1、作用：

为客户机提供域名解析服务器

2、域名组成

www.baidu.com

.为根域

www 主机名

baidu.com称为域名（全球唯一）

“主机名.域名” 称为完全域名（FQDN）

命名其主机的时候会根据其主机的功能命名

网页www;blog博客，bbs论坛，mail邮箱

3、域名结构（树形）

3、监听端口：

TCP53；UDP53

4、DNS解析种类

按照查询方式：

1）递归查询：客户机与本地DNS服务器之间、DNS转发器（所见即所得）

2）迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程（所见非所得）

按照查询内容分类：

正向解析：已知域名，解析IP地址

反向解析：已知IP地址，解析域名

命令：

查看网卡部分信息

所有网卡信息

释放IP

重新获取ip

查看dns缓存

清空dns缓存

1、固定服务器IP地址

2、安装DNS服务器

直接下一步，到最后点击安装即可

创建正向区域

新建区域名称

创建DNS文件名称，保持默认即可

取消动态更新

创建主机

3、查看开启DNS服务器是否开启

netstat -an

DNS服务其类型：

主要名称服务器

辅助名称服务器

跟名服务器

高速缓存名称服务器

客户机域名请求解析顺序：

DNS缓存—本地hosts文件----找本地DNS服务器

服务器对域名请求处理顺序：

DNS高速缓存-----本地区域解析文件-----转发器-----根

清除DNS缓存：ipconfig /flushDNS

手工解析DNS: nslookup 域名或者IP地址

DNS存在的安全

1. DNS欺骗

攻击者在自己的主机上安装网络侦听器，劫持域名查询请求，然后假冒DNS的响应，返回一个错误的解析地址，使发出该域名查询请求的客户机得到一个的解析地址；

攻击者通过污染DNSDE缓冲区将DNS高速缓存内的信息修改由于DNS的解析过程先由本地缓存中查找解析域名的IP地址，当本地的缓存内的信息被修改后，就将一个被篡改的IP地址发过请求者，是请求者获得一个错误的解析地址。

攻击者侵入操作系统，获得管理员权限，直接修改DNS数据文件。
（1）缓存感染

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

（2）DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

（3）DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

2.拒绝服务攻击

黑客主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。

3、分布式拒绝服务攻击

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood是针对DNS服务器最常见的分布式拒绝服务攻击。SYN Flood攻击利用的是IPv4中TCP协议的三次握手（Three-Way Handshake）过程进行的攻击。

4.缓冲区漏洞溢出攻击

黑客利用DNS服务器软件存在漏洞，比如对特定的输入没有进行严格检查，那幺有可能被攻击者利用，攻击者构造特殊的畸形数据包来对DNS服务器进行缓冲区溢出攻击。如果这一攻击成功，就会造成DNS服务停止，或者攻击者能够在DNS服务器上执行其设定的任意代码。主要包括：

（1） 更改MX记录，造成邮件被截获、修改或删除。

（2）更改A记录，使您的WWW服务器的域名指向黑客的具有同样WWW内容的主机，诱使访问者登录，获取访问者的密码等相关信息。添加A记录，使黑客的主机拥有被相信的域名，以此来入侵通过启用域名信任机制的系统。

（3）利用这台主机作为攻击其他机器的“跳板”。

预防：

1、及时更新版本和补丁（针对Linux）
2、防止单点故障；
3、限制区域传输；
4、专用DNS服务器；
5、限制动态更新和递归查询
6、DNS域名服务器放置DMZ区
7、包过滤防护；
8、网络拓扑限制
9、DNS服务器的冗余备份
10、DNS清洗服务

1、主要DNS服务器：客户机要指向DNS,练习清空DNS缓存，练习nslookup手工解析
客户机要指向DNS
Windows server 2008IP地址设置

windows server 2008服务器DNS正向查找区域设置
在Windows 7 测试：

2、反向解析
windows server 2008服务器DNS反向查找区域设置
在Windows 7 测试：

3、辅助DNS服务器：成功更新区域解析记录
Windows sever 2008作为主DNS服务器设置：
在辅助DNS服务器设置：
新建以一个辅助区域：

与主DNS服务区名称一致：
创建完成后，按F5刷新

4、转发器/根

Windows server 2008 作为转发DNS服务器
Windows server 200３作为根服务器

Windows server 2008设置：
Windows server 2003设置：
在Windows sever 2008测试：

5、别名

    以上就是本篇文章【信息安全学习----DNS部署与安全】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/6229.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多