DNS审查,了解一下

任何拥有在线资产的组织机构都需要意识到发生单点故障并不是什么好事。物联网病毒"Mirai"十月份针对某个DNS提供商的僵尸网络攻击,使我们了解到,一旦像DNS这样的业务关键性服务瘫痪,对于那些依赖在线访问或服务进行日常业务活动的机构来说可能是毁灭性的。

失去DNS服务会影响到你的网站、电子邮件、应用程序和其他重要的在线资产,使你的机构在网络中"失联"。在今天的互联世界中,几秒钟的停机可能会触及你的商业底线,停机几分钟或几小时就会引发连锁反应,包括增加公关和营销的成本,以及导致企业内部资源的损失和生产效率的下降。如果这个问题经常发生,就会严重影响机构的声誉,并可能导致个人用户寻求其他更稳定和可靠的服务。

保护你的DNS

你最后一次检查DNS服务是什么时候?如果你与大多数机构一样,只是设置一次然后就忽略它,很少重新审视你的DNS策略。然而千里之堤,溃于蚁穴。定期进行专业的DNS检查非常重要,就像你经常查看车的油量一样。保持定期维护,以便在事态变得更严重之前定位并解决这些问题。

以下是进行DNS审核的一些最佳做法:

恰当配置SPF以减少电子邮件欺骗

使用发件人策略框架(SPF)有助于防止电子邮件欺骗。但是,如果其配置不正确,电子邮件可能会被伪造,这可能会损害企业的形象。某些配置错误可能包含无效语法或字符串的错误使用。

核实否定缓存

否定缓存允许DNS服务器保存查找失败响应的记录。这意味着有人请求不存在的域名且服务器已经确认该域名没有对应的IP地址后,服务器会记住请求的最后结果。然后自动响应一段时间而无需再次查找信息。

如果将缓存设置得太低,则可能会使用过多带宽来重复检索相同的信息。

优化TTL设置

生存时间值(Time to Live)告诉服务器在刷新其DNS信息之前应该等待多长时间。如果TTL值设置太小,则可能因为过多的查询而增加DNS服务器的负载。若设置为0,则可能根本无法解析。如果设置太高且域名解析发生错误,则最终用户可能等待很长时间才能获取正确的DNS解析结果。最好从3600s开始调整TTL值以满足特定应用程序和业务的需要。

区域授权问题

区域授权是进行DNS审核时发现的最常见问题之一。为了正常工作,需要正确设置域名授权区域,以便正确执行DNS查询。为了确保它们是正确的,审核必须包括检查域名服务器并验证域名是否正确并且指向正确的IP地址。

从外部区域删除内部IP地址

理论上,你不应在外部DNS区域中找到任何内部IP地址。而实际上,由于RFC 1918(私有互联网的地址分配)和环回地址的存在,外部用户向服务器查询内部区域是很常见的。这些错误可能会泄露有关内部区域基础结构的信息。这就是为什么最佳的做法是在审核期间需将内部和外部DNS分开,使得在外部区域中找不到内部IP地址。

清理非活跃域名

你需要跟踪哪些域名是处于活跃状态还是非活跃状态(即注册但未完全设置的域名),并定期清理非活跃域名。添加新的顶级域名(Top-level Domains)可能会增加DNS的复杂度。输入错误、更改服务器名称或过时信息可能导致潜在错误。

测试PTR记录

PTR记录(Pointer Records)被用于反向地址解析。它们通常称为反向查找,因为你可以使用IP地址来查找主机名。通常PTR记录驻留在反向查找区中,但有时它们也会错误地出现在正向查找区。在DNS审查期间,你应该测试PTR记录查找功能以确保其正常运行。

落实辅助DNS服务

除了进行DNS审核之外,你还应准备好备用的DNS服务,尤其是对于那些一旦失去DNS服务就会导致严重问题的区域(即你的电子商务网站)。采取这些步骤将大大降低因DNS相关问题导致业务停止的风险,并确保为大部分关键业务系统提供冗余度。

本文的版权归 DMC 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

使用 DNSPOD 和腾讯云 CDN 加快网站访问速度的教程

随着国外 VPS 越来越便宜,很多站长为了性价比都把网站转移到了大陆以外的地区,比如使用美国 VPS、日本 VPS、韩国 VPS、台湾 VPS。不过考虑到网站主...

1.3K40
来自专栏FreeBuf

对一次网络钓鱼攻击的逆向分析

作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL...

29850
来自专栏FreeBuf

安卓手机的NFC功能可截取非接触IC卡交互数据,用户需警惕

理论基础请看国外大神的PPT:DEFCON-20-Lee-NFC-Hacking,我大概说一下可用的方案和实现的功能。仅做测试,请勿模仿。 核心原理 借助CM9...

26650
来自专栏北京马哥教育

IBM专家告诉你如何完成Linux 服务器加固与安全验证

在如今的技术领域中,做一个完全安全的系统是一个不可能实现的目标。正如 FBI 的 Dennis Hughes 所说,“真正安全的计算机是没有连线、锁在一个保险箱...

34670
来自专栏FreeBuf

某云用户网站入侵应急响应

1、情况概述 该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来,和大家一起讨论应急响应的一些思路及其中间遇到的一些坑,欢迎大牛指点、讨论。 情...

33470
来自专栏FreeBuf

HTTP2.0协议被曝4个高危漏洞,可致服务器崩溃

如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞! 去年2月,谷歌把...

33580
来自专栏FreeBuf

对门控系统的攻击面检查

一、引言 近年来,许多企业出于对安全的考虑,开始逐步使用电脑化的门控系统:要求用户拥有中央数据库授权的口令或者刷卡,以确保那些没有授权的人无法进入公司区域或者公...

18660
来自专栏北京马哥教育

十大企业级Linux服务器安全防护要点

糖豆贴心提醒,本文阅读时间8分钟 随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服...

582160
来自专栏FreeBuf

谷歌发布分析报告,详解此前GitHub遭遇大流量DDoS攻击全过程

上月底,代码托管网站GitHub遭遇大流量DDoS攻击。攻击者劫持百度广告联盟的JS脚本并将其替换成恶意代码,最后利用访问中国网站的海外用户对GitHub发动大...

28360
来自专栏程序你好

微服务:API网关在API安全中的作用

当从单体应用程序切换到微服务时,来自客户端的行为不能与以前一样,单体架构客户端只有一个入口点到应用程序。

49540

扫码关注云+社区

领取腾讯云代金券