DNS审查，了解一下

任何拥有在线资产的组织机构都需要意识到发生单点故障并不是什么好事。物联网病毒"Mirai"十月份针对某个DNS提供商的僵尸网络攻击，使我们了解到，一旦像DNS这样的业务关键性服务瘫痪，对于那些依赖在线访问或服务进行日常业务活动的机构来说可能是毁灭性的。

失去DNS服务会影响到你的网站、电子邮件、应用程序和其他重要的在线资产，使你的机构在网络中"失联"。在今天的互联世界中，几秒钟的停机可能会触及你的商业底线，停机几分钟或几小时就会引发连锁反应，包括增加公关和营销的成本，以及导致企业内部资源的损失和生产效率的下降。如果这个问题经常发生，就会严重影响机构的声誉，并可能导致个人用户寻求其他更稳定和可靠的服务。

保护你的DNS

你最后一次检查DNS服务是什么时候？如果你与大多数机构一样，只是设置一次然后就忽略它，很少重新审视你的DNS策略。然而千里之堤，溃于蚁穴。定期进行专业的DNS检查非常重要，就像你经常查看车的油量一样。保持定期维护，以便在事态变得更严重之前定位并解决这些问题。

以下是进行DNS审核的一些最佳做法：

恰当配置SPF以减少电子邮件欺骗

使用发件人策略框架（SPF）有助于防止电子邮件欺骗。但是，如果其配置不正确，电子邮件可能会被伪造，这可能会损害企业的形象。某些配置错误可能包含无效语法或字符串的错误使用。

核实否定缓存

否定缓存允许DNS服务器保存查找失败响应的记录。这意味着有人请求不存在的域名且服务器已经确认该域名没有对应的IP地址后，服务器会记住请求的最后结果。然后自动响应一段时间而无需再次查找信息。

如果将缓存设置得太低，则可能会使用过多带宽来重复检索相同的信息。

优化TTL设置

生存时间值（Time to Live）告诉服务器在刷新其DNS信息之前应该等待多长时间。如果TTL值设置太小，则可能因为过多的查询而增加DNS服务器的负载。若设置为0，则可能根本无法解析。如果设置太高且域名解析发生错误，则最终用户可能等待很长时间才能获取正确的DNS解析结果。最好从3600s开始调整TTL值以满足特定应用程序和业务的需要。

区域授权问题

区域授权是进行DNS审核时发现的最常见问题之一。为了正常工作，需要正确设置域名授权区域，以便正确执行DNS查询。为了确保它们是正确的，审核必须包括检查域名服务器并验证域名是否正确并且指向正确的IP地址。

从外部区域删除内部IP地址

理论上，你不应在外部DNS区域中找到任何内部IP地址。而实际上，由于RFC 1918（私有互联网的地址分配）和环回地址的存在，外部用户向服务器查询内部区域是很常见的。这些错误可能会泄露有关内部区域基础结构的信息。这就是为什么最佳的做法是在审核期间需将内部和外部DNS分开，使得在外部区域中找不到内部IP地址。

清理非活跃域名

你需要跟踪哪些域名是处于活跃状态还是非活跃状态（即注册但未完全设置的域名），并定期清理非活跃域名。添加新的顶级域名（Top-level Domains）可能会增加DNS的复杂度。输入错误、更改服务器名称或过时信息可能导致潜在错误。

测试PTR记录

PTR记录（Pointer Records）被用于反向地址解析。它们通常称为反向查找，因为你可以使用IP地址来查找主机名。通常PTR记录驻留在反向查找区中，但有时它们也会错误地出现在正向查找区。在DNS审查期间，你应该测试PTR记录查找功能以确保其正常运行。

落实辅助DNS服务

除了进行DNS审核之外，你还应准备好备用的DNS服务，尤其是对于那些一旦失去DNS服务就会导致严重问题的区域（即你的电子商务网站）。采取这些步骤将大大降低因DNS相关问题导致业务停止的风险，并确保为大部分关键业务系统提供冗余度。