DNS 管理實務課件

DNS管理實務課件目錄DNS簡介DNS原理DNS服務器架設(shè)與維護DNS安全與除錯DNS進階議題2DNS簡介3DNS簡介-為什么需要DNS?Internet透過IP來代表網(wǎng)絡(luò)上的各臺設(shè)備IP由一串數(shù)字組成，難以記憶為了方便記憶，透過有意義的文字來代表0V.S..tw

早期網(wǎng)域名稱透過hosts檔管理（超大本黃頁）/etc/hosts數(shù)量龐大且頻繁異動->難以擴展/難以維護如何解決？使用DNS

許多服務得要仰賴DNSVirtualHostingCDN...4DNS簡介-什么是DNS?DNS(DomainNameService)網(wǎng)域名稱服務分散式的數(shù)據(jù)庫由世界各地不同的DNS服務器所組成每臺服務器負責不同的部份

提供IP與名稱的對應資料查詢每一筆紀錄稱為一個RR(ResourceRecord)其他功能提供電子郵件的路由信息(MX)

可以透過多臺服務器來提高可用性每臺服務器提供相同資料如果一臺故障，就能夠透過其他臺查詢5常見的RR種類們SOAStartofauthorityNSNameserver(delegationrecord)AAddress(IPv4)AAAAAddress(IPv6)PTRPointer(reverselookup)MXMailexchangeDNS簡介-DNS命名空間(DNSNameSpace)(1/2)所有DNS名稱的集合透過"."(Dot)分隔形成階層式/樹狀的架構(gòu)(類似計算機的檔案系統(tǒng))樹狀結(jié)構(gòu)的最上層稱為Root，底下每個節(jié)點都是一個Domain，可向下分Sub-domainRoot的下一層稱為TopLevelDomain(TLD)ccTLD(CountryCodeTLD):.tw.us....gTLD:.com.net.gov…域名(DomainName)自Root開始，由右往左擴展（不包含root).tw如果包含Root則稱為FQDN(Fully-qualifieddomainname).tw.不區(qū)分大小寫，名稱絕不重復www.NcT.tw長度限制Label長度須小于63

個字符FQDN長度小于255

個字符6www.nctu.edu.tw.LabelFQDN由右往左DomainNameDNS簡介-DNS命名空間(DNSNameSpace)(2/2)7.(root)twuseducomnctuDomainSubdomainwww.tw.edu.tw..tw..tw.FQDNDNS簡介-DNSZone回憶：DNS是一個分散式數(shù)據(jù)庫究竟誰負責哪個部份的資料？Zone每臺DNS服務器的最小管理單位一臺DNS服務器可以管理多個Zone跟Domain一樣嗎？Zone可以包含其Sub-domain如何區(qū)分Zone的范圍？授權(quán)(Delegation)Sub-domain經(jīng)過Delegation后，就會離開Zone的范圍，將管轄權(quán)交給其他服務器8DNS簡介-授權(quán)(Delegation)將自己所管轄的區(qū)域(Zone)切割給其他人管理一但一臺DNS服務器被授權(quán)某個Sub-domain

則此DNS服務器就具有權(quán)威性(Authortative)上層不再管理

注冊新的網(wǎng)域(DomainRegistration)付錢之后獲得某個網(wǎng)域的授權(quán)9DNS原理10DNS原理-DNS協(xié)定11通常使用TCP/UDP53Port，其中又以UDP53Port為主若使用UDP，則最大的封包大小為512bytes(除非使用EDNS0)定義多個DNS操作Query:用戶查詢DNS紀錄Response:服務器回答DNS紀錄ZoneTransfer:服務器之間同步資料Notification:通知其他服務器更新資料DynamicUpdates:動態(tài)域名更新DNS原理-DNSQuery(1/4)用戶使用應用程序應用程序透過Resolver向DNS服務器進行查詢并且得到所要的信息兩種查詢方式遞回查詢(Recursivequery)Resolver與DNS服務器之間的查詢方式問問題之后，只接受有(正確找到資料)或沒有資料(找不到名稱)迭代查訊(Iterative)DNS服務器之間的查詢方式如果被問的服務器沒有答案，則回傳權(quán)威服務器(AuthoritativeServer)的位址，由客戶端自己去問該臺服務器12DNS原理-DNSQuery(2/4)

13DNS原理-DNSQuery(3/4)

真實案例詢問.au

的位址14DNS原理-DNSQuery(4/4)依據(jù)查詢的類型又可以大致分為正解(ForwardLookup)DomainName->IP(又稱為Forwardmapping)例如:.tw->27反解(ReverseLookup)用IP來反查DomainName,IP->DomainName(又稱為Reversemapping)透過特殊的

這個TLD(這被歸類為InfrastructuregTLD)進行查詢例如查詢27所對應的域名16.->.注意："16".與我們域查詢的IP是顛倒的，為什么？正解與反解資料不必然要相同如果有架設(shè)郵件服務器請小心！15DNS原理-DNS服務器分類(1/2)分類上，大致可分為三種主要名稱服務器(Primary/MasterServer)由自己的檔案系統(tǒng)中取得所管理的Zone的資料

次要名稱服務器(Secondary/SlaveServer)從其他臺名稱服務器(通常是Master)中取得所管理的Zone的資料

快取名稱服務器(Cache-onlyServer)將客戶查詢過得DNS服務器記起來，不管理Zone加速查詢時間，節(jié)省頻寬每筆資料超過活命時間(Time-to-live)就會被清除快取分為Positivecache(有問到資料的)跟Negativecache(問不到資料)16DNS原理-DNS服務器分類(2/2)對于一個Zone來說，其所有DNS服務器資料應該要同步不同部會導致如何同步？分享檔案系統(tǒng)(Sharedfilesystem)，象是NFS之類的手動修改每臺服務器的資料(累死)把Zone資料放進共享的數(shù)據(jù)庫(SharedDatabase)使用ZoneTransfer(Master/Slaveserver間同步就是這樣做）

對于授權(quán)(Delegation)與查詢(Query)來說，沒有主要次要之分一個Zone可以授權(quán)給多臺DNS服務器管理這些DNS服務器地位平等，不論他是Master還是Slave17DNS架設(shè)與維護18DNS架設(shè)與維護-第一次登入DNSServer19透過SSH登入DNSServer連線工具Putty(https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe)預設(shè)賬號dnsman預設(shè)密碼Dn$m4n

登入后立即修改密碼求求你，密碼不要太簡單（至少8位，有英文大小寫數(shù)字符號空格）$passwd($符號代表shellprompt，不用輸入)

如果想要建立自己的賬號$sudouseradd[你的使用者名稱]-s/bin/bash-Gsudo-m-d/home/[你的使用者名稱]$sudopasswd[你的使用者名稱]DNS架設(shè)與維護-安裝相關(guān)套件更新套件庫$sudoapt-getupdate安裝套件Bind9$sudoapt-getinstall-ybind9設(shè)定開機時啟動服務$sudosystemctlenablebind9立即啟動服務$sudosystemctlstartbind9dpkg-l|grepbindsystemctlstatusbind920DNS架設(shè)與維護-相關(guān)目錄與設(shè)定檔

/etc/bindBind9的設(shè)定檔都放在這兒/etc/bind/named.confBind9啟動設(shè)定檔，所有設(shè)定檔的源頭，別碰它/etc/bind/named.root還記得root網(wǎng)域嗎？這就是根網(wǎng)域的位址，別碰它/etc/bind/named.conf.default-zones預設(shè)的Zone，別碰它/etc/bind/named.conf.options所有全域的選項都放在這里/etc/bind/named.conf.local你要加的設(shè)定都放這里/var/cache/bind預設(shè)的相對目錄路徑21DNS架設(shè)與維護-設(shè)定檔語法

named.conf中包含以下幾種陳述(statements)includeoptionsserverkeyaclzoneviewcontrolsloggingtrusted-keys注解//Comment每個設(shè)定的尾巴都要加上分號;22DNS架設(shè)與維護-位址比對清單(AddressMatchList)

可以包含IPaddress,例如:7IPaddress/CIDRMask,例如:140.113/16先前定義的ACL加密金鑰利用!反向FirstMatch范例{!;1.2.3/24;};{128.138/16;198.11.16/24;204.228.69/24;;};23DNS架設(shè)與維護-存取控制acl

語法aclacl_name{address_match_list};預設(shè)ACLany,localnets,localhost,none范例

aclCSnets{

140.113.235/24;140.113.17/24;140.113.209/24;140.113.24/24;

};

aclNCTUnets{

140.113/16;10.113/16;140.126.237/24;

};

allow-transfer{localhost;CSnets;NCTUnets};24DNS架設(shè)與維護-全域設(shè)定options

編輯/etc/bind/named.conf.options

aclCampus{140.113/16;};

options{

version"";//拿掉版本號

listen-onport53{any;};//Listen在所有IPv4

listen-on-v6port53{any;};//Listen在所有IPv6

allow-query{any;};//允許所有人向我發(fā)送Query

recursiontrue;//開啟遞回查詢

allow-recursion{localhost;Campus;};//限制遞回查詢

};sudorndcreload25DNS架設(shè)與維護-區(qū)域宣告zone(1/3)

用來宣告其為AuthoritativeZone語法

zone".tw"{

typemaster|slave|stub;

file"path”;//Zone數(shù)據(jù)庫檔案

masters{ip_addr;ip_addr;};

allow-query{address_match_list}; [all]

allow-transfer{address_match_list}; [all]

allow-update{address_match_list}; [empty]

};26DNS架設(shè)與維護-區(qū)域宣告zone(2/3)

MasterServer范例

aclTrusted_slaves{0;2001:288:4000:66::70;};zone".tw"IN{

typemaster;

file"master/.tw.hosts";

allow-query{any;};

allow-transfer{localhost;Trusted_slaves;};

allow-update{none;};

};27DNS架設(shè)與維護-區(qū)域宣告zone(3/3)

SlaveServer范例

zone".tw"IN{

typeslave;

file"slave/.tw.hosts";

masters{07;};

allow-query{any;};

allow-transfer{localhost;CS-DNS-Servers;};

};28DNS架設(shè)與維護-Zone數(shù)據(jù)庫(1/13)存在于MasterServer純文字檔內(nèi)容有兩種ResourceRecord(RR)真正儲存資料的部份Parser指令用來修改或管理RR29DNS架設(shè)與維護-Zone數(shù)據(jù)庫(2/13)Parser指令必須要在第一欄必須要自己獨立一行$ORIGINfqdn補充fqdn使其成為FQDN$INCLUDEfile-name引入檔案$TTLdefault-ttl設(shè)定RR預設(shè)的存活時間$GENERATEstart-stop/[step]lhstyperhs用來產(chǎn)生一系列類似的RRtype僅支援CNAME,PTR,NSRR30DNS架設(shè)與維護-Zone數(shù)據(jù)庫(3/13)ResourceRecord(RR)格式

[name][ttl][class]typedataname:名稱，可以是相對或是絕對(FQDN)ttl:這條RR的存活時間，以秒為單位class:網(wǎng)絡(luò)類型,99.99%都是IN特殊字符;注解@目前的domainname()讓data部份可以分散到很多行*Wildcard字符，只能用在name31DNS架設(shè)與維護-Zone數(shù)據(jù)庫(4/13)ResourceRecord(RR)種類32DNS架設(shè)與維護-Zone數(shù)據(jù)庫(5/13)SOA:StartofAuthority定義DNSZone的權(quán)威性，每個Zone只能有一個SOA格式

[zone]INSOA[server-name][administrator’smail](serial,refresh,retry,expire,negativettl)范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl每次更新Zone數(shù)據(jù)庫，serialnumber都要遞增！?。》駝tSlave無法同步33DNS架設(shè)與維護-Zone數(shù)據(jù)庫(6/13)NS:NameServer用來宣告Zone的AuthoritativeServer通常置于SOARR后面每一筆NSRR除了在自己的Zonefile里宣告，也需要在上層宣告范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl

INNS.tw.

INNS.tw.34DNS架設(shè)與維護-Zone數(shù)據(jù)庫(7/13)ARecord:Address提供Hostname至IP之對照范例

$ORIGIN.tw.

@INNS.tw.

INNS.tw.

dnsINA07

dns2INA03

wwwINA1135DNS架設(shè)與維護-Zone數(shù)據(jù)庫(8/13)AAAARecord:AddressIPv6提供Hostname至IPv6之對照范例

$ORIGIN.tw.

@INNS.tw.

INNS.tw.

dnsINAAAA3ffe::bbb:93:536DNS架設(shè)與維護-Zone數(shù)據(jù)庫(9/13)

PTR:Pointer用于反查IP與Hostname之對應利用特別的gTLD:范例

$ORIGIN235.113.140..

@INSOA.tw..tw.(

2007052102;serial

1D;refreshtimeforsecondaryserver

30M;retry

1W;expire

2H);minimum

INNS.tw.

INNS.tw.

37$ORIGIN.40INPTR.tw.40INPTR.tw.DNS架設(shè)與維護-Zone數(shù)據(jù)庫(10/13)

PTR:Pointer(IPv6)使用gTLDPTRRecordfor2404:6800:4008:800::2003$ORIGIN.....

@INSOA.tw..tw.(

2007052102;serial

1D;refreshtimeforsecondaryserver

30M;retry

1W;expire

2H);minimum

INNS.tw.

INNS.tw.

38...INPTR.tw.DNS架設(shè)與維護-Zone數(shù)據(jù)庫(11/13)

MX:Mailexchanger提供郵件服務器路由信息范例

$TTL3600;

$ORIGIN.tw.

@INSOA.tw..tw.(

2007052102;serialnumber

1D;refreshtimeforslaveserver

30M;retry

1W;expire

2H);negativecachettl

INNS.tw.

INNS.tw.

INMX1.tw.

INMX5.tw.

csmx1INA04

csmx2INA0539DNS架設(shè)與維護-Zone數(shù)據(jù)庫(12/13)

CNAME:CanonicalName為一個Host增加別名不應拿來做Load-balance用途范例

wwwINA3

INA7

penghu-clubINCNAMEwww

KingINCNAMEwww

R21601INA1

supermanINCNAMEr2160140DNS架設(shè)與維護-Zone數(shù)據(jù)庫(13/13)

GlueRecord如果你的DNSServer位址也在同個Domain里的話

必須透過GlueRecord，讓別人能夠從上層找到你例如：

$ORIGIN.

@INNS.

這樣的情況下我要怎么找到.在哪里？在Parent加上

.INNS.

.INA2341DNS架設(shè)與維護-Master/Slave更新同步流程(1/2)Master修改完成,重啟并送出notify給slave(s).Slave查詢master的SOA記錄Master送回SOA記錄.Slave比對查詢得到的serial與本機的serial,若不大于本機,結(jié)束流程.若serial大于本機,Slave送出zonetransfer要求(AXFR/IXFR).Master回應zonetransfer請求,送回結(jié)果.Slave完成更新.42DNS架設(shè)與維護-Master/Slave更新同步流程(2/2)43DNS安全與除錯44DNS安全與除錯-DNS常見的攻擊模式45DNS放大攻擊(DNSAmplificationAttack)偽造來源IP發(fā)送大量DNSRequest,使得被害人收到大量DNSReplyDNSRequest(35bytes)->DNSReply(3500bytes)，流量放大100倍

區(qū)域轉(zhuǎn)送攻擊(ZoneTransferAttack)利用Zonetransfer列舉組織網(wǎng)域與服務器信息

快取中毒攻擊(CachePoisoningAttack)假冒查詢回應來感染DNS服務器的快取DNS安全與除錯-DNS常見的攻擊模式46DNS放大攻擊(DNSAmplificationAttack)DNS安全與除錯-DNS常見的攻擊模式47DNS放大攻擊(DNSAmplificationAttack)避免自己成為放大攻擊的幫兇，避免OpenRecursion關(guān)閉recursion功能，或是限制recursion的對象

options{

recursionoff;//直接關(guān)閉recursion

};

或者

options{

recursionon;

allow-recursion{trusted;};//只允許trustedACL清單中的人進行recursion

};DNS安全與除錯-DNS常見的攻擊模式48區(qū)域轉(zhuǎn)送攻擊(ZoneTransferAttack)避免泄漏組織網(wǎng)域的完整數(shù)據(jù)庫限制可以執(zhí)行zonetransfer的對象

zone".tw"IN{

typemaster;

file"master/.tw.hosts";

allow-query{any;};

allow-transfer{localhost;slaves;};//只允許我認可的slaveserver執(zhí)行zonetransfer

allow-update{none;};

};DNS安全與除錯-DNS常見的攻擊模式49快取中毒攻擊(CachePoisoningAttack)目前較好的解法是開啟DNSSEC驗證DNS安全與除錯-值得留意的安全相關(guān)參數(shù)50功能設(shè)定描述說明allow-queryoptions,zone誰能夠詢問allow-transferoptions,zone誰能夠進行區(qū)域傳送allow-updatezone誰能夠動態(tài)更新blackholeoptions忽略哪個服務器的請求bogusserver哪些服務器不該被詢問versionoptions版本號DNS安全與除錯-紀錄檔(1/2)名詞解釋Channel訊息要送到哪里？例:syslog,file或是/dev/nullCategory訊息的分類Facility在Syslog中為Log的來源Severity嚴重性51DNS安全與除錯-紀錄檔(2/2)52DNS安全與除錯-紀錄檔logginglogging描述

logging{

channelsecurity-log{

file"/var/named/security.log"versions5size10m;

severityinfo;

print-severityyes;

print-timeyes;

};

channelquery-log{

file"/var/named/query.log"versions20size50m;

severityinfo;

print-severityyes;

print-timeyes;

};53categorydefault{default_syslog;default_debug;};categorygeneral{default_syslog;};categorysecurity{security-log;};categoryclient{query-log;};categoryqueries{query-log;};categorydnssec{security-log;};};DNS進階議題54DNS進階議題-Non-byteboundary(1/3)55有時候被分配到的網(wǎng)段可能不是完整的ClassC例如將/24切成四段，分別交給不同人管理~3.4~27.28~91.92~55.怎么辦？DNS進階議題-Non-byteboundary(2/3)56方法一

$GENERATE0-63$.3.168.192..INNS.

$GENERATE64-127$.3.168.192..INNS.

$GENERATE128-191$.3.168.192..INNS.

$GENERATE192-255$.3.168.192..INNS.搭配zone

zone“92.”{

typemaster;

file“named.rev.”;

};編輯named.rev.

@INSOA..(1;3h;1h;1w;1h)

INNSDNS進階議題-Non-byteboundary(3/3)57方法二

$ORIGIN3.168.