Planning your online business goals with a specials
Kristin Weswoo
Aug 30, 2023
DNS(Domain Name System, 域名系统),因特网上作为域名和IP地址相互映射的一个漫衍式数据库,能够使用户更利便的接见互联网,而不用去记着能够被机械直接读取的IP数串。通过主机名,最终获得该主机名对应的IP地址的历程叫做域名剖析(或主机名剖析)。DNS协议运行在UDP协议之上,使用端口号53。
主机名到IP地址的映射有两种方式: 1)静态映射,每台装备上都设置主机到IP地址的映射,各装备自力维护自己的映射表,而且只供本装备使用; 2)动态映射,确立一套域名剖析系统(DNS),只在专门的DNS服务器上设置主机到IP地址的映射,网络上需要使用主机名通讯的装备,首先需要到DNS服务器查询主机所对应的IP地址。 域名结构 通常 Internet 主机域名的一样平常结构为:主机名.三级域名.二级域名.顶级域名。 Internet 的顶级域名由 Internet网络协会 域名注册查询认真网络地址分配的委员会举行挂号和治理,它还为 Internet的每一台主机分配唯一的 IP 地址。全天下现有三个大的网络信息中央:位于美国的 Inter-NIC,认真美国及其他区域;位于荷兰的RIPE-NIC,认真欧洲区域;位于日本的APNIC,认真亚太区域。 根域:DNS域名中使用时,划定由尾部句点(.)来指命名称位于根或者更高级其余域条理结构 顶级域:用来指示某个国家/区域或组织使用的名称的类型名称,如.com 二级域名:小我私人或组织在Internet上使用的注册名称,如qq.com 子域:已注册的二级域名派生的域名,通俗的讲就是网站名,如www.qq.com 主机名:通常情形下DNS域名最左侧标识网络上特定盘算机,如h1.www.qq.com DNS的剖析历程 第一步,查询内陆host文件缓和存有没有这个纪录,有就直接剖析,没有就接见DNS服务器,若是DNS服务器上没这个域名或者域名不在你接见的DNS服务器治理区域内,那么DNS服务器就会向dot根域名服务器发递归查询,若是找到了纪录了,DNS就会返回给client,而且把纪录保留在自己缓存里,下次有client请求,他就会挪用自己的缓存,直到这条纪录的生计期竣事,就会抛弃这条纪录。 根域名服务器就13台域名服务器,他认真治理顶级域。顶级域认真治理二级域,我们现在申请的一样平常是2级域名-3级域名。 用 nslookup 这个工具详细来说一下剖析步骤: 第一行Server是:DNS服务器的主机名--114.114.114.114 第二行Address是: 它的IP地址--114.114.114.114#53 下面的Name是:剖析的URL--www.baidu.com 会发现百度有一个cname=www.ashifen.com的别名 用dig工具来跟踪一下(linux系统自带有) Dig工具会在内陆皮算机做迭代,然后纪录查询的历程。 第一步是向我这台机械的ISPDNS获取到根域服务区的13个IP和主机名; 第二步是向其中的一台根域服务器(Servername就是末行小括号内里的)发送www.baidu.com的查询请求,他返回了com.顶级域的服务器IP(未显示)和名称; 第三步,便向com.域的一台服务器192..5.5.241请求,www.baidu.com,他返回了baidu.com域的服务器IP(未显示)和名称,百度有四台顶级域的服务器; 第四步呢,向百度的顶级域服务器(202.108.22.220)请求www.baidu.com,他发现这个www有个体名,而不是一台主机,别名是www.a.shifen.com。 使用dig +trace shifen.com,发现第三步时shifen.com这个顶级域的域名服务器和baidu.com这个域的域名服务器是统一台主机。当拿到www.baidu.com的别名www.a.shifen.com的时刻,我原本需要重新到com域查找shifen.com域的NS,然则由于这两个域在统一台NS上,以是直接向本机提议了。 BIND是一种开源的DNS(Domain Name System)协议的实现,包罗对域名的查询和响应所需的所有软件。它是互联网上最普遍使用的一种DNS服务器,BIND这个缩写来自于使用的第一个域,Berkeley Internet Name Domain BIND软件包包罗三个部门: DNS服务器:这是一个叫做named的程序,代表name daemon的简写。它凭证DNS协议尺度的划定,响应收到的查询。 DNS剖析库(resolver library)。一个剖析器是一个程序,通过发送请求到合适的服务器而且对服务器的响应做出合适的回应,来剖析对一个域名的查询。一个剖析库是程序组件的聚集,可以在开发其它程序时使用,为这些程序提供域名剖析的功效。 /etc/named.conf named.conf是BIND使用的默认设置文件 在每一次named启动与挂起时都市被读取 一个简朴的文本文件,其中纪录的可以包罗options(全局参数)、zone(区域界说)、access control lists(接见控制列表)等 区域设置(zone ) zone 语句作用是界说DNS 区域,在此语句中可界说DNS 区域选项 zone区域设置 第一步,设置根区域 当DNS服务器处置递归查询时,若是本区域域文件不能举行查询的剖析,就会转到根DNS服务器查询,以是在主设置文件named.conf文件中还要界说根区域。 指 定正向剖析的设置文件 修改DNS服务器的辅助区域设置文件/etc/named.rfc1912.zones 用//注销掉系统默认设置的zone信息所有行或者删除 在文件的尾部增添以下内容 设置正向剖析zone文件 将类型复制到正向剖析文件,-p可以将源文件的属性一起复制 service named restart重新启动DNS服务 service iptables stop关闭防火墙 测试DNS剖析 使用nslookup测试下。 经由简朴的领会和设置DNS服务,应该知道DNS的事情原理了。DNS分为Client和Server,Client饰演发问的角色,也就是问Server一个Domain Name,而Server必须要回覆此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。若是自己的资料库没有,则会往该DNS上所设的的DNS询问,依此获得谜底之后,将收到的谜底存起来,并回覆客户。 DNS服务器会凭证差其余授权区(Zone),纪录所属该网域下的各名称资料,这个资料包罗网域下的次网域名称及主机名称。在每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址纪录在快取缓存区中,这样当下一次另有另外一个客户端到次服务器上去查询相同的名称时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称纪录资料,传回给客户端,加速客户端对名称查询的速率。 常见的DNS攻击包罗: 1) 域名挟制 通过接纳黑客手段控制了域名治理密码和域名治理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加响应域名纪录,从而使网民接见该域名时,进入了黑客所指向的内容。 这显然是DNS服务提供商的责任,用户一筹莫展。遇到dns被挟制,让dns服务提供者解决这个问题,是对照矛盾的;由于,挟制者,最有可能的就是他们;另外一种最直接的解决设施就是换用其他dns。替换dns服务器的方式异常简朴,打开网络毗邻属性,选择Interner 协议(TCP/IP)的属性页里,不要选择自动获取DNS,而要选择“使用下面的DNS服务器地址”,推荐人人使用OpenDNS提供的DNS服务器,OpenDNS是一个提供免费DNS服务的网站,口号是更平安、更快速、更智能。 2) 缓存投毒 DNS缓存投毒攻击是指攻击者诱骗DNS服务器信托伪造的DNS响应的真实性。这种类型攻击的目的是将依赖于此DNS服务器的受害者重定向到其他的地址。随着恶意软件流传的增多,缓存投毒的方式也层出不穷。典型的一种是发送题目吸引人的垃圾邮件并诱导你去打开。点击邮件中的图片和广告条幅也会将用户指向被投毒的网站。一旦用户的电脑被恶意代码熏染,他往后所有的URL请求都将被自动指向恶意IP地址-哪怕被指向的“受害”服务器已经在其网页上祛除了恶意代码。 防止投毒 现在还没有更好设施阻止黑客的这种行为,只有使DNS缓存服务器发出的查询请求使用动态的UDP端口,UDP的端口号也是16位2进制,这样与DNS的ID号相连系,号码的掷中率就是1/4294967296(2的32次方)。 3)DDOS攻击 一种攻击针对DNS服务器软件自己,通常行使BIND软件程序中的破绽,导致DNS服务器溃逃或拒绝服务;另一种攻击的目的不是DNS服务器,而是行使DNS服务器作为中央的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。 为了让DNS拒绝服务,恶意攻击者向允许递归的开放DNS剖析器发送大量伪造的查询请求。现在互联网中存在着上百万开放的DNS剖析器,包罗许多的家庭网关。开放的DNS剖析器会以为这些伪造的查询请求是真实有用的,而且会对这些请求举行处置,在处置完成之后,便会向伪造的请求者(即,受害人)返回DNS响应信息。若是查询请求的数目伟大,DNS服务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击,这种方式行使的是DNS剖析器中的错误设置。由于DNS服务器设置错误,那么DNS剖析器很可能会在吸收到一个异常小的DNS查询请求之后,向目的主机返回大量的攻击流量。在另一种类型的攻击中,是向DNS服务器发送未经允许或不相符规则的查询请求来举行攻击。 防御DDOS攻击 不允许未经由请求的DNS响应 抛弃快速重传数据包 抛弃异常泉源的DNS请求和响应 确立白名单,添加允许服务器处置的正当请求信息 启动DNS客户端验证 使用ACL的权限 上面所说的攻击,实在并不在我们的可控局限之内,内网的入侵,人人首先都市想到中央人攻击,中央人攻击,也就会想到DNS诱骗和ARP诱骗了。 4) DNS诱骗 DNS诱骗就是攻击者冒充域名服务器的一种诱骗行为。 原理:若是可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS诱骗的基本原理。DNS诱骗实在并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗而已。 现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个配合的特点,就是BIND会缓存(Cache)所有已经查询过的效果,这个问题就引起了下面的几个问题的存在. DNS诱骗就是攻击者冒充域名服务器的一种诱骗行为。 原理:若是可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS诱骗的基本原理。DNS诱骗实在并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗而已。 DNS诱骗的提防 DNS诱骗是很难举行有用防御的,由于大多情形下都是被攻击之后才会发现,对于阻止DNS诱骗所造成危害,本菜鸟提出以下建议 1.由于DNS诱骗条件也需要ARP诱骗乐成,以是首先做好对ARP诱骗攻击的提防。 2.不要依赖于DNS,可以使用hosts文件来实现相同的功效。 3.使用平安检测软件定期检查系统是否遭受攻击。 4.使用DNSSEC。DNSSEC是替换DNS的更好选择,它使用的是数字前面DNS纪录来确保查询响应的有用性,DNSSEC还没有普遍运用,然则已被公以为是DNS的未来偏向,也正是云云,美国国防部已经要求所有MIL和GOV域名都必须最先使用DNSSEC。
Web服务器VS应用服务器
Manage your online banking
Morbi lorem proin morbi tempor risus. Nisl lobortis diam id faucibus pretium vitae suspendisse sed accumsan.
Sodales morbi tristique elit cursus gravida. Ullamcorper commodo eget pulvinar pretium. Condimentum rhoncus
commodo amet nec auctor nibh vel mi blandit.
Neque ultrices nunc condimentum morbi risus tincidunt. Vel arcu lacus non ornare. Porttitor in rhoncus magna
augue adipiscing.
- Manage your time so you’ll get more done in less time
- Cut expenses without sacrificing quality
- Attract and retain quality, high-paying customers