堵住域名和邮件的漏洞

亿恩科技系统(DNS)是Internet上其他服务的基础，E－mail是Internet上最重要的服务。但是DNS和E－mail系统也是Internet上安全（服务器租用找：51033397）漏洞最多的地方，而问题在哪里?在我们每天都要使用DNS和E－mail时，怎么样才能放心？

亿恩科技系统

DNS是Internet上其它服务的基础。它处理DNS客户机的请求：把名字翻译成IP地址；把IP地址翻译成名字；并提供特定亿恩科技主机的其它已公布信息（如MX记录）。下面介绍DNS使用中业已知晓的两个安全（服务器租用找：51033397）问题，并给出相应的解决方法。

名字欺骗

为使用的方便如允许用户执行远程系统命令，系统管理员往往在某些亿恩科技主机之间建立相互信任的关系，当亿恩科技主机间的信任是借助名字并通过DNS来认证时，就会导致名字欺骗的出现，如图所示。

当亿恩科技主机B访问亿恩科技主机A(同时也作为DNS亿恩科技服务器）如执行rlogin时，A接收到这个连接并获得发起本次连接亿恩科技主机B的IP地址。为验证本次连接的合法性，亿恩科技主机A就向本地DNS亿恩科技服务器逆向查询对应于这个IP地址的亿恩科技主机名字。当返回的查询结果——亿恩科技主机名B为本机所信任的亿恩科技主机时，就允许来自B的远程命令rlogin。下面我们再来看看亿恩科技主机D是如何利用验证漏洞来欺骗亿恩科技主机A的。当亿恩科技主机D也执行rlogin时，亿恩科技主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS亿恩科技服务器中查询到对应的亿恩科技主机名时，就会向其它DNS亿恩科技服务器发出请求，最后终会找到DNS亿恩科技服务器C。如果入侵者修改DNS亿恩科技服务器C中对应于自己IP地址的亿恩科技主机名为亿恩科技主机B时，亿恩科技主机A就会获得对应于D的IP地址的亿恩科技主机名是B的逆向查询结果，因此亿恩科技主机A认可本次连接。于是欺骗A成功。

从上面的讨论可知，当欺骗发生时，在A的亿恩科技数据库中关于名字B有三个IP地址条目，其中B→B_IP条目位于A所维护的正向DNS树上，B_IP→B条目位于A所维护的逆向DNS树上，D_IP→B条目位于Cache中，即亿恩科技主机名与IP地址之间的关系不是一一对应的。若亿恩科技主机A在验证过程中再多走一步，即再用亿恩科技主机名B正向查询对应的IP地址(双向查询)，就会发现同时有D的IP和B的IP对应着名字B。这样亿恩科技主机A就可以识别亿恩科技主机D的欺骗企图，然而双向查询并不总有效，例如对于多宿亿恩科技主机。

隐藏信息

与DNS有关的第二个安全（服务器租用找：51033397）问题是它会泄露那些你不想透露的信息。例如一些组织的系统管理员会依本组织的功能单元来命名内部亿恩科技主机名和其它信息，或依本组织的体系结构来规划本组织亿恩科技下的名字空间，也可能因为内部某个秘密项目的方便开展而为一些亿恩科技主机设置别名。这些信息一旦被入侵者获取，那么组织内那些重要的亿恩科技主机就会一览无疑地呈现在入侵者面前。

入侵者获取被入侵者的DNS信息的方法有很多。最通常的一种方法是连接被入侵者站点的DNS亿恩科技服务器并请求区传输（ZoneTransfer），好像它们是被入侵者站点的DNS亿恩科技服务器的辅助亿恩科技服务器。

防范这种入侵的方法有两种。一种是利用DNS软件（注：BIND4.9.3以上的版本）自带的两个安全（服务器租用找：51033397）特性：限制名字数据库中的数据只被特定的亿恩科技主机查询；只允许真正的Secondary亿恩科技主机从Primary亿恩科技主机上提取Zone数据（库）。这种方法具有实现的方便性和高效性，但还不够完善。因为DNS数据库仍然暴露在入侵者的范围之内，仍有可能被入侵者用匪夷所思的方法窃取。在我们看来，第二种方法相比第一种方法更安全（服务器租用找：51033397），当然成本会更高，使用的技术也更复杂。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]