参考:
https://blog.51cto.com/ssxiaoguai/1576340
https://www.linuxprobe.com/chapter-13.html#134
DNS 欺骗 即域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信 息,那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子 邮件到一个未经授权的邮件服务器。
拒绝服务攻击(DOS)
黑客主要利用一些DNS 软件的 漏洞,如在BIND 9 版本(版本9.2.0 以前的 9 系列)如果有人向运行BIND的设备发送特定的DNS 数据包请求,BIND 就会自动关闭。攻击者只能使BIND 关闭,而无法在服务器上执行任意命令。如 果得不到DNS 服务,那么就会产生一场灾难:由于网址不能解析为IP 地址,用户将无方访问互联网。这样,DNS 产生的问题就好像是互联网本身所产生的问 题,这将导致大量的混乱。
分布式拒绝服务攻击(DDOS)
DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。
缓冲区漏洞
Bind 软件的 缺省设置是允许主机间进行区域传输(zone transfer)。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步,使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制,很可能会造成信息泄漏,黑客将可以获得整个授权区域内的所有主机的信息,判断主机功能及安全性,从中发现目标进行攻击。
TSIG SIG0
DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先,要先判断客户端与服务器间的信任关系为何,若是可信任者,可选择对称式的 TSIG。TSIG 只有一组密码,并无公开/私密金钥之分;若是非完全信任者,可选择非对称式金钥的 SIG0,虽有公开/私密金钥之分,相对的,设定上也较复杂。至于要选用哪种较适合,就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/named.conf 的dns-ip-list 的访问控制列表(ACL,access control list)会列出一些IP 地址,它们只能为主域进行传输区带信息。
DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性,并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数,然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树,那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法 的hash 数,所以只有拥有私钥的拥有者可以加密这些信息。
在linux系统中一般通过bind软件包来提供dns服务。
1、环境准备:
临时关闭selinux和iptables
#setenforce 0#service iptables stop
2、查询相关软件包:
[root@localhost ~]# yum search bindLoaded plugins: product-id, refresh-packagekit, subscription-manager
Updating Red Hat repositories.
====================================================================================== N/S Matched: bind ======================================================================================
PackageKit-device-rebind.i686 : Device rebind functionality for PackageKit
bind.i686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server
bind-chroot.i686 : A chroot runtime environment for the ISC BIND DNS server, named(8)
bind-utils.i686 : Utilities for querying DNS name servers
其中各软件包的作用如下:
1)、bind: 提供域名服务的主要程序及相关文件。
2)、bind-chroot:为bind提供一个伪装的根目录以增强安全性。
3)、bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。
3、安装BIND软件包
#yum install *bind*4、配置DNS服务器:
1)、bind服务器端程序
主要执行程序:/usr/sbin/named
服务脚本:、etc/init.d/named
默认监听端口:53
主配置文件: /etc/named.conf
保存DNS解析记录的数据文件: /var/named/chroot/var/named
2)、查询bind程序的配置文件列表
[root@localhost ~]# rpm -qc bind/etc/logrotate.d/named
/etc/named.conf
/etc/named.iscdlv.key
/etc/named.rfc1912.zones
/etc/named.root.key
/etc/rndc.conf
/etc/rndc.key
/etc/sysconfig/named
/var/named/named.ca
/var/named/named.empty
/var/named/named.localhost
/var/named/named.loopback
3)、查看主配置文件named.conf
#vim /etc/named.conf4)、主配置文件解析:
a、全局配置部分,默认的全局配置项如下:
options {11 listen-on port 53 { 127.0.0.1 } //监听的端口和接口IP地址
12 listen-on-v6 port 53 { ::1 }
13 directory "/var/named" //dns区域的数据文件默认存放位置
14 dump-file "/var/named/data/cache_dump.db"
15 statistics-file "/var/named/data/named_stats.txt"
16 memstatistics-file "/var/named/data/named_mem_stats.txt"
17 allow-query { localhost } //允许dns查询的客户机列表,any表示所有
18 recursion yes //是否允许客户机进行递归查询
19
20 dnssec-enable yes
21 dnssec-validation yes
22 dnssec-lookaside auto
23
24 /* Path to ISC DLV key */
25 bindkeys-file "/etc/named.iscdlv.key"
26 }
全局配置中还有如下选项:
//将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址forwarders {202.102.24.6812.3.3.3}
b、默认的区域配置项如下:
35 zone "." IN {36 type hint //区域类型。hint为根区域;master为主区域 slave为辅助区域
37 file "named.ca" //该区域对应的区域数据配置文件名
38 }
区域配置中还有如下选项:
//允许下载区域数据库的从域名服务器IP地址allow-transfer {189.98.90.23}
//允许动态更新的客户端IP地址(none表示全部禁止)
allow-update {none}
添加如下区域配置:
zone “my.com” IN {type master //主区域
file “my.com” //该区域对应的区域数据配置文件名
allow-transfer {192.168.153.1} //允许下载区域数据库的从域名服务器IP地址
allow-update {none}
}
zone “153.168.192.in-addr.arpa” IN { //表示针对IP192.168.153.130反向解析
type master //主区域
file “192.168.153.my.arpa” //该区域对应的区域数据配置文件名
}
5)、配置完了,可以执行如下命令对named.conf文件进行语法检查。
#named-checkconf注意:倒序网络地址.in-addr.arpa 表示反向区域
主配置文件最后还有一行是:
//该文件包含/etc/named.rfc1912.zones文件include “/etc/named.rfc1912.zones”
区域数据配置文件:
先看一下named.localhost的内容:
$TTL 1D //time to live 生存时间@ IN SOA @ rname.invalid. ( //”rname.invalid”DNS区域地址
0 serial //更新序列号
1D refresh //更新时间
1H retry //重试延时
1W expire //失效时间
3H ) minimum //无效地址解析记录的默认缓存时间
NS @ //name server 域名服务记录
A 127.0.0.1 //address 只用在正向解析的区域数据文件中
AAAA ::1
新建2个对应的区域数据配置文件:
#touch my.com#touch 192.168.153.my.arpa
#vim my.com
$TTL 86400
@ IN SOA my.com. admin.my.com ( //admin.my.cm为该区域管理员的邮箱地址
200900201
3H
15M
1W
1D
)
@ IN NS ns1.my.com. //当前域的DNS服务器地址
IN MX 10 mail.my.com. //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低
ns1 IN A 192.168.153.130
mail IN A 192.168.153.130
www IN A 192.168.153.130
ftp IN CNAME www //CNAME别名(canonical name)记录,表示ftp.my.com和www.my.com对应同一个IP.
[root@localhost named]# vim 192.168.153.my.arpa
$TTL 86400
@ IN SOA my.com. admin.my.com (
200900201
3H
15M
1W
1D
)
@ IN NS ns1.my.com.
130 IN PTR ftp.my.com
启动DNS服务
[root@localhost ~]# service named start4、测试:
配置一台ftp服务器用于测试:
#service vsftpd start //启动vsftpd服务 当前网卡的配置:eth0: 192.168.0.1/24
eth1: 192.168.153.130/24 [root@localhost named]# nslookup 192.168.153.130
Server: 127.0.0.1
Address: 127.0.0.1#53
130.153.168.192.in-addr.arpa name = www.my.com.
[root@localhost ~]# nslookup ftp.my.com
Server: 127.0.0.1
Address: 127.0.0.1#53
ftp.my.com canonical name = www.my.com.
Name: www.my.com
Address: 192.168.153.130
linux DNS服务器配置
基本理论:
DNS系统的作用是把域名和IP对应起来。
正向解析:根据域名(主机名)查找对应的IP地址。
反向解析:根据IP地址查询对应的域名(主机名)。
查询
递归查询:大多数客户机向DNS服务器解析域名的方式。
迭代查询:大多数DNS服务器向其它DNS服务器解析域名的方式。
DNS服务器的类型
缓存域名服务器:也称唯高速缓存服务器。通过向其它域名服务器查询获得域名与IP地址的对应记录,将域名查询结果缓存到本地,提高重复查询时的速度。
主域名服务器:特定DNS区域的官方服务器,具有唯一性。负责维护该区域内的所有域名与IP的映射记录。
从域名服务器:也称辅助域名服务器。其维护的域名与IP地址的映射记录来源于主域名服务器。
环境准备:
临时关闭selinux和iptables
#setenforce 0
#service iptables stop
查询相关软件包:
[root@localhost ~]# yum search bind
Loaded plugins: product-id, refresh-packagekit, subscription-manager
Updating Red Hat repositories.
====================================================================================== N/S Matched: bind ======================================================================================
PackageKit-device-rebind.i686 : Device rebind functionality for PackageKit
bind.i686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server
bind-chroot.i686 : A chroot runtime environment for the ISC BIND DNS server, named(8)
bind-utils.i686 : Utilities for querying DNS name servers
其中各软件包的作用如下:
bind: 提供域名服务的主要程序及相关文件。
bind-chroot:为bind提供一个伪装的根目录以增强安全性。
bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。
安装BIND软件包#yum install *bind*
配置DNS服务器:
bind服务器端程序
主要执行程序:/usr/sbin/named
服务脚本:、etc/init.d/named
默认监听端口:53
主配置文件: /etc/named.conf
保存DNS解析记录的数据文件: /var/named/chroot/var/named
查询bind程序的配置文件列表
[root@localhost ~]# rpm -qc bind
/etc/logrotate.d/named
/etc/named.conf
/etc/named.iscdlv.key
/etc/named.rfc1912.zones
/etc/named.root.key
/etc/rndc.conf
/etc/rndc.key
/etc/sysconfig/named
/var/named/named.ca
/var/named/named.empty
/var/named/named.localhost
/var/named/named.loopback
查看主配置文件named.conf
#vim /etc/named.conf
主配置文件解析:
全局配置部分:
默认的全局配置项如下:
10 options {
11 listen-on port 53 { 127.0.0.1}//监听的端口和接口IP地址
12 listen-on-v6 port 53 { ::1}
13 directory "/var/named" //dns区域的数据文件默认存放位置
14 dump-file "/var/named/data/cache_dump.db"
15 statistics-file "/var/named/data/named_stats.txt"
16 memstatistics-file "/var/named/data/named_mem_stats.txt"
17 allow-query { localhost}//允许dns查询的客户机列表,any表示所有
18 recursion yes //是否允许客户机进行递归查询
19
20 dnssec-enable yes
21 dnssec-validation yes
22 dnssec-lookaside auto
23
24 /* Path to ISC DLV key */
25 bindkeys-file "/etc/named.iscdlv.key"
26 }
全局配置中还有如下选项:
forwarders {202.102.24.6812.3.3.3} //将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址
默认的区域配置项如下:
35 zone "." IN {
36 type hint//区域类型。hint为根区域;master为主区域slave为辅助区域
37 file "named.ca" //该区域对应的区域数据配置文件名
38 }
区域配置中还有如下选项:
allow-transfer {189.98.90.23} //允许下载区域数据库的从域名服务器IP地址
allow-update {none} //允许动态更新的客户端IP地址(none表示全部禁止)
添加如下区域配置:
zone “my.com” IN {
type master //主区域
file “my.com” //该区域对应的区域数据配置文件名
allow-transfer {192.168.153.1}//允许下载区域数据库的从域名服务器IP地址
allow-update {none}
}
zone “153.168.192.in-addr.arpa” IN { //表示针对IP192.168.153.130反向解析
type master //主区域
file “192.168.153.my.arpa” //该区域对应的区域数据配置文件名
}
配置完了,可以执行如下命令对named.conf文件进行语法检查。
#named-checkconf
注意:倒序网络地址.in-addr.arpa 表示反向区域
主配置文件最后还有一行是:
include “/etc/named.rfc1912.zones” //该文件包含/etc/named.rfc1912.zones文件
区域数据配置文件:
先看一下named.localhost的内容:
$TTL 1D //time to live 生存时间
@ IN SOA @ rname.invalid. (//”rname.invalid”DNS区域地址
0 serial //更新序列号
1D refresh //更新时间
1H retry //重试延时
1W expire //失效时间
3H )minimum //无效地址解析记录的默认缓存时间
NS @ //name server 域名服务记录
A 127.0.0.1 //address 只用在正向解析的区域数据文件中
AAAA::1
新建2个对应的区域数据配置文件:
#touch my.com
#touch 192.168.153.my.arpa
#vim my.com
$TTL 86400
@ IN SOA my.com. admin.my.com (//admin.myNaN为该区域管理员的邮箱地址
200900201
3H
15M
1W
1D
)
@ IN NS ns1.my.com. //当前域的DNS服务器地址
IN MX 10 mail.my.com. //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低
ns1 IN A 192.168.153.130
mailIN A 192.168.153.130
www IN A 192.168.153.130
ftp IN CNAME www //CNAME别名(canonical name)记录,表示ftp.my.com和www.my.com对应同一个IP.
[root@localhost named]# vim 192.168.153.my.arpa
$TTL 86400
@ IN SOA my.com. admin.my.com (
200900201
3H
15M
1W
1D
)
@ IN NS ns1.my.com.
130 IN PTR ftp.my.com
启动DNS服务
[root@localhost ~]# service named start
测试:
配置一台ftp服务器用于测试:
#service vsftpd start//启动vsftpd服务
当前网卡的配置:
eth0: 192.168.0.1/24
eth1: 192.168.153.130/24
[root@localhost named]# nslookup 192.168.153.130
Server: 127.0.0.1
Address: 127.0.0.1#53
130.153.168.192.in-addr.arpa name = www.my.com.
[root@localhost ~]# nslookup ftp.my.com
Server: 127.0.0.1
Address: 127.0.0.1#53
ftp.my.com canonical name = www.my.com.
Name: www.my.com
Address: 192.168.153.130
测试成功
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)