密级：
文档编号：
项目代号：
中国移动DNS服务器
安全配置手册
Version1.0
中国移动通信有限公司
二零零四年十一月
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系创建、修改、读取
负责编制、修改、审核批准
负责本文档的批准程序标准化审核
作为本项目的标准化负责人，负责对本文档进行标准化审核读取读取
1常见的DNS攻击 6
1.1区域传输 6
1.2版本发现 6
1.3DoS攻击 6
1.4缓存破坏(cachepoisoning) 7
1.5缓冲区溢出 7
1.6其他攻击技术 7
2现有的DNS攻击防范措施 8
2.1限制区域传输 8
2.2限制版本欺骗 8
2.3减轻DoS所造成的损失 8
2.4防御缓存破坏 8
2.5防御缓冲区溢出 9
2.6应用Bogon过滤 9
2.7SplitDNS 9
2.8用路由器和防火墙做DNS的安全防护 9
3BIND安全配置 10
3.1配置环境： 10
3.2启动安全选项 10
3.3配置文件中的安全选项 10
3.3.1安全日志文件 11
3.3.2隐藏版本信息 11
3.3.3禁止DNS域名递归查询 11
3.3.4增加出站查询请求的ID值的随机性 12
3.3.5限制对DNS服务器进行域名查询的主机 12
3.3.6限制对DNS服务器进行域名递归查询的主机 12
3.3.7指定允许哪些主机向本DNS服务器提交动态DNS更新 12
3.3.8限制对DNS服务器进行区域记录传输的主机 13
3.3.9指定不接受哪些服务器的区域记录传输请求 13
3.3.10一些资源限制选项 13
3.3.11定义ACL地址名 14
3.3.12控制管理接口 14
3.4通过TSIG对区域记录传输进行认证和校验 15
3.4.1用TSIG签名来进行安全的DNS数据库手工更新 15
3.4.2对区域记录传输（自动或手工）进行TSIG签名 16
3.5实现BIND的chroot 17
3.5.1chroot虚拟根环境 17
3.5.2操作方法 18
4Windows2000DNS安全配置(MSDNS) 21
4.1开启日志功能 22
4.2定期更新根服务器信息 23
4.3禁止区域文件动态更新 24
4.4禁止区域传输 25
4.5其它设置 26