چگونه از حمله DNS جلوگیری کنیم؟

یکی از تهدیدهای آنلاین حمله DNS است. در مطلب حمله DNS چیست، خواندیم که برای چه از DNS استفاده می‌کنیم، و چه خطرهایی سرورهای DNS و در ادامه کاربران را تهدید می‌کند. در ادامه می‌خوانیم که چگونه می‌توانیم از حمله DNS جلوگیری کنیم.

• Resolver خود را امن و خصوصی نگاه دارید. اگر از Resolver شخصی استفاده می‌کنید، باید دسترسی آن را محدود کنید. فقط کاربرانی دسترسی داشته باشند که مورد اعتماد شما هستند.  برای اینکه بدانید در شبکه‌تان Resolver باز وجود دارد یا نه می‌توانید از Measurement Factory’s online tool استفاده کنید.
• تنظیمات را به گونه‌ای انجام دهید که در برابر cache poisoning امن باشد :
  • به جای استفاده از پورت ۵۳ UDP از شماره پورت‌های تصادفی استفاده کنید
  • Query ID را تصادفی کنید.
  • حروف نام دامنه‌ای که برای گرفتن IP به Resolver فرستاده شده‌اند را به طور تصادفی کوچک و بزرگ کنید.
• سرور DNS خود را به طور امن مدیریت کنید.

اگر شما میزبان سرور DNS تان هستید :

• گرفتار آسیب‌پذیری‌های شناخته شده نشوید. اگر DNS سرور خودتان را اجرا می‌کنید، هوشیار باشید که تمام پچ‌ها را نصب کرده باشید و سرور و نرم‌افزارهایش را به روز نگاه دارید.
• با استفاده از سرور‌های جداگانه، توابع resolver و authoritative را از هم جدا کنید. این حرکت باعث می‌شود در اثر حمله DoS سرور شما Off نشود.
• سرور نام دامنه اصلی خود را مخفی نگاه دارید.
• سرور نام دامنه خود را مانیتور کنید. مطمئن باشید که کوچکترین تغییرات در این سرور از دید شما مخفی نماند.
• برای محافظت از سرورتان از PKI استفاده کنید.
• پورت‌ها و سرویس‌هایی که رد سرورتان به آنها نیازی ندارید را بسته یا غیرفعال کنید.

اگر از Domain Name Registrar استفاده می‌کنید :

اگر سرور نام دامنه شما توسط Registrar یا واسطه‌های دیگر مدیریت می‌شود، باید مطمئن شوید که امنیت را برقرار می‌کنند. گزینه‌های زیر به شما کمک می‌کنند که از برقراری امنیت در Registrarها مطمئن شوید :

• احراز هویت دو عامله (Two factor authentication) 
• قفل تغییرات سرور نام دامنه (DNS change locking)
• ورود IP ‌های مشخص شده (IP-dependent log in)
• DNSSEC