DNS协议ppt

DNS目标了解DNS的概念掌握使用Linux/bind配置域名服务器的基本方法了解不同类型域名服务器的配置方法掌握域名服务调试原理及调试工具课程组成1、什么是DNS？2、DNS工作原理3、DNS系统组成4、BIND5、典型服务器配置6、DNS安全、日志分析入门8、DNS协议的简单分析1、什么是DNS什么是DNSDNS（英文单词的全称是：DomainNameSystem，域名系统）,DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串CNcomDUDNS作用树状分层结构组织管理计算机查找名字与地址之间的对应关系net…bec…com…INTERNEThost1host1.bec.com.cnhost1.bec.com.cn?DNSServerDNS的设计目标(一)、为访问网络资源提供一致的名字空间；(二)、从数据库容量和更新频率方面考虑，必须实施分散的管理，通过使用本地缓存来提高性能；(三)、在获取数据的代价、数据更新的速度和缓存的准确性等方面折衷；(四)、名字空间适用于不同协议和管理办法，不依赖于通讯系统；(五)、具有各种主机的适用性，从个人机到大型主机。DNS的特点DNS的特点：＊树形结构：＊采用Client/Server工作方式；＊一个Domain一般是一个工作站群，可有一个主域名服务器及若干辅域名服务器；＊应用层协议是标准TCP/IP协议的一个组成部分。DNS结构与作用机制educncomac第二级第三级第四级DNS树状结构图2、DNS系统组成DNS包含三个主要组成部分：(1)、域名空间(NameSpace)和资源记录(ResourceRecord)(2)、域名服务器(NameServer)用以提供域名空间结构及信息的服务器程序。(3)、解析器(Resolver)作用是应客户程序的要求从域名服务器抽取信息。（1）域名空间域名空间被设计成树状层次结构，类似于UNIX的文件系统结构域名空间Internet的域名组成最上层设有九类组织：COM商业组织EDU教育机构GOV政府机构MIL军事单位NET提供网络服务的单位ORG非赢利性组织INT国际组织ARPA由ARPANET沿留的名称国家名称资源记录资源记录是与名字相关联的数据，域名空间的每一个节点包含一系列的资源信息。资源记录一条资源记录共有5项，分别是域名（Domain_name）、生存时间（Time_to_live）、类型（Type）、类别（Class）、值（Value）(2)域名服务器(NameServer)用以提供域名空间结构及信息的服务器程序LINUX默认是BIND，提供域名解析服务域名服务器分类分类：根（root）服务器由NIC来维护主域名服务器（PrimaryServers）负责一个域的名称解析，通常为一个辅助域名服务器（SecondaryServers）域的冗余和备份专用缓存域名服务器（Cache-onlyServers）缓存非授权的DNS信息转发域名服务器（ForwardingServers）（3）解析器(Resolver)作用是应客户程序的要求从名字服务器抽取信息3、DNS如何工作DNS工作地址是什么？根服务器向cn域查询地址是什么cn服务器向.com.cn查找查询sina.com.cncom.cn服务器地址是61.135.153.182sina.com.cn名服务器·cncomsina263mailpopDNS作用机制查询方式-递归方式查询方式-循环（交互）方式4、BINDBIND简介BIND（BerkeleyInternetNameDomain）BerkeleyUniversityISC组成域名系统服务器（named）域名系统解析库域名系统服务器调试工具版本BINDV4BINDV8BINDV94、BINDBIND提供linux下的域名服务。简介：BIND是C/S系统客户端是转换程序（resolver）服务器端是named守护进程配置实例通过例子学习DNS解析域名：aoking.com服务器：192.168.1.120相关配置文件1）客户端：(默认安装）/etc/host.conf系统自带/etc/resolv.conf系统自带2）服务器端：/etc/named.conf系统自带/var/named/named.local/var/named/named.ca/var/named/localhost.zone/var/named/name2ip.conf（正向解析，自建,可由localhost.zone拷贝生成）/var/named/ip2name.conf（反向解析，自建,可由named.local拷贝生成）3）其他：/etc/hosts系统自带/etc/nsswitch.conf客户端配置文件详解/etc/host.conf文件/etc/host.conf是用来控制本地转换程序设置的文件。该文件告诉转换程序使用哪些服务以及按照什么顺序进行查询。该文件的字段可以用空格或制表符来分隔/etc/host.conf1)Order指定按照哪种顺序来尝试不同的名字解析机制。按列出的顺序进行指定的解析服务。支持下面的名字解析机制：hosts试图通过查找本地/etc/hosts文件来解析名字bind使用DNS服务器来解析名字nis使用NIS服务来解析主机名字/etc/host.conf2)Multi以off和on为参数。与host查询一起使用，用来确定一台主机是否在/etc/hosts文件中，制订了多个IP地址（该项对于DNS和NIS无效）3)Nospoof若在反向解析找出与指定的地址匹配的主机名，则对返回的地址进行解析以确认它确实与您的查询地址相匹配。为了防止“骗取”IP地址，通过指定nospoofon来允许此功能/etc/host.conf4)Alert以off和on为参数。若为on，则任何试图骗取IP地址的行为都通过syslog工具进行记录5)Trim以域名为参数。在查找名字前先删除此域名，再从文件/etc/hosts查找匹配的主机名/etc/resolv.conf当配置转换程序使用BIND域名服务查询主机时，必须告诉转换程序使用哪一个域名服务器。用来完成这项任务的工具就是/etc/resolv.conf文件选项说明domain定义默认的域名（主机的本地域名）search指定域名搜索表（最多六个域名参数）nameserver列出域名服务器的IP地址（最多可以出现三个nameserver指令）options为解析器定义处理方式，常用的选项有：rotate打开客店端轮询查询选项。当nameserver中定义多个域名服务器时，进行轮询查询nochecknames禁止检测被查询的域名是否符合RFC952，当需要使用带有下划线“_”的域名时，需设置该项inet6可以使解析器查询ipv6地址服务器端文件配置详解服务器端配置文件详解/etc/named.conf：主配置文件/var/named/named.ca：根域名服务器指向文件/var/named/localhost.zone/var/named/named.local/var/named/name2ip.conf/var/named/ip2name.conf默认的localhost区文件用户配置的区文件更新named.ca1、ftpFTP.RS.INTERNIC.NET登陆名：anonymous密码：your_account@your.mail.servercddomaingetnamed.root退出：bye2、cp/var/named/named.ca/var/named/named.ca.bak3、catnamed.root/var/named/named.ca1、主配置文件/etc/named.conf设置named的参数，指向该服务器使用的域数据库的信息源主配置文件named.conf的配置语句配置语句说明acl定义IP地址的访问控制清单controls定义rndc命令使用的控制通道include将其他文件包含到本配置文件当中key定义授权的安全密钥logging定义日志的记录规范options定义全局配置选项server定义远程服务器的特征trusted-keys为服务器定义DNSSEC加密密钥zone定义一个区全局配置语句options语法：options(配置子句；配置子句；);全局配置语句options子句说明recursionyes|no是否使用递归式DNS服务器，默认为yestransfer-formatone-answer|many-anser是否允许在一条消息中放入多条应答信息，默认值为one-answer。directory“path”定义服务器区配置文件的工作目录，RedHatLinux9默认为/var/namedforwarders｛IPaddr｝定义转发器区（zone）声明zone“zone-name”IN(type子句；file子句；其他子句；)；一条区声明需要说明：（１）域名；（２）服务器的类型；（３）域信息源。常用的区声明子句子句说明typemaster|hint|slave说明一个区的类型：master：说明一个区为主域名服务器;hint：说明一个区为启动时初始化高速缓存的域名服务器;slave：说明一个区为辅助域名服务器file“filename”说明一个区的域信息源数据库信息文件名，即正向解析时的文件名2、区文件定义一个区的域名信息，通常也称域名数据库文件。每个区由若干资源记录和区文件指令构成。9.1资源记录DomainTimetoLiveClassrecordtyperecorddataDomain:要定义的资源记录的域名TimetoLive：存活期class：类别，采用IN，代表INTERNETrecorddata：记录数据recordtype：记录类型A主机CNAME别名MX邮件交换记录NS域名服务器PTR地址解析成主机SOA定义服务器资源信息启动DNS/etc/rc.d/init.d/namedstart、restart、stop或者在setup中设置9.4测试DNSnslookupnslookup-dnsservernslookuphostnamenslookupdigdighostnamequery-typehosthost-a|-tquery-typehostname|domainname查看vi/var/log/messages：一般有'auth-nxdomain'和IPV6的提示是正常的9.5DNS的安全管理查询请求限制:只允许该范围的IP查询本DNSoptions{allow-query{166.22.33.0/24;};}对特殊的域进行限制：只允许该域的主机查询本DNSallow-query{“poststart.com.cn”};防止非授权的数据库文件传送:只允许指定辅助DNS复制本DNS的数据。allow-transfer{166.22.0.16;};DNS的安全管理options(version“IamFBI”;）黑客探测dns版本，然后根据该版本的漏洞来攻击。配置了这条命令后，别人再探测的版本后就是“IamFBI”了配置域名转发当DNS客户端向指定的DNS服务器要求进行域名解析时，若此域名服务器无法解析，它将用缓存中的信息帮助定位能解析的其他服务器options{forwarders｛202.106.196.115；202.106.0.20