يعد DNS (نظام اسم المجال) طريقة ذات تاريخ طويل يمكنها تعيين أسماء المجال لأجهزة الكمبيوتر التي تحتوي على عناوين IP بحيث يكون لأجهزة الكمبيوتر أسماء أحرف. على سبيل المثال، الكمبيوتر الذي يحمل عنوان IP 207.46.193.254 هو خادم Microsoft www. مايكروسوفت. تم تصميم DNS بشكل جيد ويعمل بشكل جيد للغاية في معظم الأوقات. ومع ذلك، هناك دائمًا بعض المواقف غير المرضية وسوف يحدث ذلك، مما يسبب صداعًا للمسؤولين. فكيف يمكن العثور على أدلة فشلها؟ ما هي بعض المناطق في نظام DNS الخاص بك والتي تعتبر أقل من المثالية؟
هل هناك أي نمط يجب اتباعه؟ الجواب هو نعم، فيما يلي سبع خطايا لخوادم DNS للرجوع إليها:
1. استخدم إصدارًا قديمًا من BIND.
يعتبر Bind، باعتباره برنامج خادم DNS مفتوح المصدر، حاليًا أكثر برامج خادم DNS استخدامًا في العالم. تحتوي معظم الإصدارات القديمة من BIND تقريبًا على ثغرات أمنية خطيرة ومعروفة. يمكن للمهاجمين استغلال نقاط الضعف هذه لإسقاط خوادم أسماء DNS الخاصة بنا وتهديد المضيفين الذين يقومون بتشغيلها. لذلك، يجب عليك التأكد من استخدام أحدث إصدار من BIND وتصحيحه في الوقت المناسب.
2. ضع كافة خوادم أسماء النطاقات المهمة في نفس الشبكة الفرعية.
في هذه الحالة، فإن فشل أحد المعدات، مثل المحول أو جهاز التوجيه، أو فشل الاتصال بالشبكة، من شأنه أن يمنع مستخدمي الإنترنت من الوصول إلى موقع الويب الخاص بك أو إرسال رسائل البريد الإلكتروني إليك.
3. السماح بالتكرار للاستعلامين غير المصرح لهم.
إذا تم ضبطه على الحالة التالية:
(العودة نعم|لا؛ [نعم]
السماح بالعودية { Address_match_list }؛
|
إنه غير آمن. هنا، يحدد خيار التكرار ما إذا كان الاسم يستعلم عن خوادم اسم المجال الأخرى نيابة عن العميل. بشكل عام، لم يتم إعداد خوادم الأسماء لإيقاف تشغيل التكرار. على الأقل يجب أن نسمح بالتكرار لعملائنا، ولكن مع تعطيل التكرار للاستعلامات الخارجية. لأنه إذا تمكنت من التعامل مع الاستعلامات المتكررة لأي عميل، فسوف تعرض خادم الأسماء لهجمات التسمم المؤقت وهجمات رفض الخدمة.
4. السماح لخوادم الأسماء الثانوية غير المصرح بها بإجراء عمليات نقل المنطقة.
يشير نقل المنطقة إلى عملية نسخ ملفات قاعدة بيانات المنطقة بين خوادم DNS المتعددة. إذا قمت بتوفير خدمات نقل المنطقة إلى الاستعلامات التعسفية، فسوف تعرض خادم اسم المجال للمهاجمين، مما يتسبب في تعطل الخادم.
5. لا يتم استخدام معيد توجيه DNS.
معيد توجيه DNS هو خادم يقوم بإجراء استعلامات DNS نيابة عن خدمات DNS الأخرى. العديد من برامج خادم الأسماء، بما في ذلك خوادم DNS الخاصة بشركة Microsoft وبعض خوادم أسماء BIND الأقدم، لا تحمي نفسها بشكل كافٍ من تسمم ذاكرة التخزين المؤقت، كما أن برامج خادم DNS الأخرى بها أيضًا ثغرات أمنية يمكن استغلالها عن طريق الاستجابات الضارة. لكن العديد من المسؤولين يسمحون لخوادم الأسماء هذه بالاستعلام عن خوادم الأسماء الأخرى على الإنترنت مباشرةً، دون استخدام وكلاء التوجيه على الإطلاق.
6. تعيين قيمة بداية السلطة (SOA) بشكل غير صحيح.
تمثل SOA بداية بيانات المنطقة وتحدد المعلمات التي تؤثر على المنطقة بأكملها. يقوم العديد من المسؤولين بتعيين قيمة المنطقة على مستوى منخفض جدًا، مما قد يتسبب في حدوث اضطرابات في النظام عندما تبدأ استعلامات التدفق أو عمليات نقل المنطقة بالفشل. منذ أن أعاد RFC تعريف SOA، قام بعض الأشخاص بإعادة تعيين TTL للتخزين المؤقت السلبي، مما جعله مرتفعًا جدًا.
7. سجلات NS غير متطابقة في الترخيص وبيانات المنطقة.
يقوم بعض المسؤولين بإضافة أو إزالة خوادم الأسماء الأساسية ولكنهم ينسون إجراء التغييرات المقابلة على بيانات التفويض الخاصة بمنطقتهم (ما يسمى ببيانات التفويض). سيؤدي هذا إلى تمديد الوقت المستغرق لحل أسماء النطاقات وتقليل المرونة.
بالطبع، هذه مجرد بعض الأخطاء الشائعة التي قد يرتكبها المسؤولون، لكنها يمكن أن تكون بمثابة مرجع أساسي لتكوين خادم DNS الخاص بك.