版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
Linux操作系統(tǒng)
論文
學號:
40704
姓名:
wyh
提交日期:
2009-6-25
成績:
Linux操作系統(tǒng)論文
計算機系 第
PAGE
6
頁
DNS服務(wù)器
DNS服務(wù)器的工作原理
DNS是域名系統(tǒng)(DomainNameSystem)英文名稱的縮寫,是一種組織域?qū)哟谓Y(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。
域名系統(tǒng)DNS是由主機名解析方案發(fā)展起來的一種新的名字解析體制。1984年9月,ARPANET開始使用DNS,從此DNS成為訪問主機名到IP地址映射的標準方法。Internet上最常用的DNS服務(wù)器是BIND(BerkeleyInternetNameDomain)軟件。
域名系統(tǒng)將主機名解析成IP地址使用了一個全局的、層次性的分布式數(shù)據(jù)庫系統(tǒng)。該數(shù)據(jù)庫系統(tǒng)包含了Internet上所有域名及IP的對應(yīng)信息。數(shù)據(jù)庫的層次性允許將域名空間劃分成獨立的管理部分,并稱為域(Domain)。數(shù)據(jù)庫的分布式特性則允許將數(shù)據(jù)庫的各個不同的部分分配到不同網(wǎng)絡(luò)的域名服務(wù)器上,這樣各域名服務(wù)器可以實現(xiàn)獨立的管理。
域名服務(wù)的解析原理和過程
域名解析的工作原理和過程如下:
STEP01用戶提出域名解析請求,并將該請求發(fā)送給本地的域名服務(wù)器;
STEP02當本地的域名服務(wù)器收到請求后,就先查詢本地的緩存,如果有該記錄項,則本地的域名服務(wù)器就直接把查詢的結(jié)果返回;
STEP03如果本地的緩存中沒有該記錄,則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器,然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域的主域名服務(wù)器的地址;
STEP04本地服務(wù)器再向上一步驟中所返回的域名服務(wù)器發(fā)送請求,然后收到該請求的域名服務(wù)器查詢其緩存,返回與此請求所對應(yīng)的記錄或相關(guān)的下級的域名服務(wù)器的地址本地域名服務(wù)器將返回的結(jié)果保存到緩存;
STEP05重復第4步,直到找到正確的記錄;
STEP06本地域名服務(wù)器把返回的結(jié)果保存到緩存,以備下一次使用,同時還將結(jié)果返回給客戶機。
DNS服務(wù)器面臨的安全問題
2001年1月24日,美國微軟公司所管理的相關(guān)網(wǎng)絡(luò)系統(tǒng),遭受網(wǎng)絡(luò)黑客的拒絕服務(wù)攻擊后導致全球各地的用戶接近24小時無法連上該公司相關(guān)的網(wǎng)站,造成該公司相當嚴重的商業(yè)損失。然而,這次事件與以往網(wǎng)站攻擊事件的最大不同,就在于這一次被攻擊的對象是DNS服務(wù)器而不是Web服務(wù)器,這次事件宣告了一種新型的網(wǎng)絡(luò)攻擊類別。
DNS服務(wù)器面臨的安全問題主要有:DNS欺騙(DNSSpoofing)、拒絕服務(wù)(DenialofService,DoS)攻擊、緩沖區(qū)漏洞攻擊、分布式拒絕服務(wù)攻擊、緩沖區(qū)溢出漏洞攻擊(BufferOverflow)和不安全的DNS動態(tài)更新。
增強DNS安全性的方法
應(yīng)對DNS服務(wù)器面臨的安全隱患有兩個最有效的原則:
(1)選擇安全沒有缺陷的DNS版本;
(2)保持DNS服務(wù)器配置正確、可靠。
建立一個完整的DNS
DNS分類
Linux下的DNS服務(wù)器用來存儲主機的域名信息,包括三種:惟高速存域名服務(wù)器、主域名服務(wù)器、輔助域名服務(wù)器。
安裝BIND域名服務(wù)器軟件
安裝后會建立以下配置文件:/etc/named.conf:主配置文件,/var/named/localhost.zone:正向域的區(qū)文件,/var/named/named.local:反向域的區(qū)文件
named配置文件族內(nèi)容
Linux上的域名服務(wù)是由named守護進程控制的,該進程從主文件/etc/named.conf中獲取信息。
配置惟高速存域名服務(wù)器
建立具有轉(zhuǎn)發(fā)的惟高速存域名服務(wù)器。所謂轉(zhuǎn)發(fā),就是當一臺DNS遇到非本機負責的區(qū)(zone)查詢請求時,將不直接向rootServer查詢,而轉(zhuǎn)交給指定的另一臺DNS(forwarder)代為查詢,而逐級往下查詢的動作,則交由forwarder負責。
只要將主配置文件做簡單修改,然后named進程重新讀取配置文件即可。
配置主域名服務(wù)器
在主配置文件中添加區(qū)聲明
用vi編輯器修改/etc/named.conf配置文件,加入以下內(nèi)容:
#添加正向區(qū)聲明#
zone“”{
typemaster;#注明是主域名服務(wù)器#
file“.hosts”;
};
#添加反向區(qū)聲明#
zone“1.168.192.”{
typemaster;#注明是主域名服務(wù)器#
file“192.168.1.rev”;
};
配置正向解析數(shù)據(jù)庫文件
即實現(xiàn)域名到IP的對應(yīng),用vi編輯器修改/etc/named/.hosts文件,加入以下內(nèi)容:
$TTL86400
@INSOAroot..(
2001101100;#serialnumber#
10800;#refresh#
3600;#retryquery#
604800;#expire#
0);#minimumTTL#
INNS#設(shè)置域名服務(wù)記錄#
INMS#設(shè)置郵件交換記錄#
INA#設(shè)置地址記錄#
wwwINCNAME.#設(shè)置別名記錄#
配置反向解析數(shù)據(jù)庫文件
即實現(xiàn)IP地址到域名的映射,用vi編輯器修改/etc/named/192.168.1rev文件,加入以下內(nèi)容:
$TTL86400
@INSOAroot..(
2001101100;#serialnumber#
10800;#refresh#
3600;#retryquery#
604800;#expire#
0);#minimumTTL#
INNS#設(shè)置域名服務(wù)記錄#
1INPTR#設(shè)置反向指針記錄#
重新啟動DNS服務(wù)器
#servicenamedreload
測試DNS服務(wù)器
A.使用host命令
#host#正向查詢主機地址
hasaddress
#host#正向查詢域名
92.domainnamepointer
B.nslookup
用來測試正向、反向的解析是否正常。
配置輔助域名服務(wù)器
輔助域名服務(wù)器的作用是為主域名服務(wù)器提供備份,也可以進行域名解析。
修改配置文件,將master改成slave,并且指定主域名服務(wù)器的IP地址為:
#添加正向區(qū)聲明#
zone“”{
typeslave;#注明是輔助域名服務(wù)器#
file“.hosts”;
master{;};#指定主DNS服務(wù)器的IP地址#
#添加反向區(qū)聲明#
zone“1.168.192.”{
typeslave;#注明是輔助域名服務(wù)器#
file“192.168.1.rev”;
masters{;};#指定主DNS服務(wù)器IP地址#
配置域名服務(wù)器客戶端
BIND軟件是一個客戶端/服務(wù)器系統(tǒng),客戶端程序稱為轉(zhuǎn)換程序(resolver),它負責產(chǎn)生域名信息查詢,將這類信息發(fā)送到服務(wù)器,服務(wù)器的named守護進程負責回答轉(zhuǎn)換程序的查詢。作為客戶端,首先要在用戶的計算機上配置客戶端程序,即向DNS服務(wù)器獲得域名解析/反解析服務(wù)。
DNS故障排除工具
DNS是一組文件構(gòu)成的,所以需要不同的工具檢查對應(yīng)的文件。
dlint
一個配置不完善的DNS服務(wù)器存在很大的安全漏洞,dlint可以幫助分析DNS配置文件中的問題,它是一個專門檢查DNS配置文件的開發(fā)源代碼的軟件,要運行它系統(tǒng)安裝Perl語言和dig命令。
DNS服務(wù)器的工作狀態(tài)檢查
使用dnstop查詢DNS服務(wù)器的工作狀態(tài);
nslookup即域名服務(wù)器查找(NameServerLookup),用來查找DNS服務(wù)器上的DNS記錄;
dig工具向DNS服務(wù)器發(fā)送named查詢,dig可以查詢單一或多個域名服務(wù)器,功能比nslookup強大很多;
named-checkzone通過檢查句法的正確性來檢查區(qū)帶文件的正確性;
named-checkconf通過檢查named.conf句法的正確性來檢查named文件的正確性。
全面加固DNS服務(wù)器
使用TSIG技術(shù)
使用DNSSEC技術(shù)
配置安全的DNS服務(wù)器
隔離DNS服務(wù)器
為BIND創(chuàng)建chroot
隱藏BIND的版本號
避免透露服務(wù)器的信息
關(guān)閉服務(wù)器的gluefetching選項
控制區(qū)域(zone)傳輸
請求限制
為DNS服務(wù)器配置DNSFloodDetector
建立完整的域名服務(wù)器
建立DNS日志
增強DNS服務(wù)器的防范DoS/DdoS功能
使用分布式DNS負載均衡
防范DNS服務(wù)器網(wǎng)絡(luò)
配置防火墻
參考文獻:
曹江華.Linux服務(wù)器安全策略詳解.北京.電子工業(yè)出版社,2007,87-113.
白雪松.Linux基礎(chǔ)及應(yīng)用.天津.天津科技技術(shù)出版社,2008,257-265.
羅文村,湯庸.Linux實踐及應(yīng)用.北京.清華大學出版社,2006,220-233.
心得
學過Linux后,感覺選修這門課是很正確的,通過學習Linux,學到了很多新知識,同時,也因為了解更多,而加深了對計算機專業(yè)的熱愛?,F(xiàn)在發(fā)現(xiàn),如果你想要培養(yǎng)對某件事的興趣,就必須先充分的了解它,了解的越多,興趣就越濃,興趣是可以慢慢培養(yǎng)的。
Linux學習的收獲很多,首先,對Linux操作系統(tǒng)有了一個初步的了解,會安裝Linux系統(tǒng),會利用一些簡單的命令來做一些基本操作,了解到Linux系統(tǒng)中必須進行掛載操作才能識別U盤或光盤等外設(shè),并且學會了熟練使用支持中文的U盤掛載命令。其次,通過對幾種重要的服務(wù)器的配置及作用了解,又學到了很多,雖然大多只是初步了解其作用而已,但這就相當于一個入門,今后通過進一步學習,會加深了解。同時,學習Linux后,對于其它課程的學習也有很多幫助,比如學習了apache后,對于Java就有幫助,Java的開發(fā)需要tom
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 安徽省國家電網(wǎng)-2024年《變電安規(guī)》科目 單選題+多選題+判斷題+簡答題真題沖刺卷9月份B卷
- 2024年石棉纖維及其制品合作協(xié)議書
- 第7課 散文詩二首(分層作業(yè))七年級語文上冊同步高效課堂(統(tǒng)編版2024)(解析版)
- 1.1 開啟化學之門(第2課時)(分層練習)八年級化學全一冊同步課堂(滬科版五四學制2024)(解析版)
- 2024年超細石英玻璃纖維絲合作協(xié)議書
- 中班美術(shù)活動課件《鳥兒滿天飛》
- 風控部 合同期滿工作及思想總結(jié)
- 雙控白熾燈照明線路的安裝
- 2021-2022學年湖北省武漢市外國語學校物理高一下期末聯(lián)考模擬試題含解析
- 六校高一下學期期中聯(lián)考語文試題(含解析)
- 水下地形匹配導航現(xiàn)狀及發(fā)展趨勢
- 臨床營養(yǎng)學基礎(chǔ)課件
- Cold Snap 寒流抵達 二部合唱簡譜
- 幼兒園大班戲劇主題:三打白骨精劇本
- 工程進度款支付申請表(施工單位填寫)-6
- 光伏發(fā)電項目法律法規(guī)及規(guī)范清單
- web前端開發(fā)教案
- 12KW移動電站培訓教材《柴油發(fā)電機》
- 35kV線路停電更換導線間隔棒作業(yè)指導書
- 線-來自心靈的感悟-《繪畫中的形》高中美術(shù)第一單元第一課課件
- 小學道德與法治-認識居民身份證教學課件設(shè)計
評論
0/150
提交評論