DNS加密传输

DNS加密传输,第1张

参考:

https://blog.51cto.com/ssxiaoguai/1576340

https://www.linuxprobe.com/chapter-13.html#134

DNS 欺骗域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信 息,那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子 邮件到一个未经授权的邮件服务器。

拒绝服务攻击(DOS)

黑客主要利用一些DNS 软件的 漏洞,如在BIND 9 版本(版本9.2.0 以前的 9 系列)如果有人向运行BIND的设备发送特定的DNS 数据包请求,BIND 就会自动关闭。攻击者只能使BIND 关闭,而无法在服务器上执行任意命令。如 果得不到DNS 服务,那么就会产生一场灾难:由于网址不能解析为IP 地址,用户将无方访问互联网。这样,DNS 产生的问题就好像是互联网本身所产生的问 题,这将导致大量的混乱。

分布式拒绝服务攻击(DDOS)

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。

缓冲区漏洞

Bind 软件的 缺省设置是允许主机间进行区域传输(zone transfer)。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步,使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制,很可能会造成信息泄漏,黑客将可以获得整个授权区域内的所有主机的信息,判断主机功能及安全性,从中发现目标进行攻击。

TSIG SIG0

DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先,要先判断客户端与服务器间的信任关系为何,若是可信任者,可选择对称式的 TSIG。TSIG 只有一组密码,并无公开/私密金钥之分;若是非完全信任者,可选择非对称式金钥的 SIG0,虽有公开/私密金钥之分,相对的,设定上也较复杂。至于要选用哪种较适合,就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/named.conf 的dns-ip-list 的访问控制列表(ACL,access control list)会列出一些IP 地址,它们只能为主域进行传输区带信息。

DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性,并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数,然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树,那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法 的hash 数,所以只有拥有私钥的拥有者可以加密这些信息。

在linux系统中一般通过bind软件包来提供dns服务。

1、环境准备:

临时关闭selinux和iptables

#setenforce 0

#service iptables stop

2、查询相关软件包:

[root@localhost ~]# yum search bind

Loaded plugins: product-id, refresh-packagekit, subscription-manager

Updating Red Hat repositories.

====================================================================================== N/S Matched: bind ======================================================================================

PackageKit-device-rebind.i686 : Device rebind functionality for PackageKit

bind.i686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server

bind-chroot.i686 : A chroot runtime environment for the ISC BIND DNS server, named(8)

bind-utils.i686 : Utilities for querying DNS name servers

其中各软件包的作用如下:

1)、bind: 提供域名服务的主要程序及相关文件。

2)、bind-chroot:为bind提供一个伪装的根目录以增强安全性。

3)、bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。

3、安装BIND软件包

#yum install *bind*

4、配置DNS服务器:

1)、bind服务器端程序

主要执行程序:/usr/sbin/named

服务脚本:、etc/init.d/named

默认监听端口:53

主配置文件: /etc/named.conf

保存DNS解析记录的数据文件: /var/named/chroot/var/named

2)、查询bind程序的配置文件列表

[root@localhost ~]# rpm -qc bind

/etc/logrotate.d/named

/etc/named.conf

/etc/named.iscdlv.key

/etc/named.rfc1912.zones

/etc/named.root.key

/etc/rndc.conf

/etc/rndc.key

/etc/sysconfig/named

/var/named/named.ca

/var/named/named.empty

/var/named/named.localhost

/var/named/named.loopback

3)、查看主配置文件named.conf

#vim /etc/named.conf

4)、主配置文件解析:

a、全局配置部分,默认的全局配置项如下:

options {

 11         listen-on port 53 { 127.0.0.1 }                 //监听的端口和接口IP地址

 12         listen-on-v6 port 53 { ::1 }

 13         directory       "/var/named"                       //dns区域的数据文件默认存放位置

 14         dump-file       "/var/named/data/cache_dump.db"

 15         statistics-file "/var/named/data/named_stats.txt"

 16         memstatistics-file "/var/named/data/named_mem_stats.txt"

 17         allow-query     { localhost }                 //允许dns查询的客户机列表,any表示所有

 18         recursion yes                                       //是否允许客户机进行递归查询

 19

 20         dnssec-enable yes

 21         dnssec-validation yes

 22         dnssec-lookaside auto

 23

 24         /* Path to ISC DLV key */

 25         bindkeys-file "/etc/named.iscdlv.key"

 26 }

全局配置中还有如下选项:

     //将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址

     forwarders {202.102.24.6812.3.3.3}

b、默认的区域配置项如下:

 35 zone "." IN {

 36         type hint      //区域类型。hint为根区域;master为主区域 slave为辅助区域

 37         file "named.ca"          //该区域对应的区域数据配置文件名

 38 }

区域配置中还有如下选项:

//允许下载区域数据库的从域名服务器IP地址

allow-transfer {189.98.90.23}              

//允许动态更新的客户端IP地址(none表示全部禁止)

allow-update {none}

添加如下区域配置:

zone “my.com” IN {

         type master                      //主区域

         file “my.com”                    //该区域对应的区域数据配置文件名

allow-transfer {192.168.153.1}           //允许下载区域数据库的从域名服务器IP地址

         allow-update {none}

}

zone “153.168.192.in-addr.arpa” IN {       //表示针对IP192.168.153.130反向解析

         type master                      //主区域

         file “192.168.153.my.arpa”       //该区域对应的区域数据配置文件名

}

5)、配置完了,可以执行如下命令对named.conf文件进行语法检查。

#named-checkconf

注意:倒序网络地址.in-addr.arpa 表示反向区域

主配置文件最后还有一行是:

//该文件包含/etc/named.rfc1912.zones文件

include “/etc/named.rfc1912.zones”

区域数据配置文件:

先看一下named.localhost的内容:

$TTL 1D             //time to live 生存时间

@       IN SOA  @ rname.invalid. (                    //”rname.invalid”DNS区域地址

                                        0        serial      //更新序列号

                                        1D       refresh  //更新时间

                                        1H       retry      //重试延时

                                        1W       expire   //失效时间

                                        3H )     minimum          //无效地址解析记录的默认缓存时间

        NS      @              //name server 域名服务记录

        A       127.0.0.1                   //address 只用在正向解析的区域数据文件中

        AAAA    ::1

新建2个对应的区域数据配置文件:

#touch my.com

#touch 192.168.153.my.arpa

#vim my.com

$TTL 86400

@ IN SOA my.com. admin.my.com (        //admin.my.cm为该区域管理员的邮箱地址

        200900201

        3H

        15M

        1W

        1D

)

@       IN      NS      ns1.my.com.           //当前域的DNS服务器地址

        IN      MX      10      mail.my.com.         //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低

ns1     IN      A       192.168.153.130

mail    IN      A       192.168.153.130

www     IN      A       192.168.153.130

ftp     IN      CNAME   www                 //CNAME别名(canonical name)记录,表示ftp.my.com和www.my.com对应同一个IP.

 

[root@localhost named]# vim 192.168.153.my.arpa

$TTL 86400

@ IN SOA my.com. admin.my.com (

        200900201

        3H

        15M

        1W

        1D

)

@       IN      NS      ns1.my.com.

130     IN              PTR     ftp.my.com

启动DNS服务

[root@localhost ~]# service named start

4、测试:

配置一台ftp服务器用于测试:

#service vsftpd start            //启动vsftpd服务 当前网卡的配置:

eth0: 192.168.0.1/24

eth1: 192.168.153.130/24 [root@localhost named]# nslookup 192.168.153.130

Server:               127.0.0.1

Address:  127.0.0.1#53

 

130.153.168.192.in-addr.arpa         name = www.my.com.

 

[root@localhost ~]# nslookup ftp.my.com

Server:               127.0.0.1

Address:  127.0.0.1#53

 

ftp.my.com       canonical name = www.my.com.

Name:      www.my.com

Address: 192.168.153.130

linux DNS服务器配置

基本理论:

DNS系统的作用是把域名和IP对应起来。

正向解析:根据域名(主机名)查找对应的IP地址。

反向解析:根据IP地址查询对应的域名(主机名)。

查询

递归查询:大多数客户机向DNS服务器解析域名的方式。

迭代查询:大多数DNS服务器向其它DNS服务器解析域名的方式。

DNS服务器的类型

缓存域名服务器:也称唯高速缓存服务器。通过向其它域名服务器查询获得域名与IP地址的对应记录,将域名查询结果缓存到本地,提高重复查询时的速度。

主域名服务器:特定DNS区域的官方服务器,具有唯一性。负责维护该区域内的所有域名与IP的映射记录。

从域名服务器:也称辅助域名服务器。其维护的域名与IP地址的映射记录来源于主域名服务器。

环境准备:

临时关闭selinux和iptables

#setenforce 0

#service iptables stop

查询相关软件包:

[root@localhost ~]# yum search bind

Loaded plugins: product-id, refresh-packagekit, subscription-manager

Updating Red Hat repositories.

====================================================================================== N/S Matched: bind ======================================================================================

PackageKit-device-rebind.i686 : Device rebind functionality for PackageKit

bind.i686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server

bind-chroot.i686 : A chroot runtime environment for the ISC BIND DNS server, named(8)

bind-utils.i686 : Utilities for querying DNS name servers

其中各软件包的作用如下:

bind: 提供域名服务的主要程序及相关文件。

bind-chroot:为bind提供一个伪装的根目录以增强安全性。

bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。

安装BIND软件包#yum install *bind*

配置DNS服务器:

bind服务器端程序

主要执行程序:/usr/sbin/named

服务脚本:、etc/init.d/named

默认监听端口:53

主配置文件: /etc/named.conf

保存DNS解析记录的数据文件: /var/named/chroot/var/named

查询bind程序的配置文件列表

[root@localhost ~]# rpm -qc bind

/etc/logrotate.d/named

/etc/named.conf

/etc/named.iscdlv.key

/etc/named.rfc1912.zones

/etc/named.root.key

/etc/rndc.conf

/etc/rndc.key

/etc/sysconfig/named

/var/named/named.ca

/var/named/named.empty

/var/named/named.localhost

/var/named/named.loopback

查看主配置文件named.conf

#vim /etc/named.conf

主配置文件解析:

全局配置部分:

默认的全局配置项如下:

10 options {

11 listen-on port 53 { 127.0.0.1}//监听的端口和接口IP地址

12 listen-on-v6 port 53 { ::1}

13 directory "/var/named" //dns区域的数据文件默认存放位置

14 dump-file "/var/named/data/cache_dump.db"

15 statistics-file "/var/named/data/named_stats.txt"

16 memstatistics-file "/var/named/data/named_mem_stats.txt"

17 allow-query { localhost}//允许dns查询的客户机列表,any表示所有

18 recursion yes //是否允许客户机进行递归查询

19

20 dnssec-enable yes

21 dnssec-validation yes

22 dnssec-lookaside auto

23

24 /* Path to ISC DLV key */

25 bindkeys-file "/etc/named.iscdlv.key"

26 }

全局配置中还有如下选项:

forwarders {202.102.24.6812.3.3.3} //将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址

默认的区域配置项如下:

35 zone "." IN {

36 type hint//区域类型。hint为根区域;master为主区域slave为辅助区域

37 file "named.ca" //该区域对应的区域数据配置文件名

38 }

区域配置中还有如下选项:

allow-transfer {189.98.90.23} //允许下载区域数据库的从域名服务器IP地址

allow-update {none} //允许动态更新的客户端IP地址(none表示全部禁止)

添加如下区域配置:

zone “my.com” IN {

type master //主区域

file “my.com” //该区域对应的区域数据配置文件名

allow-transfer {192.168.153.1}//允许下载区域数据库的从域名服务器IP地址

allow-update {none}

}

zone “153.168.192.in-addr.arpa” IN { //表示针对IP192.168.153.130反向解析

type master //主区域

file “192.168.153.my.arpa” //该区域对应的区域数据配置文件名

}

配置完了,可以执行如下命令对named.conf文件进行语法检查。

#named-checkconf

注意:倒序网络地址.in-addr.arpa 表示反向区域

主配置文件最后还有一行是:

include “/etc/named.rfc1912.zones” //该文件包含/etc/named.rfc1912.zones文件

区域数据配置文件:

先看一下named.localhost的内容:

$TTL 1D //time to live 生存时间

@ IN SOA @ rname.invalid. (//”rname.invalid”DNS区域地址

0 serial //更新序列号

1D refresh //更新时间

1H retry //重试延时

1W expire //失效时间

3H )minimum //无效地址解析记录的默认缓存时间

NS @ //name server 域名服务记录

A 127.0.0.1 //address 只用在正向解析的区域数据文件中

AAAA::1

新建2个对应的区域数据配置文件:

#touch my.com

#touch 192.168.153.my.arpa

#vim my.com

$TTL 86400

@ IN SOA my.com. admin.my.com (//admin.myNaN为该区域管理员的邮箱地址

200900201

3H

15M

1W

1D

)

@ IN NS ns1.my.com. //当前域的DNS服务器地址

IN MX 10 mail.my.com. //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低

ns1 IN A 192.168.153.130

mailIN A 192.168.153.130

www IN A 192.168.153.130

ftp IN CNAME www //CNAME别名(canonical name)记录,表示ftp.my.com和www.my.com对应同一个IP.

[root@localhost named]# vim 192.168.153.my.arpa

$TTL 86400

@ IN SOA my.com. admin.my.com (

200900201

3H

15M

1W

1D

)

@ IN NS ns1.my.com.

130 IN PTR ftp.my.com

启动DNS服务

[root@localhost ~]# service named start

测试:

配置一台ftp服务器用于测试:

#service vsftpd start//启动vsftpd服务

当前网卡的配置:

eth0: 192.168.0.1/24

eth1: 192.168.153.130/24

[root@localhost named]# nslookup 192.168.153.130

Server: 127.0.0.1

Address: 127.0.0.1#53

130.153.168.192.in-addr.arpa name = www.my.com.

[root@localhost ~]# nslookup ftp.my.com

Server: 127.0.0.1

Address: 127.0.0.1#53

ftp.my.com canonical name = www.my.com.

Name: www.my.com

Address: 192.168.153.130

测试成功


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/22092.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-02-15
下一篇2023-02-15

发表评论

登录后才能评论

评论列表(0条)

    保存