CA-DNS安全

Rh333第四单元：bind安全.

目前互联网上的DNS应用极为广泛，这还仅限与IPV4时代，等到IPV6时代的时候，相信DNS的功能则更加不可被替代。通常对DNS的攻击是攻击其他服务器的第一步骤。

1.DNS的脆弱点：

（1）利用DNS信息，攻击其他服务器。例如通过获取DNS数据库文件，发现web和mail 服务器IP。

（2）欺骗查询的第三方主机，比如对方查询icbc.com，通过攻击DNS，将原本对应的IP       替换掉为一个钓鱼网站的IP。

 (3)攻击手段包括：缓存中毒，或者直接攻击父域服务器

2.DNS解决方法.

 运用TSIG进行DNS通信加密.  （只有拿到TSIG KEY的人才能与服务器进行通信）

 限制zone文件的传输，限制递归查询

 在chroot环境下运行bind

 配置日志信息

3.ports:  UDP53.(用户查询)   TCP53（主辅同步）

4.缓存DNS和转发DNS的区别

缓存DNS:先做转发，如果没有记录，从根查起

转发DNS：向目标服务器转发，如果没有记录不再查询

TSIG:Transaction Signatures

通过共享对称的密钥进行加密（一定要保证时间同步）