配置DNS服務專題問答

當嘗試將Windows系統的DNS Client服務配置成停止運行狀態時，終端計算機系統就無法成功進行地址解析操作，請問這種說法是否正確？

答：自然不正確，之所以不少人會有這樣的認識，主要在于微軟的誤導。在Windows的服務管理中，微軟對DNS Client服務是這樣解釋的，“為此計算機解析和緩沖域名系統 (DNS) 名稱。如果此服務被停止，計算機將不能解析DNS名稱并定位Active Directory域控制器。如果此服務被禁用，任何明確依賴它的服務將不能啟動。”微軟這樣的解釋是很不負責任的話。其實DNS Client服務僅僅是客戶端系統對DNS解析內容的緩存服務，關閉了該服務并不會對DNS解析操作造成影響，只是客戶端系統無法繼續緩存DNS解析內容了。關閉這個系統服務，對上網瀏覽影響不是很大，從安全角度來看，啟用該服務反而能泄漏用戶的緩存內容，因為通過緩存內容就能確定用戶曾經訪問過的網頁內容。從上網速度來看，關閉該系統服務可能會降低上網反應速度，不過影響一般不是很大。

目前很多惡意用戶會通過DNS服務的高速緩存，來對DNS服務器實施欺騙攻擊，影響用戶的正常上網訪問，請問如何配置DNS服務器，來有效避免這種欺騙攻擊？

答：可以進行的配置操作，來避免這種欺騙攻擊：一是修改DNS服務器的TTL值，讓其變得稍微小一些，以便預防DNS緩存中毒。在進行這種修改時，打開注冊表編輯窗口，跳轉到HKEY_LOCAL_MACHINESystemCurrentControlSetS e r v i c e sT c p i pParameters分支上，雙擊DefaultTTL鍵值，輸入“32”或“64”，再 刷 新系統注冊表即可，當 然TTL數值不宜過小，否則DNS服務器運行負擔會加重。二是關閉DNS緩存功能，讓黑客無法利用DNS緩存漏洞實施欺騙攻擊；……