DNS部署與安全
1 概述
1.1 相關概念
1.2 域名結構——樹形結構
2 DNS解析分類及解析過程
2.1 按查詢方式分類：
2.2 按查詢的內容分類
2.3 使用者機的DNS解析詳細過程
2.4 伺服器對域名請求的處理順序
3 DNS伺服器部署—以win2003為例
3.1 設定主要DNS伺服器—正向解析
3.2 DNS反向解析
3.3 設定輔助DNS伺服器
3.4 設定轉發器
3.5 設定別名
3.6 DNS伺服器清空快取
3.7 將虛擬機器連線到真實網路中
4 DNS伺服器相關知識
4.1 域名解析記錄型別
4.2 DNS伺服器型別
4.3 相關命令
5 練習
參考文獻
1 概述
不僅網際網路有DNS伺服器，中大型企業也有自己的DNS伺服器。因此學會DNS伺服器的搭建是很有必要的。本節首先介紹了DNS的基本概念、域名結構、解析型別和解析過程等原理。其次介紹了主要DNS伺服器的部署過程，並擴充套件了設定轉發器、備份、清理快取、別名等操作。最後還講解了常用的DOS命令。

1.1 相關概念
（1）DNS：Domain Name Service 域名服務
（2）作用：為客戶機提供域名解析服務
（3）完全限定域名FQDN：（Fully Qualified Domain Name）由“主機名.域名”組成。一個域名下可以有多臺主機，域名全球唯一，那麼“主機名.域名”也全球唯一。完全限定域名FQDN實際上是一臺伺服器。
（4）常見主機名：

功能 主機名
網站 www
部落格 blog
論壇 bbs
郵件 mail
（5）例子：
“www.sina.com.cn.”是一個域名，從嚴格意義上講“sina.com.cn.”才是域名，而“www”是主機名。一般管理員在命名其主機的時候會根據其主機的功能而命名，比如說新浪將“sina.com.cn.”域名買下，今天買了臺伺服器提供網頁服務，命名為“www”，那麼對應的FQDN是www.sina.com.cn.，又買了臺伺服器提供郵件服務，命名為“mail”，那麼對應的FQDN是mail.sina.com.cn.。因此只申請一個域名即“sina.com.cn.”即可。
（6）買域名：可以去萬網。域名需要花錢，主機名不需要花錢。買了域名後上萬網登入，可註冊很多FQDN，並與伺服器繫結。
（5）相關DOS命令

nslookup www.sina.com.cn. #查新浪網頁伺服器對應資訊
nslookup mail.sina.com.cn. #查新浪郵件伺服器對應資訊

nslookup www.sina.com.cn.	#查新浪網頁伺服器對應資訊
nslookup mail.sina.com.cn.	#查新浪郵件伺服器對應資訊

（6）監聽埠號：TCP53、UDP53

1.2 域名結構——樹形結構
（1）根域：一個點。一般情況下瀏覽器自動補全。
（2）根域之前依次是：頂級域名（百科及學術上頂級域名就是一級域名）、二級域名、三級域名……
（3）最前一個是主機名。

（4）例子：
如：www.baidu.com.

com後面的“.”為根域
com為頂級域名
baidu為二級域名
www為主機名
2 DNS解析分類及解析過程
2.1 按查詢方式分類：
遞迴查詢：客戶機與本地DNS伺服器之間，企業DNS伺服器與轉發器之間。（所問即所答）
迭代查詢：本地DNS伺服器與根等其他DNS伺服器之間。（所問非所答）

2.2 按查詢的內容分類
正向解析：已知域名，解析IP地址。
反向解析：已知IP地址，解析域名。
2.3 使用者機的DNS解析詳細過程
當一個使用者在位址列輸入www.baidu.com時，DNS解析有大致十個過程，如下：
（1）瀏覽器先檢查自身快取中有沒有被解析過的這個域名對應的ip地址，如果有，解析結束。同時域名被快取的時間也可通過TTL屬性來設定。
（2）如果瀏覽器快取中沒有（專業點叫還沒命中），瀏覽器會檢查作業系統快取中有沒有對應的已解析過的結果。而作業系統也有一個域名解析的過程。在windows中可通過c盤裡一個叫hosts的檔案來設定，如果你在這裡指定了一個域名對應的ip地址，那瀏覽器會首先使用這個ip地址。但是這種作業系統級別的域名解析規程也被很多黑客利用，通過修改你的hosts檔案裡的內容把特定的域名解析到他指定的ip地址上，造成所謂的域名劫持。所以在windows7中將hosts檔案設定成了readonly，防止被惡意篡改。
（3）如果至此還沒有命中域名，才會真正的請求本地域名伺服器（LDNS）來解析這個域名，這臺伺服器一般在你的城市的某個角落，距離你不會很遠。

2.4 伺服器對域名請求的處理順序
（1）檢視LDNS快取記憶體。
（2）本地區域解析檔案。即再檢視作用域裡有沒有，即是否是自己所負責的,若有，則把IP傳送給客戶機。
（3）找轉發器。（企業DNS伺服器也能向根域名伺服器傳送遞迴解析，但一般為了偷懶，會裝轉發器）
（4）根。跳到Root Server 域名伺服器請求解析。
（5）根域名伺服器返回給LDNS一個所查詢域的主域名伺服器（gTLD Server，國際頂尖域名伺服器，如.com .cn .org等）地址。
（6）此時LDNS再發送請求給上一步返回的gTLD。
（7）接受請求的gTLD查詢並返回這個域名對應的Name Server的地址，這個Name Server就是網站註冊的域名伺服器。（如未命中繼續迭代）
（8）Name Server根據對映關係表找到目標ip，返回給LDNS。
（9）LDNS快取這個域名和對應的ip
（10）LDNS把解析的結果返回給使用者，使用者根據TTL值快取到本地系統快取中，域名解析過程至此結束
。
tips:
DNS軟體裡自帶了根域的IP地址，在可以聯網的基礎上，只要自己解析不了，隨時可以向根域傳送請求。

3 DNS伺服器部署—以win2003為例
3.1 設定主要DNS伺服器—正向解析
（1）開啟虛擬機器win2003系統，設定固定的IP地址。
（2）安裝DNS伺服器軟體。一般微軟的2003和2008所有的自帶服務軟體一般去“>>單機開始>>單機管理工具”裡面找，如果沒有，可以去系統安裝包（映象檔案裡找）。win2003系統較老，需要將2003的系統映象檔案插入虛擬光碟中，之後開啟我的電腦，可以看到光碟機，雙擊執行。

tips:
win2008比較新，>>開始>>管理工具中依然找不到DHCP，但是不需要把win2008的映象檔案放入光碟，提前把所有服務安裝包都放在C盤中了。

（3）點選安裝可選的windows元件→找到網路服務雙擊進入→勾選DNS勾選確定。若未為伺服器設定固定IP地址，則會彈出IP配置視窗進行配置。

（4）彈出檔案缺少，因為虛擬機器安裝的時候將光碟機修改為E盤，因此此處找不到。點選瀏覽，選擇到光碟機的響應資料夾。點確定。

（5）DNS軟體安裝後，開啟cmd輸入netstat -an，檢視埠號開啟情況，發現多了TCP53、UDP53。部署到這一步的DNS服務區可以稱為快取伺服器。（思考：假設一個可以上網的伺服器，將DNS部署至這一步，將其他客戶機的DNS指向該伺服器，能否正常上網？該伺服器沒有快取、沒有設定轉發器，因為能上網可以自動訪問根域）。
（6）點選開始→管理工具→DNS，右鍵正向查詢區域→新建區域。

（7）選擇主要區域→下一步→名稱可命名為“baidu.com”（一般用所負責的域名服務來命名）下一步。

tips:
設定為主要區域的伺服器一般稱為主伺服器，設定為輔助區域的伺服器一般稱為備份伺服器，對主要區域進行備份（注意，只是對區域進行備份，而不是對整個伺服器進行備份），存根區域指根域，全球只有13臺，且都在外國。

（8）生成區域解析檔案。該檔案負責baidu.com相關域名的權威回答，直接由該伺服器回答的是權威回答，轉述的不算。

（9）暫不修改直接下一步→完成

（10）在空白處右鍵→新建主機A（A記錄即為正向解析記錄）→輸入主機名www，FQDN自動補全→設定IP。

（11）開啟winxp測試上述DNS是否部署成功。修改客戶機winxp的DNS指向上述伺服器，cmd輸入以下命令，返回win2003伺服器設定的IP地址，即可表示DNS服務設定成功。

nslookup www.baidu.com #可以返回IP 1.1.1.1
ping www.baidu.com #顯示Pinging www.baidu.com [1.1.1.1] with 32 bytes of data:雖然沒有連通，但是成功返回了IP 1.1.1.1

nslookup www.baidu.com	#可以返回IP 1.1.1.1
ping www.baidu.com		#顯示Pinging www.baidu.com [1.1.1.1] with 32 bytes of data:雖然沒有連通，但是成功返回了IP 1.1.1.1

tips:
（1）winxp嘗試ping pan.baidu.com，出現如下回答，說明ping不通，主要由於DNS伺服器沒有設定pan.baidu.com的A記錄。在win2003DNS伺服器中新增pan.baidu.com的A記錄，再去winxp上ping pan.baidu.com,發現還是ping不通。這時需要思考客戶機訪問域名時的過程，首先是檢視快取，之前的快取中顯示ping不通，後面更新了DNS伺服器後還是ping不通。因此需要用"ipconfig /flushdns"這條命令清空快取，之後再去ping pan.baidu.com，就可以ping通了。（win7及以上的系統就不存在這樣的問題）。

（2）自己的DNS伺服器未設定逆向解析時，查詢域名資訊時的對話解釋：

3.2 DNS反向解析
（1）按上述設定主機www的方法，給win2003設定主機名為DNS1，並設定IP為伺服器本機IP10.1.1.1。

（2）設定反向查詢→新建→主要區域→如下反著填寫→下一步直至完成。

（3）右鍵空白→新建指標→設定IP並瀏覽剛剛設定的正向解析中的主機DNS1。

（4）開啟winxp測試上述DNS是否部署成功。cmd並輸入nslookup www.baidu.com。正確返回DNS伺服器名稱及百度域名對應的地址。

3.3 設定輔助DNS伺服器
備份的不是伺服器，是伺服器中的區域。

先將上述的DNS1的轉發器取消，重置DNS2，再進行實驗。

我們想對baidu.com區域進行備份，在主伺服器DNS1中，右鍵baidu.com，在區域複製面板中，填寫備份伺服器的IP地址並選中新增，選擇確定。

在備份伺服器DNS2中→選擇正向查詢區域→右鍵→新建區域→選擇輔助區域→確定。名稱與主伺服器區域名稱一致，如baidu.com。

主伺服器中設定了備份的區域的所有資訊，將自動備份到備份伺服器中。對備份伺服器所備份的區域多次重新整理後，可現實所備份的區域資訊。

3.4 設定轉發器
（1）用win2003-2模擬當地網際網路的伺服器，按以上步驟，在另一臺win2003-2上新建一個DNS伺服器，IP固定設為10.1.1.2。負責解析域名為qq.com。
（2）配置主機名為www的域名所對應的IP為2.2.2.2和DNS2對應的IP為10.1.1.2。
（3）在winxp中解析www.qq.com，無法獲取響應結果。因為dns1沒有解析www.qq.com的經驗，同時由於無法聯網沒能訪問根域。

（4）設定轉發器是針對DNS伺服器的，在win2003-1中，右鍵DNS伺服器，在屬性轉發器中，新增win2003-2的IP地址（現實中為當地DNS伺服器的IP)。

（5）在winxp中測試解析www.qq.com，雖然依舊是win2003-1那臺DNS伺服器對客戶機進行應答，但其實給結論的是win2003-2那臺DNS2伺服器告訴DNS1的。

3.5 設定別名
（1）選中區域，在區域內的空白處右鍵，選擇新建別名（CNAME)

（2）填寫別名和相關的域名，點選確定。

（3）去winxp上測試，嘗試解析，解析成功。

3.6 DNS伺服器清空快取
（1）開啟win2003DNS1伺服器，在檢視中選中高階。

(2）將彈出快取查詢，右鍵快取查詢，清除快取。

（3）選中反向查詢區域，右鍵檢視，取消高階。

3.7 將虛擬機器連線到真實網路中
（1）VMware裡有一個虛擬交換機VMnet0可橋接到真實機的網絡卡上。在虛擬機器winxp和win2003的網絡卡設定中，將網路介面卡連線到VMnet0這臺交換機上.
（2）真實機有可能有多個網絡卡，比如膝上型電腦有有線網絡卡與無線網絡卡兩種。一般虛擬機器交換機VMnet0的橋接型別預設為自動，因此可能橋接到有線網絡卡，也可能橋接到無線網絡卡，這就導致有些人可以連線真實網路，一些人不可以。這需要檢視目前真實機使用的是有線網絡卡還是無線網絡卡。
（3）點選VMware的編輯，設定虛擬網路編輯器，將VMnet0橋接到真實機所使用的網絡卡上。

（4）之前用作伺服器的虛擬機器記得把DHCP的地址池刪除以及DNS的區域配置檔案、轉發器刪除，再重新選擇自動獲取IP，之前當作客戶機的虛擬機器記得釋放IP以及重新獲取IP，兩者都需要清空DNS快取，因為在上述實驗中存有多個DNS假快取，cmd輸入ipconfig /flushdns進行清空。
（5）cmd輸入nslookup www.qq.com，解析成功。

注意：凡是做攻擊操作的，不要將虛擬機器連線到真實網路中，容易將區域網破壞。

4 DNS伺服器相關知識
4.1 域名解析記錄型別
A記錄：正向解析記錄
CNAME記錄：別名
PTR記錄：反向解析記錄
SOA:權威伺服器
MX：郵件交換記錄
NS：域名解析伺服器

4.2 DNS伺服器型別
主要名稱伺服器
輔助名稱伺服器
根名稱伺服器
(高速)快取名稱伺服器 ：不設定區域

4.3 相關命令
nslookup 域名 #返回該域名資訊
ipconfig
ipconfig /all
ipconfig /release #釋放IP地址
ipconfig /renew #重獲取IP地址
ipconfig /flushdns #重新整理本地DNS快取
ipconfig /displaydns #顯示本地快取的DNS記錄

nslookup 域名			#返回該域名資訊
ipconfig
ipconfig /all
ipconfig /release		#釋放IP地址
ipconfig /renew			#重獲取IP地址
ipconfig /flushdns		#重新整理本地DNS快取
ipconfig /displaydns	#顯示本地快取的DNS記錄

5 練習
（1）主要DNS伺服器：員工要指向DNS伺服器，練習清空DNS快取，練習nslookup手工解析
（2）反向解析
（3）輔助DNS伺服器：成功更新區域解析記錄
（4）設定轉發器
（5）讓虛擬機器能夠上網
（6）設定別名

tips:
下圖中起始授權機構（SOA）是告訴我們誰是baidu.com的權威伺服器，名稱伺服器（DS）是告訴我們誰是baidu.com的備份域名伺服器。是自動生成的。

參考文獻
[1] 第12節 DNS伺服器基本概念、解析原理及部署——以win2003為例
[2] DNS域名解析原理與迭代和遞迴的區別
[3] 詳解DNS域名解析全過程
————————————————
版權宣告：本文為CSDN博主「像風一樣9」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處連結及本宣告。
原文連結：https://blog.csdn.net/m0_64378913/article/details/121961619