专栏首页安全领域DNS审查,了解一下

DNS审查,了解一下

任何拥有在线资产的组织机构都需要意识到发生单点故障并不是什么好事。物联网病毒"Mirai"十月份针对某个DNS提供商的僵尸网络攻击,使我们了解到,一旦像DNS这样的业务关键性服务瘫痪,对于那些依赖在线访问或服务进行日常业务活动的机构来说可能是毁灭性的。

失去DNS服务会影响到你的网站、电子邮件、应用程序和其他重要的在线资产,使你的机构在网络中"失联"。在今天的互联世界中,几秒钟的停机可能会触及你的商业底线,停机几分钟或几小时就会引发连锁反应,包括增加公关和营销的成本,以及导致企业内部资源的损失和生产效率的下降。如果这个问题经常发生,就会严重影响机构的声誉,并可能导致个人用户寻求其他更稳定和可靠的服务。

保护你的DNS

你最后一次检查DNS服务是什么时候?如果你与大多数机构一样,只是设置一次然后就忽略它,很少重新审视你的DNS策略。然而千里之堤,溃于蚁穴。定期进行专业的DNS检查非常重要,就像你经常查看车的油量一样。保持定期维护,以便在事态变得更严重之前定位并解决这些问题。

以下是进行DNS审核的一些最佳做法:

恰当配置SPF以减少电子邮件欺骗

使用发件人策略框架(SPF)有助于防止电子邮件欺骗。但是,如果其配置不正确,电子邮件可能会被伪造,这可能会损害企业的形象。某些配置错误可能包含无效语法或字符串的错误使用。

核实否定缓存

否定缓存允许DNS服务器保存查找失败响应的记录。这意味着有人请求不存在的域名且服务器已经确认该域名没有对应的IP地址后,服务器会记住请求的最后结果。然后自动响应一段时间而无需再次查找信息。

如果将缓存设置得太低,则可能会使用过多带宽来重复检索相同的信息。

优化TTL设置

生存时间值(Time to Live)告诉服务器在刷新其DNS信息之前应该等待多长时间。如果TTL值设置太小,则可能因为过多的查询而增加DNS服务器的负载。若设置为0,则可能根本无法解析。如果设置太高且域名解析发生错误,则最终用户可能等待很长时间才能获取正确的DNS解析结果。最好从3600s开始调整TTL值以满足特定应用程序和业务的需要。

区域授权问题

区域授权是进行DNS审核时发现的最常见问题之一。为了正常工作,需要正确设置域名授权区域,以便正确执行DNS查询。为了确保它们是正确的,审核必须包括检查域名服务器并验证域名是否正确并且指向正确的IP地址。

从外部区域删除内部IP地址

理论上,你不应在外部DNS区域中找到任何内部IP地址。而实际上,由于RFC 1918(私有互联网的地址分配)和环回地址的存在,外部用户向服务器查询内部区域是很常见的。这些错误可能会泄露有关内部区域基础结构的信息。这就是为什么最佳的做法是在审核期间需将内部和外部DNS分开,使得在外部区域中找不到内部IP地址。

清理非活跃域名

你需要跟踪哪些域名是处于活跃状态还是非活跃状态(即注册但未完全设置的域名),并定期清理非活跃域名。添加新的顶级域名(Top-level Domains)可能会增加DNS的复杂度。输入错误、更改服务器名称或过时信息可能导致潜在错误。

测试PTR记录

PTR记录(Pointer Records)被用于反向地址解析。它们通常称为反向查找,因为你可以使用IP地址来查找主机名。通常PTR记录驻留在反向查找区中,但有时它们也会错误地出现在正向查找区。在DNS审查期间,你应该测试PTR记录查找功能以确保其正常运行。

落实辅助DNS服务

除了进行DNS审核之外,你还应准备好备用的DNS服务,尤其是对于那些一旦失去DNS服务就会导致严重问题的区域(即你的电子商务网站)。采取这些步骤将大大降低因DNS相关问题导致业务停止的风险,并确保为大部分关键业务系统提供冗余度。

本文的版权归 DMC 所有,如需转载请联系作者。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 能够保护公司免受黑客攻击的最佳实践经验

    原文地址:https://www.entrepreneur.com/article/237174

    未来守护者
  • 辨认适合业务的 SSL 证书的方法

    精明的用户在上网的时候会更喜欢一些有 SSL 证书保护的网站。另一方面,如果你的网站没受到足够等级的 SSL 证书的保护,那么网站的访客就会碰到很多问题,乃至让...

    未来守护者
  • 对大数据和物联网环境中数据科学自动化的见解

    数据科学在任何大数据研究实践或物联网(IoT)环境中位于核心地位。数据科学涉及广泛的技术,商业和机器学习算法。数据科学的目的不仅仅在于机器学习或统计分析,而在于...

    未来守护者
  • 运维老鸟阐述:沪江从DNS到httpdns的演进

    摘要 HttpDNS服务是一款可以有效解决域名劫持的方案,并且已在各家大厂广泛应用,现已成为一款相当成熟的产品,本次分享主要围绕沪江由DNS到HTTPDNS演进...

    IT大咖说
  • 全国DNS服务器IP大全

    用户1700948
  • DNS流量分析——使网络更安全

    人们很容易忽视域名系统(DNS)及其在整个互联网和本地内部网中发挥的关键作用。这主要是因为,尽管我们每天都依赖DNS,但它对用户基本上是透明的,而且我们都理所当...

    虹科网络可视化与安全
  • 在中国大陆好用的DNS

    这里选择了一些在中国大陆好用的公共DNS服务 污染小,响应速度快 还有一些其他的使用技巧

    Huramkin
  • Windows平台本地DNS自动检测与设置工具

    Youngxj
  • 新一轮DNS钓鱼攻击已突破国内安全防线

    近日,据国内领先的DNS服务提供商114DNS官网微博消息称:新一轮DNS钓鱼攻击已经突破国内安全防线,可能已经导致数百万用户感染。随后,其他安...

    安恒信息
  • D妹上新|DoH和DoT开始公测啦!

    ? 要讲DoT和DoH,不可避免的我们要重温一下DNS协议的历史。 DNS协议在1987年甚至更早的时候就被规范好,那个年代互联网安全还不是严重的威胁,DNS...

    腾讯云DNSPod团队

扫码关注云+社区

领取腾讯云代金券