Exchange MVP Blog

    摘要：所谓DNS服务器反向查询，就是输入IP地址，可以查出域名。某些 DNS 服务器支持的反向查询（iquery）功能可使攻击者获得区域传输。识别出注册到您的 DNS 服务器的每台计算机，并且可能被攻击者用来更好的了解您的网络。甚至当您在 DNS 服务器上禁用了区域传输时，iquery 功能仍旧可以允许区域传输发生。 在大部分的 DNS 搜索中，客户机一般执行正向搜索，正向搜索是基于存储在地址 (A) 资源记录中的另一台计算机的 DNS 名称的搜索。这类查询希望将 IP 地址作为应答的资源数据。 DNS 也提供反向搜索过程，允许客户机在名称查询期间使用已知的 IP 地址并根据它的地址搜索计算机名。反向搜索采取问答形式进行，如“您能告诉我使用 IP 地址 192.168.1.20 的计算机的 DNS 名称吗？” DNS 最初在设计上并不支持这类查询。支持反向查询过程可能存在一个问题，即 DNS 名称空间组织和索引名称的方式及 IP 地址指派的方式不同。如果回答以前问题的唯一方式是在 DNS 名称空间中的所有域中    （全文共1759字）——点击此处阅读全文

    摘要：综述 现在随着Internet的日益普及，而Internet非常依赖于域名服务（DNS）。在RFC845中对域名服务作了如下定义：一个迭代的分布式数据库系统，它为Internet操作提供了基本的信息，例如：域名<-->IP地址的相互转换，邮件处理信息。BIND(Berkeley Inetnet Name Domain,伯克利Internet域名是一种使用最广的域名系统。它有安全缺陷对Internet无疑于是一场灾难。 2001年月29日，Network Associates of California发表了一个报告，指出了BIND最近出现的四个安全缺陷。其中有两个是关于缓冲区溢出，可以使攻击者关闭DNS或者获得root权限，一个叫做"TSIG bug"，影响BIND8，另一个是叫“complain bug"的缓冲区溢出缺陷，影响BIND4。其余两个一个叫做"infoleak",影响BIND4和BIND8，另一个叫做"complain bug"格式化字符串缺陷，只影响BIND    （全文共6354字）——点击此处阅读全文

    摘要：DNS服务有两个模式，一个是普通DNS，一个是根DNS。区别在于，普通DNS可以转发未正确解析的解析请求，而根DNS不转发请求。我来举个例子：假设我们需要解析163.com域名，客户计算机首先是按照本地设置的DNS服务器来向DNS服务器提交查询请求。这里是192.168.0.1，而该DNS服务器上显然没有该域名的注册资料，于是该DNS在一定延迟后，将DNS查询请求向转发器转发，直到14个根目录提示（可以在DNS服务器的属性里看到），根目录提示是用来查询网络上其他的DNS服务器用的，就是说，通过根目录提示可以查询到其他的DNS服务器，从而实现查询的请求转发，如果DNS被设置根DNS，则它对所属的区域有授权，换言之，就是不在响应对外的请求了。 在DNS的目录里，有很多的文件，其中root.dns就是根区域文件。如果DNS的根提示无效，或不能连接，则DNS就不能进行区域复制，也就是说，将不能响应本区域之外的解析请求。一般来说，如果DNS是网络上的第一个DNS，则被配置为根服务器。如果网络上没有其他的DNS，但仍需要解析INTERNET域名，则应使用默认的根目录提示（包含I    （全文共992字）——点击此处阅读全文