我记得我去面试的时候面试官问了我一个问题,”企业可以把dns指向其他外网服务器为什么还要在内部搭建dns服务器呢?”当时也觉的好像没什么必要,但是baidu过后明白过来,dns还是有必要的,特别是对于大公司来说。
【公网的DNS只是使用公网解析的,一般大单位都有内部网络,使用内网办公网页如果想用域名访问的话就要在内网建DNS,这样才能在内网实现内网域名的解析,内网的域名在外网的DNS上一般是解析不出来的。有的单位如果想屏蔽某些网站不让员工登陆的,也可以在内网DNS上做相应的配置以使该网站域名无法解析或者做出错误解析。】
dns根服务器全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。
在开始的时候root下共有6个类别:
edu:教育学术单位 org:组织机构 net 网络通信单位
com:公司企业 gov:政府机关 mil:军事单位
由于当时条件的限制dns面临的安全威胁
1.单点故障 树形结构
2.无认证机制 查询者在收到应答后无法确认信息的真假
3.主机过多时访问量和维护量过大及远距离延迟
4.dns漏洞
通过网络向dns发动的攻击主要有:
1.内部攻击 控制一台dns服务器后可以任意更改dns指向
2.序列号攻击
3.信息插入攻击
4.缓存中毒 利用缓存刷新的时限
5.信息泄露
6.不安全的动态更新
安全的使用dns服务器
1.配置辅助域名服务器
2.配置高速缓存服务器
3.配置dns的负载均衡
原理:
在dns服务器中为同一个主机名配置多个ip地址,在应答dns查询时,dns服务器对于每个查询以dns文件中的主机记录的ip地址顺序返回不同的解析结果。
4.配置智能dns高速解析
5.合理配置dns的查询方式(递归和迭代)
6.使用dnstop监控dns的流量
7.使用dnssec软件提供验证服务
1.提供dns来源验证2.提供数据的完整性验证3.确认存在验证
