网络安全运行与维护 教学课件 M4-1 加强Linux系统的DNS服务的安全防御.ppt

《网络安全运行与维护 教学课件 M4-1 加强Linux系统的DNS服务的安全防御.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、《网络安全运行与维护》模块四Linux服务器系统安全管理与维护DHCPDNSWebFTPCA服务器群集邮件服务DDNInternet北京总部长春分公司VPN网管工作站重庆分公司DHCPWEBWEBFTPDNSBDNS总体概述加强Linux系统的DNS服务的安全防御能力加固Linux系统的DHCP服务安全防御能力提升Linux系统的WEB服务的安全防御能力提高Linux系统的FTP服务安全访问及安全防御能力使用Linux防火墙模块提升服务器的安全防御能力能力单元1加强Linux系统的DNS服务

2、的安全防御任务描述任务描述本任务主要是通过以下方法来加强DNS服务器的安全。隔离DNS服务器隐藏DNS服务器避免透露服务器信关闭DNS服务器的gluefetching选项使用非root权限运行bind控制区域（zone）传输请求限制其他強化措施使用DNSSEC为DNS服务器配置DNSFloodDetector任务分析任务分析DNS服务面临的安全隐患主要包括：DNS欺骗（DNSSpoffing）、拒绝服务（Denialofservice，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buff

3、erOverflow）。具体如下：DNS欺骗缓存感染DNS信息劫持DNS重定向分布式拒绝服务攻击缓冲区漏洞溢出攻击相关知识相关知识DNS欺骗如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。拒绝服务攻击SYNFloodSYNFlood是当前最流行的DoS(拒绝服务攻击)与DDoS(DistributedDenialOfService分布式拒绝服务攻击)的方式之一，这是一种利用TC

4、P协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。任务实施——拓扑结构拓扑结构任务实施——实施步骤实施步骤〖步骤1〗选择没有安全缺陷的DNS版本BIND主要分为三个版本：（1）v4：1998年多数unix捆绑（2）v8：如今使用最多最广大版本（3）v9：最新版本，〖步骤2〗保护DNS服务器本身安全第一步：隔离DNS服务器DNS服务器要专用，不要在DNS服务器上运行其它服务，尽量允许普通用户登录。第二步：隐藏DNS服务器[root@lab2~]#vi/

5、etc/named.confversion"unknowonthisplatform";任务实施——实施步骤(cont.)实施步骤第三步：避免透露DNS服务器信息不要轻易透露服务器其他信息。为了让潜在的攻击者更难得手，尽量不要在DNS配置文件中使用这HINFO和TXT两个资源记录。第四步：以最小的权限及使用chroot()方式运行BIND以root使用者的身分执行BIND有安全隐患，攻击者若找到BIND的安全漏洞，可能获取root的身分，从而进行对服务器攻击。named-unamed-t/var/

6、named〖步骤3〗保护DNS免于Spoofed攻击第一步：关闭rescursion的功能修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.confrecursionno;任务实施——实施步骤(cont.)实施步骤第二步：关闭gluefetching的功能修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conffetch-glueno;第三步：限制查询要求的服务对象限制询问要求的来

7、源（IP地址）限制可以查询的区域范围[root@lab2~]#vi/etc/named.conf…………allow-query{192.168.123.0/24;};zone"xuanbo.com"IN{typemaster;file"/var/named/xuanbo.com.hosts";allow-query{any;};allow-update{none;};};任务实施——实施步骤(cont.)实施步骤〖步骤4〗保护ZoneTransfer的安全默认情况下BIND的区域(zone)传输是

8、全部开放的[root@lab2~]#vi/etc/named.confacl"zone-transfer"{192.168.123.11;192.168.123.20;};zone"xuanbo.com"IN{typemaster;file"/var/named/xuanbo.com.hosts";allow-query{any;};allow-transfer{zone-transfer;};allow-update{none;};};任务实施——实施步骤(cont.)实施步骤〖