圖所示。DHCP流程5．初始狀態當DHCP客戶端第一次啟動時，它將進入INIT狀態。為了獲取一個IP地址，客戶端在本地網絡上廣播DHCPDISCOVER報文，來發現本地網絡上的所有DHCP服務器，并進入到SELECTING狀態。6．選擇狀態本地網上所有DHCP服務器都接收DHCPDISCOVER報文，所有服務器發送DHCPOFFER報文來響應客戶端。客戶端收集服務器發送的DHCPOFFER報文。7．請求狀態處于SELECTING狀態時，客戶端從DHCP服務器獲得DHCPOFFER響應。每個響應提供了用于客戶端的配置信息，還有服務器可提供租用給客戶端的一個IP地址，客戶端必須選擇其中一個響應（通常是第一個到達的響應），并與服務器協商租用。為此，客戶端發送給服務器一個DHCPREQUEST報文，并進入REQUESTING狀態。8．已綁定狀態DHCP服務器確認已接受請求并開始租用，服務器發送一個DHCPACK報文。客戶端收到確認后進入到BOUND狀態，此時客戶端可開始使用此地址。9．刷新狀態與重綁定狀態當DHCP客戶端成功獲取到地址時，它就進入到BOUND狀態。進入BOUND狀態以后，客戶端設置了三個定時器，用于控制租用更新、重新綁定和租約到期。DHCP服務器給客戶端分配地址時，可為定時器指定確定的值，如果服務器未指定定時器值，客戶端就使用默認值。第一個定時器的默認值通常是租用期的一半。當第一個定時器到期，客戶端必須嘗試刷新租用期。這時客戶端使用單播方式發送一個DHCPREQUEST報文到為其分配地址的DHCP服務器，并進入到RENEWING狀態等待響應。DHCPREQUEST包含一個客戶端正使用的IP地址，并請求服務器延長對此地址的租用。服務器可以用兩種方式當中的一種來響應客戶端的刷新請求：同意客戶端繼續使用此地址：如果服務器同意就發送DHCPACK，在DHCPACK中也可含有客戶端定時器新的數值。客戶端收到DHCPACK報文則返回到BOUND狀態繼續使用地址指示客戶端停止使用該地址：如果服務器不同意繼續使用，它就發送一個DHCPNAK報文，使客戶端立即停止地址的使用。如果客戶端收到DHCPNAK就立即停止使用地址并返回到INIT狀態。第二個定時器的默認值為租用期的87.5%。正如剛剛介紹的，當第一個定時器到期后（即租約到達一半后）客戶端發送DHCPREQUEST報文并進入RENEWING狀態。如果在該狀態下直到第二個定時器到期時還未收到服務器的響應報文，客戶端則使用廣播方式發送DHCPREQUEST報文并進入到REBINDING狀態。在該狀態下，如同在RENEWING狀態一樣，如果服務器的響應同意客戶端繼續使用該地址（DHCPACK），客戶端則返回到BOUND狀態；如果服務器不同意繼續使用（DHCPNAK），則返回到INIT狀態。當第三個定時器到期，即租約到期后，處于REBINDING狀態的客戶端仍未收到服務器的響應，客戶端則返回INIT狀態重新開始DHCP請求過程。10．地址釋放當客戶端使用一個分配的地址時，它保持在BOUND狀態。如果客戶端有輔助存儲器，客戶端可以存儲分配給它的IP地址，并在再次重啟動時申請同一個地址。但在某些情況下，處于綁定狀態的客戶端可能發現它不再需要一個IP地址了，此時，DHCP允許客戶端終止租用，無需再等待租約過期，這種方式在服務器可以提供的IP地址比連接到網絡的主機數量少時將顯得十分重要。如果客戶端不再需要IP地址時及時終止租用，服務器就可以將此地址分配給其他客戶端。為了提前終止租用，客戶端發送一個DHCPRELEASE釋放報文到服務器，然后離開綁定狀態，停止使用該IP地址，并且在獲取其他IP地址前將重新從INIT狀態開始。教師講授演示DHCP服務安裝與配置過程35分鐘任務實施第一步：配置客戶端獲取IP地址的形式為DHCP配置第二步：配置DHCP服務器多作用域如果網絡中有多個子網的時候，這就需要配置多作用域，首先為這個超級作用域命名。[root@lab2~]#vi/etc/dhcpd.confddns-update-styleinterim;ignoreclient-updates;shared-networkmydhcp{optionnis-domain"";optiondomain-name"";optiondomain-name-servers1;default-lease-time21600;max-lease-time43200;subnetnetmask{optionrouters;optionsubnet-mask;optiontime-offset-18000;#EasternStandardTimerangedynamic-bootp054;hostns{next-server;hardwareethernet12:34:56:78:AB:CD;fixed-address1;}}subnetnetmask{optionrouters;optionsubnet-mask;optiontime-offset-18000;#EasternStandardTimerangedynamic-bootp054;}}第三步：測試在客戶端上進行測試，觀察客戶端的IP地址是否是DHCP服務器作用域中的IP學生通過提供的教學資源進行學習，記錄操作步驟和遇到的問題40分鐘課堂總結DHCP服務的作用域配置學生在課后鞏固所學知識和技能5分鐘教案首頁序號：25授課班級授課日期5.136.12出勤情況課程名稱網絡系統安全運行與維護教學類型理實結合復習舊課引入新課復習舊課：1、安裝DHCP軟件2、配置DHCP服務3、配置作用域引入新課：M7-3Linux系統DNS服務安裝與配置教學目標要求學生通過該能力模塊的學習,能夠熟練掌握DNS服務的安裝與配置能力。講授要點教學設計講授要點：1、安裝DNS軟件2、配置DNS服務教學設計：回顧上節內容復習關于DHCP服務的安裝與配置引入本節內容介紹DNS服務，引入本節內容任務實施分3個實驗步驟，完成DNS的安裝與配置課堂總結重點難點解決方法重點：安裝DNS軟件配置DNS服務難點： 配置DNS服務解決方法：演示+上機操作課后作業完成本節實驗，并上交實驗課后總結DNS在安裝后，沒有相關的配置文件，所有使用的文件，均需要自己配置。Linux系統DNS服務安裝與配置（一）教學過程步驟主要內容教學組織復習復習DHCP服務的安裝與配置教師帶動學生復習5分鐘任務引入DNS是因特網建設的基礎，幾乎所有的網絡應用,都必須依賴DNS系統做網址查詢的指引動作。如果DNS系統運作不正常,即使Web服務器都完好如初,防火墻系統都善盡其職,相關的后端應用服務器以及數據庫系統運作正常,因為無法在期限時間內查得到網址,將會導致電子郵件無法傳遞,想要使用網域名稱去連接某個網頁,也會因查不出網絡地址,以致聯機失敗。教師講授5分鐘知識講授1．RHEL4中包括了BIND服務相關的軟件包bind-libs-9.2.4-2提供了實現域名解析功能必備的庫文件，系統默認安裝bind-utils-9.2.4-2提供了對DNS服務器的測試工具程序，系統默認安裝bind-9.2.4-2BIND服務器軟件包，默認沒有被安裝到RHEL4系統中，需要使用rpm命令手工安裝安裝文件位于第4張安裝光盤中#rpm-ivhbind-9.2.4-2.i386.rpm#rpm-ivhbind-chroot-root-9.2.4-2.i386.rpm安裝caching-nameserver軟件包RHEL4系統為配置緩存域名服務器專門提供了名為“caching-nameserver”的軟件包該軟件包保存在第1張安裝光盤中#rpm-ivhcaching-nameserver-7.3-3.noarch.rpm2．配置文件主配置文件named.conf路徑：/etc/named.conf，用來設置全局參數，調配正向解析數據庫文件和逆向解析數據庫文件正向解析數據庫文件：localhost.zone路徑：/var/named/localhost.zone,用來將域名轉換成IP地址。逆向解析數據庫文件：named.local路徑：/var/named/named.local，用來將IP地址轉換成域名。根域名服務器指向文件Named.ca路徑：/var/named/named.ca,用于緩存服務器的初始配置。教師講授，演示DNS服務的安裝和配置，配置正逆向解析文件35分鐘任務實施第一步安裝DNS服務1、規范主機名[root@lab1~]#vi/etc/hosts#Donotremovethefollowingline,orvariousprograms#thatrequirenetworkfunctionalitywillfail.lab1localhost.localdomainlocalhost1[root@lab1~]#vi/etc/sysconfig/networkNETWORKING=yesHOSTNAME=GATEWAY=[root@lab1~]#vi/etc/resolv.confsearchnameserver1檢查是否安裝bind軟件[root@lab1~]#rpm-qa|grepbindbind-9.2.4-28.el4bind-utils-9.2.4-28.el4bind-libs-9.2.4-28.el4ypbind-1.17.2-13bind-chroot-9.2.4-28.el4第二步配置DNS服務啟動DNS服務[root@lab1~]#servicenamedstart[root@lab1~]#ps-aux|grepnamedWarning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.3/FAQroot64220.01.1107923004pts/0T07:220:00vim/etc/named.confnamed65720.01.1494402992?Ssl07:410:00/usr/sbin/named-unamed-t/var/named/chrootroot66090.00.23912644pts/0R+07:480:00grepnamed修改主配置文件[root@lab1~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};zone"123.168.192."IN{typemaster;file"/var/named/192.168.123.rev";allow-update{none;};};創建并修改正向解析文件[root@lab1~]#cp/var/named/localhost.zone/var/named/chroot/var/named/.hosts[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5創建和修改反向解析文件[root@lab1~]#cp/var/named/named.local/var/named/chroot/var/named/192.168.123.rev[root@lab1~]#vi/var/named/chroot/var/named/192.168.123.rev$TTL86400@INSOA..(1997022700;Serial28800;Refresh14400;Retry3600000;Expire86400);MinimumINNS.10INPTR.11INPTR.15INPTR.重啟服務[root@lab1~]#servicenamedrestart[root@lab1~]#host-tMXmailishandledby10.[root@lab1~]#host-tSOASOA..421080090060480086400[root@lab1~]#host-tNSnameserver.學生通過提供的教學資源進行學習，記錄操作步驟和遇到的問題40分鐘課后總結總結DNS服務的安裝和配置過程學生在課后鞏固所學知識和技能5分鐘教案首頁序號：26授課班級授課日期5.136.12出勤情況課程名稱網絡系統安全運行與維護教學類型理實結合復習舊課引入新課復習舊課：安裝DNS軟件配置DNS服務引入新課：Linux系統DNS服務安裝與配置（二）教學目標要求學生通過該能力模塊的學習,能夠熟練掌握主從DNS服務的安裝與配置能力。講授要點教學設計講授要點：3、配置主從DNS服務4、配置DNS子域5、配置DNS服務高級選項教學設計：回顧上節內容DNS軟件的安裝和配置引入本節內容主從DNS服務的配置任務實施分3個實驗步驟，完成Linux操作系統的配置課堂總結重點難點解決方法重點：配置主從DNS服務配置DNS子域配置DNS服務高級選項難點： 配置DNS服務解決方法：演示+上機操作課后作業完成本節實驗，并上交實驗課后總結Linux系統DNS服務安裝與配置（二）教學過程步驟主要內容教學組織復習復習DNS服務的安裝和配置教師帶動學生復習5分鐘任務引入在完成DNS服務的安裝和配置后，我們接下來要進行的就是配置主從DNS服務器，使DNS服務器運行起來。教師講授5分鐘知識講授DNS原理當DNS客戶端需要為某個應用程序查詢名字時，它將聯系自己的DNS服務器來解析此名字。DNS客戶發送的解析請求包含以下三種信息：需要查詢的域名。如果原應用程序提交的不是一個完整的FQDN，則DNS客戶端加上域名后綴以構成一個完整的FQDN；指定的查詢類型。指定查詢的資源記錄的類型，如A記錄或者MX記錄等等；指定的DNS域名類型。對于DNS客戶端服務，這個類型總是指定為Internet[IN]類別。DNS客戶端完整的DNS解析過程如下：1、檢查自己的本地DNS名字緩存當DNS客戶端需要解析某個FQDN時，先檢查自己的本地DNS名字緩存。本地的DNS名字緩存由兩部分構成：Hosts文件中的主機名到IP地址映射定義；前一次DNS查詢得到的結果，并且此結果還處于有效期；如果DNS客戶端從本地緩存中獲得相應結果，則DNS解析完成。2、聯系自己的DNS服務器如果DNS客戶端沒有在自己的本地緩存中找到對應的記錄，則聯系自己的DNS服務器，你必須預先配置DNS客戶端所使用的DNS服務器。當DNS服務器接收到DNS客戶端的解析請求后，它先檢查自己是否能夠權威的答復此解析請求，即它是否管理此請求記錄所對應的DNS區域；如果DNS服務器管理對應的DNS區域，則DNS服務器對此DNS區域具有權威。此時，如果本地區域中的相應資源記錄匹配客戶的解析請求，則DNS服務器權威的使用此資源記錄答復客戶的解析請求（權威答復）；如果沒有相應的資源記錄，則DNS服務器權威的答復客戶無對應的資源記錄（否定答復）。如果沒有區域匹配DNS客戶端發起的解析請求，則DNS服務器檢查自己的本地緩存。如果具有對應的匹配結果，無論是正向答復還是否定答復，DNS服務器非權威的答復客戶的解析請求。此時，DNS解析完成。如果DNS服務器在自己的本地緩存中還是沒有找到匹配的結果，此時，根據配置的不同，DNS服務器執行請求查詢的方式也不同：默認情況下，DNS服務器使用遞歸方式來解析名字。遞歸方式的含義就是DNS服務器作為DNS客戶端向其他DNS服務器查詢此解析請求，直到獲得解析結果，在此過程中，原DNS客戶端則等待DNS服務器的回復。如果你禁止DNS服務器使用遞歸方式，則DNS服務器工作在迭代方式，即向原DNS客戶端返回一個參考答復，其中包含有利于客戶端解析請求的信息（例如根提示信息等），而不再進行其他操作；原DNS客戶端根據DNS服務器返回的參考信息再決定處理方式。但是在實際網絡環境中，禁用DNS服務器的遞歸查詢往往會讓DNS服務器對無法進行本地解析的客戶端請求返回一個服務器失敗的參考答復，此時，客戶端則會認為解析失敗。遞歸方式和迭代方式的不同之處就是當DNS服務器沒有在本地完成客戶端的請求解析時，由誰扮演DNS客戶端的角色向其他DNS服務器發起解析請求。通常情況下應使用遞歸方式，這樣有利于網絡管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS服務器的性能，不過在通常的情況下，這點性能的消耗無關緊要。根提示信息是Internet命名空間中的根DNS服務器的IP地址。為了正常的執行遞歸解析，DNS服務器必須知道從哪兒開始搜索DNS域名，而根提示信息則用于實現這一需求。全世界范圍內的根DNS服務器總共有13個，它們的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服務器啟動時從cache.dns文件中讀取。一般情況下，不需要對此文件進行修改；如果你的DNS服務器是在內部網絡中部署并且不需要使用Internet的根DNS服務器，則可以根據需要進行修改，將其指向到某個內部根域DNS服務器。例如，當某個DNS客戶端請求解析域名[url][/url]并且DNS服務器工作在遞歸模式下時，完整的解析過程如下：DNS客戶端檢查自己的本地名字緩存，沒有找到對應的記錄；DNS客戶端聯系自己的DNS服務器NameServer1，查詢域名[url][/url]；3.NameServer1檢查自己的權威區域和本地緩存，沒有找到對應值。于是，聯系根提示中的某個根域服務器，查詢域名[url][/url]；4.根域服務器也不知道[url][/url]的對應值，于是，向NameServer1返回一個參考答復，告訴NameServer1.org頂級域的權威DNS服務器；5.NameServer1聯系.org頂級域的權威DNS服務器，查詢域名[url][/url]；6.org頂級域服務器也不知道[url][/url]的對應值，于是，向NameServer1返回一個參考答復，告訴NameServer1W域的權威DNS服務器；7.NameServer1聯系W域的權威DNS服務器，查詢域名[url][/url]；8.W域的權威DNS服務器知道對應值，并且返回給NameServer1；9.NameServer1向原DNS客戶端返回[url][/url]的結果，此時，解析完成。

DNS服務器全攻略之一：基礎介紹（2006-01-1608:15）查詢響應類型DNS服務器對于客戶請求的答復具有多種類型，常見的有以下四種：權威答復：權威答復是返回給客戶的正向答復，并且設置了DNS消息中的權威位。此答復代表從具有權威的DNS服務器處發出；正向答復：正向答復包含了匹配客戶端解析請求的資源記錄；參考答復：參考答復只在DNS服務器工作在迭代模式下使用，包含了其他有助于客戶端解析請求的信息。例如，當DNS服務器不能為客戶端發起的解析請求找到某個匹配值時，則向DNS客戶端發送參考回復，告訴它有助于解析請求的信息；否定答復：否定答復指出權威服務器在解析客戶端的請求時可能遇到了以下兩種情況之一：權威DNS服務器報告客戶端查詢的名字不存在；權威DNS服務器報告存在對應的名字但是不存在指定類型的資源記錄。無論正向答復還是否定答復，DNS客戶端都將結果保存在自己的本地緩存中。理解緩存的工作方式DNS客戶端和DNS服務器都會緩存獲得的解析結果，這樣可以提高DNS服務性能和減少DNS相關的網絡流量。DNS客戶端緩存當DNS客戶端服務啟動時，會讀取Hosts文件中的所有主機名和IP地址的映射，并且保存在緩存中。Hosts存放在%systemroot%system32driversetc目錄，當你修改Hosts文件后，DNS客戶端會立即讀取Hosts文件并且對本地緩存進行更新。另外，DNS客戶端會緩存過去的查詢結果，當DNS客戶端服務停止時，將清空本地緩存。DNS服務器緩存DNS服務器像DNS客戶端一樣緩存名字解析結果，并且可以使用緩存中的信息來答復其他客戶端的請求。你可以在DNS服務器管理控制臺或者使用DNSCMD命令行工具手動清空緩存，另外當DNS服務器停止時，同樣會清空DNS服務器緩存。資源記錄的生存時間（TTL）指定了資源記錄可以緩存的時間的長短，而無論是DNS客戶端緩存還是DNS服務器緩存；默認情況下，TTL是3600秒（1小時）。需要注意的是，由于緩存的作用，DNS服務器上對于資源記錄的修改可能不能立即生效。并且對于Internet域名來說，資源記錄的修改可能會需要超過24小時的時間才能在所有DNS服務器上完成更新。動態更新當DNS客戶端計算機上產生某個事件觸發更新時，DNS客戶端計算機上的DHCP客戶端服務將會為本地計算機中使用的所有網絡連接在相應的DNS服務器中對自己的A記錄進行更新，從而可以確保DNS域名記錄和IP地址記錄的對應關系。而DNS服務器需要配置為允許動態更新，才能讓DNS客戶端計算機成功完成更新。當DNS客戶端計算機上產生以下事件時，會觸發DHCP客戶端服務的動態更新行為：添加、刪除或修改了本地計算機任何網絡連接TCP/IP屬性中的IP地址；本地計算機的任何網絡連接向DHCP服務器獲取IP地址租約或者續約；DNS客戶端上運行了Ipconfig/registerdns命令；DNS客戶端計算機啟動；此DNS區域中的一臺成員服務器提升為域控制器；對于標準主要區域，你可以選擇不允許動態更新和允許非安全和安全動態更新。但是允許非安全和安全動態更新具有安全隱患，因為DNS服務器不會對進行動態更新的客戶端計算機進行驗證，所以任何客戶端計算機都可以對任何A記錄進行動態更新，而不管它是否是此A記錄的擁有者。通常情況下，你不應該使用此選項。對于活動目錄集成區域，除了上述的兩個選項外，你還可以使用安全動態更新。當使用此方式時，在客戶端計算機更新自己的記錄時，DNS服務器將要求客戶端計算機進行身份驗證來確保只有對應資源記錄的擁有者才能更新此記錄。只有Windows2000及以后版本操作系統的客戶端計算機才能執行動態更新，低版本的Windows系統（NT4、9x/ME）不支持動態更新。不過，你可以通過DHCP服務器為這些低版本客戶端計算機代理進行動態更新。當DHCP服務器在代理低版本客戶端計算機注冊A記錄時，會將自己設置為此A記錄的所有者。而在安全動態更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP服務器為此低版本客戶端計算機代理注冊時會出現拒絕訪問的問題。因此，你需要將此DHCP服務器加入到DnsUpdateProxy安全組中，這樣當DHCP服務器更新A記錄時，不會記錄下此A記錄的所有者信息，從而允許其他DHCP服務器來修改此A記錄。教師講授，演示DNS的原理，及主從DNS服務的配置過程35分鐘任務實施第一步配置主從DNS服務配置主服務器[root@lab1~]#vi/etc/resolv.confsearchnameserver1nameserver0配置從服務器[root@lab2~]#vi/etc/resolv.confsearchnameserver1nameserver0[root@lab2~]#vi/etc/named.confzone""IN{typeslave;file"slaves/.hosts";masters{1;};};zone"123.168.192."IN{typeslave;file"slaves/192.168.123.rev";masters{1;};};[root@lab2~]#chmodg+w/var/named/chroot/var/named/[root@lab2~]#servicenamedrestart[root@lab2~]#ll/var/named/chroot/var/named/slaves/總用量8-rw1namednamed4112月1521:54192.168.123.rev-rw1namednamed3952月1521:54.hosts第二步配置DNS子域修改父域服務器正向解析文件[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5bj INNS www.bjwww.bj INA53修改子域服務器主配置文件[root@lab3~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};[root@lab3~]#servicenamedrestart第三步配置DNS高級選項1、配置DNS轉發器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardfirst;forwarders{0;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};2、配置緩存cache-only服務器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardonly;forwarders{0;1;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};3、配置WEB服務負載均衡[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINAwwwINAwwwINA4、配置實現泛域解析[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINAwwwINAwwwINA*INA0學生通過提供的教學資源進行學習，記錄操作步驟和遇到的問題40分鐘課后總結配置主從DNS服務配置DNS子域配置DNS服務高級選項學生在課后鞏固所學知識和技能5分鐘教案首頁序號：27授課班級授課日期5.206.14出勤情況課程名稱網絡系統安全運行與維護教學類型理實結合復習舊課引入新課復習舊課：配置主從DNS服務配置DNS子域配置DNS服務高級選項引入新課：Linux系統DNS服務安裝與配置（三）教學目標學生通過該能力模塊的學習,能夠獨立完成和熟練掌握安全配置DNS服務器，加強Linux系統的DNS服務的安全防御能力。講授要點教學設計講授要點：保護DNS服務器本身安全保護ZoneTransfer的安全保護DNS免于Spoofed攻擊教學設計：回顧上節內容DNS的配置和主從服務器的配置引入本節內容保護DNS服務器自身的安全任務實施分3個實驗步驟，完成DNS安全的配置課堂總結重點難點解決方法重點：保護DNS服務器本身安全保護ZoneTransfer的安全保護DNS免于Spoofed攻擊難點： 保護ZoneTransfer的安全解決方法：演示+上機操作課后作業完成本節實驗，并上交實驗課后總結DNS的安全設置既復雜又難度較大，稍微一點錯誤，就會引起整個實驗的失敗，因此應當在實驗中加倍認真。Linux系統DNS服務安裝與配置（三）教學過程步驟主要內容教學組織復習配置主從DNS服務配置DNS子域配置DNS服務高級選項教師帶動學生復習5分鐘任務引入加強DNS的安全，首先應該從DNS服務器自身的安全開始進行配置教師講授5分鐘知識講授一、ZoneTransferDNS的區域傳輸目的是為了DNS的備份，當DNS服務器壞了，它的數據不會丟失。注意在配置區域傳輸是一定要注意輔助服務器上建立的區域是輔助區域且與主服務器的域名相同，而且區域傳輸是雙向的，不但需要在輔助服務器上配置還要在主服務器上進行相應的配置。二、DNS威脅 DNS服務面臨的安全問題主要包括：DNS欺騙（DNSSpoffing）、拒絕服務（Denialofservice，DoS）攻擊、分布式拒絕服務攻擊和緩沖區漏洞溢出攻擊（BufferOverflow）。1.DNS欺騙

DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS服務器掉入陷阱，使用了來自一個惡意DNS服務器的錯誤信息，那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器產生許多安全問題，例如：將用戶引導到錯誤的互聯網站點，或者發送一個電子郵件到一個未經授權的郵件服務器。網絡攻擊者通常通過三種方法進行DNS欺騙。圖1是一個典型的DNS欺騙的示意圖。（1）緩存感染黑客會熟練的使用DNS請求，將數據放入一個沒有設防的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給客戶，從而將客戶引導到入侵者所設置的運行木馬的Web服務器或郵件服務器上，然后黑客從這些服務器上獲取用戶信息。（2）DNS信息劫持入侵者通過監聽客戶端和DNS服務器的對話，通過猜測服務器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號，DNS服務器根據這個ID號獲取請求源位置。黑客在DNS服務器之前將虛假的響應交給用戶，從而欺騙客戶端去訪問惡意的網站。（3）DNS復位定向

攻擊者能夠將DNS名稱查詢復位向到惡意DNS服務器。這樣攻擊者可以獲得DNS服務器的寫權限。2.拒絕服務攻擊

黑客主要利用一些DNS軟件的漏洞，如在BIND9版本（版本9.2.0以前的9系列）如果有人向運行BIND的設備發送特定的DNS數據包請求，BIND就會自動關閉。攻擊者只能使BIND關閉，而無法在服務器上執行任意命令。如果得不到DNS服務，那么就會產生一場災難：由于網址不能解析為IP地址，用戶將無方訪問互聯網。這樣，DNS產生的問題就好像是互聯網本身所產生的問題，這將導致大量的混亂。3、分布式拒絕服務攻擊

DDOS攻擊通過使用攻擊者控制的幾十臺或幾百臺計算機攻擊一臺主機，使得服務

拒絕攻擊更難以防范：使服務拒絕攻擊更難以通過阻塞單一攻擊源主機的數據流，來防范服務拒絕攻擊。SynFlood是針對DNS服務器最常見的分布式拒絕服務攻擊。4.緩沖區漏洞

Bind軟件的缺省設置是允許主機間進行區域傳輸（zonetransfer）。區域傳輸主要用于主域名服務器與輔域名服務器之間的數據同步，使輔域名服務器可以從主域名服務器獲得新的數據信息。一旦起用區域傳輸而不做任何限制，很可能會造成信息泄漏，黑客將可以獲得整個授權區域內的所有主機的信息，判斷主機功能及安全性，從中發現目標進行攻擊。教師講授，演示DNS可能遭遇的威脅35分鐘任務實施一、選擇沒有安全缺陷的DNS版本BIND主要分為三個版本：（1）v4：1998年多數unix捆綁（2）v8：如今使用最多最廣大版本安全信息：/showQueryL.asp?libID=530（3）v9：最新版本，免費（)2.保持DNS服務器配置正確、可靠dlint是專門檢查DNS配置文件開源代碼軟件：/dns/dlint.shtmldnstop可以查詢DNS服務器狀態：/dnstop/dentop-20010809-1.i386.rpm二、保護DNS服務器本身安全第一步：隔離DNS服務器DNS服務器要專用，不要在DNS服務器上運行其它服務，盡量允許普通用戶登錄。第二步：隱藏DNS服務器網絡攻擊者對DNS服務進行攻擊前，首先要知道BIND有版本號，根據BIND版本號找到漏洞來確定攻擊DNS服務器方法，攻擊者使用dig命令可以查詢到BIND的版本號。為了保障DNS服務器安全的首先要隱藏DNS服務器。下面是沒有隱藏DNS服務，攻擊者查詢到的DNS服務器的版本。[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:10122;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"9.2.4";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:20msec;;SERVER:1#53(1);;WHEN:ThuJan1418:33:272010;;MSGSIZErcvd:62[root@centos~]#通過下面對服務器進行安全配置，攻擊者無法查詢到DNS服務地版本信息，編輯BIND配置文件，如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};////acachingonlynameserverconfig//"/etc/named.conf"79L,1572C在配置文件中加入“version"unknowonthisplatform";”，保存配置文件，然后退出，重啟DNS服務器。[root@lab2~]#servicenamedrestart停止named：[確定]啟動named：[確定][root@lab2~]#再使用dig命令進行測試，如下所示：[root@centos~]#dig@1txtchaosversion.bind;<<>>DiG9.3.4-P1<<>>@1txtchaosversion.bind;(1serverfound);;globaloptions:printcmd;;Gotanswer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:61670;;flags:qraard;QUERY:1,ANSWER:1,AUTHORITY:1,ADDITIONAL:0;;QUESTIONSECTION:;version.bind.CHTXT;;ANSWERSECTION:version.bind.0CHTXT"unknowonthisplatform";;AUTHORITYSECTION:version.bind.0CHNSversion.bind.;;Querytime:16msec;;SERVER:1#53(1);;WHEN:ThuJan1418:40:232010;;MSGSIZErcvd:80通過上面測試，可以看到攻擊者無法查詢到DNS的版本信息。第三步：避免透露DNS服務器信息和版本號一樣，也不要輕易透露服務器其他信息。為了讓潛在的攻擊者更難得手，盡量不要在DNS配置文件中使用這HINFO和TXT兩個資源記錄。第四步：以最小的權限及使用chroot()方式運行BIND以root使用者的身分執行BIND有安全隱患，攻擊者若找到BIND的安全漏洞，可能獲取root的身分，從而進行對服務器攻擊。BIND8.1.2+允許在啟動DNS服務器後，變更其UID和GID，可以使用命令named-unamed以chroot()的方式執行BIND可將危害減至最低設置chroot之后的環境：設置dev/zero、dev/random、dev/log或etc/localtime，可以使用命令修改運行用戶。named-unamed-t/var/named三、保護DNS免于Spoofed攻擊DNS服務器若接受來自Internet的遞歸詢問要求，易遭受Spoofing的攻擊，導致攻擊者修改DNS服務器區域文件，其它用戶解析域名的時候，取回的是假造的名稱信息。第一步：關閉rescursion的功能關閉rescursion功能后，DNS服務器只會響應非遞歸的詢問要求無遞歸功能的DNS服務器不易易遭受Spoofing的攻擊，因為它不會送出查詢要求，所以也不會攝取所管區域以外的任何數據如果DNS服務器還提供服務給合法的解析器（resolver），或是充當其他DNS服務器的代詢服務器（forwarder），就不應該關閉rescursion的功能。如果無法關閉rescursion的功能，應該限制查詢要求的服務對象修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第二步：關閉gluefetching的功能修當DNS服務器為響應詢問的DNS封包建立additionaldata區段的數據時，會自動解析NS紀錄中任何DNS服務器的域名，這稱為gluefetching，易遭受Spoofing的攻擊。關閉gluefetching的功能，可避免DNS服務器送出任何的查詢要求，所以也不會攝取所管區域以外的任何數據。當DNS服務器返回一個域的域名服務器紀錄并且域名服務器紀錄中沒有A紀錄，DNS服務器會嘗試獲取一個紀錄。就稱為gluefetching,攻擊者可以利用它進行DNS欺騙。關閉gluefetching是一個好方法，修改配置文件：/etc/named.conf.加入一行：[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault."/etc/named.conf"81L,1603C第三步：限制查詢要求的服務對象如果無法關閉rescursion的功能，應該限制查詢要求的服務對象限制詢問要求的來源（IP地址）限制可以查詢的區域范圍DNS服務器應該拒絕來自以下網絡的詢問要求私有網絡（除非你自己在使用）實驗性網絡群播網絡一般的DNS服務器對所管區域的名稱信息，可以服務來自任何IP地址的查詢要求，因為它是經授權而來管理該區域的權威DNS服務器對于所管區域以外的名稱信息，只應該服務來自內部或可信賴之IP地址的查詢要求cahing-onlyDNS服務器應該只服務來自特定IP地址的解析器authoritative-onlyDNS服務器必須服務來自任何IP地址的詢問要求，但是應該拒絕任何遞歸的詢問要求。具體配置如下所示。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………zone""IN{typemaster;file"/var/named/.hosts";allow-query{any;};allow-update{none;};};zone"123.168.192."IN{typemaster;file"/var/named/192.168.123.rev";allow-update{none;};};include"/etc/rndc.key";這樣所有的用戶都可以訪問的DNS服務器，但是只有網段的主機用戶可以請求DNS服務器的任意服務，另外也不要允許其他網段的主機進行遞歸詢問。學生通過提供的教學資源進行學習，記錄操作步驟和遇到的問題40分鐘課后總結保護DNS服務器本身安全保護ZoneTransfer的安全保護DNS免于Spoofed攻擊學生在課后鞏固所學知識和技能5分鐘教案首頁序號：28授課班級授課日期5.206.14出勤情況課程名稱網絡系統安全運行與維護教學類型理實結合復習舊課引入新課復習舊課：保護DNS服務器本身安全保護ZoneTransfer的安全保護DNS免于Spoofed攻擊引入新課：Linux系統DNS服務安裝與配置（四）教學目標1、按照項目的需求， 重點掌握如何使用TSIG保護DNS服務器；2、按照項目的需求， 熟練掌握如何保護DynamicUpdate的安全。講授要點教學設計講授要點：使用TSIG保護DNS服務器保護DynamicUpdate的安全教學設計：回顧上節內容復習已經所做的關于DNS的安全配置引入本節內容使用密碼和簽名技術保護DNS服務器的安全任務實施分3個實驗步驟，完成DNS服務器的安全的配置課堂總結重點難點解決方法重點：使用TSIG保護DNS服務器保護DynamicUpdate的安全難點：使用TSIG保護DNS服務器解決方法：演示+上機操作課后作業完成本節實驗，并上交實驗課后總結 Linux系統DNS服務安裝與配置（四）教學過程步驟主要內容教學組織復習配置主從DNS服務配置DNS子域配置DNS服務高級選項教師帶動學生復習5分鐘任務引入在DNS的配置中，涉及到不同服務器之間信息的傳輸，我們應該對傳輸過程中信息的安全加強控制。教師講授5分鐘知識講授TSIGDNS的事務簽名分為TSIG(TransactionSignatures)與SIG0(SIGnature)兩種。該如何選擇呢?首先，要先判斷客戶端與服務器間的信任關系為何，若是可信任者，可選擇對稱式的TSIG。TSIG只有一組密碼，并無公開/私密金鑰之分；若是非完全信任者，可選擇非對稱式金鑰的SIG0，雖有公開/私密金鑰之分，相對的，設定上也較復雜。至于要選用哪種較適合，就由自己來判斷。通常區帶傳輸是主域名服務器到輔助域名服務器。1.TSIG技術交易簽章(TSIGRFC2845)，是為了保護DNS安全而發展的。從BIND8.2版本開始引入TSIG機制，其驗證DNS訊息方式是使用共享金鑰(SecretKey)及單向雜湊函式(One-wayhashfunction)來提供訊息的驗證和數據的完整性。主要針對區帶傳輸（ZONETransfer）進行保護的作用，利用密碼學編碼方式為通訊傳輸信息加密以保證DNS訊息的安全，特別是響應與更新的訊息數據。也就是說在DNS服務器之間進行轄區傳送時所提供保護的機制，以確保傳輸數據不被竊取及監聽。2.SIG0技術簡介SIG0是一九九九年三月由IBM公司的D.Eastlake提出成為標準。其是利用公開金鑰機制為轄區資料進行數字簽章的動作，以保證每筆傳輸的sourcerecord具有可驗證性與不可否認性。實際上SIG0才是防止DNSSpoofing發生最主要的技術，SIG0是使用公開金鑰加密法，讓轄區管理者為其轄區數據加上數字簽章，由此證明轄區資料的可信賴性。除此之外，SIG0保有是否選擇認證機制的彈性，以及可靈活地配合自訂的安全機制。教師講授，演示TSIG技術35分鐘任務實施第一步保護ZoneTransfer的安全默認情況下BIND的區域(zone)傳輸是全部開放的，如果沒有限制那么DNS服務器允許對任何人都進行區域傳輸的話，那么網絡架構中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者得到。因此，要對區域傳輸進行必要的限制。可以通過在／etc／named．conf文件當中添加以下語句來限制區域傳輸。[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………acl"zone-transfer"{1;0;};zone""IN{typemaster;file"/var/named/.hosts";allow-query{any;};allow-transfer{zone-transfer;};allow-update{none;};};這樣只有ip地址為：1～0的主機能夠同DNS服務器進行區域傳輸。第二步保護DynamicUpdate的安全允許能向本DNS服務器提交動態DNS更新的主機IP列表。雖然DynamicUpdate很有用但也很危險，必須予以限制。除了SOA紀錄以及一個NS紀錄外，經授權的更新者可以刪除區域中所有的紀錄，也可以加入完全不同的紀錄[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";version"unknowonthisplatform";recursionno;fetch-glueno;allow-query{/24;};dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged…………};acl"zone-transfer"{1;0;};acl"updater"{5;};//dhcp-serverzone""IN{typemaster;file"/var