网络安全学习笔记(一)—DNS部署与安全

一、DNS服务器基本概念

1.作用：为客户机提供域名解析服务
2.域名的概念:又称为网域，由一串用点分隔的名字组成的Internet上某一台计算机的名称，用于在数据 传输时对计算机的简化记忆。
3.域名的分类：如下图所示，最上面的为根域，往下依次为顶级，一级，二级，三级域等，最后为主机名，如：www.baidu.com.cn，其中www为主机名，baidu.com.cn为域名，我们称“主机名.域名”为完全限定域名（FQDN），在浏览器输入时，我们仅输入www.baidu.com后面的.cn会由浏览器自动补齐，其中.cn为根域，.com为顶级域，baidu为一级域名，www为主机名

4.监听端口：TCP 53 UDP53
5.DNS解析种类：
5.1按照查询方式分类：
1）递归查询：客户机与本地DNS服务器之间（所问即所答）
2）迭代查询：本地DNS服务器与根等其他服务器的解析过程（所问非所答，理解为各服务器之间的聊天）其中，根域最重要，全世界目前仅有13个

当我们用到转发器时，本地搭建的轻量服务器向公网的服务器递归查询即可。另一种递归查询发生在客户机与本地DNS服务器。
5.2 按查询的内容分类：
1）正向解析：已知域名，解析IP地址（使用较多）
2）反向解析：已知IP地址，解析域名
6.客户机域名请求解析顺序：DNS缓存–本地hosts文件–本地DNS服务器
7.服务器对域名解析的处理顺序：DNS高速缓存–本地区与解析文件–转发器–根
8.DNS服务器种类：主要名称服务器，辅助名称服务器，根名称服务器，高速缓存名称服务器

二、DNS服务器搭建过程（使用win2003虚拟机）

首先需要固定我们的IP地址，例如我们这里固定为10.1.1.2，
接下来我们需要安装相关DNS软件，虚拟机中打开相应的光盘即可，如下图所示：

点击安装可选的Windows组件，找到网络服务后双击，选择域名系统即可，然后在开始菜单的管理工具选项就可以找到DNS管理工具，开始后面的操作，这里我们可以打开命令行界面输入“netstat -an”来查看我们所需要的两个端口是否已经打开，如下图所示：

这里我们如果只是打开了服务器软件，而不做其他设置，此时的服务器叫做缓存服务器，这里我们做一些其他操作。首先在DNS软件界面中的正向查找区域新建一个区域，这里按照默认的选项选择即可（对于每种类型的区域都有相应的文字解释，可自行查看），在区域名称处，我们选择baidu.com，这样我们就成为了此域的权威解析服务器，我们返回的应答也称作“权威应答”。其中生成的baidu.com.dns文件称为区域解析文件

创建完成后，我们在右侧可以观察到两条记录SOA和NS，SOA告诉询问者谁是此域名的权威服务器（全世界唯一的），NS告诉目前负责解析的此域名的所有服务器。我们可以在此区域新建主机（又称A记录，正向解析记录），如下图所示;

为了验证我们操作的正确性，我们打开一台winxp虚拟机进行访问，这里我们需要手工添加我们刚才创建的DNS服务器，然后使用nslookup解析baidu.com域名如下所示

显然我们的操作是成功了，但是是无法访问的，假如日后，服务器更改了此域名解析记录，而我们的本机获取DNS获取解析记录的顺序是先查看本地缓存，如果查找不到再查找hosts文件,再else时访问DNS服务器，所以我们需要清楚本地的DNS缓存（win7以后已解决此类问题），我么使用ipconfig /flushdns命令即可，而查看本地的域名解析缓存的命令为：ipconfig /displayedns即可，本次实验到此也就告一段落了，关于转发器和给服务器起别名的实验很简单，如有需要再行演示。