中國IDC圈4月21日報道:一些機(jī)構(gòu)想隱藏DNS名�,不讓外界知道。許多專家認(rèn)為隱藏DNS名沒有什么價值���,但是��,如果站點(diǎn)或企業(yè)的政策強(qiáng)制要求隱藏域名��,它也不失為一種已知可行的辦法�。你可能必須隱藏域名的另一條理由是你的內(nèi)部網(wǎng)絡(luò)上是否有非標(biāo)準(zhǔn)的尋址方案。不要自欺欺人的認(rèn)為����,如果隱藏了你的DNS名,在攻擊者打入你的防火墻時��,會給攻擊者增加困難。有關(guān)你的網(wǎng)絡(luò)的信息可以很容易地從網(wǎng)絡(luò)層獲得����。假如你有興趣證實(shí)這點(diǎn)的話,不妨在LAN上“ping”一下子網(wǎng)廣播地址�����,然后再執(zhí)行“arp -a”���。還需要說明的是�����,隱藏DNS中的域名不能解決從郵件頭��、新聞文章等中“泄露”主機(jī)名的問題�����。
這種方法是許多方法中的一個�����,它對于希望向Internet隱瞞自己的主機(jī)名的機(jī)構(gòu)很有用。這種辦法的成功取決于這樣一個事實(shí):即一臺機(jī)器上的DNS客戶機(jī)不必與在同一臺機(jī)器上的DNS服務(wù)器對話。換句話說�,正是由于在一臺機(jī)器上有一個DNS服務(wù)器,因此�����,將這部機(jī)器的DNS客戶機(jī)活動重定向到另一臺機(jī)器上的DNS服務(wù)器沒有任何不妥(并且經(jīng)常有好處)���。
首先���,你在可以與外部世界通信的橋頭堡主機(jī)上建立DNS服務(wù)器。你建立這臺服務(wù)器使它宣布對你的域名具有訪問的權(quán)力�����。事實(shí)上�,這臺服務(wù)器所了解的就是你想讓外部世界所了解的:你網(wǎng)關(guān)的名稱和地址、你的通配符MX記錄等等�����。這臺服務(wù)器就是“公共”服務(wù)器�����。
然后,在內(nèi)部機(jī)器上建立一臺DNS服務(wù)器�����。這臺服務(wù)器也宣布對你的域名具有權(quán)力��;與公共服務(wù)器不同�����,這臺服務(wù)器“講的是真話”�。它是你的“正常”的命名服務(wù)器��,你可以在這臺服務(wù)器中放入你所有的“正���!盌NS名�。你再設(shè)置這臺服務(wù)器��,使它可以將它不能解決的查詢轉(zhuǎn)發(fā)到公共服務(wù)器(例如��,使用Unix機(jī)上的/etc/ named.boot中的“轉(zhuǎn)發(fā)器”行——forwarder line)�。
最后,設(shè)置你所有的DNS客戶機(jī)(例如�����,Unix機(jī)上的/etc/resolv.conf文件)使用內(nèi)部服務(wù)器���,這些DNS客戶機(jī)包括公共服務(wù)器所在機(jī)器上的DNS客戶機(jī)��。這是關(guān)鍵�。
詢問有關(guān)一臺內(nèi)部主機(jī)信息的內(nèi)部客戶機(jī)向內(nèi)部服務(wù)器提出問題�����,并得到回答����;詢問有關(guān)一部外部主機(jī)信息的內(nèi)部客戶機(jī)向內(nèi)部服務(wù)器查詢,內(nèi)部客戶機(jī)再向公共服務(wù)器進(jìn)行查詢�����,公共服務(wù)器再向Internet查詢�����,然后將得到的答案再一步一步傳回來�����。公共服務(wù)器上的客戶機(jī)也以相同的方式工作。但是����,一臺詢問關(guān)于一臺內(nèi)部主機(jī)信息的外部客戶機(jī),只能從公共服務(wù)器上得到“限制性”的答案�。
這種方式假定在這兩臺服務(wù)器之間有一個包過濾防火墻,這個防火墻允許服務(wù)器相互傳遞DNS��,但除此之外����,限制其它主機(jī)之間的DNS.
這種方式中的另一項(xiàng)有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR記錄。這將引起對任何非公共主機(jī)的“地址到名稱”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”這樣的信息�����,而非返回一個錯誤��。這就滿足了像ftp.uu.net匿名FTP站點(diǎn)的要求�。這類站點(diǎn)要求得到與它們通信的計(jì)算機(jī)的名字。當(dāng)與進(jìn)行DNS交叉檢查的站點(diǎn)通信時��,這種方法就不靈了����。在交叉檢查中�,主機(jī)名要與它的地址匹配�����,地址也要與主機(jī)名匹配����。 |
