我记得我去面试的时候面试官问了我一个问题,”企业可以把dns指向其他外网服务器为什么还要在内部搭建dns服务器呢?”当时也觉的好像没什么必要,但是baidu过后明白过来,dns还是有必要的,特别是对于大公司来说。

【公网的DNS只是使用公网解析的,一般大单位都有内部网络,使用内网办公网页如果想用域名访问的话就要在内网建DNS,这样才能在内网实现内网域名的解析,内网的域名在外网的DNS上一般是解析不出来的。有的单位如果想屏蔽某些网站不让员工登陆的,也可以在内网DNS上做相应的配置以使该网站域名无法解析或者做出错误解析。】

dns根服务器全世界只有13台。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。

在开始的时候root下共有6个类别:

edu:教育学术单位   org:组织机构 net 网络通信单位

com:公司企业         gov:政府机关 mil:军事单位

由于当时条件的限制dns面临的安全威胁

1.单点故障  树形结构

2.无认证机制 查询者在收到应答后无法确认信息的真假

3.主机过多时访问量和维护量过大及远距离延迟

4.dns漏洞

通过网络向dns发动的攻击主要有:

1.内部攻击  控制一台dns服务器后可以任意更改dns指向

2.序列号攻击

3.信息插入攻击

4.缓存中毒 利用缓存刷新的时限

5.信息泄露

6.不安全的动态更新

安全的使用dns服务器

1.配置辅助域名服务器

2.配置高速缓存服务器

3.配置dns的负载均衡

原理:

 在dns服务器中为同一个主机名配置多个ip地址,在应答dns查询时,dns服务器对于每个查询以dns文件中的主机记录的ip地址顺序返回不同的解析结果。

4.配置智能dns高速解析

5.合理配置dns的查询方式(递归和迭代)

6.使用dnstop监控dns的流量

7.使用dnssec软件提供验证服务

1.提供dns来源验证2.提供数据的完整性验证3.确认存在验证