一些 DNS安全性(DNS security)相關實作方式

。DNS快取鎖定(DNS cache locking):

快取鎖定是 Windows Server 2016的一項安全功能, 可用於控制覆寫 DNS快取中的資訊, 當遞迴 DNS伺服器回應查詢時, 伺服器會暫存結果以便在收到另一個請求相同資訊的查詢時能夠快速回應, DNS伺服器在快取中保存資訊的時間由資源記錄的 TTL值決定, 如果收到有關該資源記錄的更新資訊則可以在 TTL 到期之前覆寫快取中的資訊, 如果惡意的使用者成功覆寫快取中的資訊則可能能將你重新導向到惡意站點, 如果使用快取鎖定, DNS伺服器會在 TTL值的持續時間內禁止快取記錄被覆寫w-studio.idv.tw

快取鎖定的設定為百分比值, 如果快取鎖定值設定為 50, 則 DNS伺服器在 TTL 持續時間的一半內不會覆寫快取, 預設快取鎖定百分比值為 100, 這表示快取在 TTL 的整個持續時間內不會被覆寫w-studio.idv.tw

使用指令: dnscmd /Config /CacheLockingPercent [percent]w-studio.idv.tw

Powershell: Set-DnsServerCache –LockingPercent [value]

w-studio.idv.tw

。DNS通訊端集區(DNS socket pool):w-studio.idv.tw

此功能在 Windows Server 2012 預設已啟用, 當 DNS服務啟動時, 伺服器從可用於發出查詢的通訊端集區中選擇一個來源埠, DNS伺服器不使用可預測的來源埠而是使用從 DNS通訊端集區中選擇的隨機埠號, 因為惡意的使用者必須猜測正確的 DNS查詢的來源埠和亂數交易 ID 才能成功攻擊, 所以讓快取篡改攻擊更加困難

DNS通訊端集區預設值為2500, 設定值可從 0 至 10000, 此值越大對於 DNS欺騙攻擊的保護就越大w-studio.idv.tw

使用指令: dnscmd /Config /SocketPoolSize [value]

w-studio.idv.tw

。DANE:

DANE (DNS-Based Authentication of Named Entities,基於 DNS的命名實體身份驗證)是 Windows Server 2016 DNS伺服器角色中的一項新功能, DANE支援在 IETF(Internet Engineering Task Force,網際網路工程任務組) RFC(Request for Comments) 6394 和 6698 中指定, DANE允許使用 TLSA(Transport Layer Security Authentication,傳輸層安全認證)記錄向 DNS用戶端提供資訊, 說明用戶端應該從哪個憑證機構(CA)獲得你的網域名稱憑證, 如此可防止有人可能會破壞 DNS快取來以指向到他們的網站且提供他們從不同 CA頒發的憑證

w-studio.idv.tw

例如某公司使用知名憑證機構 CA-aaa 託管 www.abc.com 的 HTTPS 的安全網站, 有人可能能從不明的 CA 機構 CA-bbb 獲得假的 www.abc.com 憑證, 此時託管假 www.abc.com 網站的實體可能能破壞用戶端或伺服器的 DNS快取, 將 www.abc.com 指向其假網站, 最後用戶會收到來自 CA-bbb 的假憑證並且可能會在不知不覺中承認它並連接到假網站

w-studio.idv.tw

使用 DANE 的話, 用戶端向 abc.com 的 DNS伺服器發出請求 TLSA 記錄, 並發現 www.abc.com 的憑證是由 CA-aaa 頒發的, 如果來自另一個 CA 的憑證則連線將停止

。DNSSEC:

DNSSEC(Domain Name System Security Extensions,網域名稱系統安全擴展)允許對 DNS區域和區域中的所有記錄進行加密簽署, 以便用戶端電腦可以驗證 DNS回應, DNS經常受欺騙和快取篡改攻擊, DNSSEC有助於抵禦這些威脅並提供更安全的 DNS基礎架構

w-studio.idv.tw

可以設定任何整合 Active Directory的區域以進行安全動態更新, 然後使用 ACL 確定哪些用戶和群組有權修改區域和區域中的記錄

。RRL:

RRL(Response Rate Limiting)作用是增強 DNS協定, 可以幫助緩和 DNS擴大攻擊, 放大攻擊是一種分散式阻斷服務攻擊(DDoS), 攻擊者使用可公開存取的開放 DNS伺服器向目標系統發送 DNS回應流量, 主要方法涉及攻擊者向開放的 DNS伺服器發送 DNS名稱查詢請求, 並將來源位址偽裝成目標位址, 當 DNS伺服器發送 DNS記錄回應時, 它會被發送到目標替換, 這可以在 DNS伺服器上啟用 RRL 來避免這種攻擊, RRL持續監控用戶端 DNS查詢, 如果在短時間內大量查詢來自單一來源且要求類似名稱, RRL會將它們標記為潛在惡意行為, RRL可以簡單地忽略查詢或截斷回覆它們, 這會迫使用戶端協商 TCP三向握手以進行確認w-studio.idv.tw

。未知記錄支援(Unknown Record Support):

可以使用未知記錄功能將 Windows DNS伺服器未明確支援的記錄加入到 Windows Server 2016 DNS角色中, 此支援遵循 IETF RFC 3597 指南, 這表示可以將不受支援的記錄類型以二進位格式加入到 Windows DNS伺服器區域, Windows Server 2016 DNS伺服器不會對未知記錄做任何記錄指定(record-specific)處理, 但如果收到該記錄的查詢則會在回應中傳回解析