B、DNS服務器

　DNS服務器是Internet上其它服務的基礎，它處理DNS客戶機的請求:將名字與IP地址進行互換，并提供特定主機的其它已公布信息(如MX記錄等)。一般而言，網管們碰到的大多會有以下幾種情況。

　1.名字欺騙。

　　當主機B訪問主機A(同時也作為DNS服務器)如執行rlogin時，A接收到這個連接并獲得發起本次連接主機B的IP地址。為驗證本次連接的合法性，主機A就向本地DNS服務器逆向查詢對應于這個IP地址的主機名字。當返回查詢結果——主機名B為本機所信任的主機時，就允許來自B的遠程命令rlogin。

　　下面我們再來看看主機D是如何利用驗證漏洞來欺騙主機A的。當主機D也執行rlogin時，主機A同樣要驗證本次連接的合法性。如果A不能根據D的IP在本地DNS服務器中查詢到對應的主機名時，就會向其它DNS服務器發出請求，最后終會找到DNS服務器C。

　　如果入侵者修改DNS服務器C中對應于自己IP地址的主機名為主機B時，主機A就會獲得對應于D的IP地址的主機名是B的逆向查詢結果，因此主機A認可本次連接。于是欺騙A成功。

　　2.信息隱藏。

　　當某個企業由于保密等原因的需要，給某些特定主機以特定的內部主機名，而這些主機密碼又被入侵者獲取時，存放保密數據的服務器主機就會完全暴露。

　　解決以上兩個問題的辦法主要有兩種:

　　1)直接利用DNS軟件本身具備的安全特性來實現;

　　2)以防火墻/NAT為基礎，并運用私有地址和注冊地址的概念。簡而言之就是將內部DNS服務器和外部DNS服務器進行物理分開，內部DNS服務器解析私有的IP，而外部DNS則解析公開的IP。內部主機使用私有地址;對Internet服務的主機用NAT完成注冊地址到其私有地址的靜態映射;訪問Internet的主機用NAT完成其私有地址到注冊地址的動態映射。

    C、MAIL服務器

　　MAIL服務器一直因其安全性而成為廣大網友抱怨的對象。的確，從理論上講，MAIL服務是一種不安全的服務，因為它必須接受來自INTERNET的幾乎所有數據。Internet上，服務器間的郵件交換是通過SMTP協議來完成的。主機的SMTP服務器接收郵件(該郵件可能來自外部主機上的SMTP服務器，也可能來自本機上的用戶代理)，然后檢查郵件地址，以便決定在本機發送還是轉發到其它一些主機。Unix系統上的SMTP程序通常是Sendmail。有關Sendmail的安全問題重要的原因在于它是一個異常復雜的程序，而另一個原因是它需root用戶特權運行。

　　解決的方法大致有三種:

　　1. 使用Unix系統自帶的安全特性;

　　2. 使用代理;

　　3. 直接修改源碼。

　　以上是對網絡服務器安全問題及其解決辦法的一些初步探討。其實，關鍵的問題還是在于網絡管理員對網絡安全意識的建立和實施。因為多數網絡安全事件的發生，都是因為網絡管理員安全意識的缺乏和防范措施實施的不到位。

原文轉自：http://www.kjueaiud.com