DNS服务器:使用防火墙时的利用方法

核心提示：1些机构想隐躲DNS名，不让外界知道。很多专家以为隐躲DNS名没有甚么价值，但是，假设站点或企业的政策强迫要求隐躲域名，它也不失为1种已知可行的办法。

1些机构想隐躲DNS名，不让外界知道。很多专家以为隐躲DNS名没有甚么价值，但是，假设站点或企业的政策强迫要求隐躲域名，它也不失为1种已知可行的办法。你可能必须隐躲域名的另1条理由是你的内部网络上是否是有非标准的寻址方案。不要掩耳盗铃的以为，假设隐躲了你的DNS名，在攻击者打进你的防火墙时，会给攻击者增加困难。有关你的网络的信息可以很轻易地从网络层取得。假设你有爱好证实这点的话，无妨在LAN上“ping”1下子网广播地址，然后再履行“arp -a”。还需要说明的是，隐躲DNS中的域名不能解决从邮件头、新闻文章等中“泄漏”主机名的题目。

这类方法是很多方法中的1个，它对希看向Internet隐瞒自己的主机名的机构很有用。这类办法的成功取决于这样1个事实：即1台机器上的DNS客户机没必要与在同1台机器上的DNS服务器对话。换句话说，正是由于在1台机器上有1个DNS服务器，因此，将这部机器的DNS客户机活动重定向到另1台机器上的DNS服务器没有任何不妥(并且常常有好处)。

首先，你在可以与外部世界通讯的桥头堡主机上建立DNS服务器。你建立这台服务器使它公布对你的域名具有访问的权利。事实上，这台服务器所了解的就是你想让外部世界所了解的：你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。

然后，在内部机器上建立1台DNS服务器。这台服务器也公布对你的域名具有权利;与公共服务器不同，这台服务器“讲的是真话”。它是你的“正常”的命名服务器，你可以在这台服务器中放进你所有的“正常”DNS名。你再设置这台服务器，使它可以将它不能解决的查询转发到公共服务器(例如，使用Unix机上的/etc/ named.boot中的“转发器”行——forwarder line)。

最后，设置你所有的DNS客户机(例如，Unix机上的/etc/resolv.conf文件)使用内部服务器，这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。

询问有关1台内部主机信息的内部客户机向内部服务器提出题目，并得到回答;询问有关1部外部主机信息的内部客户机向内部服务器查询，内部客户机再向公共服务器进行查询，公共服务器再向Internet查询，然后将得到的答案再1步1步传回来。公共服务器上的客户机也以相同的方式工作。但是，1台询问关于1台内部主机信息的外部客户机，只能从公共服务器上得到“限制性”的答案。

这类方式假定在这两台服务器之间有1个包过滤防火墙，这个防火墙答应服务器相互传递DNS，但除此之外，限制其它主机之间的DNS.

这类方式中的另1项有用的技能是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引发对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息，而非返回1个毛病。这就满足了像匿名FTP站点的要求。这类站点要求得到与它们通讯的计算机的名字。当与进行DNS交叉检查的站点通讯时，这类方法就不灵了。在交叉检查中，主机名要与它的地址匹配，地址也要与主机名匹配。

评论加载中... 内容： 评论者： 验证码：