DNS管理實(shí)務(wù)課件目錄DNS簡介DNS原理DNS服務(wù)器架設(shè)與維護(hù)DNS安全與除錯DNS進(jìn)階議題2DNS簡介3DNS簡介-為什么需要DNS?Internet透過IP來代表網(wǎng)絡(luò)上的各臺設(shè)備IP由一串?dāng)?shù)字組成，難以記憶為了方便記憶，透過有意義的文字來代表0V.S..tw

早期網(wǎng)域名稱透過hosts檔管理（超大本黃頁）/etc/hosts數(shù)量龐大且頻繁異動->難以擴(kuò)展/難以維護(hù)如何解決？使用DNS

許多服務(wù)得要仰賴DNSVirtualHostingCDN...4DNS簡介-什么是DNS?DNS(DomainNameService)網(wǎng)域名稱服務(wù)分散式的數(shù)據(jù)庫由世界各地不同的DNS服務(wù)器所組成每臺服務(wù)器負(fù)責(zé)不同的部份

提供IP與名稱的對應(yīng)資料查詢每一筆紀(jì)錄稱為一個RR(ResourceRecord)其他功能提供電子郵件的路由信息(MX)

可以透過多臺服務(wù)器來提高可用性每臺服務(wù)器提供相同資料如果一臺故障，就能夠透過其他臺查詢5常見的RR種類們SOAStartofauthorityNSNameserver(delegationrecord)AAddress(IPv4)AAAAAddress(IPv6)PTRPointer(reverselookup)MXMailexchangeDNS簡介-DNS命名空間(DNSNameSpace)(1/2)所有DNS名稱的集合透過"."(Dot)分隔形成階層式/樹狀的架構(gòu)(類似計算機(jī)的檔案系統(tǒng))樹狀結(jié)構(gòu)的最上層稱為Root，底下每個節(jié)點(diǎn)都是一個Domain，可向下分Sub-domainRoot的下一層稱為TopLevelDomain(TLD)ccTLD(CountryCodeTLD):.tw.us....gTLD:.com.net.gov…域名(DomainName)自Root開始，由右往左擴(kuò)展（不包含root).tw如果包含Root則稱為FQDN(Fully-qualifieddomainname).tw.不區(qū)分大小寫，名稱絕不重復(fù)www.NcT.tw長度限制Label長度須小于63

個字符FQDN長度小于255

個字符6www.nctu.edu.tw.LabelFQDN由右往左DomainNameDNS簡介-DNS命名空間(DNSNameSpace)(2/2)7.(root)twuseducomnctuDomainSubdomainwww.tw.edu.tw..tw..tw.FQDNDNS簡介-DNSZone回憶：DNS是一個分散式數(shù)據(jù)庫究竟誰負(fù)責(zé)哪個部份的資料？Zone每臺DNS服務(wù)器的最小管理單位一臺DNS服務(wù)器可以管理多個Zone跟Domain一樣嗎？Zone可以包含其Sub-domain如何區(qū)分Zone的范圍？授權(quán)(Delegation)Sub-domain經(jīng)過Delegation后，就會離開Zone的范圍，將管轄權(quán)交給其他服務(wù)器8DNS簡介-授權(quán)(Delegation)將自己所管轄的區(qū)域(Zone)切割給其他人管理一但一臺DNS服務(wù)器被授權(quán)某個Sub-domain

則此DNS服務(wù)器就具有權(quán)威性(Authortative)上層不再管理

注冊新的網(wǎng)域(DomainRegistration)付錢之后獲得某個網(wǎng)域的授權(quán)9DNS原理10DNS原理-DNS協(xié)定11通常使用TCP/UDP53Port，其中又以UDP53Port為主若使用UDP，則最大的封包大小為512bytes(除非使用EDNS0)定義多個DNS操作Query:用戶查詢DNS紀(jì)錄Response:服務(wù)器回答DNS紀(jì)錄ZoneTransfer:服務(wù)器之間同步資料Notification:通知其他服務(wù)器更新資料DynamicUpdates:動態(tài)域名更新DNS原理-DNSQuery(1/4)用戶使用應(yīng)用程序應(yīng)用程序透過Resolver向DNS服務(wù)器進(jìn)行查詢并且得到所要的信息兩種查詢方式遞回查詢(Recursivequery)Resolver與DNS服務(wù)器之間的查詢方式問問題之后，只接受有(正確找到資料)或沒有資料(找不到名稱)迭代查訊(Iterative)DNS服務(wù)器之間的查詢方式如果被問的服務(wù)器沒有答案，則回傳權(quán)威服務(wù)器(AuthoritativeServer)的位址，由客戶端自己去問該臺服務(wù)器12DNS原理-DNSQuery(2/4)

13DNS原理-DNSQuery(3/4)

真實(shí)案例詢問.au

的位址14DNS原理-DNSQuery(4/4)依據(jù)查詢的類型又可以大致分為正解(ForwardLookup)DomainName->IP(又稱為Forwardmapping)例如:.tw->27反解(ReverseLookup)用IP來反查DomainName,IP->DomainName(又稱為Reversemapping)透過特殊的

這個TLD(這被歸類為InfrastructuregTLD)進(jìn)行查詢例如查詢27所對應(yīng)的域名16.->.注意："16".與我們域查詢的IP是顛倒的，為什么？正解與反解資料不必然要相同如果有架設(shè)郵件服務(wù)器請小心！15DNS原理-DNS服務(wù)器分類(1/2)分類上，大致可分為三種主要名稱服務(wù)器(Primary/MasterServer)由自己的檔案系統(tǒng)中取得所管理的Zone的資料

次要名稱服務(wù)器(Secondary/SlaveServer)從其他臺名稱服務(wù)器(通常是Master)中取得所管理的Zone的資料

快取名稱服務(wù)器(Cache-onlyServer)將客戶查詢過得DNS服務(wù)器記起來，不管理Zone加速查詢時間，節(jié)省頻寬每筆資料超過活命時間(Time-to-live)就會被清除快取分為Positivecache(有問到資料的)跟Negativecache(問不到資料)16DNS原理-DNS服務(wù)器分類(2/2)對于一個Zone來說，其所有DNS服務(wù)器資料應(yīng)該要同步不同部會導(dǎo)致如何同步？分享檔案系統(tǒng)(Sharedfilesystem)，象是NFS之類的手動修改每臺服務(wù)器的資料(累死)把Zone資料放進(jìn)共享的數(shù)據(jù)庫(SharedDatabase)使用ZoneTransfer(Master/Slaveserver間同步就是這樣做）

對于授權(quán)(Delegation)與查詢(Query)來說，沒有主要次要之分一個Zone可以授權(quán)給多臺DNS服務(wù)器管理這些DNS服務(wù)器地位平等，不論他是Master還是Slave17DNS架設(shè)與維護(hù)18DNS架設(shè)與維護(hù)-第一次登入DNSServer19透過SSH登入DNSServer連線工具Putty(https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe)預(yù)設(shè)賬號dnsman預(yù)設(shè)密碼Dn$m4n

登入后立即修改密碼求求你，密碼不要太簡單（至少8位，有英文大小寫數(shù)字符號空格）$passwd($符號代表shellprompt，不用輸入)

如果想要建立自己的賬號$sudouseradd[你的使用者名稱]-s/bin/bash-Gsudo-m-d/home/[你的使用者名稱]$sudopasswd[你的使用者名稱]DNS架設(shè)與維護(hù)-安裝相關(guān)套件更新套件庫$sudoapt-getupdate安裝套件Bind9$sudoapt-getinstall-ybind9設(shè)定開機(jī)時啟動服務(wù)$sudosystemctlenablebind9立即啟動服務(wù)$sudosystemctlstartbind9dpkg-l|grepbindsystemctlstatusbind920DNS架設(shè)與維護(hù)-相關(guān)目錄與設(shè)定檔

/etc/bindBind9的設(shè)定檔都放在這兒/etc/bind/named.confBind9啟動設(shè)定檔，所有設(shè)定檔的源頭，別碰它/etc/bind/named.root還記得root網(wǎng)域嗎？這就是根網(wǎng)域的位址，別碰它/etc/bind/named.conf.default-zones預(yù)設(shè)的Zone，別碰它/etc/bind/named.conf.options所有全域的選項都放在這里/etc/bind/named.conf.local你要加的設(shè)定都放這里/var/cache/bind預(yù)設(shè)的相對目錄路徑21DNS架設(shè)與維護(hù)-設(shè)定檔語法

named.conf中包含以下幾種陳述(statements)includeoptionsserverkeyaclzoneviewcontrolsloggingtrusted-keys注解//Comment每個設(shè)定的尾巴都要加上分號;22DNS架設(shè)與維護(hù)-位址比對清單(AddressMatchList)

可以包含IPaddress,例如:7IPaddress/CIDRMask,例如:140.113/16先前定義的ACL加密金鑰利用!反向FirstMatch范例{!;1.2.3/24;};{128.138/16;198.11.16/24;204.228.69/24;;};23DNS架設(shè)與維護(hù)-存取控制acl

語法aclacl_name{address_match_list};預(yù)設(shè)ACLany,localnets,localhost,none范例

aclCSnets{

140.113.235/24;140.113.17/24;140.113.209/24;140.113.24/24;

};

aclNCTUnets{

140.113/16;10.113/16;140.126.237/24;

};

allow-transfer{localhost;CSnets;NCTUnets};24DNS架設(shè)與維護(hù)-全域設(shè)定options

編輯/etc/bind/named.conf.options

aclCampus{140.113/16;};

options{

version"";//拿掉版本號

listen-onport53{any;};//Listen在所有IPv4

listen-on-v6port53{any;};//Listen在所有IPv6

allow-query{any;};//允許所有人向我發(fā)送Query

recursiontrue;//開啟遞回查詢

allow-recursion{localhost;Campus;};//限制遞回查詢

};sudorndcreload25DNS架設(shè)與維護(hù)-區(qū)域宣告zone(1/3)

用來宣告其為AuthoritativeZone語法

zone".tw"{

typemaster|slave|stub;

file"path”;//Zone數(shù)據(jù)庫檔案

masters{ip_addr;ip_addr;};

allow-query{address_match_list}; [all]

allow-transfer{address_match_list}; [all]

allow-update{address_match_list}; [empty]

};26DNS架設(shè)與維護(hù)-區(qū)域宣告zone(2/3)

MasterServer范例

aclTrusted_slaves{0;2001:288:4000:66::70;};zone".tw"IN{

typemaster;

file"master/.tw.hosts";

allow-query{any;};

allow-transfer{localhost;Trusted_slaves;};

allow-update{none;};

};27DNS架設(shè)與維護(hù)-區(qū)域宣告zone(3/3)

SlaveServer范例

zone".tw"IN{

typeslave;

file"slave/.tw.hosts";

masters{07;};

allow-query{any;};

allow-transfer{localhost;CS-DNS-Servers;};

};28DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(1/13)存在于MasterServer純文字檔內(nèi)容有兩種ResourceRecord(RR)真正儲存資料的部份Parser指令用來修改或管理RR29DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(2/13)Parser指令必須要在第一欄必須要自己獨(dú)立一行$ORIGINfqdn補(bǔ)充fqdn使其成為FQDN$INCLUDEfile-name引入檔案$TTLdefault-ttl設(shè)定RR預(yù)設(shè)的存活時間$GENERATEstart-stop/[step]lhstyperhs用來產(chǎn)生一系列類似的RRtype僅支援CNAME,PTR,NSRR30DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(3/13)ResourceRecord(RR)格式

[name][ttl][class]typedataname:名稱，可以是相對或是絕對(FQDN)ttl:這條RR的存活時間，以秒為單位class:網(wǎng)絡(luò)類型,99.99%都是IN特殊字符;注解@目前的domainname()讓data部份可以分散到很多行*Wildcard字符，只能用在name31DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(4/13)ResourceRecord(RR)種類32DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(5/13)SOA:StartofAuthority定義DNSZone的權(quán)威性，每個Zone只能有一個SOA格式

[zone]INSOA[server-name][administrator’smail](serial,refresh,retry,expire,negativettl)范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl每次更新Zone數(shù)據(jù)庫，serialnumber都要遞增！！！否則Slave無法同步33DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(6/13)NS:NameServer用來宣告Zone的AuthoritativeServer通常置于SOARR后面每一筆NSRR除了在自己的Zonefile里宣告，也需要在上層宣告范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl

INNS.tw.

INNS.tw.34DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(7/13)ARecord:Address提供Hostname至IP之對照范例

$ORIGIN.tw.

@INNS.tw.

INNS.tw.

dnsINA07

dns2INA03

wwwINA1135DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(8/13)AAAARecord:AddressIPv6提供Hostname至IPv6之對照范例

$ORIGIN.tw.

@INNS.tw.

INNS.tw.

dnsINAAAA3ffe::bbb:93:536DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(9/13)

PTR:Pointer用于反查IP與Hostname之對應(yīng)利用特別的gTLD:范例

$ORIGIN235.113.140..

@INSOA.tw..tw.(

2007052102;serial

1D;refreshtimeforsecondaryserver

30M;retry

1W;expire

2H);minimum

INNS.tw.

INNS.tw.

37$ORIGIN.40INPTR.tw.40INPTR.tw.DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(10/13)

PTR:Pointer(IPv6)使用gTLDPTRRecordfor2404:6800:4008:800::2003$ORIGIN.....

@INSOA.tw..tw.(

2007052102;serial

1D;refreshtimeforsecondaryserver

30M;retry

1W;expire

2H);minimum

INNS.tw.

INNS.tw.

38...INPTR.tw.DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(11/13)

MX:Mailexchanger提供郵件服務(wù)器路由信息范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl

INNS.tw.

INNS.tw.

INMX1.tw.

INMX5.tw.

csmx1INA04

csmx2INA0539DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(12/13)

CNAME:CanonicalName為一個Host增加別名不應(yīng)拿來做Load-balance用途范例

wwwINA3

INA7

penghu-clubINCNAMEwww

KingINCNAMEwww

R21601INA1

supermanINCNAMEr2160140DNS架設(shè)與維護(hù)-Zone數(shù)據(jù)庫(13/13)

GlueRecord如果你的DNSServer位址也在同個Domain里的話

必須透過GlueRecord，讓別人能夠從上層找到你例如：

$ORIGIN.

@INNS.

這樣的情況下我要怎么找到.在哪里？在Parent加上

.INNS.

.INA2341DNS架設(shè)與維護(hù)-Master/Slave更新同步流程(1/2)Master修改完成,重啟并送出notify給slave(s).Slave查詢master的SOA記錄Master送回SOA記錄.Slave比對查詢得到的serial與本機(jī)的serial,若不大于本機(jī),結(jié)束流程.若serial大于本機(jī),Slave送出zonetransfer要求(AXFR/IXFR).Master回應(yīng)zonetransfer請求,送回結(jié)果.Slave完成更新.42DNS架設(shè)與維護(hù)-Master/Slave更新同步流程(2/2)43DNS安全與除錯44DNS安全與除錯-DNS常見的攻擊模式45DNS放大攻擊(DNSAmplificationAttack)偽造來源IP發(fā)送大量DNSRequest,使得被害人收到大量DNSReplyDNSRequest(35bytes)->DNSReply(3500bytes)，流量放大100倍

區(qū)域轉(zhuǎn)送攻擊(ZoneTransferAttack)利用Zonetransfer列舉組織網(wǎng)域與服務(wù)器信息

快取中毒攻擊(CachePoisoningAttack)假冒查詢回應(yīng)來感染DNS服務(wù)器的快取DNS安全與除錯-DNS常見的攻擊模式46DNS放大攻擊(DNSAmplificationAttack)DNS安全與除錯-DNS常見的攻擊模式47DNS放大攻擊(DNSAmplificationAttack)避免自己成為放大攻擊的幫兇，避免OpenRecursion關(guān)閉recursion功能，或是限制recursion的對象

options{

recursionoff;//直接關(guān)閉recursion

};

或者

options{

recursionon;

allow-recursion{trusted;};//只允許trustedACL清單中的人進(jìn)行recursion

};DNS安全與除錯-DNS常見的攻擊模式48區(qū)域轉(zhuǎn)送攻擊(ZoneTransferAttack)避免泄漏組織網(wǎng)域的完整數(shù)據(jù)庫限制可以執(zhí)行zonetransfer的對象

zone".tw"IN{

typemaster;

file"master/.tw.hosts";

allow-query{any;};

allow-transfer{localhost;slaves;};//只允許我認(rèn)可的slaveserver執(zhí)行zonetransfer

allow-update{none;};

};DNS安全與除錯-DNS常見的攻擊模式49快取中毒攻擊(CachePoisoningAttack)目前較好的解法是開啟DNSSEC驗證DNS安全與除錯-值得留意的安全相關(guān)參數(shù)50功能設(shè)定描述說明allow-queryoptions,zone誰能夠詢問allow-transferoptions,zone誰能夠進(jìn)行區(qū)域傳送allow-updatezone誰能夠動態(tài)更新blackholeoptions忽略哪個服務(wù)器的請求bogusserver哪些服務(wù)器不該被詢問versionoptions版本號DNS安全與除錯-紀(jì)錄檔(1/2)名詞解釋Channel訊息要送到哪里？例:syslog,file或是/dev/nullCategory訊息的分類Facility在Syslog中為Log的來源Severity嚴(yán)重性51DNS安全與除錯-紀(jì)錄檔(2/2)52DNS安全與除錯-紀(jì)錄檔logginglogging描述

logging{

channelsecurity-log{

file"/var/named/security.log"versions5size10m;

severityinfo;

print-severityyes;

print-timeyes;

};

channelquery-log{

file"/var/named/query.log"versions20size50m;

severityinfo;

print-severityyes;

print-timeyes;

};53categorydefault{default_syslog;default_debug;};categorygeneral{default_syslog;};categorysecurity{security-log;};categoryclient{query-log;};categoryqueries{query-log;};categorydnssec{security-log;};};DNS進(jìn)階議題54DNS進(jìn)階議題-Non-byteboundary(1/3)55有時候被分配到的網(wǎng)段可能不是完整的ClassC例如將/24切成四段，分別交給不同人管理~3.4~27.28~91.92~55.怎么辦？DNS進(jìn)階議題-Non-byteboundary(2/3)56方法一

$GENERATE0-63$.3.168.192..INNS.

$GENERATE64-127$.3.168.192..INNS.

$GENERATE128-191$.3.168.192..INNS.

$GENERATE192-255$.3.168.192..INNS.搭配zone

zone“92.”{

typemaster;

file“named.rev.”;

};編輯named.rev.

@INSOA..(1;3h;1h;1w;1h)

INNSDNS進(jìn)階議題-Non-byteboundary(3/3)57方法二

$ORIGIN3.168.