DNS服務有擔當

引言：我們在上網(wǎng)訪問時，有時網(wǎng)絡連接狀態(tài)明明是正常的，但是瀏覽相關站點內(nèi)容時，卻出現(xiàn)了失敗故障，這是什么原因呢？很可能是DNS服務設置不當引起的！其實，合理設置使用DNS服務，不僅能方便用戶快捷訪問網(wǎng)絡，而且也能有效改善訪問安全。

快捷訪問方面

在網(wǎng)絡連接正常的情況下，之所以網(wǎng)絡訪問速度緩慢甚至出錯，主要有兩個方面的原因，一是網(wǎng)絡運營商或接入網(wǎng)絡自身方面的因素，二是DNS服務解析不流暢。對于第一種因素，用戶往往無能為力；但對于后面一種因素，用戶可以通過合理設置，來加快DNS服務解析域名或IP地址的速度，以實現(xiàn)快捷訪問目的。

1.手工指定地址

當發(fā)現(xiàn)本地DNS服務器地址解析不暢時，可以嘗試到Internet網(wǎng)絡中尋找免費高效的DNS服務器進行試用。當然，通過百度搜索引擎尋找到的免費DNS服務器可能比較多，如果隨意選擇一個使用時，可能并不能改善訪問速度。這時，建議用戶首先選用本地ISP提供的DNS服務器地址，畢竟用戶訪問本地DNS服務器的速度要比訪問其他位置的速度快一些。如果本地沒有可用的DNS服務器時，不妨從網(wǎng)上下載專門測試DNS服務器訪問速度的專業(yè)工具，通過它實時檢測出訪問速度最快的DNS服務器地址。

圖2 標簽設置頁面

一旦找到速度最快的DNS服務器地址時，可以采用手工指定地址的方式，在需要的時候?qū)⒃揇NS服務器拿來使用。在Windows XP系統(tǒng)環(huán)境中，手工指定DNS服務器地址時，可以依次點擊“開始”、“設置”、“網(wǎng)絡連接”命令，彈出網(wǎng)絡連接列表界面。從中選擇“本地連接”圖標，打開它的右鍵菜單，點擊“屬性”命令，展開本地連接屬性對話框。選中“Internet協(xié) 議（TCP/IP）”選項，按下“屬性”按鈕，進入如圖1所示的Internet協(xié)議屬性對話框，選中“使用下面的DNS服務器地址”選項，在首選DNS服務器和備用DNS服務器位置處，輸入之前找到的訪問速度最快的DNS服務器地址。要是認為兩個DNS服務器地址還不夠保險時，不妨按下“高級”按鈕，進入Internet協(xié)議高級屬性對話框，點擊“DNS”標簽，切換到如圖2所示的標簽設置頁面，在這里不停點擊“添加”按鈕，將查找到的多個高速DNS服務器地址依次添加到本地計算機系統(tǒng)中，這樣Windows系統(tǒng)日后會按照添加順序，在合適的時候逐一調(diào)用相關DNS服務器，確保DNS服務解析操作始終順暢。

當然，在重新指定好其他DNS服務器地址后，必須要記得及時清空本地系統(tǒng)的DNS緩存內(nèi)容。在進行該操作時，可以依次單擊本地系統(tǒng)的“開始”、“運行”命令，將“cmd”命令填寫到系統(tǒng)運行框中，單擊回車鍵，切換到DOS命令行工作窗口；其次在命令行提示符下，輸入字符串命令“ipconfig /flushdns”，單擊回車鍵后，系統(tǒng)返回如圖3所示的結果信息，這就意味著本地DNS緩存內(nèi)容已被成功清空，日后上網(wǎng)訪問時，新指定的DNS服務器就能正式發(fā)揮作用了。

圖3 結果信息

圖4 電腦診所

如果對DOS命令操作不熟悉時，也可以通過修復本地連接的方法，清空本地系統(tǒng)的DNS緩存內(nèi)容。只要先退出已經(jīng)打開的上網(wǎng)瀏覽窗口，之后按照前面的操作進入網(wǎng)絡連接列表界面，用鼠標右鍵單擊“本地連接”圖標，從彈出的右鍵菜單中點擊“修復”命令，這樣本地系統(tǒng)的DNS緩存內(nèi)容就會被自動清空了。如果本地計算機安裝的是Windows 7系統(tǒng)，只要先進入網(wǎng)絡共享中心管理界面，按下管理網(wǎng)絡連接按鈕，打開“本地連接”右鍵菜單，點擊“診斷”命令，就能實現(xiàn)自動清空系統(tǒng)DNS緩存目的。

2.自動更新地址

缺省狀態(tài)下，用戶使用的DNS服務器地址基本都是本地ISP提供的，不過要是這個服務器遇到意外無法正常工作時，上網(wǎng)訪問速度就會很慢甚至無法訪問。此時，采用手工方法指定DNS服務器地址，雖然能夠解決問題，但是操作效率不高。有鑒于此，我們可以從網(wǎng)上下載安裝能自動搜索設置DNS服務器地址的專業(yè)工具，例如360上網(wǎng)助手、騰訊電腦管家、DNS Jumper等工具。

這里以騰訊電腦管家為操作藍本，當用戶遭遇能在線聊天而無法訪問網(wǎng)站頁面現(xiàn)象時，只要開啟騰訊電腦管家工具的運行狀態(tài)，點擊“電腦診所”標簽，在該標簽頁面的“上網(wǎng)異?！蔽恢锰?，按下“能上QQ不能上網(wǎng)”按鈕，如圖4所示。在其后彈出的設置頁面中，單擊“一鍵修復”按鈕，目標工具會自動對本地系統(tǒng)執(zhí)行修復操作，修復結束后重新啟動計算機系統(tǒng)，這時本地系統(tǒng)的DNS服務器地址就會被自動更新了。在修復過程中，騰訊電腦管家首先會檢查DNS服務是否工作正常，訪問速度如何，一旦探測到DNS服務有異常時，它就會自動更新使用新的DNS服務器地址，同時自動清空本地系統(tǒng)的DNS緩存內(nèi)容。

3.善用轉(zhuǎn)發(fā)功能

在局域網(wǎng)工作環(huán)境中，很多人使用的都是單位內(nèi)部部署的DNS服務器，但要是該DNS服務器運行不穩(wěn)定時，可能會拖累單位內(nèi)網(wǎng)所有計算機的上網(wǎng)訪問效率。為了保證上網(wǎng)訪問始終高效、快捷，在合適的時候，我們也能將單位內(nèi)部的DNS服務器DNS轉(zhuǎn)發(fā)功能啟用起來，以便將所有用戶的域名解析請求交給它統(tǒng)一處理，這樣可以存儲域名與IP地址的對應緩存，從而有效縮短域名解析過程。

在開啟DNS服務器自帶的轉(zhuǎn)發(fā)功能時，只要先以超級用戶權限登錄進入DNS服務器所在主機系統(tǒng)，逐一點擊“開始”、“設置”、“控制面板”選項，彈出系統(tǒng)控制面板窗口，用鼠標雙擊其中的“管理工具”、“DNS”圖標，切換到DNS服務器控制界面，從左側(cè)列表中選擇特定DNS主機，打開它的快捷菜單，點擊“屬性”命令，彈出DNS服務器屬性設置對話框。

圖5 標簽設置頁面

其次點選“轉(zhuǎn)發(fā)器”標簽，進入如圖5所示的標簽設置頁面，選中這里的“啟用轉(zhuǎn)發(fā)器”選項，將“IP地址”文本框激活，輸入ISP提供的或者從網(wǎng)上尋找到的快速DNS服務器地址，按下“確定”按鈕退出設置對話框。成功啟用了轉(zhuǎn)發(fā)器功能之后，我們只要在局域網(wǎng)的終端計算機系統(tǒng)，打開Internet協(xié)議屬性對話框，選中“使用下面的DNS服務器地址”選項，輸入轉(zhuǎn)發(fā)器的DNS服務器地址，而不需要輸入備用的DNS服務器地址了。日后，當轉(zhuǎn)發(fā)器接受到用戶的上網(wǎng)訪問請求時，就能利用DNS轉(zhuǎn)發(fā)功能，將用戶訪問請求轉(zhuǎn)發(fā)給解析能力更強的高速DNS服務器，那么域名解析自然會更加流暢，用戶上網(wǎng)訪問快捷程度也會大幅度地攀升。

值得注意的是，在啟用了轉(zhuǎn)發(fā)功能的DNS服務器主機中，盡量關閉遞歸查詢功能，以保證DNS服務器有足夠的系統(tǒng)資源去響應用戶的上網(wǎng)解析請求。要做到這一點，只要先打開服務器系統(tǒng)的控制面板窗口，逐一雙擊其中的“管理工具”、“DNS”選項，進入DNS服務器控制界面。選中左側(cè)列表中的特定DNS主機名稱，打開它的右鍵菜單，點擊“屬性”命令，彈出DNS服務器屬性設置對話框，點擊“高級”標簽，在高級標簽頁面的“服務器選項”設置項處，選中“停用遞歸”選項，確認后保存設置即可。

4.合理使用緩存

如果對安全訪問要求不是很高，可以合理使用DNS緩存，來提升DNS服務解析效率，改善上網(wǎng)訪問速度。默認狀態(tài)下，Windows系統(tǒng)可用的DNS緩存空間不是很大，只能存儲少量的站點訪問記錄，不過，我們可以自己動手，手工增大該緩存空間，讓上網(wǎng)訪問更加快捷高效。要改善DNS緩存空間大小時，不妨進行如下設置操作：

首先使用“Win+R”快捷菜單，調(diào)用系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯窗口。從該編輯窗口左側(cè)列表中，將鼠標定位到注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscachePar ameters上，看看指定分支下有沒有雙字節(jié)鍵值“Ca cheHashTableBucketSize”，要是沒有該鍵值的話，不妨手工創(chuàng)建好該雙字節(jié)鍵值，同時將其數(shù)值設置為“384”（如圖6所示），確認后保存設置操作。

其次在注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesDnscacheParameters下，手工 創(chuàng) 建好“CacheHashTableSize”雙字節(jié)鍵值，將其數(shù)值修 改 為“64000”；同 樣地，在相同的注冊表分支下，創(chuàng)建好雙字節(jié)鍵值“MaxCacheEntryTtlLimit”，將其數(shù)值調(diào)整為“301”。繼續(xù)在目標分支下創(chuàng)建雙字節(jié)鍵值“Max SOACacheEntryTtlLimit”，將其數(shù)值修改為“300”，最后重啟Windows系統(tǒng)。這樣，就能增大DNS緩存空間，更多已被訪問過的站點解析記錄會被存儲下來，那么日后用戶上網(wǎng)訪問相同站點時，速度自然會更快一些。

圖6 修改數(shù)值

安全訪問方面

DNS服務雖然可以提升網(wǎng)絡訪問速度，但也容易成為惡意用戶攻擊的對象；要是該服務遭遇攻擊，那么網(wǎng)絡訪問可能會出現(xiàn)安全麻煩，所以我們應該掌握一定的安全預防措施，解決DNS安全訪問問題。

1.防止修改緩存內(nèi)容

為了改善域名解析效率，不少DNS服務器在將域名解析查詢結果反饋給終端用戶之前，會自動將其保存在高速緩存中，日后發(fā)現(xiàn)有以前的域名解析請求發(fā)送過來時，它會從高速緩存中直接調(diào)用以前的記錄，同時將該記錄返回給用戶，這樣既能加快用戶網(wǎng)絡訪問速度，又能減少DNS服務器資源消耗。不過，DNS緩存功能在給我們帶來方便的同時，也容易引起惡意用戶攻擊，比方說，要是惡意用戶使用專業(yè)工具偷偷篡改緩存內(nèi)容，不但無法提升用戶網(wǎng)絡訪問速度，而且還會引起解析結果錯誤，甚至還會劫持用戶去瀏覽惡意內(nèi)容。

為了防止惡意用戶自由調(diào)整DNS緩存內(nèi)容，我們不妨啟用DNS服務器的預防緩存污染功能，保證正確的DNS緩存內(nèi)容，不會受到惡意用戶的非法干擾。默認狀態(tài)下，安裝在Windows Server 2003系統(tǒng)中的DNS服務器，已經(jīng)開啟了預防緩存污染功能。一旦看到其被意外關閉時，不妨進行下面的設置，重新啟用預防緩存污染功能：

首先以系統(tǒng)管理員權限登錄Windows Server 2003服務器系統(tǒng)，逐一點擊“開始”、“設置”、“控制面板”選項，進入系統(tǒng)控制面板窗口，雙擊其中的“管理工具”、“DNS”選項，打開DNS控制界面。選中本地服務器主機圖標，打開它的快捷菜單，選擇“屬性”命令，彈出DNS服務器屬性設置框。

點擊“高級”選項卡，展開選項設置頁面，看看“服務器選項”位置處的“保護緩存防治污染”選項有沒有被選中，當看到其沒有處于選中狀態(tài)時，那就意味著DNS服務器當前的緩存污染預防功能已被關閉，這時必須重新選中該選項，確認后退出設置對話框，再重新啟動Windows系統(tǒng)即可。

對于普通終端用戶來說，如果擔心本地DNS緩存內(nèi)容遭遇惡意修改時，不妨直接停用DNS緩存功能，這樣還能避免訪問隱私外泄。要關閉終端計算機系統(tǒng)的DNS緩存功能很簡單，只要停用DNS Client服務就行，具體操作為：依次單擊“開始”、“運行”命令，打開系統(tǒng)運行對話框，在其中執(zhí)行“services.msc”命令，進入系統(tǒng)服務列表窗口。從中選擇DNS Client服務，打開它的右鍵菜單，點擊“屬性”命令，展開對應系統(tǒng)服務屬性設置框，看看它的工作狀態(tài)是否正常，如果看到它已經(jīng)處于正常運行狀態(tài)時，那就表示本地計算機已經(jīng)開啟了DNS緩存功能。這個時候，只要單擊“停止”按鈕，同時將啟動類型調(diào)整為“自動”，點擊“確定”按鈕即可。

2.防止修改網(wǎng)絡配置

在部署有DNS服務器的網(wǎng)絡環(huán)境中，如果它的網(wǎng)絡配置被人隨意修改，這很容易造成DNS服務器無法向終端用戶提供安全服務。默認狀態(tài)下，DNS服務器的網(wǎng)絡配置信息都存儲在Root.dns、Zone_name.dns、Cache.dns等文件中，通過NTFS文件系統(tǒng)的權限管理功能對它們進行嚴格控制，可以防止任何人隨意訪問，從而確保DNS配置安全。

以系統(tǒng)管理員權限登錄DNS服務器主機系統(tǒng)，打開系統(tǒng)資源管理器界面，將鼠標定位到“C:WINDOWSsystem32dns”目錄上，選擇該目錄右鍵菜單中的“屬性”命令，展開“DNS”目錄屬性對話框，點擊“安全”選項卡，刪除對應選項設置頁面中的已有用戶賬號，按“添加”按鈕，重新添加合法的用戶賬號，同時為它們分配適當?shù)脑L問權限，單擊“確定”按鈕后，只有特定的賬戶才能訪問這些配置文件，其他任何用戶將無權訪問它，這能有效避免非法用戶的偷偷篡改操作。

此外，DNS服務器的配置內(nèi)容，還能通過注冊表途徑進行修改。為了防范這一點，我們可以使用“Win+R”快捷菜單，調(diào)用系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯窗口，將鼠標定位到注冊表分支HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesDNS上，用鼠標右鍵單擊該分支選項，從右鍵菜單中點擊“權限”命令，展開特定分支權限設置框，點擊“安全”選項卡，在選項設置頁面中，依照實際需求進行合理授權，確保僅讓受信任的用戶賬戶訪問指定注冊表分支信息，從而在最大程度上保護DNS服務器網(wǎng)絡配置安全。

當然，為了防止惡意用戶通過網(wǎng)絡途徑遠程訪問DNS服務器，我們還可以切斷所有用戶的網(wǎng)絡訪問權限。只要依次單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略編輯界面。將鼠標定位到該界面的“本地計算機策略”、“計算 機配 置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權限分配”分支下，雙擊該分支下的“從網(wǎng)絡訪問此計算機”組策略，在其后界面中刪除所有用戶賬號，確認后保存設置操作，這樣惡意用戶就不能通過網(wǎng)絡隨意遠程登錄并修改DNS網(wǎng)絡配置了。

3.防止黑客惡意攻擊

大多時候，黑客攻擊DNS服務器主要目的，就是偷偷竊取網(wǎng)絡中的重要配置信息，例如DHCP服務器地址、網(wǎng)關地址、通配符MX記錄等。為了避免黑客進行這類攻擊，我們可以通過在網(wǎng)絡中同時部署多臺DNS服務器的方法，來干擾迷惑黑客，讓其找不到真正的攻擊目標。

例如，先在與單位外網(wǎng)環(huán)境部署一臺虛假的DNS服務器，在這臺服務器中全部使用虛假配置信息，以達到蒙騙黑客目的。之后，在單位內(nèi)網(wǎng)環(huán)境中再安裝配置一臺真實的DNS服務器，讓該服務器對內(nèi)網(wǎng)用戶提供域名解析服務。我們可以在真實的DNS服務器中，添加平時經(jīng)常要要用到的DNS解析記錄，并利用正確設置讓其自動將其他解析記錄轉(zhuǎn)發(fā)給外部服務器。最后對終端計算機進行配置，打開Internet協(xié)議屬性對話框，選中“使用下面的DNS服務器地址”選項，在首選DNS服務器位置處，輸入真實的DNS服務器的IP地址，單擊“確定”按鈕后執(zhí)行設置保存操作，以強制內(nèi)網(wǎng)終端使用真實DNS服務器上網(wǎng)。