请简述dns服务器的工作流程。
三种DNS服务器及其工作模式。
域名服务器(Domain Name Server)
并非所有的DNS服务器都是同等创建的。了解三种不同类型的DNS服务器如何协同工作,分析域名可以帮助任何信息安全或IT专业人员。
DNS是互联网的核心技术,可以将人性化的域名转换成机器可用的IP地址,比如192.0.2.1。DNS作为分布式数据库运行,不同类型的DNS服务器负责DNS名称空的不同部分。
有三种类型的DNS服务器:
DNS存根分析服务器。
递归DNS分析服务器。
权威DNS服务器。
存根是终端主机中常见的软件组件。当运行在桌面计算机或移动设备上的应用程序需要分析DNS域名时,该组件会生成DNS查询。存根分析器发出的DNS查询通常被发送到DNS递归分析器。分析器将根据需要进行尽可能多的查询,以获得对原始查询的响应,然后将响应发送回存根分析器。
递归解析器可以驻留在家庭路由器中,由互联网服务提供商托管或由第三方提供,例如8.8.8.8 Google的公共DNS递归解析器或1.1.1.1 cloud flare is的DNS服务。
由于DNS作为分布式数据库运行,不同的服务器负责DNS名称空的不同部分,这在DNS中是权威的。
图2描述了一个假想的DNS分析方案,其中应用程序使用所有三种类型的DNS服务器将域名分析为IPv4地址,即DNS地址资源记录。
如果有帮助,请采纳。谢谢大家!
第一步,主机上的存根解析器将DNS查询发送给递归解析器。在第二步中,递归解析器将查询重新发送到根区域中的一个DNS权威名称服务器。此权威名称服务器不响应查询,但它可以为提供权威名称服务器的参考。com区。因此,递归解析器将查询重新发送到。com区域。
这个过程继续,直到查询最终被重新发送到域名区域中的权威名称服务器。服务器可以提供原查询答案——域名的IP地址是多少?最后,在步骤8中,响应被发送到存根分析器。
值得注意的是,所有这些DNS信息都会丢失,恶意参与者可能会监控用户的互联网活动。任何管理DNS服务器的人都应该知道如何解决DNS隐私问题,以及如何减轻这些威胁。
如果有帮助,请采纳。谢谢大家!
公司局域网文件服务器如何架设?
可以实现你的目的,不过针对办公机上递归服务器的设置不同,有两种不同的实现方法。
1. 公司同事的办公机的DNS服务器设置的是内网的递归服务器
这种情况下,如你所说,你只需要再架设一台分支DNS权威服务器,且公司内网的递归服务器可以访问该DNS权威服务器,就可以实现你的目的。
当然,如果你有权限的话,直接在公司的域名服务器上增加一个子区也是可以的。
最后一种方式,如果你可以修改公司的递归服务器配置,不能修改公司的域名服务器,那就在递归上配置一个Forward Zone, 直接去你新建的分支DNS权威服务器查询。不过相信你公司应该不会这么管理DNS的。2. 公司同事的办公机的DNS服务器设置的是外网的公共递归服务器(比如8.8.8.8,114.114.114.114或者1.2.4.8)这种情况下,最好直接在公司的域名服务器上增加一个子区也解决你的问题。如果你再架设一台分支DNS权威服务器也可以,不过得保证这台服务器的53端口可以被外网访问。
dns防护怎么做?
1.授权DNS服务器限制名字服务器递归查询功能,递归dns服务器要限制递归访问的客户(启用白名单IP段)
2.限制区传送zone transfer,主从同步的DNS服务器范围启用白名单,不在列表内的DNS服务器不允许同步zone文件
allow-transfer{ };
allow-update{ };
3.启用黑白名单
已知的攻击IP 加入bind的黑名单,或防火墙上设置禁止访问;
通过acl设置允许访问的IP网段;
通过acl设置允许访问的IP网段;通过acl设置允许访问的IP网段;
4.隐藏BIND的版本信息;
5.使用非root权限运行BIND;
4.隐藏BIND的版本信息;
5.使用非root权限运行BIND;
6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。
建议不安装以下软件包:
1)X-Windows及相关的软件包;2)多媒体应用软件包;3)任何不需要的编译程序和脚本解释语言;4)任何不用的文本编辑器;5)不需要的客户程序;6)不需要的其他网络服务。确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供;
7.使用dnstop监控DNS流量
#yum install libpcap-devel ncurses-devel
下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9.增强DNS服务器的防范Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况
缩短retries次数:Linux系统默认的tcp_synack_retries是5次
限制SYN频率
防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中;
10.:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
11.提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统,尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备,应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;
12.:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务;
13.:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec;
14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志,并且建议对重要的域名信息系统采取7×24的维护机制保障,应急响应到场时间不能迟于30分钟。
dns转发器需不需要设置正反向查找?
需要。
安装好DNS服务器角色后,接下来需要新建区域。区域包括两种类型:正向查找区域和反向查找区域。顾名思义正向查找区域就是通过FQDN查找IP地址,而反向查找区域就是通过IP地址查找FQDN。这里主要介绍正向查找区域的创建,创建反向查找区域与创建正向区域的方法相似,这里就不再介绍。
在创建区域时有三种类型可供选择:
1、“主要区域”是新区域的主副本,负责在新区域的计算机上管理和维护本区域的资源记录。如果这是一个新区域,则选择“主要区域”单选按钮。
2、“辅助区域”是现有区域的副本,主要区域中的DNS服务器将把区域信息传递给辅助区域中的DNS服务器。使用辅助区域的目的是提供冗余,减少包含主要区域数据库文件的DNS服务器的负载。辅助DNS服务器上的区域数据无法修改。所有数据都是从主DNS服务器复制而来。
3、“存根区域”只包含用于标识该区域的权威DNS服务器所需的资源记录。含有存根区域的DNS服务器对该区域没有管理权,它维护着该区域的权威DNS服务器列表,列表存放在DNS资源记录中。
我DNS中的TTL值怎么设置呀多少比较合适啊?
TTL(Time-To-Live)是一条域名解析记录在DNS服务器中的存留时间,给你两个建议,可以参考一下
1.增大TTL值,以节约域名解析时间,给网站访问加速。
一般情况下,域名的各种记录是极少更改的,完全可以增大域名记录的TTL值让记录在各地DNS服务器中缓存的时间加长,这样在更长的一段时间内,我们访问这个网站时,本地ISP的DNS服务器就不需要向域名的NS服务器发出解析请求,而直接从缓存中返回域名解析记录
2.减小TTL值,减少更换空间时的不可访问时间。
更换空间肯定会有DNS记录更改的问题,因为TTL缓存的问题,新的域名记录在有的地方可能等上一两天甚至更久才生效。域名TTL值设置的小,各地的ISP域名缓存服务器服务器就会很快的访问你域名的权威DNS解析服务器,尽快把你域名的DNS解析IP返回给查询者