快捷安全上網(wǎng)DNS服務(wù)有擔(dān)當(dāng)

合理設(shè)置使用DNS服務(wù)，不僅能方便用戶快捷訪問網(wǎng)絡(luò)，而且也能有效改善訪問安全?，F(xiàn)在，我們就一起來看看DNS服務(wù)在上網(wǎng)安全性和快捷性方面，究竟是如何勇于擔(dān)當(dāng)?shù)模?/p>

我們在上網(wǎng)訪問時，有時網(wǎng)絡(luò)連接狀態(tài)明明是正常的，但是瀏覽相關(guān)站點內(nèi)容時，卻出現(xiàn)了失敗故障，這是什么原因呢？很可能是DNS服務(wù)設(shè)置不當(dāng)引起的！其實，合理設(shè)置使用DNS服務(wù)，不僅能方便用戶快捷訪問網(wǎng)絡(luò)，而且也能有效改善訪問安全?，F(xiàn)在，我們就一起來看看DNS服務(wù)在上網(wǎng)安全性和快捷性方面，究竟是如何勇于擔(dān)當(dāng)?shù)模?/p>

在快捷訪問方面

在網(wǎng)絡(luò)連接正常的情況下，之所以網(wǎng)絡(luò)訪問速度緩慢甚至出錯，主要有兩個方面的原因，一是網(wǎng)絡(luò)運營商或接入網(wǎng)絡(luò)自身方面的因素，二是DNS服務(wù)解析不流暢。對于第一種因素，用戶往往無能為力；但對于后面一種因素，用戶可以通過合理設(shè)置，來加快DNS服務(wù)解析域名或IP地址的速度，以實現(xiàn)快捷訪問目的。

手工指定地址

當(dāng)發(fā)現(xiàn)本地DNS服務(wù)器地址解析不暢時，可以嘗試到Internet網(wǎng)絡(luò)中尋找免費高效的DNS服務(wù)器進(jìn)行試用。當(dāng)然，通過百度搜索引擎尋找到的免費DNS服務(wù)器可能比較多，如果隨意選擇一個使用時，可能并不能改善訪問速度。這時，建議用戶首先選用本地ISP提供的DNS服務(wù)器地址，畢竟用戶訪問本地DNS服務(wù)器的速度要比訪問其他位置的速度快一些。如果本地沒有可用的DNS服務(wù)器時，不妨從網(wǎng)上下載專門測試DNS服務(wù)器訪問速度的專業(yè)工具，通過它實時檢測出訪問速度最快的DNS服務(wù)器地址。

一旦找到速度最快的DNS服務(wù)器地址時，可以采用手工指定地址的方式，來在需要的時候?qū)⒃揇NS服務(wù)器拿來使用。在WinXP系統(tǒng)環(huán)境中，手工指定DNS服務(wù)器地址時，可以依次點擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，彈出網(wǎng)絡(luò)連接列表界面。從中選擇“本地連接”圖標(biāo)，打開它的右鍵菜單，點擊“屬性”命令，展開本地連接屬性對話框。選中“Internet協(xié)議（TCP/IP）”選項，按下“屬性”按鈕，進(jìn)入如圖1所示的Internet協(xié)議屬性對話框，選中“使用下面的DNS服務(wù)器地址”選項，在首選DNS服務(wù)器和備用DNS服務(wù)器位置處，輸入之前找到的訪問速度最快的DNS服務(wù)器地址。要是認(rèn)為兩個DNS服務(wù)器地址還不夠保險時，不妨按下“高級”按鈕，進(jìn)入Internet協(xié)議高級屬性對話框，點擊“DNS”標(biāo)簽，切換到如圖2所示的標(biāo)簽設(shè)置頁面，在這里不停點擊“添加”按鈕，將查找到的多個高速DNS服務(wù)器地址依次添加到本地計算機(jī)系統(tǒng)中，這樣Windows系統(tǒng)日后會按照添加順序，在合適的時候逐一調(diào)用相關(guān)DNS服務(wù)器，確保DNS服務(wù)解析操作始終順暢。

當(dāng)然，在重新指定好其他DNS服務(wù)器地址后，必須要記得及時清空本地系統(tǒng)的DNS緩存內(nèi)容。在進(jìn)行該操作時，可以依次單擊本地系統(tǒng)的“開始”、“運行”命令，將“cmd”命令填寫到系統(tǒng)運行框中，單擊回車鍵，切換到DOS命令行工作窗口；其次在命令行提示符下，輸入字符串命令“ipconfig /flushdns”，單擊回車鍵后，系統(tǒng)返回如圖3所示的結(jié)果信息，這就意味著本地DNS緩存內(nèi)容已被成功清空，日后上網(wǎng)訪問時，新指定的DNS服務(wù)器就能正式發(fā)揮作用了。

如果對DOS命令操作不熟悉時，也可以通過修復(fù)本地連接的方法，清空本地系統(tǒng)的DNS緩存內(nèi)容。只要先退出已經(jīng)打開的上網(wǎng)瀏覽窗口，之后按照前面的操作進(jìn)入網(wǎng)絡(luò)連接列表界面，用鼠標(biāo)右鍵單擊“本地連接”圖標(biāo)，從彈出的右鍵菜單中點擊“修復(fù)”命令，這樣本地系統(tǒng)的DNS緩存內(nèi)容就會被自動清空了。如果本地計算機(jī)安裝的是Win7系統(tǒng)，只要先進(jìn)入網(wǎng)絡(luò)共享中心管理界面，按下管理網(wǎng)絡(luò)連接按鈕，打開“本地連接”右鍵菜單，點擊“診斷”命令，就能實現(xiàn)自動清空系統(tǒng)DNS緩存目的。

自動更新地址

缺省狀態(tài)下，用戶使用的DNS服務(wù)器地址基本都是本地ISP提供的，不過要是這個服務(wù)器遇到意外無法正常工作時，上網(wǎng)訪問速度就會很慢甚至無法訪問。此時，采用手工方法指定DNS服務(wù)器地址，雖然能夠解決問題，但是操作效率不高。有鑒于此，我們可以從網(wǎng)上下載安裝能自動搜索設(shè)置DNS服務(wù)器地址的專業(yè)工具，比方說360上網(wǎng)助手、騰訊電腦管家、DNS Jumper等工具

這里以騰訊電腦管家為操作藍(lán)本，當(dāng)用戶遭遇能在線聊天而無法訪問網(wǎng)站頁面現(xiàn)象時，只要開啟騰訊電腦管家工具的運行狀態(tài)，點擊“電腦診所”標(biāo)簽，在該標(biāo)簽頁面的“上網(wǎng)異?！蔽恢锰?，按下“能上QQ不能上網(wǎng)”按鈕，如圖4所示。在其后彈出的設(shè)置頁面中，單擊“一鍵修復(fù)”按鈕，目標(biāo)工具會自動對本地系統(tǒng)執(zhí)行修復(fù)操作，修復(fù)結(jié)束后重新啟動計算機(jī)系統(tǒng)，這時本地系統(tǒng)的DNS服務(wù)器地址就會被自動更新了。在修復(fù)過程中，騰訊電腦管家首先會檢查DNS服務(wù)是否工作正常，訪問速度如何，一旦探測到DNS服務(wù)有異常時，它就會自動更新使用新的DNS服務(wù)器地址，同時自動清空本地系統(tǒng)的DNS緩存內(nèi)容。

善用轉(zhuǎn)發(fā)功能

在局域網(wǎng)工作環(huán)境中，很多人使用的都是單位內(nèi)部部署的DNS服務(wù)器，但要是該DNS服務(wù)器運行不穩(wěn)定時，可能會拖累單位內(nèi)網(wǎng)所有計算機(jī)的上網(wǎng)訪問效率。為了保證上網(wǎng)訪問始終高效、快捷，在合適的時候，我們也能將單位內(nèi)部的DNS服務(wù)器DNS轉(zhuǎn)發(fā)功能啟用起來，以便將所有用戶的域名解析請求交給它統(tǒng)一處理，這樣可以存儲域名與IP地址的對應(yīng)緩存，從而有效縮短域名解析過程。

在開啟DNS服務(wù)器自帶的轉(zhuǎn)發(fā)功能時，只要先以超級用戶權(quán)限登錄進(jìn)入DNS服務(wù)器所在主機(jī)系統(tǒng)，逐一點擊“開始”、“設(shè)置”、“控制面板”選項，彈出系統(tǒng)控制面板窗口，用鼠標(biāo)雙擊其中的“管理工具”、“DNS”圖標(biāo)，切換到DNS服務(wù)器控制界面。從左側(cè)列表中選擇特定DNS主機(jī)，打開它的快捷菜單，點擊“屬性”命令，彈出DNS服務(wù)器屬性設(shè)置對話框。

其次點選“轉(zhuǎn)發(fā)器”標(biāo)簽，進(jìn)入如圖5所示的標(biāo)簽設(shè)置頁面，選中這里的“啟用轉(zhuǎn)發(fā)器”選項，將“IP地址”文本框激活，輸入ISP提供的或者從網(wǎng)上尋找到的快速DNS服務(wù)器地址，按下“確定”按鈕退出設(shè)置對話框。成功啟用了轉(zhuǎn)發(fā)器功能之后，我們只要在局域網(wǎng)的終端計算機(jī)系統(tǒng)，打開Internet協(xié)議屬性對話框，選中“使用下面的DNS服務(wù)器地址”選項，輸入轉(zhuǎn)發(fā)器的DNS服務(wù)器地址，而不需要輸入備用的DNS服務(wù)器地址了。日后，當(dāng)轉(zhuǎn)發(fā)器接受到用戶的上網(wǎng)訪問請求時，就能利用DNS轉(zhuǎn)發(fā)功能，將用戶訪問請求轉(zhuǎn)發(fā)給解析能力更強(qiáng)的高速DNS服務(wù)器，那么域名解析自然會更加流暢，用戶上網(wǎng)訪問快捷程度也會大幅度地攀升。

值得注意的是，在啟用了轉(zhuǎn)發(fā)功能的DNS服務(wù)器主機(jī)中，盡量關(guān)閉遞歸查詢功能，以保證DNS服務(wù)器有足夠的系統(tǒng)資源去響應(yīng)用戶的上網(wǎng)解析請求。要做到這一點，只要先打開服務(wù)器系統(tǒng)的控制面板窗口，逐一雙擊其中的“管理工具”、“DNS”選項，進(jìn)入DNS服務(wù)器控制界面。選中左側(cè)列表中的特定DNS主機(jī)名稱，打開它的右鍵菜單，點擊“屬性”命令，彈出DNS服務(wù)器屬性設(shè)置對話框。點擊“高級”標(biāo)簽，在高級標(biāo)簽頁面的“服務(wù)器選項”設(shè)置項處，選中“停用遞歸”選項，確認(rèn)后保存設(shè)置即可。

合理使用緩存

如果對安全訪問要求不是很高，可以合理使用DNS緩存，來提升DNS服務(wù)解析效率，改善上網(wǎng)訪問速度。默認(rèn)狀態(tài)下，Windows系統(tǒng)可用的DNS緩存空間不是很大，只能存儲少量的站點訪問記錄，不過，我們可以自己動手，手工增大該緩存空間，讓上網(wǎng)訪問更加快捷高效。要改善DNS緩存空間大小時，不妨進(jìn)行如下設(shè)置操作：

首先使用“Win+R”快捷菜單，調(diào)用系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯窗口。從該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到注冊表分支HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Dnscache＼Parameters上，看看指定分支下有沒有雙字節(jié)鍵值“CacheHashTableBucketSize”，要是沒有該鍵值的話，不妨手工創(chuàng)建好該雙字節(jié)鍵值，同時將其數(shù)值設(shè)置為“384”（如圖6所示），確認(rèn)后保存設(shè)置操作。

其次在注冊表分支HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Dnscache＼Parameters下，手工創(chuàng)建好“CacheHashTableSize”雙字節(jié)鍵值，將其數(shù)值修改為“64000”；同樣地，在相同的注冊表分支下，創(chuàng)建好雙字節(jié)鍵值“MaxCacheEntryTtlLimit”，將其數(shù)值調(diào)整為“301”。繼續(xù)在目標(biāo)分支下創(chuàng)建雙字節(jié)鍵值“MaxSOACacheEntryTtlLimit”，將其數(shù)值修改為“300”，最后重啟Windows系統(tǒng)。這樣，就能增大DNS緩存空間，更多已被訪問過的站點解析記錄會被存儲下來，那么日后用戶上網(wǎng)訪問相同站點時，速度自然會更快一些。

在安全訪問方面

DNS服務(wù)雖然可以提升網(wǎng)絡(luò)訪問速度，但也容易成為惡意用戶攻擊的對象；要是該服務(wù)遭遇攻擊，那么網(wǎng)絡(luò)訪問可能會出現(xiàn)安全麻煩，所以我們應(yīng)該掌握一定的安全預(yù)防措施，解決DNS安全訪問問題。

防止修改緩存內(nèi)容

為了改善域名解析效率，不少DNS服務(wù)器在將域名解析查詢結(jié)果反饋給終端用戶之前，會自動將其保存在高速緩存中，日后發(fā)現(xiàn)有以前的域名解析請求發(fā)送過來時，它會從高速緩存中直接調(diào)用以前的記錄，同時將該記錄返回給用戶，這樣既能加快用戶網(wǎng)絡(luò)訪問速度，又能減少DNS服務(wù)器資源消耗。不過，DNS緩存功能在給我們帶來方便的同時，也容易引起惡意用戶攻擊，比方說，要是惡意用戶使用專業(yè)工具偷偷篡改緩存內(nèi)容，不但無法提升用戶網(wǎng)絡(luò)訪問速度，而且還會引起解析結(jié)果錯誤，甚至還會劫持用戶去瀏覽惡意內(nèi)容。

為了防止惡意用戶自由調(diào)整DNS緩存內(nèi)容，我們不妨啟用DNS服務(wù)器的預(yù)防緩存污染功能，保證正確的DNS緩存內(nèi)容，不會受到惡意用戶的非法干擾。默認(rèn)狀態(tài)下，安裝在Windows Server 2003系統(tǒng)中的DNS服務(wù)器，已經(jīng)開啟了預(yù)防緩存污染功能。一旦看到其被意外關(guān)閉時，不妨進(jìn)行下面的設(shè)置，重新啟用預(yù)防緩存污染功能：

首先以系統(tǒng)管理員權(quán)限登錄Windows Server 2003服務(wù)器系統(tǒng)，逐一點擊“開始”、“設(shè)置”、“控制面板”選項，進(jìn)入系統(tǒng)控制面板窗口，雙擊其中的“管理工具”、“DNS”選項，打開DNS控制界面。選中本地服務(wù)器主機(jī)圖標(biāo)，打開它的快捷菜單，選擇“屬性”命令，彈出DNS服務(wù)器屬性設(shè)置框。

點擊“高級”選項卡，展開如圖7所示的選項設(shè)置頁面，看看“服務(wù)器選項”位置處的“保護(hù)緩存防治污染”選項有沒有被選中，當(dāng)看到其沒有處于選中狀態(tài)時，那就意味著DNS服務(wù)器當(dāng)前的緩存污染預(yù)防功能已被關(guān)閉，這時必須重新選中該選項，確認(rèn)后退出設(shè)置對話框，再重新啟動Windows系統(tǒng)即可。

對于普通終端用戶來說，如果擔(dān)心本地DNS緩存內(nèi)容遭遇惡意修改時，不妨直接停用DNS緩存功能，這樣還能避免訪問隱私外泄。要關(guān)閉終端計算機(jī)系統(tǒng)的DNS緩存功能很簡單，只要停用DNS Client服務(wù)就行，具體操作為：依次單擊“開始”、“運行”命令，打開系統(tǒng)運行對話框，在其中執(zhí)行“services.msc”命令，進(jìn)入系統(tǒng)服務(wù)列表窗口。從中選擇DNS Client服務(wù)，打開它的右鍵菜單，點擊“屬性”命令，展開對應(yīng)系統(tǒng)服務(wù)屬性設(shè)置框，看看它的工作狀態(tài)是否正常，如果看到它已經(jīng)處于正常運行狀態(tài)時，那就表示本地計算機(jī)已經(jīng)開啟了DNS緩存功能。這個時候，只要單擊“停止”按鈕，同時將啟動類型調(diào)整為“自動”，點擊“確定”按鈕即可。

防止修改網(wǎng)絡(luò)配置

在部署有DNS服務(wù)器的網(wǎng)絡(luò)環(huán)境中，如果它的網(wǎng)絡(luò)配置被人隨意修改，這很容易造成DNS服務(wù)器無法向終端用戶提供安全服務(wù)。默認(rèn)狀態(tài)下，DNS服務(wù)器的網(wǎng)絡(luò)配置信息都存儲在Root.dns、Zone_name.dns、Cache.dns等文件中，通過NTFS文件系統(tǒng)的權(quán)限管理功能對它們進(jìn)行嚴(yán)格控制，可以防止任何人隨意訪問，從而確保DNS配置安全。

以系統(tǒng)管理員權(quán)限登錄DNS服務(wù)器主機(jī)系統(tǒng)，打開系統(tǒng)資源管理器界面，將鼠標(biāo)定位到“C：＼WINDOWS＼system32＼dns”目錄上，選擇該目錄右鍵菜單中的“屬性”命令，展開“DNS”目錄屬性對話框。點擊“安全”選項卡，刪除對應(yīng)選項設(shè)置頁面中的已有用戶賬號，按“添加”按鈕，重新添加合法的用戶賬號，同時為它們分配適當(dāng)?shù)脑L問權(quán)限，單擊“確定”按鈕后，只有特定的帳戶才能訪問這些配置文件，其他任何用戶將無權(quán)訪問它，這能有效避免非法用戶的偷偷篡改操作。

此外，DNS服務(wù)器的配置內(nèi)容，還能通過注冊表途徑進(jìn)行修改。為了防范這一點，我們可以使用“Win+R”快捷菜單，調(diào)用系統(tǒng)運行對話框，輸入“regedit”命令并回車，彈出系統(tǒng)注冊表編輯窗口。將鼠標(biāo)定位到注冊表分支HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼DNS上，用鼠標(biāo)右鍵單擊該分支選項，從右鍵菜單中點擊“權(quán)限”命令，展開特定分支權(quán)限設(shè)置框，點擊“安全”選項卡，在如圖8所示的選項設(shè)置頁面中，依照實際需求進(jìn)行合理授權(quán)，確保僅讓受信任的用戶帳戶訪問指定注冊表分支信息，從而在最大程度上保護(hù)DNS服務(wù)器網(wǎng)絡(luò)配置安全。

當(dāng)然，為了防止惡意用戶通過網(wǎng)絡(luò)途徑遠(yuǎn)程訪問DNS服務(wù)器，我們還可以切斷所有用戶的網(wǎng)絡(luò)訪問權(quán)限。只要依次單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略編輯界面。將鼠標(biāo)定位到該界面的“本地計算機(jī)策略”、“計算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”分支下，雙擊該分支下的“從網(wǎng)絡(luò)訪問此計算機(jī)”組策略，在其后界面中刪除所有用戶賬號，確認(rèn)后保存設(shè)置操作，這樣惡意用戶就不能通過網(wǎng)絡(luò)隨意遠(yuǎn)程登錄并修改DNS網(wǎng)絡(luò)配置了。

防止黑客惡意攻擊

大多時候，黑客攻擊DNS服務(wù)器主要目的，就是偷偷竊取網(wǎng)絡(luò)中的重要配置信息，例如DHCP服務(wù)器地址、網(wǎng)關(guān)地址、通配符MX記錄等。為了避免黑客進(jìn)行這類攻擊，我們可以通過在網(wǎng)絡(luò)中同時部署多臺DNS服務(wù)器的方法，來干擾迷惑黑客，讓其找不到真正的攻擊目標(biāo)。

例如，先在與單位外網(wǎng)環(huán)境部署一臺虛假的DNS服務(wù)器，在這臺服務(wù)器中全部使用虛假配置信息，以達(dá)到蒙騙黑客目的。之后，在單位內(nèi)網(wǎng)環(huán)境中再安裝配置一臺真實的DNS服務(wù)器，讓該服務(wù)器對內(nèi)網(wǎng)用戶提供域名解析服務(wù)。我們可以在真實的DNS服務(wù)器中，添加平時經(jīng)常要要用到的DNS解析記錄，并利用正確設(shè)置讓其自動將其他解析記錄轉(zhuǎn)發(fā)給外部服務(wù)器。最后對終端計算機(jī)進(jìn)行配置，打開Internet協(xié)議屬性對話框，選中“使用下面的DNS服務(wù)器地址”選項，在首選DNS服務(wù)器位置處，輸入真實的DNS服務(wù)器的IP地址，單擊“確定”按鈕后執(zhí)行設(shè)置保存操作，以強(qiáng)制內(nèi)網(wǎng)終端使用真實DNS服務(wù)器上網(wǎng)。 □