最近看了一些DNS安全的文件也跟大家分享一下吧~~^^ 安全性設定： (1)安全性設定 -- Zone Transfer 限制 DNS架構下常需透過更新Zone File動作更新Master及Slave間Zone File的資料，在信任網域下，將Zone File資料列出是OK的，若是能由外界進行查找您的Zone資料時將為演變為具有危險的行為，想想若有人知道您Zone File得設定都摸的一清二楚，感覺相當恐怖的，因此限制您的 Zone transfer 將相行重要。 Zone Transfer檢測方式(以 Nslookup 為例 ) # nslookup //進入nslookup交談模式 Default Server: localhost.weithenn.idv.tw Address: 127.0.0.1 > server weithenn.idv.tw //指定以weithenn.idv.tw為NS做查詢 Default Server: weithenn.idv.tw Address: 61.30.44.6 > ls -d weitenn.idv.tw //有做限制無法查尋Zone File [weithenn.idv.tw] *** Can't list domain weitenn.idv.tw: Unspecified error 備註：若您是在DNS 伺服器所管轄的區域內，此動作是正常的；反之，若能由外部進行查尋相信您心裡已經開始毛毛的了~~^^ 改善方法： 更改您的named.conf在正解檔案填入您Slave DNS的IP，代表只有這個IP能Zone Transfer您的Zone File zone "weithenn.idv.tw" { type master; file "named.weithenn.idv.twfor"; allow-transfer { 61.60.59.58; }; }; (2)安全性設定--如何隱藏 BIND DNS 版本 為何要隱藏您的BIND DNS版本呢？原因在於有心人士可以透過先瞭解您BIND版本來尋找相關漏洞攻擊程式，讓您DNS伺服器無法運作，因此在ISC BIND下可以透過設定來隱藏BIND系統版本 。 測試BIND DNS版本： #dig -t txt -c chaos VERSION.BIND @DNS_Server(DNS_Server就是您要測那一台的domain name或是IP也可以) 可看到一行VERSION.BIND. 0S CHAOS TXT "8.3.7-REL"，可知您的BIND 版本為8.3.7-REL 改善方法： 修改您的named.conf在Options內加入version那一行，至於要填入假版本還是其他文字，隨便您了，當然改完要記得重新啟動DNS哦。 options { ... version "隨意填入"; }; 參考來源： http://dns-security.twnic.net.tw/faq/ZoneTransfer-040306/DNSSET-ZoneTransfer.htm DNS安全資源網站-- Zone Transfer 限制 http://dns-security.twnic.net.tw/faq/hiddenver.htm DNS安全資源網站--如何隱藏 BIND DNS 版本 [ 技術專欄 ] 不斷精進一直是我追求的目標，有空也來指導一下小弟的網站吧!!http://www.weithenn.idv.tw

------
不斷精進一直是我追求的目標，有空也來指導一下小弟的網站吧!! http://www.weithenn.idv.tw