網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù) 教案全套 1-36 張明真

圖所示。DHCP流程5．初始狀態(tài)當(dāng)DHCP客戶端第一次啟動(dòng)時(shí)，它將進(jìn)入INIT狀態(tài)。為了獲取一個(gè)IP地址，客戶端在本地網(wǎng)絡(luò)上廣播DHCPDISCOVER報(bào)文，來(lái)發(fā)現(xiàn)本地網(wǎng)絡(luò)上的所有DHCP服務(wù)器，并進(jìn)入到SELECTING狀態(tài)。6．選擇狀態(tài)本地網(wǎng)上所有DHCP服務(wù)器都接收DHCPDISCOVER報(bào)文，所有服務(wù)器發(fā)送DHCPOFFER報(bào)文來(lái)響應(yīng)客戶端?？蛻舳耸占?wù)器發(fā)送的DHCPOFFER報(bào)文。7．請(qǐng)求狀態(tài)處于SELECTING狀態(tài)時(shí)，客戶端從DHCP服務(wù)器獲得DHCPOFFER響應(yīng)。每個(gè)響應(yīng)提供了用于客戶端的配置信息，還有服務(wù)器可提供租用給客戶端的一個(gè)IP地址，客戶端必須選擇其中一個(gè)響應(yīng)（通常是第一個(gè)到達(dá)的響應(yīng)），并與服務(wù)器協(xié)商租用。為此，客戶端發(fā)送給服務(wù)器一個(gè)DHCPREQUEST報(bào)文，并進(jìn)入REQUESTING狀態(tài)。8．已綁定狀態(tài)DHCP服務(wù)器確認(rèn)已接受請(qǐng)求并開始租用，服務(wù)器發(fā)送一個(gè)DHCPACK報(bào)文?？蛻舳耸盏酱_認(rèn)后進(jìn)入到BOUND狀態(tài)，此時(shí)客戶端可開始使用此地址。9．刷新狀態(tài)與重綁定狀態(tài)當(dāng)DHCP客戶端成功獲取到地址時(shí)，它就進(jìn)入到BOUND狀態(tài)。進(jìn)入BOUND狀態(tài)以后，客戶端設(shè)置了三個(gè)定時(shí)器，用于控制租用更新、重新綁定和租約到期。DHCP服務(wù)器給客戶端分配地址時(shí)，可為定時(shí)器指定確定的值，如果服務(wù)器未指定定時(shí)器值，客戶端就使用默認(rèn)值。第一個(gè)定時(shí)器的默認(rèn)值通常是租用期的一半。當(dāng)?shù)谝粋€(gè)定時(shí)器到期，客戶端必須嘗試刷新租用期。這時(shí)客戶端使用單播方式發(fā)送一個(gè)DHCPREQUEST報(bào)文到為其分配地址的DHCP服務(wù)器，并進(jìn)入到RENEWING狀態(tài)等待響應(yīng)。DHCPREQUEST包含一個(gè)客戶端正使用的IP地址，并請(qǐng)求服務(wù)器延長(zhǎng)對(duì)此地址的租用。服務(wù)器可以用兩種方式當(dāng)中的一種來(lái)響應(yīng)客戶端的刷新請(qǐng)求：同意客戶端繼續(xù)使用此地址：如果服務(wù)器同意就發(fā)送DHCPACK，在DHCPACK中也可含有客戶端定時(shí)器新的數(shù)值?？蛻舳耸盏紻HCPACK報(bào)文則返回到BOUND狀態(tài)繼續(xù)使用地址指示客戶端停止使用該地址：如果服務(wù)器不同意繼續(xù)使用，它就發(fā)送一個(gè)DHCPNAK報(bào)文，使客戶端立即停止地址的使用。如果客戶端收到DHCPNAK就立即停止使用地址并返回到INIT狀態(tài)。第二個(gè)定時(shí)器的默認(rèn)值為租用期的87.5%。正如剛剛介紹的，當(dāng)?shù)谝粋€(gè)定時(shí)器到期后（即租約到達(dá)一半后）客戶端發(fā)送DHCPREQUEST報(bào)文并進(jìn)入RENEWING狀態(tài)。如果在該狀態(tài)下直到第二個(gè)定時(shí)器到期時(shí)還未收到服務(wù)器的響應(yīng)報(bào)文，客戶端則使用廣播方式發(fā)送DHCPREQUEST報(bào)文并進(jìn)入到REBINDING狀態(tài)。在該狀態(tài)下，如同在RENEWING狀態(tài)一樣，如果服務(wù)器的響應(yīng)同意客戶端繼續(xù)使用該地址（DHCPACK），客戶端則返回到BOUND狀態(tài)；如果服務(wù)器不同意繼續(xù)使用（DHCPNAK），則返回到INIT狀態(tài)。當(dāng)?shù)谌齻€(gè)定時(shí)器到期，即租約到期后，處于REBINDING狀態(tài)的客戶端仍未收到服務(wù)器的響應(yīng)，客戶端則返回INIT狀態(tài)重新開始DHCP請(qǐng)求過(guò)程。10．地址釋放當(dāng)客戶端使用一個(gè)分配的地址時(shí)，它保持在BOUND狀態(tài)。如果客戶端有輔助存儲(chǔ)器，客戶端可以存儲(chǔ)分配給它的IP地址，并在再次重啟動(dòng)時(shí)申請(qǐng)同一個(gè)地址。但在某些情況下，處于綁定狀態(tài)的客戶端可能發(fā)現(xiàn)它不再需要一個(gè)IP地址了，此時(shí)，DHCP允許客戶端終止租用，無(wú)需再等待租約過(guò)期，這種方式在服務(wù)器可以提供的IP地址比連接到網(wǎng)絡(luò)的主機(jī)數(shù)量少時(shí)將顯得十分重要。如果客戶端不再需要IP地址時(shí)及時(shí)終止租用，服務(wù)器就可以將此地址分配給其他客戶端。為了提前終止租用，客戶端發(fā)送一個(gè)DHCPRELEASE釋放報(bào)文到服務(wù)器，然后離開綁定狀態(tài)，停止使用該IP地址，并且在獲取其他IP地址前將重新從INIT狀態(tài)開始。教師講授演示DHCP服務(wù)安裝與配置過(guò)程35分鐘任務(wù)實(shí)施第一步：配置客戶端獲取IP地址的形式為DHCP配置第二步：配置DHCP服務(wù)器多作用域如果網(wǎng)絡(luò)中有多個(gè)子網(wǎng)的時(shí)候，這就需要配置多作用域，首先為這個(gè)超級(jí)作用域命名。[root@lab2~]#vi/etc/dhcpd.confddns-update-styleinterim;ignoreclient-updates;shared-networkmydhcp{optionnis-domain"";optiondomain-name"";optiondomain-name-servers1;default-lease-time21600;max-lease-time43200;subnetnetmask{optionrouters;optionsubnet-mask;optiontime-offset-18000;#EasternStandardTimerangedynamic-bootp054;hostns{next-server;hardwareethernet12:34:56:78:AB:CD;fixed-address1;}}subnetnetmask{optionrouters;optionsubnet-mask;optiontime-offset-18000;#EasternStandardTimerangedynamic-bootp054;}}第三步：測(cè)試在客戶端上進(jìn)行測(cè)試，觀察客戶端的IP地址是否是DHCP服務(wù)器作用域中的IP學(xué)生通過(guò)提供的教學(xué)資源進(jìn)行學(xué)習(xí)，記錄操作步驟和遇到的問(wèn)題40分鐘課堂總結(jié)DHCP服務(wù)的作用域配置學(xué)生在課后鞏固所學(xué)知識(shí)和技能5分鐘教案首頁(yè)序號(hào)：25授課班級(jí)授課日期5.136.12出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：1、安裝DHCP軟件2、配置DHCP服務(wù)3、配置作用域引入新課：M7-3Linux系統(tǒng)DNS服務(wù)安裝與配置教學(xué)目標(biāo)要求學(xué)生通過(guò)該能力模塊的學(xué)習(xí),能夠熟練掌握DNS服務(wù)的安裝與配置能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：1、安裝DNS軟件2、配置DNS服務(wù)教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容復(fù)習(xí)關(guān)于DHCP服務(wù)的安裝與配置引入本節(jié)內(nèi)容介紹DNS服務(wù)，引入本節(jié)內(nèi)容任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成DNS的安裝與配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：安裝DNS軟件配置DNS服務(wù)難點(diǎn)： 配置DNS服務(wù)解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié)DNS在安裝后，沒有相關(guān)的配置文件，所有使用的文件，均需要自己配置。Linux系統(tǒng)DNS服務(wù)安裝與配置（一）教學(xué)過(guò)程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)復(fù)習(xí)DHCP服務(wù)的安裝與配置教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入DNS是因特網(wǎng)建設(shè)的基礎(chǔ)，幾乎所有的網(wǎng)絡(luò)應(yīng)用,都必須依賴DNS系統(tǒng)做網(wǎng)址查詢的指引動(dòng)作。如果DNS系統(tǒng)運(yùn)作不正常,即使Web服務(wù)器都完好如初,防火墻系統(tǒng)都善盡其職,相關(guān)的后端應(yīng)用服務(wù)器以及數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)作正常,因?yàn)闊o(wú)法在期限時(shí)間內(nèi)查得到網(wǎng)址,將會(huì)導(dǎo)致電子郵件無(wú)法傳遞,想要使用網(wǎng)域名稱去連接某個(gè)網(wǎng)頁(yè),也會(huì)因查不出網(wǎng)絡(luò)地址,以致聯(lián)機(jī)失敗。教師講授5分鐘知識(shí)講授1．RHEL4中包括了BIND服務(wù)相關(guān)的軟件包bind-libs-9.2.4-2提供了實(shí)現(xiàn)域名解析功能必備的庫(kù)文件，系統(tǒng)默認(rèn)安裝bind-utils-9.2.4-2提供了對(duì)DNS服務(wù)器的測(cè)試工具程序，系統(tǒng)默認(rèn)安裝bind-9.2.4-2BIND服務(wù)器軟件包，默認(rèn)沒有被安裝到RHEL4系統(tǒng)中，需要使用rpm命令手工安裝安裝文件位于第4張安裝光盤中#rpm-ivhbind-9.2.4-2.i386.rpm#rpm-ivhbind-chroot-root-9.2.4-2.i386.rpm安裝caching-nameserver軟件包RHEL4系統(tǒng)為配置緩存域名服務(wù)器專門提供了名為“caching-nameserver”的軟件包該軟件包保存在第1張安裝光盤中#rpm-ivhcaching-nameserver-7.3-3.noarch.rpm2．配置文件主配置文件named.conf路徑：/etc/named.conf，用來(lái)設(shè)置全局參數(shù)，調(diào)配正向解析數(shù)據(jù)庫(kù)文件和逆向解析數(shù)據(jù)庫(kù)文件正向解析數(shù)據(jù)庫(kù)文件：localhost.zone路徑：/var/named/localhost.zone,用來(lái)將域名轉(zhuǎn)換成IP地址。逆向解析數(shù)據(jù)庫(kù)文件：named.local路徑：/var/named/named.local，用來(lái)將IP地址轉(zhuǎn)換成域名。根域名服務(wù)器指向文件Named.ca路徑：/var/named/named.ca,用于緩存服務(wù)器的初始配置。教師講授，演示DNS服務(wù)的安裝和配置，配置正逆向解析文件35分鐘任務(wù)實(shí)施第一步安裝DNS服務(wù)1、規(guī)范主機(jī)名[root@lab1~]#vi/etc/hosts#Donotremovethefollowingline,orvariousprograms#thatrequirenetworkfunctionalitywillfail.lab1localhost.localdomainlocalhost1[root@lab1~]#vi/etc/sysconfig/networkNETWORKING=yesHOSTNAME=GATEWAY=[root@lab1~]#vi/etc/resolv.confsearchnameserver1檢查是否安裝bind軟件[root@lab1~]#rpm-qa|grepbindbind-9.2.4-28.el4bind-utils-9.2.4-28.el4bind-libs-9.2.4-28.el4ypbind-1.17.2-13bind-chroot-9.2.4-28.el4第二步配置DNS服務(wù)啟動(dòng)DNS服務(wù)[root@lab1~]#servicenamedstart[root@lab1~]#ps-aux|grepnamedWarning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.3/FAQroot64220.01.1107923004pts/0T07:220:00vim/etc/named.confnamed65720.01.1494402992?Ssl07:410:00/usr/sbin/named-unamed-t/var/named/chrootroot66090.00.23912644pts/0R+07:480:00grepnamed修改主配置文件[root@lab1~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};zone"123.168.192."IN{typemaster;file"/var/named/192.168.123.rev";allow-update{none;};};創(chuàng)建并修改正向解析文件[root@lab1~]#cp/var/named/localhost.zone/var/named/chroot/var/named/.hosts[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5創(chuàng)建和修改反向解析文件[root@lab1~]#cp/var/named/named.local/var/named/chroot/var/named/192.168.123.rev[root@lab1~]#vi/var/named/chroot/var/named/192.168.123.rev$TTL86400@INSOA..(1997022700;Serial28800;Refresh14400;Retry3600000;Expire86400);MinimumINNS.10INPTR.11INPTR.15INPTR.重啟服務(wù)[root@lab1~]#servicenamedrestart[root@lab1~]#host-tMXmailishandledby10.[root@lab1~]#host-tSOASOA..421080090060480086400[root@lab1~]#host-tNSnameserver.學(xué)生通過(guò)提供的教學(xué)資源進(jìn)行學(xué)習(xí)，記錄操作步驟和遇到的問(wèn)題40分鐘課后總結(jié)總結(jié)DNS服務(wù)的安裝和配置過(guò)程學(xué)生在課后鞏固所學(xué)知識(shí)和技能5分鐘教案首頁(yè)序號(hào)：26授課班級(jí)授課日期5.136.12出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：安裝DNS軟件配置DNS服務(wù)引入新課：Linux系統(tǒng)DNS服務(wù)安裝與配置（二）教學(xué)目標(biāo)要求學(xué)生通過(guò)該能力模塊的學(xué)習(xí),能夠熟練掌握主從DNS服務(wù)的安裝與配置能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：3、配置主從DNS服務(wù)4、配置DNS子域5、配置DNS服務(wù)高級(jí)選項(xiàng)教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容DNS軟件的安裝和配置引入本節(jié)內(nèi)容主從DNS服務(wù)的配置任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成Linux操作系統(tǒng)的配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)難點(diǎn)： 配置DNS服務(wù)解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié)Linux系統(tǒng)DNS服務(wù)安裝與配置（二）教學(xué)過(guò)程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)復(fù)習(xí)DNS服務(wù)的安裝和配置教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入在完成DNS服務(wù)的安裝和配置后，我們接下來(lái)要進(jìn)行的就是配置主從DNS服務(wù)器，使DNS服務(wù)器運(yùn)行起來(lái)。教師講授5分鐘知識(shí)講授DNS原理當(dāng)DNS客戶端需要為某個(gè)應(yīng)用程序查詢名字時(shí)，它將聯(lián)系自己的DNS服務(wù)器來(lái)解析此名字。DNS客戶發(fā)送的解析請(qǐng)求包含以下三種信息：需要查詢的域名。如果原應(yīng)用程序提交的不是一個(gè)完整的FQDN，則DNS客戶端加上域名后綴以構(gòu)成一個(gè)完整的FQDN；指定的查詢類型。指定查詢的資源記錄的類型，如A記錄或者M(jìn)X記錄等等；指定的DNS域名類型。對(duì)于DNS客戶端服務(wù)，這個(gè)類型總是指定為Internet[IN]類別。DNS客戶端完整的DNS解析過(guò)程如下：1、檢查自己的本地DNS名字緩存當(dāng)DNS客戶端需要解析某個(gè)FQDN時(shí)，先檢查自己的本地DNS名字緩存。本地的DNS名字緩存由兩部分構(gòu)成：Hosts文件中的主機(jī)名到IP地址映射定義；前一次DNS查詢得到的結(jié)果，并且此結(jié)果還處于有效期；如果DNS客戶端從本地緩存中獲得相應(yīng)結(jié)果，則DNS解析完成。2、聯(lián)系自己的DNS服務(wù)器如果DNS客戶端沒有在自己的本地緩存中找到對(duì)應(yīng)的記錄，則聯(lián)系自己的DNS服務(wù)器，你必須預(yù)先配置DNS客戶端所使用的DNS服務(wù)器。當(dāng)DNS服務(wù)器接收到DNS客戶端的解析請(qǐng)求后，它先檢查自己是否能夠權(quán)威的答復(fù)此解析請(qǐng)求，即它是否管理此請(qǐng)求記錄所對(duì)應(yīng)的DNS區(qū)域；如果DNS服務(wù)器管理對(duì)應(yīng)的DNS區(qū)域，則DNS服務(wù)器對(duì)此DNS區(qū)域具有權(quán)威。此時(shí)，如果本地區(qū)域中的相應(yīng)資源記錄匹配客戶的解析請(qǐng)求，則DNS服務(wù)器權(quán)威的使用此資源記錄答復(fù)客戶的解析請(qǐng)求（權(quán)威答復(fù)）；如果沒有相應(yīng)的資源記錄，則DNS服務(wù)器權(quán)威的答復(fù)客戶無(wú)對(duì)應(yīng)的資源記錄（否定答復(fù)）。如果沒有區(qū)域匹配DNS客戶端發(fā)起的解析請(qǐng)求，則DNS服務(wù)器檢查自己的本地緩存。如果具有對(duì)應(yīng)的匹配結(jié)果，無(wú)論是正向答復(fù)還是否定答復(fù)，DNS服務(wù)器非權(quán)威的答復(fù)客戶的解析請(qǐng)求。此時(shí)，DNS解析完成。如果DNS服務(wù)器在自己的本地緩存中還是沒有找到匹配的結(jié)果，此時(shí)，根據(jù)配置的不同，DNS服務(wù)器執(zhí)行請(qǐng)求查詢的方式也不同：默認(rèn)情況下，DNS服務(wù)器使用遞歸方式來(lái)解析名字。遞歸方式的含義就是DNS服務(wù)器作為DNS客戶端向其他DNS服務(wù)器查詢此解析請(qǐng)求，直到獲得解析結(jié)果，在此過(guò)程中，原DNS客戶端則等待DNS服務(wù)器的回復(fù)。如果你禁止DNS服務(wù)器使用遞歸方式，則DNS服務(wù)器工作在迭代方式，即向原DNS客戶端返回一個(gè)參考答復(fù)，其中包含有利于客戶端解析請(qǐng)求的信息（例如根提示信息等），而不再進(jìn)行其他操作；原DNS客戶端根據(jù)DNS服務(wù)器返回的參考信息再?zèng)Q定處理方式。但是在實(shí)際網(wǎng)絡(luò)環(huán)境中，禁用DNS服務(wù)器的遞歸查詢往往會(huì)讓DNS服務(wù)器對(duì)無(wú)法進(jìn)行本地解析的客戶端請(qǐng)求返回一個(gè)服務(wù)器失敗的參考答復(fù)，此時(shí)，客戶端則會(huì)認(rèn)為解析失敗。遞歸方式和迭代方式的不同之處就是當(dāng)DNS服務(wù)器沒有在本地完成客戶端的請(qǐng)求解析時(shí)，由誰(shuí)扮演DNS客戶端的角色向其他DNS服務(wù)器發(fā)起解析請(qǐng)求。通常情況下應(yīng)使用遞歸方式，這樣有利于網(wǎng)絡(luò)管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS服務(wù)器的性能，不過(guò)在通常的情況下，這點(diǎn)性能的消耗無(wú)關(guān)緊要。根提示信息是Internet命名空間中的根DNS服務(wù)器的IP地址。為了正常的執(zhí)行遞歸解析，DNS服務(wù)器必須知道從哪兒開始搜索DNS域名，而根提示信息則用于實(shí)現(xiàn)這一需求。全世界范圍內(nèi)的根DNS服務(wù)器總共有13個(gè)，它們的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服務(wù)器啟動(dòng)時(shí)從cache.dns文件中讀取。一般情況下，不需要對(duì)此文件進(jìn)行修改；如果你的DNS服務(wù)器是在內(nèi)部網(wǎng)絡(luò)中部署并且不需要使用Internet的根DNS服務(wù)器，則可以根據(jù)需要進(jìn)行修改，將其指向到某個(gè)內(nèi)部根域DNS服務(wù)器。例如，當(dāng)某個(gè)DNS客戶端請(qǐng)求解析域名[url][/url]并且DNS服務(wù)器工作在遞歸模式下時(shí)，完整的解析過(guò)程如下：DNS客戶端檢查自己的本地名字緩存，沒有找到對(duì)應(yīng)的記錄；DNS客戶端聯(lián)系自己的DNS服務(wù)器NameServer1，查詢域名[url][/url]；3.NameServer1檢查自己的權(quán)威區(qū)域和本地緩存，沒有找到對(duì)應(yīng)值。于是，聯(lián)系根提示中的某個(gè)根域服務(wù)器，查詢域名[url][/url]；4.根域服務(wù)器也不知道[url][/url]的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1.org頂級(jí)域的權(quán)威DNS服務(wù)器；5.NameServer1聯(lián)系.org頂級(jí)域的權(quán)威DNS服務(wù)器，查詢域名[url][/url]；6.org頂級(jí)域服務(wù)器也不知道[url][/url]的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1W域的權(quán)威DNS服務(wù)器；7.NameServer1聯(lián)系W域的權(quán)威DNS服務(wù)器，查詢域名[url][/url]；8.W域的權(quán)威DNS服務(wù)器知道對(duì)應(yīng)值，并且返回給NameServer1；9.NameServer1向原DNS客戶端返回[url][/url]的結(jié)果，此時(shí)，解析完成。

DNS服務(wù)器全攻略之一：基礎(chǔ)介紹（2006-01-1608:15）查詢響應(yīng)類型DNS服務(wù)器對(duì)于客戶請(qǐng)求的答復(fù)具有多種類型，常見的有以下四種：權(quán)威答復(fù)：權(quán)威答復(fù)是返回給客戶的正向答復(fù)，并且設(shè)置了DNS消息中的權(quán)威位。此答復(fù)代表從具有權(quán)威的DNS服務(wù)器處發(fā)出；正向答復(fù)：正向答復(fù)包含了匹配客戶端解析請(qǐng)求的資源記錄；參考答復(fù)：參考答復(fù)只在DNS服務(wù)器工作在迭代模式下使用，包含了其他有助于客戶端解析請(qǐng)求的信息。例如，當(dāng)DNS服務(wù)器不能為客戶端發(fā)起的解析請(qǐng)求找到某個(gè)匹配值時(shí)，則向DNS客戶端發(fā)送參考回復(fù)，告訴它有助于解析請(qǐng)求的信息；否定答復(fù)：否定答復(fù)指出權(quán)威服務(wù)器在解析客戶端的請(qǐng)求時(shí)可能遇到了以下兩種情況之一：權(quán)威DNS服務(wù)器報(bào)告客戶端查詢的名字不存在；權(quán)威DNS服務(wù)器報(bào)告存在對(duì)應(yīng)的名字但是不存在指定類型的資源記錄。無(wú)論正向答復(fù)還是否定答復(fù)，DNS客戶端都將結(jié)果保存在自己的本地緩存中。理解緩存的工作方式DNS客戶端和DNS服務(wù)器都會(huì)緩存獲得的解析結(jié)果，這樣可以提高DNS服務(wù)性能和減少DNS相關(guān)的網(wǎng)絡(luò)流量。DNS客戶端緩存當(dāng)DNS客戶端服務(wù)啟動(dòng)時(shí)，會(huì)讀取Hosts文件中的所有主機(jī)名和IP地址的映射，并且保存在緩存中。Hosts存放在%systemroot%system32driversetc目錄，當(dāng)你修改Hosts文件后，DNS客戶端會(huì)立即讀取Hosts文件并且對(duì)本地緩存進(jìn)行更新。另外，DNS客戶端會(huì)緩存過(guò)去的查詢結(jié)果，當(dāng)DNS客戶端服務(wù)停止時(shí)，將清空本地緩存。DNS服務(wù)器緩存DNS服務(wù)器像DNS客戶端一樣緩存名字解析結(jié)果，并且可以使用緩存中的信息來(lái)答復(fù)其他客戶端的請(qǐng)求。你可以在DNS服務(wù)器管理控制臺(tái)或者使用DNSCMD命令行工具手動(dòng)清空緩存，另外當(dāng)DNS服務(wù)器停止時(shí)，同樣會(huì)清空DNS服務(wù)器緩存。資源記錄的生存時(shí)間（TTL）指定了資源記錄可以緩存的時(shí)間的長(zhǎng)短，而無(wú)論是DNS客戶端緩存還是DNS服務(wù)器緩存；默認(rèn)情況下，TTL是3600秒（1小時(shí)）。需要注意的是，由于緩存的作用，DNS服務(wù)器上對(duì)于資源記錄的修改可能不能立即生效。并且對(duì)于Internet域名來(lái)說(shuō)，資源記錄的修改可能會(huì)需要超過(guò)24小時(shí)的時(shí)間才能在所有DNS服務(wù)器上完成更新。動(dòng)態(tài)更新當(dāng)DNS客戶端計(jì)算機(jī)上產(chǎn)生某個(gè)事件觸發(fā)更新時(shí)，DNS客戶端計(jì)算機(jī)上的DHCP客戶端服務(wù)將會(huì)為本地計(jì)算機(jī)中使用的所有網(wǎng)絡(luò)連接在相應(yīng)的DNS服務(wù)器中對(duì)自己的A記錄進(jìn)行更新，從而可以確保DNS域名記錄和IP地址記錄的對(duì)應(yīng)關(guān)系。而DNS服務(wù)器需要配置為允許動(dòng)態(tài)更新，才能讓DNS客戶端計(jì)算機(jī)成功完成更新。當(dāng)DNS客戶端計(jì)算機(jī)上產(chǎn)生以下事件時(shí)，會(huì)觸發(fā)DHCP客戶端服務(wù)的動(dòng)態(tài)更新行為：添加、刪除或修改了本地計(jì)算機(jī)任何網(wǎng)絡(luò)連接TCP/IP屬性中的IP地址；本地計(jì)算機(jī)的任何網(wǎng)絡(luò)連接向DHCP服務(wù)器獲取IP地址租約或者續(xù)約；DNS客戶端上運(yùn)行了Ipconfig/registerdns命令；DNS客戶端計(jì)算機(jī)啟動(dòng)；此DNS區(qū)域中的一臺(tái)成員服務(wù)器提升為域控制器；對(duì)于標(biāo)準(zhǔn)主要區(qū)域，你可以選擇不允許動(dòng)態(tài)更新和允許非安全和安全動(dòng)態(tài)更新。但是允許非安全和安全動(dòng)態(tài)更新具有安全隱患，因?yàn)镈NS服務(wù)器不會(huì)對(duì)進(jìn)行動(dòng)態(tài)更新的客戶端計(jì)算機(jī)進(jìn)行驗(yàn)證，所以任何客戶端計(jì)算機(jī)都可以對(duì)任何A記錄進(jìn)行動(dòng)態(tài)更新，而不管它是否是此A記錄的擁有者。通常情況下，你不應(yīng)該使用此選項(xiàng)。對(duì)于活動(dòng)目錄集成區(qū)域，除了上述的兩個(gè)選項(xiàng)外，你還可以使用安全動(dòng)態(tài)更新。當(dāng)使用此方式時(shí)，在客戶端計(jì)算機(jī)更新自己的記錄時(shí)，DNS服務(wù)器將要求客戶端計(jì)算機(jī)進(jìn)行身份驗(yàn)證來(lái)確保只有對(duì)應(yīng)資源記錄的擁有者才能更新此記錄。只有Windows2000及以后版本操作系統(tǒng)的客戶端計(jì)算機(jī)才能執(zhí)行動(dòng)態(tài)更新，低版本的Windows系統(tǒng)（NT4、9x/ME）不支持動(dòng)態(tài)更新。不過(guò)，你可以通過(guò)DHCP服務(wù)器為這些低版本客戶端計(jì)算機(jī)代理進(jìn)行動(dòng)態(tài)更新。當(dāng)DHCP服務(wù)器在代理低版本客戶端計(jì)算機(jī)注冊(cè)A記錄時(shí)，會(huì)將自己設(shè)置為此A記錄的所有者。而在安全動(dòng)態(tài)更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP服務(wù)器為此低版本客戶端計(jì)算機(jī)代理注冊(cè)時(shí)會(huì)出現(xiàn)拒絕訪問(wèn)的問(wèn)題。因此，你需要將此DHCP服務(wù)器加入到DnsUpdateProxy安全組中，這樣當(dāng)DHCP服務(wù)器更新A記錄時(shí)，不會(huì)記錄下此A記錄的所有者信息，從而允許其他DHCP服務(wù)器來(lái)修改此A記錄。教師講授，演示DNS的原理，及主從DNS服務(wù)的配置過(guò)程35分鐘任務(wù)實(shí)施第一步配置主從DNS服務(wù)配置主服務(wù)器[root@lab1~]#vi/etc/resolv.confsearchnameserver1nameserver0配置從服務(wù)器[root@lab2~]#vi/etc/resolv.confsearchnameserver1nameserver0[root@lab2~]#vi/etc/named.confzone""IN{typeslave;file"slaves/.hosts";masters{1;};};zone"123.168.192."IN{typeslave;file"slaves/192.168.123.rev";masters{1;};};[root@lab2~]#chmodg+w/var/named/chroot/var/named/[root@lab2~]#servicenamedrestart[root@lab2~]#ll/var/named/chroot/var/named/slaves/總用量8-rw1namednamed4112月1521:54192.168.123.rev-rw1namednamed3952月1521:54.hosts第二步配置DNS子域修改父域服務(wù)器正向解析文件[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5bj INNS www.bjwww.bj INA53修改子域服務(wù)器主配置文件[root@lab3~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};[root@lab3~]#servicenamedrestart第三步配置DNS高級(jí)選項(xiàng)1、配置DNS轉(zhuǎn)發(fā)器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardfirst;forwarders{0;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};2、配置緩存cache-only服務(wù)器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardonly;forwarders{0;1;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};3、配置WEB服務(wù)負(fù)載均衡[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINAwwwINAwwwINA4、配置實(shí)現(xiàn)泛域解析[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINAwwwINAwwwINA*INA0學(xué)生通過(guò)提供的教學(xué)資源進(jìn)行學(xué)習(xí)，記錄操作步驟和遇到的問(wèn)題40分鐘課后總結(jié)配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)學(xué)生在課后鞏固所學(xué)知識(shí)和技能5分鐘教案首頁(yè)序號(hào)：27授課班級(jí)授課日期5.206.14出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)引入新課：Linux系統(tǒng)DNS服務(wù)安裝與配置（三）教學(xué)目標(biāo)學(xué)生通過(guò)該能力模塊的學(xué)習(xí),能夠獨(dú)立完成和熟練掌握安全配置DNS服務(wù)器，加強(qiáng)Linux系統(tǒng)的DNS服務(wù)的安全防御能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容DNS的配置和主從服務(wù)器的配置引入本節(jié)內(nèi)容保護(hù)DNS服務(wù)器自身的安全任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成DNS安全的配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊難點(diǎn)： 保護(hù)ZoneTransfer的安全解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié)DNS的安全設(shè)置既復(fù)雜又難度較大，稍微一點(diǎn)錯(cuò)誤，就會(huì)引起整個(gè)實(shí)驗(yàn)的失敗，因此應(yīng)當(dāng)在實(shí)驗(yàn)中加倍認(rèn)真。Linux系統(tǒng)DNS服務(wù)安裝與配置（三）教學(xué)過(guò)程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入加強(qiáng)DNS的安全，首先應(yīng)該從DNS服務(wù)器自身的安全開始進(jìn)行配置教師講授5分鐘知識(shí)講授一、ZoneTransferDNS的區(qū)域傳輸目的是為了DNS的備份，當(dāng)DNS服務(wù)器壞了，它的數(shù)據(jù)不會(huì)丟失。注意在配置區(qū)域傳輸是一定要注意輔助服務(wù)器上建立的區(qū)域是輔助區(qū)域且與主服務(wù)器的域名相同，而且區(qū)域傳輸是雙向的，不但需要在輔助服務(wù)器上配置還要在主服務(wù)器上進(jìn)行相應(yīng)的配置。二、DNS威脅 DNS服務(wù)面臨的安全問(wèn)題主要包括：DNS欺騙（DNSSpoffing）、拒絕服務(wù)（Denialofservice，DoS）攻擊、分布式拒絕服務(wù)攻擊和緩沖區(qū)漏洞溢出攻擊（BufferOverflow）。1.DNS欺騙

DNS欺騙即域名信息欺騙是最常見的DNS安全問(wèn)題。當(dāng)一個(gè)DNS服務(wù)器掉入陷阱，使用了來(lái)自一個(gè)惡意DNS服務(wù)器的錯(cuò)誤信息，那么該DNS服務(wù)器就被欺騙了。DNS欺騙會(huì)使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問(wèn)題，例如：將用戶引導(dǎo)到錯(cuò)誤的互聯(lián)網(wǎng)站點(diǎn)，或者發(fā)送一個(gè)電子郵件到一個(gè)未經(jīng)授權(quán)的郵件服務(wù)器。網(wǎng)絡(luò)攻擊者通常通過(guò)三種方法進(jìn)行DNS欺騙。圖1是一個(gè)典型的DNS欺騙的示意圖。（1）緩存感染黑客會(huì)熟練的使用DNS請(qǐng)求，將數(shù)據(jù)放入一個(gè)沒有設(shè)防的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會(huì)在客戶進(jìn)行DNS訪問(wèn)時(shí)返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的Web服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。（2）DNS信息劫持入侵者通過(guò)監(jiān)聽客戶端和DNS服務(wù)器的對(duì)話，通過(guò)猜測(cè)服務(wù)器響應(yīng)給客戶端的DNS查詢ID。每個(gè)DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的16位ID號(hào)，DNS服務(wù)器根據(jù)這個(gè)ID號(hào)獲取請(qǐng)求源位置。黑客在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問(wèn)惡意的網(wǎng)站。（3）DNS復(fù)位定向

攻擊者能夠?qū)NS名稱查詢復(fù)位向到惡意DNS服務(wù)器。這樣攻擊者可以獲得DNS服務(wù)器的寫權(quán)限。2.拒絕服務(wù)攻擊

黑客主要利用一些DNS軟件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向運(yùn)行BIND的設(shè)備發(fā)送特定的DNS數(shù)據(jù)包請(qǐng)求，BIND就會(huì)自動(dòng)關(guān)閉。攻擊者只能使BIND關(guān)閉，而無(wú)法在服務(wù)器上執(zhí)行任意命令。如果得不到DNS服務(wù)，那么就會(huì)產(chǎn)生一場(chǎng)災(zāi)難：由于網(wǎng)址不能解析為IP地址，用戶將無(wú)方訪問(wèn)互聯(lián)網(wǎng)。這樣，DNS產(chǎn)生的問(wèn)題就好像是互聯(lián)網(wǎng)本身所產(chǎn)生的問(wèn)題，這將導(dǎo)致大量的混亂。3、分布式拒絕服務(wù)攻擊

DDOS攻擊通過(guò)使用攻擊者控制的幾十臺(tái)或幾百臺(tái)計(jì)算機(jī)攻擊一臺(tái)主機(jī)，使得服務(wù)

拒絕攻擊更難以防范：使服務(wù)拒絕攻擊更難以通過(guò)阻塞單一攻擊源主機(jī)的數(shù)據(jù)流，來(lái)防范服務(wù)拒絕攻擊。SynFlood是針對(duì)DNS服務(wù)器最常見的分布式拒絕服務(wù)攻擊。4.緩沖區(qū)漏洞

Bind軟件的缺省設(shè)置是允許主機(jī)間進(jìn)行區(qū)域傳輸（zonetransfer）。區(qū)域傳輸主要用于主域名服務(wù)器與輔域名服務(wù)器之間的數(shù)據(jù)同步，使輔域名服務(wù)器可以從主域名服務(wù)器獲得新的數(shù)據(jù)信息。一旦起用區(qū)域傳輸而不做任何限制，很可能會(huì)造成信息泄漏，黑客將可以獲得整個(gè)授權(quán)區(qū)域內(nèi)的所有主機(jī)的信息，判斷主機(jī)功能及安全性，從中發(fā)現(xiàn)目標(biāo)進(jìn)行攻擊。教師講授，演示DNS可能遭遇的威脅35分鐘任務(wù)實(shí)施一、選擇沒有安全缺陷的DNS版本BIND主要分為三個(gè)版本：（1）v4：1998年多數(shù)unix捆綁（2）v8：如今使用最多最廣大版本安全信息：/showQueryL.asp?libID=530（3）v9：最新版本，免費(fèi)（)2.保持DNS服務(wù)器配置正確、可靠dlint是專門檢查DNS配置文件開源代碼軟件：/dns/dlint.shtmldnstop可以查詢DNS服務(wù)器狀態(tài)：/dnstop/dentop-20010809-1.i386.rpm二、保護(hù)DNS服務(wù)器本身安全第一步：隔離DNS服務(wù)器DNS服務(wù)器要專用，不要在DNS服務(wù)器上運(yùn)行其它服務(wù)，盡量允許普通用戶登錄。第二步：隱藏DNS服務(wù)器網(wǎng)絡(luò)攻擊者對(duì)DNS服務(wù)進(jìn)行攻擊前，首先要知道BIND有版本號(hào)，根據(jù)BIND版本號(hào)找到漏洞來(lái)確定攻擊DNS服務(wù)器方法，攻擊者使用dig命令可以查詢到BIND的版本號(hào)。為了保障DNS服務(wù)器安全的首先要隱藏DNS服務(wù)器。下面是沒有隱藏DNS服務(wù)，攻擊者查詢到的DNS服務(wù)器的版本。[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:10122;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"9.2.4";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:20msec;;SERVER:1#53(1);;WHEN:ThuJan1418:33:272010;;MSGSIZErcvd:62[root@centos~]#通過(guò)下面對(duì)服務(wù)器進(jìn)行安全配置，攻擊者無(wú)法查詢到DNS服務(wù)地版本信息，編輯BIND配置文件，如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};////acachingonlynameserverconfig//"/etc/named.conf"79L,1572C在配置文件中加入“version"unknowonthisplatform";”，保存配置文件，然后退出，重啟DNS服務(wù)器。[root@lab2~]#servicenamedrestart停止named：[確定]啟動(dòng)named：[確定][root@lab2~]#再使用dig命令進(jìn)行測(cè)試，如下所示：[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:61670;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"unknowonthisplatform";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:16msec;;SERVER:1#53(1);;WHEN:ThuJan1418:40:232010;;MSGSIZErcvd:80通過(guò)上面測(cè)試，可以看到攻擊者無(wú)法查詢到DNS的版本信息。第三步：避免透露DNS服務(wù)器信息和版本號(hào)一樣，也不要輕易透露服務(wù)器其他信息。為了讓潛在的攻擊者更難得手，盡量不要在DNS配置文件中使用這HINFO和TXT兩個(gè)資源記錄。第四步：以最小的權(quán)限及使用chroot()方式運(yùn)行BIND以root使用者的身分執(zhí)行BIND有安全隱患，攻擊者若找到BIND的安全漏洞，可能獲取root的身分，從而進(jìn)行對(duì)服務(wù)器攻擊。BIND8.1.2+允許在啟動(dòng)DNS服務(wù)器後，變更其UID和GID，可以使用命令named-unamed以chroot()的方式執(zhí)行BIND可將危害減至最低設(shè)置chroot之后的環(huán)境：設(shè)置dev/zero、dev/random、dev/log或etc/localtime，可以使用命令修改運(yùn)行用戶。named-unamed-t/var/named三、保護(hù)DNS免于Spoofed攻擊DNS服務(wù)器若接受來(lái)自Internet的遞歸詢問(wèn)要求，易遭受Spoofing的攻擊，導(dǎo)致攻擊者修改DNS服務(wù)器區(qū)域文件，其它用戶解析域名的時(shí)候，取回的是假造的名稱信息。第一步：關(guān)閉rescursion的功能關(guān)閉rescursion功能后，DNS服務(wù)器只會(huì)響應(yīng)非遞歸的詢問(wèn)要求無(wú)遞歸功能的DNS服務(wù)器不易易遭受Spoofing的攻擊，因?yàn)樗粫?huì)送出查詢要求，所以也不會(huì)攝取所管區(qū)域以外的任何數(shù)據(jù)如果DNS服務(wù)器還提供服務(wù)給合法的解析器（resolver），或是充當(dāng)其他DNS服務(wù)器的代詢服務(wù)器（forwarder），就不應(yīng)該關(guān)閉rescursion的功能。如果無(wú)法關(guān)閉rescursion的功能，應(yīng)該限制查詢要求的服務(wù)對(duì)象修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第二步：關(guān)閉gluefetching的功能修當(dāng)DNS服務(wù)器為響應(yīng)詢問(wèn)的DNS封包建立additionaldata區(qū)段的數(shù)據(jù)時(shí)，會(huì)自動(dòng)解析NS紀(jì)錄中任何DNS服務(wù)器的域名，這稱為gluefetching，易遭受Spoofing的攻擊。關(guān)閉gluefetching的功能，可避免DNS服務(wù)器送出任何的查詢要求，所以也不會(huì)攝取所管區(qū)域以外的任何數(shù)據(jù)。當(dāng)DNS服務(wù)器返回一個(gè)域的域名服務(wù)器紀(jì)錄并且域名服務(wù)器紀(jì)錄中沒有A紀(jì)錄，DNS服務(wù)器會(huì)嘗試獲取一個(gè)紀(jì)錄。就稱為gluefetching,攻擊者可以利用它進(jìn)行DNS欺騙。關(guān)閉gluefetching是一個(gè)好方法，修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第三步：限制查詢要求的服務(wù)對(duì)象如果無(wú)法關(guān)閉rescursion的功能，應(yīng)該限制查詢要求的服務(wù)對(duì)象限制詢問(wèn)要求的來(lái)源（IP地址）限制可以查詢的區(qū)域范圍DNS服務(wù)器應(yīng)該拒絕來(lái)自以下網(wǎng)絡(luò)的詢問(wèn)要求私有網(wǎng)絡(luò)（除非你自己在使用）實(shí)驗(yàn)性網(wǎng)絡(luò)群播網(wǎng)絡(luò)一般的DNS服務(wù)器對(duì)所管區(qū)域的名稱信息，可以服務(wù)來(lái)自任何IP地址的查詢要求，因?yàn)樗墙?jīng)授權(quán)而來(lái)管理該區(qū)域的權(quán)威DNS服務(wù)器對(duì)于所管區(qū)域以外的名稱信息，只應(yīng)該服務(wù)來(lái)自內(nèi)部或可信賴之IP地址的查詢要求cahing-onlyDNS服務(wù)器應(yīng)該只服務(wù)來(lái)自特定IP地址的解析器authoritative-onlyDNS服務(wù)器必須服務(wù)來(lái)自任何IP地址的詢問(wèn)要求，但是應(yīng)該拒絕任何遞歸的詢問(wèn)要求。具體配置如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………zone""IN{typemaster;file"/var/named/.hosts";allow-query{any;};allow-update{none;};};zone"123.168.192."IN{typemaster;file"/var/named/192.168.123.rev";allow-update{none;};};include"/etc/rndc.key";這樣所有的用戶都可以訪問(wèn)的DNS服務(wù)器，但是只有網(wǎng)段的主機(jī)用戶可以請(qǐng)求DNS服務(wù)器的任意服務(wù)，另外也不要允許其他網(wǎng)段的主機(jī)進(jìn)行遞歸詢問(wèn)。學(xué)生通過(guò)提供的教學(xué)資源進(jìn)行學(xué)習(xí)，記錄操作步驟和遇到的問(wèn)題40分鐘課后總結(jié)保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊學(xué)生在課后鞏固所學(xué)知識(shí)和技能5分鐘教案首頁(yè)序號(hào)：28授課班級(jí)授課日期5.206.14出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：保護(hù)DNS服務(wù)器本身安全保護(hù)ZoneTransfer的安全保護(hù)DNS免于Spoofed攻擊引入新課：Linux系統(tǒng)DNS服務(wù)安裝與配置（四）教學(xué)目標(biāo)1、按照項(xiàng)目的需求， 重點(diǎn)掌握如何使用TSIG保護(hù)DNS服務(wù)器；2、按照項(xiàng)目的需求， 熟練掌握如何保護(hù)DynamicUpdate的安全。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：使用TSIG保護(hù)DNS服務(wù)器保護(hù)DynamicUpdate的安全教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容復(fù)習(xí)已經(jīng)所做的關(guān)于DNS的安全配置引入本節(jié)內(nèi)容使用密碼和簽名技術(shù)保護(hù)DNS服務(wù)器的安全任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成DNS服務(wù)器的安全的配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：使用TSIG保護(hù)DNS服務(wù)器保護(hù)DynamicUpdate的安全難點(diǎn)：使用TSIG保護(hù)DNS服務(wù)器解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié) Linux系統(tǒng)DNS服務(wù)安裝與配置（四）教學(xué)過(guò)程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入在DNS的配置中，涉及到不同服務(wù)器之間信息的傳輸，我們應(yīng)該對(duì)傳輸過(guò)程中信息的安全加強(qiáng)控制。教師講授5分鐘知識(shí)講授TSIGDNS的事務(wù)簽名分為TSIG(TransactionSignatures)與SIG0(SIGnature)兩種。該如何選擇呢?首先，要先判斷客戶端與服務(wù)器間的信任關(guān)系為何，若是可信任者，可選擇對(duì)稱式的TSIG。TSIG只有一組密碼，并無(wú)公開/私密金鑰之分；若是非完全信任者，可選擇非對(duì)稱式金鑰的SIG0，雖有公開/私密金鑰之分，相對(duì)的，設(shè)定上也較復(fù)雜。至于要選用哪種較適合，就由自己來(lái)判斷。通常區(qū)帶傳輸是主域名服務(wù)器到輔助域名服務(wù)器。1.TSIG技術(shù)交易簽章(TSIGRFC2845)，是為了保護(hù)DNS安全而發(fā)展的。從BIND8.2版本開始引入TSIG機(jī)制，其驗(yàn)證DNS訊息方式是使用共享金鑰(SecretKey)及單向雜湊函式(One-wayhashfunction)來(lái)提供訊息的驗(yàn)證和數(shù)據(jù)的完整性。主要針對(duì)區(qū)帶傳輸（ZONETransfer）進(jìn)行保護(hù)的作用，利用密碼學(xué)編碼方式為通訊傳輸信息加密以保證DNS訊息的安全，特別是響應(yīng)與更新的訊息數(shù)據(jù)。也就是說(shuō)在DNS服務(wù)器之間進(jìn)行轄區(qū)傳送時(shí)所提供保護(hù)的機(jī)制，以確保傳輸數(shù)據(jù)不被竊取及監(jiān)聽。2.SIG0技術(shù)簡(jiǎn)介SIG0是一九九九年三月由IBM公司的D.Eastlake提出成為標(biāo)準(zhǔn)。其是利用公開金鑰機(jī)制為轄區(qū)資料進(jìn)行數(shù)字簽章的動(dòng)作，以保證每筆傳輸?shù)膕ourcerecord具有可驗(yàn)證性與不可否認(rèn)性。實(shí)際上SIG0才是防止DNSSpoofing發(fā)生最主要的技術(shù)，SIG0是使用公開金鑰加密法，讓轄區(qū)管理者為其轄區(qū)數(shù)據(jù)加上數(shù)字簽章，由此證明轄區(qū)資料的可信賴性。除此之外，SIG0保有是否選擇認(rèn)證機(jī)制的彈性，以及可靈活地配合自訂的安全機(jī)制。教師講授，演示TSIG技術(shù)35分鐘任務(wù)實(shí)施第一步保護(hù)ZoneTransfer的安全默認(rèn)情況下BIND的區(qū)域(zone)傳輸是全部開放的，如果沒有限制那么DNS服務(wù)器允許對(duì)任何人都進(jìn)行區(qū)域傳輸?shù)脑?，那么網(wǎng)絡(luò)架構(gòu)中的主機(jī)名、主機(jī)IP列表、路由器名和路由IP列表，甚至包括各主機(jī)所在的位置和硬件配置等情況都很容易被入侵者得到。因此，要對(duì)區(qū)域傳輸進(jìn)行必要的限制?？梢酝ㄟ^(guò)在／etc／named．conf文件當(dāng)中添加以下語(yǔ)句來(lái)限制區(qū)域傳輸。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………acl"zone-transfer"{1;0;};zone""IN{typemaster;file"/var/named/.hosts";allow-query{any;};allow-transfer{zone-transfer;};allow-update{none;};};這樣只有ip地址為：1～0的主機(jī)能夠同DNS服務(wù)器進(jìn)行區(qū)域傳輸。第二步保護(hù)DynamicUpdate的安全允許能向本DNS服務(wù)器提交動(dòng)態(tài)DNS更新的主機(jī)IP列表。雖然DynamicUpdate很有用但也很危險(xiǎn)，必須予以限制。除了SOA紀(jì)錄以及一個(gè)NS紀(jì)錄外，經(jīng)授權(quán)的更新者可以刪除區(qū)域中所有的紀(jì)錄，也可以加入完全不同的紀(jì)錄[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………};acl"zone-transfer"{1;0;};acl"updater"{5;};//dhcp-serverzone""IN{typemaster;file"/var