发布时间:2014-09-05 16:59:46作者:知识屋
一、DNS基础 [DNS系统(服务器)的工作原理及攻击防护方法论]
DNS:Domain Name System,域名解析服务器,它在互联网的作用是把域名转换成为网络可以识别的ip地址。
BIND:Berkeley Internet Name Domain,是unix中DNS协议用的最多的一个实现。
如blog.sina.com.cn,blog是一四级域名,sina是三级域名,com是二级域名,cn是顶级域名。一完整域名最多可以是256个字符,各级别域名最多63个字符。
DNS使用in.named进程,如果/etc/named.conf存在,系统启动时会开启in.named进程并读取/etc/named.conf文件,in.named其实就是/usr/sbin/named的一个链接。
名字到地址的查找称为正向映射;地址到名字的查找称为反向映射。
二、DNS服务器安装配置
以下都为Solaris平台下用root用户操作,不论你使用哪个发行版本的unix,DNS的设置与unix的关系并没有太大的关系。
1、安装BIND,当前Release版本是bind-9.4.2.tar.gz
为了方便用于其他操作系统,我们还是从源代码包方式安装。首先从ISC公司的主页( http://www.isc.org/index.pl?/sw/bind/index.php )下软件包。
解压:
# pwd
/opt/wacos/encle
# gunzip bind-9.4.2.tar.gz
# tar -xvf bind-9.4.2.tar
配置编译并安装,BIND正常安装在/usr/local目录下,但可以调整通过--prefix参数设置,本例不用IPv6,启动文件最后会安装在/usr/local/sbin里:
# cd bind-9.4.2
# ./configure --prefix=/usr/local --sysconfdir=/etc --disable-ipv6
# make
# make install
安装的时间会比较久,安装完后看一看现版本是多少:
# /usr/local/sbin/named -v
到此Bind已经安装完成了。
2、生成RNDC(用于控制DNS服务器,Bind9有)配置文件/etc/rndc.conf
Bind9规定,如果要使用rndc来控制dns,必须先生成验证文件 rndc.conf 和密锁。rndc.conf文件的内容,可用rndc-confgen命令生成所需内容。
# /usr/local/sbin/rndc-confgen > /etc/rndc.conf
如果机器上没有random产生器,这种情况下系统应该让你输入一些无关字母来替代/dev/random的功能。
------------------------------------------
You must use the keyboard to create entropy, since your system is lacking
/dev/random (or equivalent)
start typing:
...............................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
stop typing.
# Start of rndc.conf
...
# End of named.conf
------------------------------------------
生成的rndc.conf大致如下:
# cat /etc/rndc.conf
------------------------------------------
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "ZdAFUwS0QMr95427P7Xq+w==";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
# algorithm hmac-md5;
# secret "ZdAFUwS0QMr95427P7Xq+w==";
# };
#
# controls {
# inet 127.0.0.1 port 953
# allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
#
------------------------------------------
后面配置/etc/named.conf的时候要把“# Use with the following in named.conf, adjusting the allow list as needed:”这行下的所有复制到named.conf 文件里。
3、配置DNS服务器的引导文件/etc/named.conf
named.conf文件包含的内容:
指出包含根服务器的文件位置;
建立首要服务器、辅助服务器、仅缓存服务器;
指出服务器的权威区域;
指出服务器的数据文件的位置;
为特定区域应用安全选项;
定义日志规范;
可为一组区域应用选项。
named.conf编写规范:
陈述语句以;号结束;
每个陈述语句还可以包括一段{}括起来的陈述;
多行注释为/* */;单行注释#或//开始。
陈述语句可定义:
acl:定义一命名的IP地址匹配列表
options:控制全局服务器配置选项
zone:定义区域
先建立区域文件目录/etc/named:
# mkdir /etc/named
配置named.conf示例:
# vi /etc/named.conf
------------------------------------------
options {
//定义区域文件目录,表示以下各项配置中的文件默认在此目录中
directory "/etc/named";
};
//指定根DNS服务器的配置文件/etc/named/named.root,此文件可从网络下载
zone "." in {
type hint;
file "named.root";
};
//指定正向解析配置文件/etc/named/encle.zone
zone "encle.com" in {
type master;
file "encle.zone";
};
//指定反向解析配置文件/etc/named/encle.rzone,“111.19.172.”这里是根据网络IP分配情况而定,是反向IP前三段
zone "111.19.172.in-addr.arpa" in {
type master;
file "encle.rzone";
};
//指定环回反向解析配置文件/etc/named/named.local
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.local";
};
// 把上面生成的/etc/rndc.conf的Key和Controls段内容拷到这里
key "rndc-key" {
algorithm hmac-md5;
secret "ZdAFUwS0QMr95427P7Xq+w==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
------------------------------------------
4、配置区域文件
区数据文件的大部分条目被称为DNS资源记录(resource record)。
数据文件中资源记录的顺序如下:
SOA记录
指示该区的权威
NS记录
该区的一个名字服务器
其他记录
有关该区中主机的数据
A 名字到地址的映射
PTR 地址到名字的映射
CNAME 别名
注释:
使用分号(;)开头的到行尾处结束。
设定区默认的TTL值:
名字服务器在查询响应中提供这个TTL值,允许其他服务器将数据在缓存中存放TTL所指定的时间。
允许的单位是: w=星期 d=天 h=小时 m=分钟 s=秒
资源记录格式:
[name] [ttl] [class] [type] [data]
name:域名
ttl:缓存生存时间,通常是86400(1天),也可表示成1d
class:网络类别,通常IN表示互联网
type:该域名的资源记录类型
data:数据,如主机名、ip、邮件地址等
资源记录类型介绍:
; 注释开头
$TTL:Time To Live,缓存生存时间
SOA:Start of Authority,标志主名城服务器、联系信息等
NS:Name Server,名称服务器
A:Address,指定一主机的IP
PTR:Pointer,指定一IP的主机名,用来反向解析(即把IP解析成主机名)
CNAME:Canonical Name,主机别名(如www可代替一主机名)
AAAA:quad-A,指定一主机的IPv6地址
a) /etc/named/named.root
This file is used when you are connected to internet.
可从 http://www.internic.net/zones/named.root 获得该文件的最新版本。
c) /etc/named/encle.zone
# vi /etc/named/encle.zone
------------------------------------------
; This file resolves hostnames to IP addresses in the encle.com. domain.
$ORIGIN encle.com.
$TTL 1d
encle.com. IN SOA dns.encle.com. wangnc.gmail.com. (
20080201 ; serial number
1h ; refresh
15m ; retry
1w ; expire
1d ) ; ttl
encle.com. IN NS dns.encle.com.
dns IN A 172.19.111.37
www IN A 172.19.111.40
test IN A 172.19.111.42
------------------------------------------
c) /etc/named/encle.rzone
# vi /etc/named/encle.rzone
------------------------------------------
; This file resolves IP addresses to hostnames in the encle.com. domain.
$ORIGIN 1.168.192.IN-ADDR.ARPA.
$TTL 1d
111.19.172.IN-ADDR.ARPA. IN SOA dns.encle.com. wangnc.gmail.com. (
20080201 ; serial number
3h ; refresh
1h ; retry
1w ; expire
1d ) ; ttl
111.19.172.IN-ADDR.ARPA. IN NS dns.encle.com.
37 IN PTR dns.encle.com.
40 IN PTR www.encle.com.
42 IN PTR test.encle.com.
------------------------------------------
d) /etc/named/named.local
# vi /etc/named/named.local
------------------------------------------
$ORIGIN 0.0.127.IN-ADDR.ARPA.
$TTL 1d
0.0.127.IN-ADDR.ARPA. IN SOA dns.encle.com. wangnc.gmail.com. (
20080201 ; version number
3h ; refresh
1h ; retry
1w ; expire
1d ) ; ttl
0.0.127.IN-ADDR.ARPA. IN NS dns.encle.com.
1 IN PTR localhost.encle.com.
------------------------------------------
5、检查配置文件
# /usr/local/sbin/named-checkconf /etc/named.conf
# /usr/local/sbin/named-checkzone encle.com /etc/named/encle.zone
6、在主DNS服务器上开启in.named服务进程
# /usr/local/sbin/named 或 # /usr/local/sbin/named -c /etc/named.conf (针对named.conf没放在默认位置/etc下的情况)
查看开启的进程:
# ps -ef | grep named | grep -v grep
测试rndc是否成功:
# /usr/local/sbin/rndc status
number of zones: 14
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
表示rndc已经成功控制Bind9。如果没有显示上面的信息,请检查你的/usr/local/etc/named.conf文件里面是否配置了/usr/local/etc/rndc.conf里面的key。
查看是否有错误日志信息:
# tail -f /var/adm/messages
Jan 30 14:26:54 fsdb37 named[15667]: [ID 873579 daemon.notice] starting BIND 9.4.2
Jan 30 14:26:54 fsdb37 named[15667]: [ID 873579 daemon.error] binding TCP socket: address in use
Jan 30 14:26:54 fsdb37 last message repeated 1 time
Jan 30 14:26:54 fsdb37 named[15667]: [ID 873579 daemon.notice] command channel listening on 127.0.0.1#953
Jan 30 14:26:54 fsdb37 named[15667]: [ID 873579 daemon.notice] running
注意:
solaris8&9版本中预装的有bind,目录在/usr/sbin,程序为in.named,也有自己的nslookup等程序,可以看它的版本:
# /usr/sbin/in.named -v
in.named BIND 8.2.4 Fri May 19 04:41:53 PDT 2006
Generic Patch-5.8-May 2006
而且在/etc/rc2.d/S72inetsvc中有in.named的启动定义:只有/etc下有named.conf文件,系统启动时就会将in.named启动起来。
------------------------------------------
...
if [ -f /usr/sbin/in.named -a -f /etc/named.conf ]; then
echo 'starting internet domain name server.'
/usr/sbin/in.named &
fi
...
------------------------------------------
而我们安装自己的bind时,往往(默认是这样的)会将named.conf文件放到/etc下的!这就造成了我们配置好我们的bind,一启动server,solaris预装的bind就启动了,我们再去启动我们的bind就会报错:53端口已经被占用了。解决的办法是修改/etc/rc2.d/S72inetsvc,将相关in.named的全部注释掉,将我们的named增加进去。这样,我们的dns就会在系统启动时自动运行了。
另外,系统自带了一个nslookup是在 /usr/sbin/ 下,安装Bind9后带的nslookup是在 /usr/local/bin 下的。这样,我们系统里就有了两个nslookup了。而环境变量里的PATH变量中,/usr/sbin一般是在排名比较靠前,肯定是在/usr/local/bin之前的。这样造成了我们键入nslookup时,运行的是老版本的nslookup。这样我们可能会得到报错信息。解决的办法是将新的nslookup覆盖掉老的文件,或者是将环境变量调整一下,将 /usr/local/bin 放到最前面。
linux一键安装web环境全攻略 在linux系统中怎么一键安装web环境方法
Linux网络基本网络配置方法介绍 如何配置Linux系统的网络方法
Linux下DNS服务器搭建详解 Linux下搭建DNS服务器和配置文件
对Linux进行详细的性能监控的方法 Linux 系统性能监控命令详解
linux系统root密码忘了怎么办 linux忘记root密码后找回密码的方法
Linux基本命令有哪些 Linux系统常用操作命令有哪些
Linux必学的网络操作命令 linux网络操作相关命令汇总
linux系统从入侵到提权的详细过程 linux入侵提权服务器方法技巧
linux系统怎么用命令切换用户登录 Linux切换用户的命令是什么
在linux中添加普通新用户登录 如何在Linux中添加一个新的用户
2012-07-10
CentOS 6.3安装(详细图解教程)
Linux怎么查看网卡驱动?Linux下查看网卡的驱动程序
centos修改主机名命令
Ubuntu或UbuntuKyKin14.04Unity桌面风格与Gnome桌面风格的切换
FEDORA 17中设置TIGERVNC远程访问
StartOS 5.0相关介绍,新型的Linux系统!
解决vSphere Client登录linux版vCenter失败
LINUX最新提权 Exploits Linux Kernel <= 2.6.37
nginx在网站中的7层转发功能