从安全角度分析-应用层协议-DNS详解(二)

最新推荐文章于 2026-06-15 22:25:41 发布
原创 最新推荐文章于 2026-06-15 22:25:41 发布 · 453 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #服务器

# 前言

搭建自己的DNS服务器可以让你完全控制域名解析,提高隐私性或为内部网络提供服务。

DNS服务器软件:常见的选择:

  • BIND (Berkeley Internet Name Domain) - 最广泛使用的开源DNS软件

  • PowerDNS - 功能丰富的替代方案

  • Unbound - 更轻量级的递归解析器

  • dnsmasq - 适合小型网络和本地缓存

# 搭建个人私有DNS服务器

这里以centos2003.7.8版本为例子

# 安装DNS服务器软件(BIND为例子)
sudo yum install bind bind-utils

# 配置BIND服务器
# 主配置文件 (/etc/bind/named.conf 或 /etc/named.conf)

options {
    directory "/var/cache/bind";
    recursion yes;                 # 允许递归查询
    allow-query { any; };           # 允许哪些客户端查询
    forwarders {
        8.8.8.8;
        8.8.4.4;
    };                              # 上游DNS服务器
};

# 区域文件配置
zone "example.com" {
    type master;
    file "/etc/bind/db.example.com";
};

# 创建区域文件 (/etc/bind/db.example.com):
$TTL    86400
@       IN      SOA     ns1.example.com. admin.example.com. (
                  2023071901     ; Serial
                  3600           ; Refresh
                  1800           ; Retry
                  604800         ; Expire
                  86400 )        ; Minimum TTL

        IN      NS      ns1.example.com.
        IN      NS      ns2.example.com.
        IN      A       192.168.1.100
ns1     IN      A       192.168.1.100
ns2     IN      A       192.168.1.101
www     IN      A       192.168.1.150
mail    IN      A       192.168.1.200
        IN      MX 10   mail.example.com.

# 检查配置启动服务
# 检查配置文件语法
sudo named-checkconf
sudo named-checkzone example.com /etc/bind/db.example.com

# 启动服务
sudo systemctl start named   # 或 bind9
sudo systemctl enable named  # 设置开机启动


# 防火墙配置
# 允许DNS流量 (UDP/TCP 53)
sudo ufw allow 53/tcp
sudo ufw allow 53/udp

# 测试DNS服务器(your-server-ip)
# 使用dig或nslookup测试
dig @your-server-ip example.com
nslookup example.com your-server-ip

高级配置选项

  1. 设置反向DNS区域 - 用于IP到域名的解析

  2. 配置从服务器 - 实现DNS冗余(对于生产环境,建议至少设置两个DNS服务器以实现冗)

  3. 设置DNSSEC - 增加DNS安全性

  4. 配置日志 - 用于监控和故障排除(置监控以跟踪服务器性能 )

用于公共DNS服务,确保服务器有足够的资源处理查询。

#   搭建公共DNS服务器

公共DNS服务器比搭建私有DNS要求更高,需要考虑性能、安全性和可靠性。

硬件要求

  • 服务器配置:至少4核CPU,8GB内存,SSD存储

  • 带宽要求:建议100Mbps以上带宽(每1000QPS约需1Mbps)

  • 服务器位置:选择网络条件好的机房,建议多地域部署

网络要求

  • 固定公网IP地址(至少2个不同子网)

  • 确保UDP/TCP 53端口开放

软件选择

推荐使用 BIND 或 PowerDNS(本文以BIND 9为例)

安装与基础配置

# 安装与基础配置
sudo apt update
sudo apt install bind9 bind9utils bind9-doc -y

# 主配置文件 (/etc/bind/named.conf.options)
options {
    directory "/var/cache/bind";
    
    // 基本设置
    listen-on { any; };
    listen-on-v6 { any; };
    allow-query { any; };  // 允许公共查询
    
    // 性能优化
    recursive-clients 10000;  // 递归客户端数量
    max-cache-size 512m;      // 缓存大小
    
    // 安全设置
    allow-recursion { any; };
    allow-transfer { none; };  // 禁止区域传输
    
    // 上游服务器
    forwarders {
        8.8.8.8;
        1.1.1.1;
    };
    
    // DNSSEC配置
    dnssec-validation auto;
    dnssec-enable yes;
    
    // 防止DNS放大攻击
    rate-limit {
        responses-per-second 10;
        window 5;
    };
};

高级配置

# 配置置根区域提示文件
sudo cp /etc/bind/db.root /var/cache/bind/root.hints

# 日志配置 (/etc/bind/named.conf.logging)
logging {
    channel query_log {
        file "/var/log/named/query.log" versions 3 size 20m;
        severity debug 3;
        print-time yes;
    };
    
    channel security_log {
        file "/var/log/named/security.log" versions 3 size 20m;
        severity info;
        print-time yes;
    };
    
    category queries { query_log; };
    category security { security_log; };
};

# 创建日志目录

sudo mkdir /var/log/named
sudo chown bind:bind /var/log/named

性能优化

# 1、调整内核参数 (/etc/sysctl.conf)
# 增加UDP缓冲区
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.udp_mem = 4096 87380 16777216

# 快速回收TIME-WAIT sockets
net.ipv4.tcp_tw_reuse = 1

# 应用设置:
sudo sysctl -p

# 2、BIND性能调优
options {
    // 增加线程数
    minimal-responses no;
    max-ncache-ttl 3600;
    max-cache-ttl 86400;
    
    // 使用多线程
    coresize default;
    datasize default;
    stacksize default;
    
    // 缓存优化
    max-cache-size 1024m;
    cleaning-interval 60;
};

安全加固

 # 配置chroot环境
sudo apt install bind9-chroot
sudo systemctl restart bind9

# 启用DNSSEC
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;

# 防止滥用配置
// 限制递归查询
allow-recursion { 
    trusted-acls; 
};

// 防止缓存投毒
avoid-v4-udp-ports { range 32768 60999; };
avoid-v6-udp-ports { range 32768 60999; };

# 部署架构建议

                   [负载均衡器]
                  /      |     \
           [DNS主]   [DNS备1]   [DNS备2] (不同机房)

全球部署建议:
至少3台服务器在不同地理位置
使用Anycast路由提高响应速度

 监控与维护

# 监控与维护
sudo apt install dnstop dnsutils

# 常用监控命令
# 实时监控DNS查询
sudo dnstop -l 5 eth0

# 查看DNS统计
sudo rndc stats

# 日志分析
# 设置日志轮转 (/etc/logrotate.d/named):

/var/log/named/*.log {
    daily
    missingok
    rotate 7
    compress
    delaycompress
    notifempty
    create 640 bind bind
    sharedscripts
    postrotate
        /usr/sbin/rndc reconfig > /dev/null 2>&1 || true
    endscript
}

测试与验证


1. 基本功能测试
dig @your-dns-ip example.com
dig +dnssec @your-dns-ip example.com

2. 性能测试
# 使用dnsperf进行压力测试
sudo apt install dnsperf
echo "example.com A" > queryfile
dnsperf -s your-dns-ip -d queryfile -c 100 -l 30

3. 安全测试
# 使用DNS测试工具
sudo apt install dnsdiag
dnseval -t A -f queryfile @your-dns-ip

上线后维护

定期更新:保持BIND版本最新

sudo apt update && sudo apt upgrade bind9


监控指标:
QPS(每秒查询量)
响应时间
错误率
缓存命中率


备份策略:
# 备份配置和区域文件
sudo tar czvf dns-backup-$(date +%F).tar.gz /etc/bind /var/cache/bind

搭建公共DNS服务器是一个持续优化的过程,需要根据实际流量和性能表现不断调整配置。建议初期从小规模开始。

Linux 中的 DNS 工作原理():各级 DNS 缓存
2501_93209230的博客
10-23 809
尽管 UDP 是无连接协议,但内核会跟踪属于同一请求-响应块的数据包的状态(例如,从 [src_ip:src_port] 到 [8.8.8.8:53] 的请求,以及从 [8.8.8.8:53] 到 [src_ip:src_port] 的预期响应),并临时存储此信息(默认情况下,大约 30 秒)。它没有 DNS 缓存,每次调用都会发出新的 DNS 请求。使用 DNS 缓存的关键原则主要在于了解 DNS 在系统中的缓存位置、规划 DNS 记录更改、能够诊断清除不同级别的缓存,以及根据数据的性质调整 TTL。
开源内网DNS服务器软件介绍
Enweitech Software Works
11-28 2万+
  一般内网dns解析个人推荐使用: 1、skydns(特别是k8s+docker等云集群服务) SkyDNS是kubernetes用于服务发现的默认的开源DNS服务,其开源在github。使用etcd作为数据存储。由于其在配置DNS信息时,几乎可以实时生效,所以SkyDNS比较适用于服务的动态注册。 基于Kubernetes集群部署skyDNS服务 -  https://www.cn...
开源dns软件PowerDNS BIND9 mydns
sun007700的专栏
07-20 2157
dns
DNS 协议详解(适合收藏学习)
白话机器学习
08-24 2万+
与 HTTP、FTP SMTP 一样,DNS 协议也是一种应用层协议DNS 使用客户-服务器模式运行在通信的端系统之间,在通信的端系统之间通过 UDP 运输层协议来传送 DNS 报文。DNS 通常不是一门独立的协议,它通常为其他应用层协议所使用,这些协议包括 HTTP、SMTP FTP,将用户提供的主机名解析为 IP 地址。下面根据一个示例来描述一下 DNS 解析过程:你在浏览器键入 www.someschool.edu/index.html 时会发生什么?
安全角度分析-应用层协议-DNS详解(一)
shdkfbbv的博客
07-20 701
指客户端向DNS服务器发出请求,目的是将域名(如 www.baidu.com) 解析为192.168.2.1。:网络中所有DNS查询响应产生的数据包集合,包括请求、响应、重定向等通信内容。- 查询数据包- 响应数据包- 错误报文- 小包高频率(通常小于512字节)- 突发性(用户访问网站时集中)- 请求频率- 异常域名(恶意软件C2服务器- 响应时间异常- 检测DDoS攻击(DNS放大攻击)- 识别数据外泄漏(DNS隧道流量):对于涉及提到内容进行补充说明。
DNS协议详解
热门推荐
jin's blog
01-05 3万+
1、 什么是DNS协议?<1>DNS协议就是用来将域名解析到IP地址的一种协议,当然,也可以将IP地址转换为域名的一种协议。 <2>DNS协议基于UDPTCP协议的,端口号53,用户到服务器采用UDP,DNS服务器通信采用TCP <3>大型运营商、互联网机构等会向公众提供免费的DNS服务,例如,谷歌的8.8.8.8 8.8.4.4 阿里巴巴223.5.5.5 223.6.6.6 <4>
DNS进行网络度量安全分析
360技术
12-21 1万+
背景今天为大家推荐由360网络安全研究院-安全分析资深专家分享的议题《用DNS进行网络度量安全分析》,本课题简要阐述了DNS协议的历史发展现状,在此基础上,结合360网络安全研究院的...
精准盯防危房隐患,智守人居安全|MTB46-4-2A 4G数据采集终端专项应用方案
mantoo2014的博客
06-10 389
【摘要】MTB46-4-2A4G数据采集终端为城乡危房监测提供智能化解决方案,突破传统人工排查效率低、盲区大的局限。该设备具备四大核心优势:①高精度秒级采集,可检测墙体微裂缝、地基沉降等隐患;②宽温区(-25℃~85℃)适应复杂环境,支持无线4G传输免布线;③边缘计算+本地缓存确保数据连续性,远程运维降低人力成本;④兼容多类传感器,构建危房结构形变、倾斜、沉降的全天候监测体系。通过实时数据预警与科学分析,实现从"事后排查"到"事前预警"的管控模式转变,为危房安全评估
#Linux监控与安全Day01:Zabbix部署全流程,基础监控操作配置与自定义监控项
weixin_46136019的博客
06-10 262
在企业级运维中,监控系统是保障业务稳定运行的核心,Zabbix 作为一款高度集成的开源分布式监控解决方案,凭借其强大的数据采集、告警可视化能力,成为了运维工程师的必备工具。监控本身无法解决问题,监控系统的核心目的在于主动发现问题报告系统运行状况:同时全面监控系统的每一个组件,包括吞吐量、响应时间、资源使用率等关键指标提前发现潜在问题:在故障发生前识别性能瓶颈,为系统优化提供数据支撑,避免业务中断Zabbix 内置的监控项无法满足所有业务需求,我们可以通过自定义监控项来监控任何我们关心的指标。
重塑数字安全防线:深度解析P2DR安全模型的实战价值
聚焦网络信息安全,拆解网信原理与技术
06-11 530
P2DR模型构建动态闭环的安全防护体系,以策略(Policy)为引领,防护(Protection)为基础,检测(Detection)为洞察,响应(Response)为保障。该模型突破传统边界防御局限,通过策略驱动实现纵深防御、智能威胁检测快速响应处置。在数字化浪潮下,P2DR不仅是技术框架,更是安全运营方法论,能有效应对APT攻击、勒索软件等高级威胁。随着与AI、云原生技术的深度融合,P2DR将持续进化,为企业构建弹性、智能的安全防线,让安全从成本中心转变为业务创新的核心竞争力。
第六板块:Android 安全与权限体系 | 第十九篇:SELinux 强制访问控制与沙箱机制
9年Android老兵,专注车载系统与移动架构。深耕Java/Kotlin,玩转Lua/Python。擅长百度/高德地图深度定制,分享拒绝浅尝辄止的硬核干货。
06-10 615
这是 Android 系统安全的最后一道防线。如果说 Linux 的 DAC(自主访问控制)是小区门禁,那么 SELinux(Security-Enhanced Linux) 就是每家每户的防盗门。本篇将彻底拆解 LSM(Linux Security Modules)框架、SELinux 的策略语言(Policy Language)、安全上下文(Security Context)、访问向量缓存(AVC)、Android 的 enforcing 模式与 neverallow 规则。
Rust Unsafe 安全规范:从避免未定义行为到构建安全抽象的工程实践
2301_81410839的博客
06-15 191
Rust 的 Unsafe 规范要求程序员手动维护不变量(Invariant)。违反任何一条就会触发 UB,编译器可能随意优化——比如删除"不可能执行"的代码路径。A[Unsafe 代码必须保证的不变量] --> B[引用有效性: 指向已初始化的合法内存]A --> C[别名规则: 不能有 &mut & 指向同一数据]A --> D[对齐要求: 指针解引用满足类型对齐]A --> E[数据竞争: 无并发非同步写操作]A --> F[有效值: 类型位模式合法]
如何安全地将SAP归档数据迁移到云端
SNP公司——中国数据转型公司
06-12 297
本文探讨了企业将SAP系统迁移至云端时面临的归档数据迁移挑战,并介绍了SNP Outboard ERP Archiving解决方案。该方案通过高效的数据压缩归档、多云环境兼容性及严格的数据安全保障,确保历史数据在迁移过程中的完整性可访问性。文章特别强调了云存储环境下的安全通信机制,并通过食品配送行业的案例展示了该方案在应对海量数据存储需求时的实际效果。解决方案不仅能降低存储成本、实现快速检索,还能随业务需求弹性扩展,为企业SAP云迁移提供了完整的归档数据管理策略。
MCP协议安全深度解析:从工具投毒到跨服务器编排注入的攻防实战
我的博客
06-10 1124
核心威胁:随着 MCP(Model Context Protocol)在 2025-2026 年成为 AI Agent 工具调用的事实标准,其安全攻击面正在以指数级速度扩张。从 NSA 于 2026 年 5 月发布专项安全指南,到学术界发现 MCP 生态中 43% 的实现存在命令注入漏洞,MCP 安全已经从一个边缘话题迅速升级为企业 AI 基础设施的核心风险。攻击者可以通过工具投毒、编排注入、会话劫持、供应链污染等多种向量,在用户毫无感知的情况下窃取数据、执行命令、甚至获得持久化主机控制权。适配人群。
重塑安全防线:PDR2A模型构建数字时代的动态防御体系
聚焦网络信息安全,拆解网信原理与技术
06-13 693
PDR2A模型构建防护筑基、检测明察、响应迅捷、评估精准、适应进化的动态闭环安全体系。该模型突破传统静态防御局限,通过量化评估驱动持续优化,实现安全能力的自我进化。在攻击者平均驻留时间仅3.8天的今天,PDR2A不仅关注威胁拦截,更强调体系韧性,将安全从成本中心转变为业务创新的核心竞争力,为企业数字化转型提供坚实保障。
AI 安全纵深防御体系架构:从威胁建模到安全自动化的全栈防护设计
最新发布
我的博客
06-15 316
核心痛点:AI 系统面临的安全威胁已经从单一的攻击向量(如 Prompt 注入)演变为覆盖模型供应链、推理服务、Agent 工具调用、数据管道的全方位攻击面。然而,绝大多数企业的 AI 安全建设仍停留在"打补丁"阶段 —— 部署一个防火墙、加一层内容过滤、做一次红队测试,缺乏系统性的纵深防御架构设计。如何从架构层面构建一套可落地、可扩展、可度量的 AI 安全纵深防御体系。适配人群。
老旧风电场箱变智能化改造实战:王渠则项目安全升级方案
凯源智能
06-15 462
西安凯源智能电气KT3000箱变测控装置及组网加密配套设备KT3000S箱变监控系统 华电陕西新能源公司王渠则风电场99MW箱变测控接入集控改造项目 王渠则风电场装机容量99MW,于2013年投产,项目位于陕西省榆林市靖边县王渠则镇,风电场共计58台风机。王渠则风电场场58台箱变未配置箱变测控装置,箱变处于无保护运行状态,箱变的运行数据也无法在中控室集中监控,不能及时发现故障的前期信号,容易造成电力生产安全隐患。此次将王渠则风电场58台箱变增加箱变测控装置及后台系统,以满足安全生产集中监控的需求。。
Anthropic新发模型Claude Fable 5快速被越狱
FreeBuf_的博客
06-12 373
Anthropic 于 2026 年 6 月 9 日发布了 Claude Fable 5,作为其新 Mythos 系列中首个公开可用的模型,也是该公司迄今为止最强大的人工智能,在软件工程、知识工作视觉基准测试方面表现出色。
SimpleDateFormat为什么线程不安全?源码级解析与解决方案
weixin_52318532的博客
06-11 317
SimpleDateFormat线程不安全原因及解决方案 SimpleDateFormat线程不安全的核心原因是其内部共享Calendar对象。多线程环境下,format()parse()方法会修改同一个Calendar实例,导致数据竞争时间错乱问题。 具体表现: format()方法会修改Calendar状态 parse()方法会清空并重置Calendar 多线程同时操作导致日期错乱或解析异常 解决方案: 每次创建新实例(简单但性能差) 使用ThreadLocal为每个线程维护独立实例(推荐) JDK
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值