2 P) _; j: v2 @ ~, s; y+ i7 \3 w( ^
1.在不同的网络上运行分离的域名服务器来取得冗余性。 3 m) s' D, w( D ( E3 F8 d0 O3 ^# M6 N- i6 I, z! }1 k4 y$ }; n5 N( v/ k6 J
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。 . a5 u+ p I/ p) f ?+ [$ m0 d$ j/ e6 x0 u3 _" l
, w0 J) Z- R( x4 D
3. 可能时,限制动态DNS更新。 ' X2 J/ E( N# M; R1 o / c3 ^' O/ @! w3 q/ \+ R, R- G& Z) M' V, A; H, G3 K2 N7 @
4. 将区域传送仅限制在授权的设备上。 / O9 D5 j, D7 n1 Z- [; c1 U8 X: y8 R' m6 b( a/ s- S- c
1 N' x4 c, M2 c1 o$ {* R
5. 利用事务签名对区域传送和区域更新进行数字签名。 ( s; V4 y( _5 v3 B& \: x; A# L1 E P. t, B1 q5 Q" X' F, e
: B1 f& A( ~) m$ b3 |* Q2 g
6. 隐藏运行在服务器上的BIND版本。: j( b. |' W2 W3 j4 E, ~
' h5 q% E& n; V6 A) |4 E 2 F% U/ c9 m; C/ V3 @" u 7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。 h1 A! L) I0 h5 E% Z8 X/ A% J ) W9 K1 j8 d" Q% ~. I8 P ; W9 T4 O* @! @ 8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。 5 m8 ?+ Z( O% q* ]6 A* F & o/ v) j, n( J* k2 ?! S$ k; s0 f; {4 O: D 让注册商承担责任1 x% ?( A, |; U3 q q, a6 h
% Y2 D, n/ L# o" z1 {! Q$ s 域名劫持的问题从组织上着手解决也是重要的一环。不久前,有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那么容易就欺骗了其域名注册商的客户服务代表,这的确令人恼火。 ; c' s# @2 y1 p2 b3 W8 R V, I% ^/ k y) S3 `+ i. B