DNS軟件（jiàn）是黑（hēi）客熱衷攻擊的（de）目標（biāo），它可能帶來安全問題（tí）。本文提供了10個保護（hù）DNS服務器最（zuì）有（yǒu）效的方法（fǎ）。

1.使用DNS轉發器

DNS轉發（fā）器是為其他DNS服（fú）務器

完成DNS查詢的DNS服（fú）務（wù）器。使用DNS轉發（fā）器的（de）主（zhǔ）要目的是減輕DNS處理的壓力（lì），把查（chá）詢請求從DNS服務器轉給轉發器， 從DNS轉（zhuǎn）發（fā）器潛（qián）在地更大DNS高速緩存中受益（yì）。

使用DNS轉（zhuǎn）發（fā）器（qì）的（de）另一個好處是它（tā）阻（zǔ）止了DNS服（fú）務（wù）器轉發來自互聯網DNS服務器的查詢（xún）請求。如果你的（de）DNS服務器保存了你內部的域DNS資源（yuán）記錄的（de）話， 這一（yī）點（diǎn）就非常（cháng）重要。不讓內部DNS服務器（qì）進行遞歸查詢並直接聯係DNS服務器，而（ér）是（shì）讓它使用轉發器來處理未授權的請求。

2.使用（yòng）隻緩（huǎn）衝（chōng）DNS服（fú）務器

隻緩衝（chōng）DNS服務器是針對為授（shòu）權（quán）域名（míng）的。它被（bèi）用做遞歸查詢或者使用轉（zhuǎn）發器。當隻緩衝DNS服務器（qì）收到一個（gè）反（fǎn）饋，它把結（jié）果保存在高速緩存中，然後把 結果發送（sòng）給向它提出DNS查詢（xún）請（qǐng）求的係（xì）統（tǒng）。隨著（zhe）時間推移，隻緩衝DNS服務（wù）器可以收集大量的DNS反（fǎn）饋，這能極大地縮短它提（tí）供DNS響應的時間。

把隻緩衝DNS服務器（qì）作為轉發器使用，在（zài）你（nǐ）的管理控製下，可以提高（gāo）組織安全性（xìng）。內（nèi）部DNS服務器可以把隻緩衝（chōng）DNS服務（wù）器當作自己的（de）轉發器，隻緩衝 DNS服務器代替你的內部DNS服務器完（wán）成遞歸查詢。使（shǐ）用你自己的隻緩衝DNS服務器（qì）作為轉（zhuǎn）發器能（néng）夠提高安全性，因為你不需要依賴你的ISP的DNS服（fú）務 器作為轉發器，在你不能確認ISP的DNS服務器安全性的情況（kuàng）下，更是如此。

3.使用DNS廣（guǎng）告者(DNS advertisers)

DNS廣告者是（shì）一台負責解析域（yù）中查詢的DNS服務（wù）器。例如，如果你的主（zhǔ）機對於（yú）domain.com 和corp.com是公開可用的資（zī）源，你的公共DNS服務（wù）器就應該為 domain.com 和corp.com配置DNS區（qū）文件（jiàn）。

除DNS區文件宿主的其（qí）他DNS服（fú）務器之外的DNS廣告者設置，是DNS廣告者隻回答其授權的域名的查詢。這種DNS服務（wù）器（qì）不（bú）會（huì）對其他DNS服務（wù）器進行遞歸 查詢。這（zhè）讓用戶不能使用你（nǐ）的公共DNS服務（wù）器來解析其（qí）他域名。通過（guò）減少與運行一個公開（kāi）DNS解析（xī）者相關的風險（xiǎn），包括緩存中毒，增加了（le）安全（quán）。

4.使用（yòng）DNS解析者

DNS解（jiě）析者是一台可以完成遞歸查詢的DNS服務（wù）器，它能夠解析為授權的域名（míng）。例如（rú），你可能在內部網絡上有一（yī）台DNS服務器，授（shòu）權內部網絡域名 internalcorp.com的DNS服務器。當網絡中的客戶機使用這台DNS服（fú）務器去解析techrepublic.com時，這台DNS服務器通過向其他DNS服務（wù）器（qì）查詢來（lái）執行（háng）遞（dì）歸 以獲得答案。

DNS服務（wù）器和DNS解析者之間的（de）區別是DNS解析者（zhě）是（shì）僅僅針對解析互聯網主（zhǔ）機名。DNS解析者可以是未授權（quán）DNS域名的（de）隻緩存DNS服務（wù）器。你可以讓DNS 解析者僅對（duì）內部用戶使用（yòng），你也（yě）可以讓它僅為外部用戶服務（wù），這（zhè）樣你就不用在沒有辦法控製的外部設立DNS服務器了（le），從而提高了安全性（xìng）。當然（rán），你也 可以讓DNS解析者同時被（bèi）內、外部（bù）用戶使用。

5.保護DNS不受（shòu）緩存汙染

DNS緩存汙染已經成（chéng）了日（rì）益普遍的（de）問題。絕（jué）大（dà）部分DNS服務器都能夠將（jiāng）DNS查詢結果在答複給發出（chū）請求的主機（jī）之前，就保存在高速緩存中。DNS高速緩（huǎn）存 能（néng）夠極大地提高你組織內部的DNS查詢性能。問（wèn）題是如果你的DNS服務器的高速緩（huǎn）存中（zhōng）被大量假的DNS信（xìn）息“汙（wū）染”了的話，用戶就有可能被（bèi）送到惡意站點（diǎn） 而不是（shì）他（tā）們（men）原先想要（yào）訪問的網站。

絕大部（bù）分DNS服（fú）務器都能夠通過配置（zhì）阻止緩存汙染。WindowsServer 2003 DNS服務器默認的（de）配置狀態就能（néng）夠防止緩存汙染。如（rú）果你使用的是Windows 2000 DNS服務器，你可以配置（zhì）它，打開DNS服務器的Properties對（duì）話（huà）框（kuàng），然後（hòu）點擊（jī）“高級”表。選擇“防止緩存（cún）汙染”選（xuǎn）項，然後重新啟動（dòng）DNS服（fú）務器。

6.使（shǐ）DDNS隻用安全連（lián）接（jiē）

很多DNS服務器接受動態更新（xīn）。動態更（gèng）新（xīn）特性使這些DNS服（fú）務器能記（jì）錄使用DHCP的主機的主機名和IP地址（zhǐ）。DDNS能夠極大（dà）地減輕DNS管理員的管理費用 ，否（fǒu）則管（guǎn）理（lǐ）員必須手工配置這（zhè）些主機的（de）DNS資源記（jì）錄。

然而，如果未（wèi）檢（jiǎn）測的（de）DDNS更新（xīn），可能會帶來很嚴重的（de）安全（quán）問（wèn）題。一個惡意用戶可以配置主（zhǔ）機成為台文（wén）件服務器、Web服（fú）務器或者數據庫服（fú）務器動（dòng）態更新 的DNS主（zhǔ）機記錄，如果有人想連接（jiē）到（dào）這（zhè）些服務器就（jiù）一定會被轉移到其他（tā）的機器上。

你可（kě）以（yǐ）減少惡意DNS升級的風險，通過要求安全連接到（dào）DNS服務器執行動態升級。這很容易做到，你隻要配置你的DNS服務器使用活動（dòng）目錄綜合區 (Active Directory Integrated Zones)並要求（qiú）安（ān）全動態升級就可以實（shí）現。這樣一（yī）來，所有的域成員都能（néng）夠安全地、動態更新他們的DNS信（xìn）息。

7.禁用區域傳（chuán）輸

區（qū）域傳輸發生在主DNS服務（wù）器和從DNS服務（wù）器之間（jiān）。主DNS服務（wù）器（qì）授權（quán）特定（dìng）域名，並且帶有可改（gǎi）寫的DNS區域文（wén）件，在需要的時候可以（yǐ）對該文（wén）件進行更新 。從DNS服務器從主（zhǔ）力DNS服務器接收這些區域文件的隻讀拷貝。從DNS服務器被用（yòng）於提高來自內部或者互聯網DNS查詢響（xiǎng）應性能。

然而（ér），區域（yù）傳（chuán）輸並（bìng）不僅僅（jǐn）針對（duì）從DNS服務器。任何一（yī）個能夠發出DNS查詢請求（qiú）的（de）人都可能引（yǐn）起DNS服務器配置改變，允許（xǔ）區域傳輸傾（qīng）倒（dǎo）自己的（de）區域（yù）數（shù）據 庫文件。惡（è）意用（yòng）戶可以使用這（zhè）些信（xìn）息來偵察（chá）你組織內部的命名（míng）計劃，並攻擊關鍵服務架構。你可以配置你的DNS服（fú）務器，禁止區域傳輸（shū）請求，或（huò）者僅允 許針對組織內特定服務器進（jìn）行區域傳輸，以此（cǐ）來進行（háng）安全防範。

8.使用防火牆來控製DNS訪（fǎng）問

防火牆可以用來控製誰可以（yǐ）連接到你（nǐ）的DNS服（fú）務器上。對於（yú）那（nà）些（xiē）僅僅（jǐn）響應內部（bù）用戶查詢請求（qiú）的（de）DNS服務（wù）器，應該設置防火牆（qiáng）的配置（zhì），阻止外部主機連接 這些DNS服務（wù）器。對於用（yòng）做隻緩存轉發器（qì）的DNS服務器，應該設（shè）置防（fáng）火牆的配置（zhì），僅僅允許（xǔ）那些使用隻（zhī）緩（huǎn）存轉發器的DNS服務器發來的（de）查詢請求。防火牆策略（luè）設置的（de）重要一點是阻止內部用戶使用DNS協議連接外部DNS服務器。

9.在（zài）DNS注冊表中建立訪問控製

在基（jī）於Windows的DNS服務器中，你應該在DNS服務器相關的注（zhù）冊表中設置訪問控製（zhì），這樣（yàng）隻有那些需要訪問的帳戶（hù）才能夠閱讀或修改這些注冊表設置（zhì）。

HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和係統帳戶訪問，這些帳戶應該擁（yōng）有完全控製權限。

10.在DNS文件係（xì）統入口設置訪問控（kòng）製

在基於Windows的（de）DNS服務器中，你應該在DNS服（fú）務器相關（guān）的文件係統入口設（shè）置訪問控製，這樣隻有需要訪問的帳戶才能夠閱讀或修（xiū）改這些文件。

%system_directory%\DNS文件夾（jiá）及子文件夾應該僅僅允許係統帳戶訪問（wèn），係統帳（zhàng）戶應（yīng）該擁有完全控製權限。