DNS服務(wù)器的論文

Linux操作系統(tǒng)

論文

學號：

40704

姓名：

wyh

提交日期：

2009-6-25

成績：

Linux操作系統(tǒng)論文

計算機系 第

PAGE

6

頁

DNS服務(wù)器

DNS服務(wù)器的工作原理

DNS是域名系統(tǒng)（DomainNameSystem）英文名稱的縮寫，是一種組織域?qū)哟谓Y(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。

域名系統(tǒng)DNS是由主機名解析方案發(fā)展起來的一種新的名字解析體制。1984年9月，ARPANET開始使用DNS，從此DNS成為訪問主機名到IP地址映射的標準方法。Internet上最常用的DNS服務(wù)器是BIND(BerkeleyInternetNameDomain)軟件。

域名系統(tǒng)將主機名解析成IP地址使用了一個全局的、層次性的分布式數(shù)據(jù)庫系統(tǒng)。該數(shù)據(jù)庫系統(tǒng)包含了Internet上所有域名及IP的對應(yīng)信息。數(shù)據(jù)庫的層次性允許將域名空間劃分成獨立的管理部分，并稱為域（Domain）。數(shù)據(jù)庫的分布式特性則允許將數(shù)據(jù)庫的各個不同的部分分配到不同網(wǎng)絡(luò)的域名服務(wù)器上，這樣各域名服務(wù)器可以實現(xiàn)獨立的管理。

域名服務(wù)的解析原理和過程

域名解析的工作原理和過程如下：

STEP01用戶提出域名解析請求，并將該請求發(fā)送給本地的域名服務(wù)器；

STEP02當本地的域名服務(wù)器收到請求后，就先查詢本地的緩存，如果有該記錄項，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回；

STEP03如果本地的緩存中沒有該記錄，則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域的主域名服務(wù)器的地址；

STEP04本地服務(wù)器再向上一步驟中所返回的域名服務(wù)器發(fā)送請求，然后收到該請求的域名服務(wù)器查詢其緩存，返回與此請求所對應(yīng)的記錄或相關(guān)的下級的域名服務(wù)器的地址本地域名服務(wù)器將返回的結(jié)果保存到緩存；

STEP05重復第4步，直到找到正確的記錄；

STEP06本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時還將結(jié)果返回給客戶機。

DNS服務(wù)器面臨的安全問題

2001年1月24日，美國微軟公司所管理的相關(guān)網(wǎng)絡(luò)系統(tǒng)，遭受網(wǎng)絡(luò)黑客的拒絕服務(wù)攻擊后導致全球各地的用戶接近24小時無法連上該公司相關(guān)的網(wǎng)站，造成該公司相當嚴重的商業(yè)損失。然而，這次事件與以往網(wǎng)站攻擊事件的最大不同，就在于這一次被攻擊的對象是DNS服務(wù)器而不是Web服務(wù)器，這次事件宣告了一種新型的網(wǎng)絡(luò)攻擊類別。

DNS服務(wù)器面臨的安全問題主要有：DNS欺騙(DNSSpoofing)、拒絕服務(wù)（DenialofService,DoS）攻擊、緩沖區(qū)漏洞攻擊、分布式拒絕服務(wù)攻擊、緩沖區(qū)溢出漏洞攻擊（BufferOverflow）和不安全的DNS動態(tài)更新。

增強DNS安全性的方法

應(yīng)對DNS服務(wù)器面臨的安全隱患有兩個最有效的原則：

（1）選擇安全沒有缺陷的DNS版本；

（2）保持DNS服務(wù)器配置正確、可靠。

建立一個完整的DNS

DNS分類

Linux下的DNS服務(wù)器用來存儲主機的域名信息，包括三種：惟高速存域名服務(wù)器、主域名服務(wù)器、輔助域名服務(wù)器。

安裝BIND域名服務(wù)器軟件

安裝后會建立以下配置文件：/etc/named.conf:主配置文件，/var/named/localhost.zone:正向域的區(qū)文件，/var/named/named.local:反向域的區(qū)文件

named配置文件族內(nèi)容

Linux上的域名服務(wù)是由named守護進程控制的，該進程從主文件/etc/named.conf中獲取信息。

配置惟高速存域名服務(wù)器

建立具有轉(zhuǎn)發(fā)的惟高速存域名服務(wù)器。所謂轉(zhuǎn)發(fā)，就是當一臺DNS遇到非本機負責的區(qū)（zone）查詢請求時，將不直接向rootServer查詢，而轉(zhuǎn)交給指定的另一臺DNS（forwarder）代為查詢，而逐級往下查詢的動作，則交由forwarder負責。

只要將主配置文件做簡單修改，然后named進程重新讀取配置文件即可。

配置主域名服務(wù)器

在主配置文件中添加區(qū)聲明

用vi編輯器修改/etc/named.conf配置文件，加入以下內(nèi)容：

#添加正向區(qū)聲明#

zone“”{

typemaster;#注明是主域名服務(wù)器#

file“.hosts”;

};

#添加反向區(qū)聲明#

zone“1.168.192.”{

typemaster;#注明是主域名服務(wù)器#

file“192.168.1.rev”;

};

配置正向解析數(shù)據(jù)庫文件

即實現(xiàn)域名到IP的對應(yīng)，用vi編輯器修改/etc/named/.hosts文件,加入以下內(nèi)容：

＄TTL86400

@INSOAroot..(

2001101100;#serialnumber#

10800;#refresh#

3600;#retryquery#

604800;#expire#

0);#minimumTTL#

INNS#設(shè)置域名服務(wù)記錄#

INMS#設(shè)置郵件交換記錄#

INA#設(shè)置地址記錄#

wwwINCNAME.#設(shè)置別名記錄#

配置反向解析數(shù)據(jù)庫文件

即實現(xiàn)IP地址到域名的映射，用vi編輯器修改/etc/named/192.168.1rev文件，加入以下內(nèi)容：

＄TTL86400

@INSOAroot..(

2001101100;#serialnumber#

10800;#refresh#

3600;#retryquery#

604800;#expire#

0);#minimumTTL#

INNS#設(shè)置域名服務(wù)記錄#

1INPTR#設(shè)置反向指針記錄#

重新啟動DNS服務(wù)器

#servicenamedreload

測試DNS服務(wù)器

A．使用host命令

#host#正向查詢主機地址

hasaddress

#host#正向查詢域名

92.domainnamepointer

B．nslookup

用來測試正向、反向的解析是否正常。

配置輔助域名服務(wù)器

輔助域名服務(wù)器的作用是為主域名服務(wù)器提供備份，也可以進行域名解析。

修改配置文件，將master改成slave，并且指定主域名服務(wù)器的IP地址為：

#添加正向區(qū)聲明#

zone“”{

typeslave;#注明是輔助域名服務(wù)器#

file“.hosts”;

master{;};#指定主DNS服務(wù)器的IP地址#

#添加反向區(qū)聲明#

zone“1.168.192.”{

typeslave;#注明是輔助域名服務(wù)器#

file“192.168.1.rev”;

masters{;};#指定主DNS服務(wù)器IP地址#

配置域名服務(wù)器客戶端

BIND軟件是一個客戶端/服務(wù)器系統(tǒng)，客戶端程序稱為轉(zhuǎn)換程序（resolver）,它負責產(chǎn)生域名信息查詢，將這類信息發(fā)送到服務(wù)器，服務(wù)器的named守護進程負責回答轉(zhuǎn)換程序的查詢。作為客戶端，首先要在用戶的計算機上配置客戶端程序，即向DNS服務(wù)器獲得域名解析/反解析服務(wù)。

DNS故障排除工具

DNS是一組文件構(gòu)成的，所以需要不同的工具檢查對應(yīng)的文件。

dlint

一個配置不完善的DNS服務(wù)器存在很大的安全漏洞，dlint可以幫助分析DNS配置文件中的問題，它是一個專門檢查DNS配置文件的開發(fā)源代碼的軟件，要運行它系統(tǒng)安裝Perl語言和dig命令。

DNS服務(wù)器的工作狀態(tài)檢查

使用dnstop查詢DNS服務(wù)器的工作狀態(tài)；

nslookup即域名服務(wù)器查找（NameServerLookup）,用來查找DNS服務(wù)器上的DNS記錄；

dig工具向DNS服務(wù)器發(fā)送named查詢，dig可以查詢單一或多個域名服務(wù)器，功能比nslookup強大很多；

named-checkzone通過檢查句法的正確性來檢查區(qū)帶文件的正確性；

named-checkconf通過檢查named.conf句法的正確性來檢查named文件的正確性。

全面加固DNS服務(wù)器

使用TSIG技術(shù)

使用DNSSEC技術(shù)

配置安全的DNS服務(wù)器

隔離DNS服務(wù)器

為BIND創(chuàng)建chroot

隱藏BIND的版本號

避免透露服務(wù)器的信息

關(guān)閉服務(wù)器的gluefetching選項

控制區(qū)域（zone）傳輸

請求限制

為DNS服務(wù)器配置DNSFloodDetector

建立完整的域名服務(wù)器

建立DNS日志

增強DNS服務(wù)器的防范DoS/DdoS功能

使用分布式DNS負載均衡

防范DNS服務(wù)器網(wǎng)絡(luò)

配置防火墻

參考文獻：

曹江華.Linux服務(wù)器安全策略詳解.北京.電子工業(yè)出版社,2007,87-113.

白雪松.Linux基礎(chǔ)及應(yīng)用.天津.天津科技技術(shù)出版社,2008,257-265.

羅文村,湯庸.Linux實踐及應(yīng)用.北京.清華大學出版社,2006,220-233.

心得

學過Linux后，感覺選修這門課是很正確的，通過學習Linux，學到了很多新知識，同時，也因為了解更多，而加深了對計算機專業(yè)的熱愛?，F(xiàn)在發(fā)現(xiàn)，如果你想要培養(yǎng)對某件事的興趣，就必須先充分的了解它，了解的越多，興趣就越濃，興趣是可以慢慢培養(yǎng)的。

Linux學習的收獲很多，首先，對Linux操作系統(tǒng)有了一個初步的了解，會安裝Linux系統(tǒng)，會利用一些簡單的命令來做一些基本操作，了解到Linux系統(tǒng)中必須進行掛載操作才能識別U盤或光盤等外設(shè)，并且學會了熟練使用支持中文的U盤掛載命令。其次，通過對幾種重要的服務(wù)器的配置及作用了解，又學到了很多，雖然大多只是初步了解其作用而已，但這就相當于一個入門，今后通過進一步學習，會加深了解。同時，學習Linux后，對于其它課程的學習也有很多幫助，比如學習了apache后，對于Java就有幫助，Java的開發(fā)需要tom