接丢弃，更严格的保护DSN服务器的资源。
相信许多人期待在日新月异的网际网络中看到创新的网络技术，并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的，这也是一切网络应用服务的基础
热门事件
北京2014年1月21日，全国大范围出现DNS故障，下午15时20分左右，中国顶级域名根服务器出现故障，大部分网站受影响，此次故障未对国家顶级域名.CN造成影响，所有运行服务正常。

7、DNS服务异常是什么意思

DNS服务异常就是服务器故障，找不到服务器的地址。

解决方法如下：

1、首先打开此软件，如下图所示。当电脑中没有此软件，可通过其他能够正常上网的电脑下载并复制到可移动设备中，在切换至当前电脑进行安装。

2、进入后通过找到断网急救箱并点击打开，如下图所示。

3、在打开后能够看到修复DNS外还可修复其他选项，如下图所示，此时通过点击全面诊断并等待诊断完成.

4、通过诊断结果如下图所示，当DNS存在问题或其他项存在问题，只需要点击立即修复即可完成修复工作。

6、完成后检查能否正常使用上网功能，如果不行的话可通过诊断修复完成页面强力修复按钮再次修复，可能会重启电脑，做好数据保存。

(7)dns服务器安全扩展资料

DNS重要性

1、技术角度看

DNS解析是互联网绝大多数应用的实际寻址方式； 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。

2、资源角度看

域名是互联网上的身份标识，是不可重复的唯一标识资源； 互联网的全球化使得域名成为标识一国主权的国家战略资源。

DNS主要功能

每个IP地址都可以有一个主机名，主机名由一个或多个字符串组成，字符串之间用小数点隔开。有了主机名，就不要死记硬背每台IP设备的IP地址，只要记住相对直观有意义的主机名就行了。这就是DNS协议的功能。

主机名到IP地址的映射有两种方式：

1）静态映射，每台设备上都配置主机到IP地址的映射，各设备独立维护自己的映射表，而且只供本设备使用；

2）动态映射，建立一套域名解析系统（DNS），只在专门的DNS服务器上配置主机到IP地址的映射，网络上需要使用主机名通信的设备，首先需要到DNS服务器查询主机所对应的IP地址。 [1] 

通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。在解析域名时，可以首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

参考资料来源：网络—DNS

8、如何判断WiFi 的DNS服务器是否安全？

WIFI里填写的DNS无所谓安全不安全，DNS本来就是解析IP地址的，你可以填写地区通用DNS不就完了吗。

9、保护DNS服务器几种有效方法

　　DNS软件是黑客热衷攻击的目标，它可能带来安全问题，在网络安全防护中，DNS的安全保护就显得尤为重要。本文结合相关资料和自己多年来的经验列举了四个保护DNS服务器有效的方法。以便读者参考。1.使用DNS转发器DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS高速缓存中受益。使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话， 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。2.使用只缓冲DNS服务器只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。把只缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器，只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性，因为你不需要依赖你的ISP的DNS服务 器作为转发器，在你不能确认ISP的DNS服务器安全性的情况下，更是如此。3.使用DNS广告者DNS广告者是一台负责解析域中查询的DNS服务器。例如，如果你的主机对于domain.com 和corp.com是公开可用的资源，你的公共DNS服务器就应该为 domain.com 和corp.com配置DNS区文件。除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。4.使用DNS解析者DNS解析者是一台可以完成递归查询的DNS服务器，它能够解析为授权的域名。例如，你可能在内部网络上有一台DNS服务器，授权内部网络域名 internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时，这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，你也可以让DNS解析者同时被内、外部用户使用。