fetching,易遭受Spoofing的攻击。关闭gluefetching的功能,可避免DNS服务器送出任何的查询要求,所以也不会摄取所管区域以外的任何数据。当DNS服务器返回一个域的域名服务器纪录并且域名服务器纪录中没有A纪录,DNS服务器会尝试获取一个纪录。就称为gluefetching,攻击者可以利用它进行DNS欺骗。关闭gluefetching是一个好方法,修改配置文件:/etc/named.conf.加入一行:[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,mentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第三步:限制查询要求的服务对象如果无法关闭rescursion的功能,应该限制查询要求的服务对象限制询问要求的来源(IP地址)限制可以查询的区域范围DNS服务器应该拒绝来自以下网络的询问要求私有网络(除非你自己在使用)实验性网络群播网络
全文预览
