如何进行安全测试

孤狼彦

我也想知道

阿骁

我也想知道啊！ 呵呵 。。

cpss

我觉得只要将dns升级到最高版本的bind，并保证系统的安全（起码要安装防火墙、停掉telnet、ftp等服务吧！）和bind的正确配置，应该就没有什么问题吧。
毕竟dns只是一个比较简单的应用而已。

最后加一条：经常备份zone文件和named.conf文件，就有备无患了。

beggar

把我想到的贴出来吧.也希望你把你知道的告诉我们,让我们的服务器更为安全.

1.能不能从你的名字服务器传送整个区?
dig @ns.yourdomain axfr

2 能不能从你的服务器获知bind软件版本?
dig @ns.yourdomain txt chaos version.bind

3 不应该为未授权的外网提供解析服务.

4 密匙文件是否放在了安全的地方,不是谁都访问得到?

5 运行BIND的用户ID权限是否太高?

6 能否防止地址伪装?比如说 10/8 192.168/16这类子网的查询?

7 是否限制了BIND应该使用的内存,堆栈,防止BIND超出OS资源限制而崩溃.

8 是否能够防止DOS攻击?包括对同一时刻客户端数量,soa查询数量的限制.

cpss

我觉得我们可以将系统做得尽可能安全，但不能够做到完全安全－－世界上本来就没有绝对安全的事情！
像beggar兄提的几个方面，我举双手同意。但对于DOS等攻击，dns应该是束手无策。幸好dns是分布型的概念，dns短时间的停止服务，对dns服务应该是没有太大的影响。
所以我觉得如果能够考虑到beggar兄说的第1、2、4、5就够了。

阿骁

beggar 兄总结得不错说！