DNS(Domain Name System)即域名系統(tǒng)是歷史悠久的方法，它可以為具有IP地址的計(jì)算機(jī)分配域名，使計(jì)算機(jī)擁有字符型名稱，如如IP地址為207.46.193.254的計(jì)算機(jī)即微軟服務(wù)器www.microsoft.com。DNS采用了設(shè)計(jì)精良，多數(shù)時(shí)間運(yùn)行都相當(dāng)出色。然而，總有一些不如人意的情況，它會(huì)罷工，讓管理員們頭痛不已。那么如何查找其故障的蛛絲馬跡?請(qǐng)看下問介紹。

　　有沒有一些規(guī)律性的東西可以遵循?答案是肯定的，我們這兒給出DNS服務(wù)器的七大障礙，供您參考：

　　1.使用老版本的BIND。

　　Bind作為一款開放源碼的DNS服務(wù)器軟件,是目前世界上使用最為廣泛的DNS服務(wù)器軟件。幾乎多數(shù)BIND 的老版本都存在著嚴(yán)重的、眾所周知的漏洞。攻擊者可以利用這些漏洞將我們的DNS域名服務(wù)器搞毀，并可以借此侵入運(yùn)行它們的主機(jī)。因此應(yīng)確保使用最新的BIND，并及時(shí)打補(bǔ)丁。

　　2.將所有重要的域名服務(wù)器放置到同一個(gè)子網(wǎng)中。

　　在這種情況下，一個(gè)設(shè)備的故障，如一臺(tái)交換機(jī)或路由器，或一個(gè)網(wǎng)絡(luò)連接的故障就會(huì)使互聯(lián)網(wǎng)上的用戶無法訪問你的網(wǎng)站或向你發(fā)送電子郵件。

　　3.允許對(duì)未授權(quán)查詢者的遞歸。

　　如果設(shè)置為下面這種情況：

　　(recursion yes|no; [yes]

　　allow-recursion { address_match_list }; [all hosts]

　　則是不安全的。在這里，recursion選項(xiàng)指定named是否代替客戶機(jī)查詢其他域名服務(wù)器。通常不把域名服務(wù)器設(shè)置成關(guān)閉遞歸。至少我們應(yīng)該對(duì)自身的客戶機(jī)允許遞歸，但對(duì)外來查詢禁止遞歸。因?yàn)槿绻�可以為任意一個(gè)客戶端處理遞歸查詢，將會(huì)將域名服務(wù)器暴露給緩存投毒(Cache poisoning)和拒絕服務(wù)攻擊。

　　4.允許那些未獲得授權(quán)的輔助域名服務(wù)器進(jìn)行區(qū)域傳送。

　　區(qū)域傳送(Zone Transfer)是指在多個(gè)DNS服務(wù)器之間復(fù)制區(qū)域數(shù)據(jù)庫文件的過程。如果為任意的查詢者提供區(qū)域傳送服務(wù)，就會(huì)把域名服務(wù)器暴露給攻擊者，導(dǎo)致服務(wù)器癱瘓。

　　5.沒有采用DNS轉(zhuǎn)發(fā)器。

　　DNS轉(zhuǎn)發(fā)器是代表其他DNS服務(wù)執(zhí)行DNS查詢的服務(wù)器。許多域名服務(wù)器軟件，包括微軟的DNS Servers和一些更老的BIND域名服務(wù)器，并沒有充分地保護(hù)自身以抵御緩存投毒，其它的DNS服務(wù)器軟件也都存在著可被惡意響應(yīng)利用的漏洞。但是許多管理員卻允許這些域名服務(wù)器直接查詢互聯(lián)網(wǎng)上的其它域名服務(wù)器，根本不使用轉(zhuǎn)發(fā)器。

　　6.錯(cuò)誤地設(shè)置授權(quán)開始(Start of Authority ：SOA)值。

　　SOA 標(biāo)記區(qū)數(shù)據(jù)的開始,定義影響整個(gè)區(qū)的參數(shù)。許多管理員將區(qū)的值設(shè)得太低了，在刷新查詢或區(qū)域傳送開始失效時(shí)，這會(huì)導(dǎo)致系統(tǒng)運(yùn)轉(zhuǎn)的中斷。自從RFC重新定義了SOA之后，還有一些人重置了逆向緩存(negative caching)TTL，結(jié)果又導(dǎo)致其值太高。

　　7.授權(quán)與區(qū)域數(shù)據(jù)中的不匹配的NS記錄。

　　有一些管理員添加或刪除了首要的域名服務(wù)器，卻忘了對(duì)其區(qū)域的委托授權(quán)數(shù)據(jù)(即所謂的delegation data)作相應(yīng)的改變。這樣就會(huì)延長(zhǎng)其解析域名時(shí)間，并會(huì)減少彈性。

　　當(dāng)然，這些僅是管理員可能犯的一些一般性錯(cuò)誤，不過卻可以作為你配置DNS服務(wù)器的基本參考。