当前位置：首页 > 实用文档 > 其他范文> Web-based DNS Randomness Test：DNS安全检测

Web-based DNS Randomness Test：DNS安全检测

时间：2023-05-21 08:06:08 其他范文收藏本文下载本文

Web-based DNS Randomness Test：DNS安全检测（精选7篇）由网友“听不懂你说什么”投稿提供，下面是小编给各位读者分享的Web-based DNS Randomness Test：DNS安全检测，欢迎大家分享。

篇1：Web-based DNS Randomness Test：DNS安全检测

随着互联网的发展，漏洞这个词对广大网民来说已经不再是什么陌生的词汇了，而最近爆出的 DNS 漏洞恐怕是最有名也最危险的一个了。据说使用目前发布出来的攻击代码，几分钟就可以生成几万个伪造的 DNS 解析，从而把用户“调”到危险的站点中。

其实对于 DNS 漏洞，我们普通用户唯一的解决方案就是使用一个安全的 DNS 解析服务器。但什么是安全的 DNS 还真是很难界定。今天介绍这个 Web 界面的 DNS 漏洞测试工具就是个不错的方案。您只需要访问这个网站，点击页面中的 Test My DNS，稍等片刻即可知道你的 DNS 是否安全，

结果就像下图所示。

我使用的是 OpenDNS，安全性确实不错，都达到了 Great。而当我将 DNS 服务器换成网通 ADSL 自动分配的 DNS 服务器时，我真是彻底被雷到了，结果竟然是一个 Great 一个 Poor。看来网通很多的 DNS 服务器还没有打补丁或是做相应的漏洞修复工作，使用这样的 DNS 还是相当危险的。

您不妨也用这个东西测一下您正在使用的 DNS。当然，如果您测出 Poor 的话也不用担心，换用 OpenDNS 就是个很好很简单的解决方案。具体方法是在你的网络连接（或路由器）中，将 DNS 由自动改为 208.67.222.222，就可以用上安全的 DNS 了。

原文链接**：花儿开了 - 看看你的 DNS 是否安全

篇2：DNS安全部署解析

Status: clientTransferProhibited

用户限制转移：

由用户自行设定的限制转移，用户可自行取消，域名处于此状态时不可以转移、可以正常使用、正常管理、正常续费，此状态也可以由注册商取消，

clientTransferProhibited解释为: (用户限制转移):由用户自行设定的限制转移，用户可自行取消，域名处于此状态时不可以转移、可以正常使用、正常管理、正常续费，此状态也可以由注册商取消；

下面是其它各状态的解释:

域名状态解释

1、.COM/.NET域名状态包括：

(1) ACTIVE(激活状态):域名处于此状态时可以正常使用、正常续费、可以转移、可以更改DNS和域名信息，在此状态时用户还可自行设置为锁定状态。

(2) Customer-LOCK(用户锁定):当域名在ACTIVE状态时可由用户自行设置，用户可自行取消，域名处于此状态时可以正常使用、正常续费、不可以转移、不可以更改DNS和域名信息，此状态也可以由注册商取消；

(3) Registrar-LOCK(注册商锁定):由注册商设置，用户不能取消。域名处于此状态时可以正常使用、正常续费、不可以转移、不可以更改DNS和域名信息，此状态也可以由注册商取消；

(4) Autorenew-HOLD(欠费保留):由注册商设置，用户不能取消。域名由于过期欠费而被设置为此状态，域名处于此状态时不能正常使用、不可以被更改或删除；必须续费后才能自动解除此状态。

(5) Registrar-HOLD(注册商保留):由注册商设置，用户不能取消。域名处于此状态时不能正常使用、不可以删除、不可以转移、更改DNS和域名信息，可以续费，必须由注册商解除此状态。

2、.ORG域名状态包括：

(1) OK(正常状态):域名处于此状态时可以正常使用、正常续费、可以转移、可以更改DNS和域名信息，此状态不与下面的其他状态同时存在。

(2) Customer-DeleteProhibited(用户限制删除):由用户自行设定的限制删除，用户可自行取消，域名处于此状态时可以正常使用、正常管理、正常续费、不可以被删除，此状态也可以由注册商取消，同时，若域名欠费后会自动按删除周期删除；

(3) Registrar-DeleteProhibited(注册商限制删除):由注册商设定的限制删除，域名处于此状态时可以正常使用、正常管理、正常续费、不可以被删除，此状态不可以由用户自行取消，同时，若域名欠费后会自动按删除周期删除；

(4) Customer-TransferProhibited(用户限制转移):由用户自行设定的限制转移，用户可自行取消，域名处于此状态时不可以转移、可以正常使用、正常管理、正常续费，此状态也可以由注册商取消；

(5) Registrar-TransferProhibited(注册商限制转移):由注册商设定的限制转移，域名处于此状态时不可以转移、可以正常使用、正常管理、正常续费，用户不可以自行取消该状态；

(6) Customer-UpdateProhibited(用户限制更改):由用户自行设定的限制更改，用户可自行取消，域名处于此状态时不可以更改域名信息和DNS、可以正常使用、正常续费，此状态也可以由注册商取消；

(7) Registrar-UpdateProhibited(注册商限制更改):由注册商设定的限制更改，域名处于此状态时不可以更改域名信息和DNS、可以正常使用、正常续费，用户不可以自行取消该状态；

(8) Autorenew-HOLD(欠费保留):由注册商设置，用户不能取消。域名由于过期欠费而被设置为此状态，域名处于此状态时不能正常使用、不可以被更改或删除；必须续费后才能自动解除此状态，

(9) Registrar-HOLD(注册商保留):由注册商设置，用户不能取消。域名处于此状态时不能正常使用、不可以删除、不可以转移，可以续费，必须由注册商解除此状态。

关于域名到期删除新规则实施的解释!!!

Verisign已经改变域名到期删除的相关规则,具体举例如下：

1：比如域名aaa.com到期时间为03月01日；

2：从月02日开始，域名的ns将会被系统自动删除，域名无法解析，但会继续保留该域名30天，用户可以在这30天的期限内续费；

3：如果在2所述的30天期限内没有续费，即从2003年03月31日开始，域名将变成RedemptionPeriod状态，该状态将会保持30天，在此期间该域名不会掉下来，但是除了restore命令以外的所有命令对此域名无效；

4：域名在RedemptionPeriod状态下可以restore回来，但每restore一次需要支付（折合）人民币1000元（含一年续费）；

5：如果域名在RedemptionPeriod状态下的30天没有restore，从2003.04.29开始域名变成PendingDelete状态（5天），2003年04月04日该域名将会删除。

VeriSign于2003年1月在其Registry Whois (.COM和.NET)中加了3个字段：

Status、Creation Date、Expiration Date

其中 Status 目前发现有8种状态，分别是：

1、ACTIVE：活动状态。由Registry设置；该域名可以由Registrar更改；可以续费；至少被指派一个DNS。

2、REGISTRY-LOCK：注册局锁定。由注册局设置；该域名不可以由注册商更改、删除；必须由注册局解除此状态才可以由注册商更改域名信息；域名可以续费；如果域名被指派至少一个DNS则可以包含在(域名根服务器)的区域中(可以正常使用)。

3、REGISTRY-HOLD：注册局保留。由注册局设置；该域名不可以由注册商更改、删除；必须由注册局解除此状态才可以由注册商更改域名信息；域名可以续费；该域名不包括在(域名根服务器)的区域中(不能正常使用)。

4、REGISTRAR-LOCK：注册商锁定。由该域名的原始注册商设置；该域名不可以被更改或删除；必须由注册商解除此状态才可以更改域名信息；该域名可以续费。该域名包含在(域名根服务器)的区域中(可以正常使用)。

5、REGISTRAR-HOLD：注册商保留。由该域名的原始注册商设置；该域名不可以被更改或删除；必须由注册商解除此状态才可以更改域名信息；该域名可以续费。该域名不包括在(域名根服务器)的区域中(不能正常使用)。

6、REDEMPTIONPERIOD：宽限期。当注册商向注册局提出删除域名请求后，由注册局将域名设置称此状态，不过，条件是该域名已经注册了5天以上（如果该域名注册时间不足5天，则立即删除）；该域名不包括在(域名根服务器)的区域中(不能正常使用)；该域名不可以被更改或清除，只可以被恢复；任何其他注册商提出对此域名的更改或其他请求都将被拒绝；该状态最多保持30天。

7、PENDINGRESTORE：恢复未决。当注册商提出将处于REDEMPTIONPERIOD的域名恢复请求后，由注册局设置；该域名包含在(域名根服务器)的区域中(可以正常使用)；注册商提出的更改或任何其他请求都将被拒绝；在7天之内，有注册商向注册局提供必需的恢复文件，如果注册商在7天之内提供了这些文件，该域名将被置为ACTIVE状态，否则，该域名将重新返回到REDEMPTIONPERIOD状态。

8、PENDINGDELETE：删除未决。如果一个域名在被设置成REDEMPTIONPERIOD状态期间内，注册商没有提出恢复请求，那么，域名将被置于PENDINGDELETE状态，注册商对此域名的任何请求都将被拒绝；5天之后清除。

本文来自CSDN博客，请标明出处：blog.csdn.net/cnbird/archive//01/13/5184802.aspx

篇3：DNS迭代穷举脚本脚本安全

在普通的DNS穷举中，如果使用字典进行穷举，会发现没有哪个字典能穷举完所有的域名，国外安全研究者在常年累月的DNS记录收集中发现，很多域名有大量的短主机名，并且很易记，通常为4个字符或更少，所以有了以下脚本：

#!/usr/bin/env ruby### Brute code stolen form.: www.myhack58.com/#@domain='microsoft.com'defresult?(sub)results = %x(dig +noall #{sub}.#{@domain} +answer)ifresults !=“”puts“============================”puts“FOUND: \t#{sub}”puts“============================”puts“#{results}”puts“============================”end1==2enddefcrack_yielding(chars)crack_yield(chars){ |p|returnpifresult?(p)}enddefcrack_yield(chars)chars.each { |c|yieldc } crack_yield(chars) { |c|chars.eachdo|x|yieldc + x end }endchars = ('a'..'z').to_a(0..9).each {|x|chars << x.to_s}crack_yielding(chars)

gist: www.myhack58.com/mubix/9107284

它能正常运行，但是速度比较慢，所以进行了改进，

#!/usr/bin/env ruby### Brute code stolen form.: gist.github.com/petehamilton/4755855#defresult?(sub)puts sub1==2enddefcrack_yielding(chars)crack_yield(chars){ |p|returnpifresult?(p)}enddefcrack_yield(chars)chars.each { |c|yieldc } crack_yield(chars) { |c|chars.eachdo|x|yieldc + xend}endchars = ('a'..'z').to_a(0..9).each {|x|chars << x.to_s}crack_yielding(chars)

开始使用

ruby brutelist.rb | parallel -j100 dig +noall {}.microsoft.com +answer

工作回显如下所示：

c.microsoft.com.2IN CNAME c.microsoft.akadns.net.c.microsoft.akadns.net.499IN A65.55.58.184e.microsoft.com.3599IN A191.234.1.50g.microsoft.com.2798IN CNAME g.msn.com.g.msn.com.99IN CNAME g.msn.com.nsatc.net.g.msn.com.nsatc.net.148IN A131.253.34.154i.microsoft.com.779IN CNAME i.toggle.www.ms.akadns.net.i.toggle.www.ms.akadns.net.44IN CNAME i.g.www.ms.akadns.net.i.g.www.ms.akadns.net.225IN CNAME i.microsoft.com.edgesuite.net.i.microsoft.com.edgesuite.net.116IN CNAME a1475.g.akamai.net.a1475.g.akamai.net.16IN A23.45.65.26a1475.g.akamai.net.16IN A23.45.65.33m.microsoft.com.3599IN CNAME origin.mobile.ms.akadns.net.origin.mobile.ms.akadns.net.299IN A65.55.186.235s.microsoft.com.3599IN CNAME reroute.microsoft.com.reroute.microsoft.com.3599IN A65.55.58.201reroute.microsoft.com.3599IN A64.4.11.37cs.microsoft.com.81IN CNAME wedcs.trafficmanager.net.wedcs.trafficmanager.net.7IN CNAME wedcseus.cloudapp.net.wedcseus.cloudapp.net.8IN A137.116.48.250

篇4：Win2K动态DNS的安全考虑

Windows域名解析是基于动态DNS，动态DNS的实现是基于RFC2136基础上的，在windows2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。

一、安全动态更新

在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。

与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。

在Windows2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。

下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。

1．Windows2000本机模式

在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为“本机模式”，

当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。

第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。

第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。

2．Windows2000混杂模式

在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。

先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。

3．安全动态更新

在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。

Windows2000支持使用IETF草拟的“GSSAlgorithmforTSIG”（GSS-TSIG）算法进行安全动态更新。这个算法使用Kerberosv5作为优先的认证协议，GSS-API在RFC2078中有定义。

篇5：DNS服务器安全部署七大问题

DNS（Domain Name System）即域名系统是历史悠久的方法，它可以为具有IP地址的计算机分配域名，使计算机拥有字符型名称，如如IP地址为207.46.193.254的计算机即微软服务器www.microsoft.com，DNS采用了设计精良，多数时间运行都相当出色。然而，总有一些不如人意的情况，它会罢工，让管理员们头痛不已。那么如何查找其故障的蛛丝马迹？你的DNS系统中有哪些不尽如人意的地方？

有没有一些规律性的东西可以遵循？答案是肯定的，我们这儿给出DNS服务器的七大罪状，供您参考：

1.使用老版本的BIND。

Bind作为一款开放源码的DNS服务器软件,是目前世界上使用最为广泛的DNS服务器软件。几乎多数BIND 的老版本都存在着严重的、众所周知的漏洞。攻击者可以利用这些漏洞将我们的DNS域名服务器搞毁，并可以借此侵入运行它们的主机。因此应确保使用最新的BIND，并及时打补丁。

2.将所有重要的域名服务器放置到同一个子网中。

在这种情况下，一个设备的故障，如一台交换机或路由器，或一个网络连接的故障就会使互联网上的用户无法访问你的网站或向你发送电子邮件。

3.允许对未授权查询者的递归。

如果设置为下面这种情况：

（recursion yes no; [yes]

allow-recursion { address_match_list }; [all hosts]

则是不安全的，

在这里，recursion选项指定named是否代替客户机查询其他域名服务器。通常不把域名服务器设置成关闭递归。至少我们应该对自身的客户机允许递归，但对外来查询禁止递归。因为如果可以为任意一个客户端处理递归查询，将会将域名服务器暴露给缓存投毒(Cache poisoning)和拒绝服务攻击。

4.允许那些未获得授权的辅助域名服务器进行区域传送。

区域传送（Zone Transfer）是指在多个DNS服务器之间复制区域数据库文件的过程。如果为任意的查询者提供区域传送服务，就会把域名服务器暴露给攻击者，导致服务器瘫痪。

5.没有采用DNS转发器。

DNS转发器是代表其他DNS服务执行DNS查询的服务器。许多域名服务器软件，包括微软的DNS Servers和一些更老的BIND域名服务器，并没有充分地保护自身以抵御缓存投毒，其它的DNS服务器软件也都存在着可被恶意响应利用的漏洞。但是许多管理员却允许这些域名服务器直接查询互联网上的其它域名服务器，根本不使用转发器。

6.错误地设置授权开始（Start of Authority ：SOA）值。

SOA 标记区数据的开始,定义影响整个区的参数。许多管理员将区的值设得太低了，在刷新查询或区域传送开始失效时，这会导致系统运转的中断。自从RFC重新定义了SOA之后，还有一些人重置了逆向缓存（negative caching）TTL，结果又导致其值太高。 ---www.bianceng.cn

7.授权与区域数据中的不匹配的NS记录。

有一些管理员添加或删除了首要的域名服务器，却忘了对其区域的委托授权数据（即所谓的delegation data）作相应的改变。这样就会延长其解析域名时间，并会减少弹性。

当然，这些仅是管理员可能犯的一些一般性错误，不过却可以作为你配置DNS服务器的基本参考。

篇6：安全检测个人工作总结

20**年第三季度“四位一体”检测系统对我市各类经营场所上市的食品进行了快速定性检测，全市共对36个农贸市场、3个农批市场，部分商场超市进行了抽样定性检测，共抽检新鲜蔬菜、干制腌制蔬菜、新鲜水果、干果坚果炒货、水产品、豆制品等11大类商品13210个批次，经定性检测发现不合格商品261个批次，涉及商品数量3317公斤，合格率98%，第三季度共查处食品案件9起，罚款7万元。其中：市本级共检测商品3140批次，不合格商品56批次，涉及商品数量201公斤。

一、主要做法：

1、本季度市检测中心组织了一次全市流通领域食品安全质量检测，检测对象为全市各规模较大的农贸、农批市场，检测项目为蔬菜中的农药残留、水产品、水发产品中的甲醛含量、粮食制品、豆制品中的“吊白块”含量。品种为四大类15个：小白菜、毛白菜、豇豆、空心菜、苋菜、芹菜、脱皮芋艿、水潺（俗称豆腐鱼）、虾类、带鱼、黄鱼、泡竹笋、豆芽、年糕、面条等。据统计：全市共抽检15个品种824个批次，除虾类、带鱼、黄鱼、面条4个品种未检出，其他品种或多或少存在着问题。其中最严重的是豆芽抽检65个批次有15个批次不合格（其中龙游11批次285公斤），监督销毁305公斤，其次是泡竹笋和脱皮芋艿，抽检49批次和44批次各有11批次不合格，分别销毁248公斤和70.5公斤。水潺（俗称豆腐鱼）抽检29批次9批次不合格（含有甲醛）。小白菜、豇豆、苋菜、芹菜、年糕合格率在97%以上，毛白菜、空心菜合格率90%以上，得到了消费者的一致好评。

经过市检测中心的宣传与推荐，衢州学院为了全校师生的食品安全问题也在8月底购置了农残检测仪，并经过检测中心的培训进行检测。为加强对源头食品的监管，市检测中心和辖区工商所几次深入市农贸城，与其管理人员对食品安全问题进行有针对性的探讨，并采取了些行之有效的管理措施。最近，市农贸城在原检测仪器的基础上又购置了二氧化硫、甲醛、农残快速检测等检测设备，并对最近检测车在市场上检测出的“泡竹笋、脱皮芋艿、白萝卜”等问题食品进行了针对性检测，取得了一定的效果。

2、检测项目取得新突破。本月龙游局检测中心对禽、肉制品的检测进行了项目改进，新增了双氧水化学试验及对肉制品色素进行感观检查。在新的检测项目上，该局检测中心力求有所作为。9月份，龙游局检测中心共检测禽、肉制品100个批次，检出双氧水超标禽制品（白切鸡）1个批次，非法使用色素肉制品（香肠）1个批次。

二、存在问题：

1、项目有待进一步的更新，随着我们检测项目的不断开展，一些问题食品所添加的物质也在不断变化。近来，甲醛、吊白块、双氧水几乎不再添加，二氧化硫保鲜也所收敛，随之而来的是使用强碱保鲜、增色，而我们针对这些添加剂的检测药品、标准还没有，对强碱处理的商品危害性不详，所以，上市食品的监测抽查留有空隙。

2、有毒、劣质农产品销毁处理法律依据不足，进行定量检测费用高，严重影响基础工商所办案积极性，特别是对农副产品，处罚时不能适用《产品质量法》等法律依据，执法工作存在疑惑。

篇7：春季安全检测工作汇报

年度春检内容主要以电气设备的清扫预试工作为主，春检安全工作汇报。大家都知道电气事故，后果是非常严重的，轻者烧伤、重者触电身亡，所以我们在春检安全方面，一定要做到痛改前非，对以前本公司及同型企业发生的电气事故进行系统分析、归类总结，以防同类事故的发生。

要做到痛改前非，各参与春检的班组一定要认真组织管理人员和运行、检修人员学习先前各单位发生的事故经过，汲取事故教训，落实好春检措施，切实加强设备检修、运行操作管理，进一步明确检修与运行人员之间管理、工作界面，各级领导要下班组组织学习、讨论和制定防范措施，建立完善的设备状态交接制度、程序，严防类似事故的发生，工作汇报《春检安全工作汇报》。

要做到痛改前非，各参与春检的班组一定要深入分析每次发生事故的原因，要从人员的安全意识、工作责任心、工作作风、人员配置、管理制度、稽查力度等方面进行分析，不仅要制订全面的反事故措施，更要狠抓落实，狠抓执行，还要严格执行倒闸操作制度，严格履行验收程序和现场设备的检查确认工作，举一反三，吸取他人的事故教训。

要做到痛改前非，各参与春检的班组一定要杜绝先前事故中暴露出的习惯性违章现象，加大反违章的力度，加强稽查，严格安全奖惩考核制度；进一步开展《电力安全工作规程》培训工作，明确每项条款的目的和意义，做到时时、处处按规程要求进行作业、操作，使规程制度成为检修、运行人员自觉的行为规范。

要做到痛改前非，各参与春检的班组一定要认真开展标准化作业，切实开展危险点分析和预控，检修工作总负责人、分工作负责人要职责明确，安全责任到位，工作前的危险点分析要有针对性、有重点。工作结束后要将设备恢复到许可时的状态移交给运行人员，防范事故发生。

春检工作只有不断完善防误操作的各项组织措施和技术措施，对防止电气误操作的各项措施、手段，要常抓不懈，对那些功能不完善、运行状况差的防误闭锁装置，要尽快安排更新改造，对部分不具备防误闭锁功能的点，要逐一列出清单，做好危险点分析、预控措施。这样，才能更好地确保春检工作的安全。

[春季安全检测工作汇报]

★ 新手部署DNS服务器须知服务器教程

★ DNS系列一：DNS查询原理

★ 让“自我介绍”无懈可击的4个技巧

★ Windows下DNS和活动目录关系浅析

★ WIN技巧：如何用ADSI实现自动化的活动目录操作

★ WIN技巧：内网用户建个人服务器很简单

★ qq网页打不开是什么原因

★ 多途径可打造负载均衡