网络安全学习--DNS部署与安全

Posted 丢爸

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全学习--DNS部署与安全相关的知识,希望对你有一定的参考价值。

DNS

DNS(Domain Name Service):为客户机提供域名解析服务器

DNS服务器分类
  • 主要名称服务器
  • 辅助名称服务器
  • 根名称服务器
  • 高速缓存名称服务器

域名组成

域名组成概述

主机名.域名称为完全限定域名(FQDN),一个域名下可以有多个主机,域名全球唯一,主机名.域名肯定是全球唯一的。
以"sina.com.cn"域名为例,一般管理员在命名其主机的时候会根据其主机的功能命名,比如网站是www,博客是blog,论坛是bbs,那么对应的FQDN为www.sina.com.cn,blog.sina.com.cn,mail.sina.com.cn,这么多个FQDN只需要申请一个域名即sina.com.cn即可

域名组成

树形结构

根域:【.】
顶级域:

  • 国家顶级域:cn,jp,hk,us
  • 商业顶级域
    • edu:教育机构
    • org:民间组织
    • net:非盈利性组织
    • gov:政府机构
    • mil:军事机构
      一级域名
      二级域名

监听端口

TCP 53
UDP 53

DNS解析种类

按查询方式
  • 递归查询:客户机与本地DNS服务器之间
  • 迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程

根域名服务器全球有13台

按查询内容
  • 正向解析:已知域名,解析IP地址
  • 反向解析:已知IP地址,解析域名

A记录:正向解析记录
CNAME记录:别名
PTR记录:反向解析记录
MX:邮件交换记录
NS:域名服务器解析

DNS搭建

  1. 安装DNS服务
C:\\Documents and Settings\\Administrator>netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:23             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    10.1.1.3:139           0.0.0.0:0              LISTENING
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    10.1.1.3:67            *:*
  UDP    10.1.1.3:68            *:*
  UDP    10.1.1.3:123           *:*
  UDP    10.1.1.3:137           *:*
  UDP    10.1.1.3:138           *:*
  UDP    10.1.1.3:2535          *:*
  UDP    127.0.0.1:123          *:*
  UDP    127.0.0.1:1025         *:*
  #安装DNS服务后,端口TCP,UDP53开启
  C:\\Documents and Settings\\Administrator>netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:23             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:53             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1030           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    10.1.1.3:139           0.0.0.0:0              LISTENING
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:1029           *:*
  UDP    0.0.0.0:4500           *:*
  UDP    10.1.1.3:53            *:*
  UDP    10.1.1.3:67            *:*
  UDP    10.1.1.3:68            *:*
  UDP    10.1.1.3:123           *:*
  UDP    10.1.1.3:137           *:*
  UDP    10.1.1.3:138           *:*
  UDP    10.1.1.3:2535          *:*
  UDP    127.0.0.1:53           *:*
  UDP    127.0.0.1:123          *:*
  UDP    127.0.0.1:1025         *:*
  UDP    127.0.0.1:1028         *:*
  1. DNS安装完成后,在开始->管理工具->DNS打开DNS配置窗口
  2. 在“正向查询区域”上右键点击“新建区域”,创建新的区域
  3. 区域类型选择主要区域
  4. 区域名称输入要解析的区域名称,本文以baidu.com为例
  5. 生成区域解析文件
  6. 动态更新选择不允许动态更新
  7. 区域建立完成后,显示如下
  8. 右键–新建主机,添加主机
  9. 输入主机名和对应的IP地址
  10. 在另一台虚拟机的网络配置中,DNS选择刚配置好的DNS服务器地址
#查看域名解析是否正常
C:\\Documents and Settings\\Administrator>nslookup www.baidu.com
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 10.1.1.3: Timed out
Server:  UnKnown
Address:  10.1.1.3

Name:    www.baidu.com
Address:  1.1.1.1
#清空DNS缓存
C:\\Documents and Settings\\Administrator>ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.
#查看DNS缓存信息
C:\\Documents and Settings\\Administrator>ipconfig /displaydns

Windows IP Configuration

    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 604043
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 1
    Time To Live  . . . . : 604043
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 127.0.0.1
  1. 解决nslookup时,Can’t find server name for address 10.1.1.3: Timed out问题,需要在DNS服务器上先建立一条主机记录(A记录),名字随便起一个,IP使用DNS服务器IP。
  2. 在DNS服务器的反向查找区域上点击右键,添加区域,输入DNS服务器的网络名
  3. 系统会自动创建区域文件
  4. 新建指针用于反向解析
  5. 输入DNS的IP址,并选择刚新建的dns1主机名


  6. 选择完成后,再进行dns解析测试
#再次进行DNS解析,则不会出现错误提示
C:\\Documents and Settings\\Administrator>nslookup www.baidu.com
Server:  dns1.baidu.com
Address:  10.1.1.3

Name:    www.baidu.com
Address:  1.1.1.1

别名

  1. 在DNS服务器的正向查找区域中,右键新建别名(CNAME)记录
  2. 输入别名和目标主机的FQDN
  3. 别名设置完成后,可以通过别名解析DNS记录
C:\\Documents and Settings\\Administrator>nslookup tye.baidu.com
Server:  dns1.baidu.com
Address:  10.1.1.3

Name:    www.baidu.com
Address:  1.1.1.1
Aliases:  tye.baidu.com

辅助DNS

  1. 在第二台服务器上安装DNS服务
  2. 在第二台服务器上安装DNS服务
  3. 通过开始->管理工具->DNS,打开DNS配置窗口
  4. 通过右键点击“正向查找区域”,选择“新建区域”,下一步在区域类型处选择“辅助区域”
  5. 区域名称输入要解析的区域名称
  6. 添加主DNS的IP
  7. 类型为辅助区域
  8. 配置完成后,解析记录直接从主的DNS服务器上复制。

以上是关于网络安全学习--DNS部署与安全的主要内容,如果未能解决你的问题,请参考以下文章

企业dns服务器部署详解(下)—dns双向解析/dns集群/ddns安全动态域名解析

DNS部署和安全(图文解析)~千锋

PublicCMS开源CMS系统的部署与安全测试

PublicCMS开源CMS系统的部署与安全测试

安全牛学习笔记DNS区域传输DNS字典爆破DNS注册信息

安全牛学习笔记DNS信息收集-DIG