服務器知識：如何保護好您的DNS服務器

DNS全稱DomainNameSystem域名解析系統(tǒng)，通俗地說，DNS就是幫助用戶在Internet上尋找名稱與IP對應的解析服務。為了更方便使用網(wǎng)絡(luò)資源，DNS服務提供一種將電腦或服務名稱對應到關(guān)聯(lián)該名稱IP位址的方法。名稱一定比枯燥的IP地址更容易了解和記憶。大多數(shù)使用者喜歡使用易記的名稱來尋找網(wǎng)絡(luò)中像是郵件服務器或網(wǎng)頁服務器，而

不是使用IP地址。當使用者在應用程式中輸入易記的DNS名稱時，DNS服務會將此名稱解析成它的數(shù)值位址。
 

DNS解析是Internet絕大多數(shù)應用的實際定址方式；它的出現(xiàn)完美的解決了企業(yè)服務與企業(yè)形象結(jié)合的問題，企業(yè)的DNS名稱是Internet上的身份標識，是不可重覆的唯一標識資源，Internet的全球化使得DNS名稱成為標識企業(yè)的最重要資源。
 

然而重要的資源就可能引起有心人士的關(guān)心，隨著Internet上DNS攻擊事件的發(fā)生，DNS的安全問題也成為大家關(guān)心的焦點，常見的方式為：
 

1、針對DNS系統(tǒng)的惡意攻擊：發(fā)動DNS DDOS攻擊造成DNS名稱解析癱瘓。
 

2、DNS名稱劫持：修改注冊訊息、劫持解析的結(jié)果。
 

當DNS服務器遭遇DNSSpoofing惡意攻擊時，不管是正常DNS查詢封包或非正常的封包都經(jīng)由UDPPort53進到內(nèi)部的DNS服務器，DNS服務器除了要處理正常封包外，還要處理這些垃圾封包，當每秒的封包數(shù)大到一定的量時，DNS服務器肯定無法處理了，此時正常的封包請求，也一定無法得到正常的回應，當查詢網(wǎng)站的IP無法被回應時，用戶當然連接不到網(wǎng)站看不見網(wǎng)頁，如果是查詢郵件服務器時，那郵件也無法被寄出，重要的資料也無法被順利的傳遞了，因此，維護DNS服務的正常運作就是一件非常重要的工作。
 

針對以上的問題AX有一個解決方式，就是DNS應用服務防火墻，AX在這問題有三個有力的方法，可以有效的緩解這些攻擊所造成的影響，
 

1、首先將非DNS協(xié)定的封包過濾（Malformed Query Filter）
 

2、再來將經(jīng)由DNS服務器查詢到的訊息做緩存（DNS Cache）
 

3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制（Connection Rate Limit）
 

Malformed Query Filter:
 

這種非正常的封包通常都是用來將對外網(wǎng)絡(luò)的頻寬給撐爆，當然也會造成DNS服務器的忙碌，所以AX在第一線就將這類的封包過濾，正確的封包傳遞到后方的服務器，不正常的封包自動過濾掉避免服務器的負擔。
 

DNS Cache:
 

當DNS查詢的回應回到AX時，AX可以預先設(shè)定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當下一個同樣的查詢來到AX時，AX就能從Cache中直接回應，不需要

再去DNS服務器查詢，一方面減輕了DNS服務器的負擔，另一方面也加快了回應的速度。
 

再者，當企業(yè)選用此功能時更能僅設(shè)定公司的Domain做Cache,而非關(guān)此Domain的查詢一律不Cache或者拒絕回應，這樣更能有效的保護企業(yè)的DNS服務器。
 

而ISP之類需提供大量查詢的服務，更適合使用此功能，為DNS服務提供更好更快的回應。
 

Connection RateLimit:
 

當查詢的流量大到一定的程度時，例如同一個Domain每秒超過1000個請求，此時在AX上可以啟動每秒的連線控制，控制進入到后端DNS服務器的查詢量，超過的部分直接丟

棄，更嚴格的保護DSN服務器的資源。
 

相信許多人期待在日新月異的網(wǎng)際網(wǎng)絡(luò)中看到創(chuàng)新的網(wǎng)絡(luò)技術(shù)，并能提供更好的網(wǎng)絡(luò)應用服務。而確保DNS服務的不間斷持續(xù)運作并讓DNS服務所提供的資訊是正確的，這也是一切網(wǎng)絡(luò)應用服務的基礎(chǔ)。