DNS原理介绍ppt课件

第一章DNS相关知识,1,DNS的历史,60年末代，美国资助试验性广域计算机网络，ARPAnet(Advancedresearchprojectagency，美国国防部高级研究计划暑)，70年代时，ARPAnet只是一个拥有几百台主机的小网络，仅需要一个HOSTS文件就可以容纳所需要主机信息，HOSTS提供的是主机名也IP地址的映射关系，也就是说可以用主机名进行网络信息的共享，而不需要记住IP地址。但是随着网络的扩在，HOSTS文件已经不能够快速完成解析任务了，这时DNS出现了。实际上，DNS是一个分布式的数据库，它允许对整个数据库的各个部分进行本地控制（本地控制也是就所谓的授权，可以把数据库的一部分进行授权，减轻主DNS服务器的压力，就是按域结构进行授权）。有一点很重要，一旦DNS配置成功，HOSTS文件可以为空。因为DNS的出现就是要代替HOSTS文件的。只需一条语句就可以localhost.,2,DNS是域名系统(DomainNameSystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。,3,TLD:Top-LevelDomain顶级域名gTLD:GenericTop-LevelDomain通用顶级域名ccTLD:Countrycodetop-leveldomain国家及地区顶级域名通用顶级域名(gTLD，二级域名).com，用于商业公司.net，用于网络服务.org，用于组织协会等.gov，用于政府部门.edu，用于教育机构.mil，用于军事领域.int，用于国际组织,4,根域名服务器目前互联网全球共有13台域名根服务器，编号为从A-M.这13个根服务器中，1个为主根服务器，其余12个为辅根服务器。有9个放置在美国(含主根服务器)，2个放在欧洲，分别位于英国和瑞典，亚洲有1个位于日本。我国早在2003年就拥有了第一个根服务器的镜像F根镜像，这是由国际互联网协会和中国电信共同建立的。在2005年9月，I根的管理机构“瑞典国家互联网交换中心”在CNNIC设立了中国第二个根镜像。网通在国内开通的是第三个镜像服务器,5,域名的命名规范1、域名的命名是有一定的规范的，域名的每个lable可以由AZ（不区分大小写），0-9，-任意组合构成，但“-”不能用在最后和最前面。2、域名的每个lable大小不能超过63byte,整个域名不能超过127个lable,不能超过255byte(UDP用户数据报协议协议限制),6,DNS的体系结构,DNS的分布式数据库是一个倒树状的层次化结构，这个数据库是以域名为索引的。每个域名实际上就是这棵逆向树的路径。树的最上层是根，延伸下去可以有很多分支，这些分支的交叉点被成为节点，每个节点仍然可以继续向下分。整个树的最大深度不得超过127层，每个节点都有一个可以长达63byte的文本标号。,7,com,edu,net,gov,support,8,区和域（zone和Domain),在BIND的配置过程中，有一个非常重要的概念就是区（zone)，区和域的关系密切但不一样。区域(zone)：区域是一个用于存储单个DNS域名的数据库，它是域名称空间树状结构的一部分，DNS服务器是以区域为单位来管理域名空间的，区域中的数据保存在管理它的DNS服务器中。当在现有的域中添加子域时，该子域既可以包含在现有的区域中，也可以为它创建一个新区域或包含在其他的区域中。一个DNS服务器可以管理一个或多个区域，同时一个区域可以由多个DNS服务器来管理。用户可以将一个域划分成多个区域，分别进行管理以减轻网络管理的负荷。从管理目的来看，域名空间被分割成的多个范围称作区，每个区从一个节点开始并向下扩展到末节点或其他区开始的节点。每个区的数据被存储在一个域名服务器中，由它来通过DNS协议回答关于区的质讯,9,授权和非授权DNS设计成树状结构，是为通过授权实现分散管理。每个域都有一个域服务器包含了这个域的所有信息。还可以分成若干个子域，域服务器只保留指向子域服务器的指针我们称从根开始逐级向下可以被找到的服务器为授权服务器。如果一台服务器不被任何一台授权服务器所承认，或者说任何授权服务器都不包含到它的指针，它可能维护也能不维护任何域的信息。这就是一台非授权服务器。,10,DNS的分类,针对zone有哪些类型来分：1、主域名服务器（master)2、辅域名服务器（slave)3、辅域名服务器（stub)4、转发服务器（forward)5、线索服务器（hint)针对配置文件的内容1、授权域名服务器（注册）2、高速缓存域名服务器（衡水只有两台2级的缓存服务器）3、混合服务器（注册和缓存服务并存）,11,主域名服务器（master),英文叫做masterserver(bind8以后），或primaryserver(bind4以后），包括了一个区的主拷贝，这份拷贝来自于一些文本文件，叫做zone或hosts文件，文本的内容就是该区的所有域名信息。主域名服务器特点：1、该区内只有一个2、对整个区的数据具有权威性，可以对数据进行维护。3、直接从本地读取hosts文件而获得本域信息。备注：主域名服务器是针对一个区来讲，如果该服务器负责多个区的数据，那么它在不同的区角色是不同的。,12,辅域名服务器(slave),英文叫做slaveserver(bind9以后）或secondaryserver(bind4)辅助域名服务器使用一个叫域传输的复制过程，调入其他域名服务器的内容。但通常情况下，数据是直接从主服务器上传输过来。使用辅助域名服务器的主要目的是实现容错和工作负载的分担。特点：1、一个域内可以由多个辅助域名服务器。2、配置辅助域名服务器不需要编写hosts文件，它从主域名服务器上得到。,13,转发域名服务器（forward),一个域名服务器在提供某个区的数据查询请求的时候，可能会向其他的域名服务器转发一部分或是所有不能满足的查询请求，被称作转发服务器.备注1：转发服务器一般用于用户不希望站点内的服务器直接和外部服务器通讯的情况下。备注2：stub、hint服务器很少用到。,14,DNS的工作原理,DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个DomainName，而Server必须要回答此DomainName的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。在每一个缓存服务器中都有一个快取缓存区(Cache)，这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录在快取缓存区中，这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时，服务器就不用在到别台主机上去寻找，而直接可以从缓存区中找到该笔名称记录资料，传回给客户端，加速客户端对名称查询的速度,15,递归查询（recursion),在DNS的解析过程中经常会用到递归查询。一般客户机和服务器之间属递归查询，即当客户机向DNS服务器发出请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求，它会一直重复一个过程，向远程服务器提出查询，在依照对方的指示进行下一次查询，直到得到最终的答案或出错信息。得到结果后转交给客户机。在域名服务器查询期间，客户机将完全处于等待状态。,16,根服务器,Com服务器,B服务器,域名服务器,查询地址,提示com域的地址是什么,查询,提示域的地址,edu,net,baidu,com,Hrdeveng,testing,develop1,develop2,本地域名服务器,客户端解析器,查询,应答,查询,提示,查询,地址是23,17,非递归查询,与递归查询相对应的是非递归查询，也叫反复查询。这样的解析过程不需要被查询的域名服务器做那么多工作，这台域名服务器只要返回它已知的最合适的答案给查询者，而它本身不需要任何指向其他域名服务器的查询。他会在本地的数据中查找所需要的数据，如果没有找到最终答案，它就找出与目标最近的域名服务器的名字和地址，返回给查询者。这个指示包含它所知道的所有适合的域名服务器信息，由查询者决定使用哪一个（在目前的DNS实现中，默认还是发出非递归查询）。,18,正向解析与反向解析,正向解析就是把客户端提出的主机名转换成在网络上可以使用的IP地址。这是域名服务器最主要的工作。反向解析就是把IP地址映射到域名。反向解析最常用的用途是用在授权检查系统中。,19,第二章BIND9与DNS服务系统的建立,20,BIND的相关知识,BIND是一个基于UNIX服务器的域名解析管理软件，最初由美国加州大学伯克力分校开发，到4.9版本由数字装备公司发布（后被compaq公司收购）。从4.9.3版本开始都是由国际互联网软件协会(ISC)来制作和维护，而且由ISC的成员提供服务。BIND最新版本和补丁可以从下面两个地址获取,21,DNS服务器对硬件没有特别高的要求。电信级的DNS相对要求CPU的处理速度快些。内存大些支持的操作系统IBMAIXTru64UNIXHP-UNIXSolrisRedhatLinux,22,BIND9的安全运行,以root身份直接运行/user/loacl/sbin/named注释：1、sbin下的文件为系统管理员所用文件，所以必须用root身份才可以运行named文件。2、此文件路径为BIND9安装时所定。,23,配置基本的域名服务,最常见的域名服务器由两种，一种是caching-only的，它只配置如何找到根域，以及如何识别环回地址。另一种叫授权的域名服务器。它配置一个或多个授权的zone.配置域名服务器的主要任务就是些配置文件。1、named.conf它一般会位于安装目录的etc子目录下，这个文件定义了全局的配置参数和能够管理的zone的信息。2、zone文件zone文件的个数取决于named.conf中定义了几个zone。,24,高速缓存域名服务器(caching-onlyDNS),例/我们希望允许来自两个子公司的DNS请求acl“corpnet”/24;/24;/访问控制列表可不加Optionsdirectory”/var/named/db”;/工作目录pid-file”named.pid”;/把DNS进程文件加到工作目录中allow-query“corpnets”;/和acl同时出现;/根服务器配置zone“.”typehint;file“root.hint”;,25,/提供针对服务器自己的lookback地址的反向解析zone”0.0.127.”typemaster;file“localhost.rev”;notifyno/不通知DNS服务器在文件改变的时候进行更新;,26,Root.hint,这个zone里包括全球的根域名服务器的信息，当利用本地DNS服务器查询的时候，凡不是本地DNS权威的域名解析都要去此文件里面定义的根域名服务器进行递归查询。root.hint文件不需要手工编写，可以去网上下载或其他域名服务器上ftp.,27,;ADDITIONALSECTIONA.ROOT-SERVERS.NET.INAB.ROOT-SERVERS.NET.INA01C.ROOT-SERVERS.NET.INA2D.ROOT-SERVERS.NET.INA0E.ROOT-SERVERS.NET.INA0F.ROOT-SERVERS.NET.INA41G.ROOT-SERVERS.NET.INAH.ROOT-SERVERS.NET.INA3I.ROOT-SERVERS.NET.INA7J.ROOT-SERVERS.NET.INA0K.ROOT-SERVERS.NET.INA29L.ROOT-SERVERS.NET.INA2M.ROOT-SERVERS.NET.INA3,28,local.rev文件负责把回路地址解析成localhost。该文件非常简单，而且在各个域名服务器上基本相同。$TTL86400INSOA0.0.127.in-.(2;Serial3600;Refresheveryhour900;Retryevery15minutes3600000;Expire1000hours3600);Minimum1hourINNS.INNS.1600INPTRlocalhost,29,$TTL86400TTL(TimetoLive)。通知其他DNSServer不要Cache(暂存)记录这个Zonerecord的资料超过24小時(86400秒)。INSOA0.0.127.in-.(每个zone文件开头为SOA代表授权记录的开始，对应的Zone名0.0.127..。zoneFile负责人为.。(即info)2;SerialZonefile版本号，每次改变內容后需要把版本号值加大，例如，把2改成3。SlaveDNSServer会根据这个MasterDNSServer的Zonefile版本号來决定是否需要更新SlaveDNSServer的资料(即ZoneTransfer)3600;Refresheveryhour通知SlaveDNSServer每隔一小時(3600秒)，检查这个Zonefile版本号是否有更改,30,900;Retryevery15minutes通知SlaverDNSServer，如果无法进行检查這个MasterZonefile版本号，要每隔15分钟(900秒)再試一次。3600000;Expire1000hours通知SlaverDNSServer，如果在1000小時內(3600000秒)也无法进行检查这个MasterZonefile版本号，SlaveDNSServer就会自动刪除這个ZoneCopy3600);Minimum1hour通知其它的DNSservercache这个ZoneFile內容時，最长不应该超过这个一个小時(3600秒)INNS.第一台DNSServer名称为INNS.第二台DNSServer名称为。1600INPTRlocalhost是localhost。,31,授权的域名服务器,named.conf/在这个例子中，“”是授权的主域名记录，”eng.baidu,com”是辅域名记录。optiondirectory”/var/named”pid-file”named.pid”;/把DNS进程文件加到工作目录中allow-queryany;/默认配置recursionno;/不提供递归服务;/根服务器配置zone”.”typehint;file“root.hint”;/指导查询（可不写）,32,/提供针对服务器自己的lookback地址的反向解析zone”0.0.127.”typemaster;file“localhost.rev”;notifyno;,33,/本机是“域的主DNS服务器zone“”typemaster;file”.db”;/容许进行域传送的的域名服务器地址allow-transfer;,34,/本机是“域的辅DNS服务器zone“”typeslave;file”.bk”;/的主域名服务器地址master;/必须有指定master的语句;root.hintLoaclhost.rev略,35,由于这个zone是master类型，相应的zone文件需要在本地加载，所以文件要自行编写。$TTL38400；10hours40minutesINSOA.R.(2003120703;Serial3600;Refresheveryhour900;Retryevery15minutes3600000;Expire1000hours3600;Minimum1hour)INNS,36,第三章BIND9的日常维护管理,37,BIND9管理工具,系统管理者可以用一些工具控制和调试域名服务器的后台程序。named-checkconfnamed-checkconf-tdirectoryfilename用来检查named.conf文件的语法rndcrndc是一个非常常用的BIND的管理命令，rndc允许系统管理员控制域名管理器的运行。参数：reload重新加载配置文件和域的配置reloadzone重新加载指定的域reconfig重新加载named.conf配置文件，但不会加载已存在的域文件，即使被修改也不会加载。stop服务器停机，将最近修改存到更新域中的hosts文件中halt服务器立刻停机，修改不存入hosts，但重启后写入日志文件status显示服务器状况stats将统计信息写入统计文件中,38,BIND9的诊断工具,dig(domaininformationGroper)域信息搜索器(dig)是一种用于从域名服务器那里收集信息的命令行工具。搜索有两种模式：针对一条请求的简单模式和执行多查询的批模式。dig的命令格式dig服务器域dig可以清晰而完整的显示DNS的响应信息例：#diga.root-.ns还可以利用dig进行区传送例：#digaxfr/ixfr,39,nslookup用法介绍,nslookups是一个向因特网域名服务器发送请求的程序，它可以模拟解析器或域名服务器的行为，以致于成为一个较好的故障诊断和排除的工具。命令格式：交互式和非交互式交互式允许向名服务器查询多个主机和域或者打印出在一个域中的主机列表。非交互式模式用来显示一个主机或域的名字或被请求的信息,40,A(Address)记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的webserver上。同时也可以设置您域名的二级域名。MX（MailExchanger）记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如，当Internet上的某用户要发一封信给user时，该用户的邮件系统通过DNS查找这个域名的MX记录，如果MX记录存在，用户计算机就将邮件发送到MX记录所指定的邮件服务器上。NS（NameServer）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。,41,42,43,44,45,BIND的简单障碍排除,步骤先用traceroute8/看能不能到本地cache服务器。如不能则说明本地服务器有故障如可以到本地再用nslookup看是否本地解析正常。如不正常则登录到本地cache服务器，用psef|grepnamed看named进程是否正常启动killPID号杀掉named进程重启named进程,46,导致Bind不工作的原因可以分为以下几种：Bind安装和编译过程不正确，导致named进程无法启动；存放named启动的临时文件不存在或权限不对；主要配置文件存在严重的语法错误；无法进行递归查询；无法正确解析本地域名；本地域名无法在其他域名服务器上正确解析。,47,BIND9的安全性,BIND的安全问题会引发的危险1、如果允许域传送的话，就可能让攻击者得到很多他们感兴趣的信息，如完整的主机和路由器的IP地址列表，以及可能的相关的其它信息。2、DOS（DenialOfService）终止服务。如果用户所有的DNS服务器down机了，则：a)用户可能无法访问这个域中的web服务器，因为无法解析到web服务器的ip地址。b)无法发送电子邮件。（当然，经常合这些DNS交换数据的其它服务器中可能缓存了这些DNS的记录，但是这也不会保留太长的时间。）c)攻击者可以启动一台假的DNS服务器，从而向internet中发布有关用户域的虚假信息。这个域的真实性就没有了。参看下面的内容。3、域的真实性的丢失。如果攻击者可以修改DNS数据，或是使得其它的主机使用虚假的DNS数据（有人叫做DNS中毒），这将是非常危险的：a)假的web站点可以用来获得用户信息。如，用户名、密码、PIN等等。b)所有的电子邮件可能先被发送到一个中继主机，这样这些邮件在最终被发送到用户服务器之前，中继主机可以拷贝、修改和删除这些邮件。,48,c)如果用户的防火墙或可访问internet的主机使用DNS来定义主机的授权和信任关系。尤其是当用户使用了比较脆弱的过滤方式的时候，这就更加不安全。假设一台web代理服务器上只允许来自*的代理请求。攻击者可以将自己的主机加到这个域中，则这台代理服务器就会允许他的主机进行代理的请求，这样攻击者就可以通过HTTP访问到用户的内部网络。假设有一个使用SSH的系统管理员，防火墙主机的.shosts文件中记录了作为信任主机，admin就是这个管理员使用的主机。如果攻击者将的主机名替换成自己的IP，他就会不使用密码而登录防火墙主机了。在2001年的冬天，出现了利用DNS漏洞进行攻击的自动工具和蠕虫工具，因此DNS逐渐变成“黑客”比较喜欢的攻击目标。相关的措施,49,通过下列的措施，可以减少BIND的风险：1、资源隔离：使用一台系统坚固性能良好的主机作为专用的DNS服务器，系统上不要运行其它的服务，尤其是尽量禁止用户登录。最少的用户和服务可以减少容易引发网络攻击的运行的软件数量。这样阻止针对本地用户或服务的漏洞进行的系统攻击。2、冗余：在具有不同的internet连接的地方（如公司外的网络，或其它的ISP，等）设置二级域名服务器。如果用户的DNS死掉了，至少其它的站点不会认为它不存在了，而只是认为暂时失效。这样象电子邮件就不会丢失，而会被暂时排入队列中（通常最长达4天）。3、使用最新的BIND版本。（如8.3.4或9.2.3等）4、访问控制：将域传送的信息限制在攻击者能得到的最少程度上。可以考虑使用传送加密和限制甚至禁止第归的请求。,50,5、用最小的权限来运行BIND：使用非root用户，和更加严格的umask。6、更多的资源隔离：使用chroot，将BIND运行在一个范围内。这样即使是运行了一个不可靠的BINDdaemon程序，也会使它对操作系统或其它服务的危害，限制在最小的范围之内。7、配置BIND，使其不返回它的真实版本号：可能很多人都不相信隐藏版本号是非常重要的措施，其实，这样做至少能防止那些直接使用一些脚本在网上搜寻明显目标来攻击的低级“黑客”。8、检测：