DNS服务器的论文

Linux操作系统

论文

学号：

40704

姓名：

wyh

提交日期：

2009-6-25

成绩：

Linux操作系统论文

计算机系 第

PAGE

6

页

DNS服务器

DNS服务器的工作原理

DNS是域名系统（DomainNameSystem）英文名称的缩写，是一种组织域层次结构的计算机和网络服务命名系统。

域名系统DNS是由主机名解析方案发展起来的一种新的名字解析体制。1984年9月，ARPANET开始使用DNS，从此DNS成为访问主机名到IP地址映射的标准方法。Internet上最常用的DNS服务器是BIND(BerkeleyInternetNameDomain)软件。

域名系统将主机名解析成IP地址使用了一个全局的、层次性的分布式数据库系统。该数据库系统包含了Internet上所有域名及IP的对应信息。数据库的层次性允许将域名空间划分成独立的管理部分，并称为域（Domain）。数据库的分布式特性则允许将数据库的各个不同的部分分配到不同网络的域名服务器上，这样各域名服务器可以实现独立的管理。

域名服务的解析原理和过程

域名解析的工作原理和过程如下：

STEP01用户提出域名解析请求，并将该请求发送给本地的域名服务器；

STEP02当本地的域名服务器收到请求后，就先查询本地的缓存，如果有该记录项，则本地的域名服务器就直接把查询的结果返回；

STEP03如果本地的缓存中没有该记录，则本地域名服务器就直接把请求发给根域名服务器，然后根域名服务器再返回给本地域名服务器一个所查询域的主域名服务器的地址；

STEP04本地服务器再向上一步骤中所返回的域名服务器发送请求，然后收到该请求的域名服务器查询其缓存，返回与此请求所对应的记录或相关的下级的域名服务器的地址本地域名服务器将返回的结果保存到缓存；

STEP05重复第4步，直到找到正确的记录；

STEP06本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。

DNS服务器面临的安全问题

2001年1月24日，美国微软公司所管理的相关网络系统，遭受网络黑客的拒绝服务攻击后导致全球各地的用户接近24小时无法连上该公司相关的网站，造成该公司相当严重的商业损失。然而，这次事件与以往网站攻击事件的最大不同，就在于这一次被攻击的对象是DNS服务器而不是Web服务器，这次事件宣告了一种新型的网络攻击类别。

DNS服务器面临的安全问题主要有：DNS欺骗(DNSSpoofing)、拒绝服务（DenialofService,DoS）攻击、缓冲区漏洞攻击、分布式拒绝服务攻击、缓冲区溢出漏洞攻击（BufferOverflow）和不安全的DNS动态更新。

增强DNS安全性的方法

应对DNS服务器面临的安全隐患有两个最有效的原则：

（1）选择安全没有缺陷的DNS版本；

（2）保持DNS服务器配置正确、可靠。

建立一个完整的DNS

DNS分类

Linux下的DNS服务器用来存储主机的域名信息，包括三种：惟高速存域名服务器、主域名服务器、辅助域名服务器。

安装BIND域名服务器软件

安装后会建立以下配置文件：/etc/named.conf:主配置文件，/var/named/localhost.zone:正向域的区文件，/var/named/named.local:反向域的区文件

named配置文件族内容

Linux上的域名服务是由named守护进程控制的，该进程从主文件/etc/named.conf中获取信息。

配置惟高速存域名服务器

建立具有转发的惟高速存域名服务器。所谓转发，就是当一台DNS遇到非本机负责的区（zone）查询请求时，将不直接向rootServer查询，而转交给指定的另一台DNS（forwarder）代为查询，而逐级往下查询的动作，则交由forwarder负责。

只要将主配置文件做简单修改，然后named进程重新读取配置文件即可。

配置主域名服务器

在主配置文件中添加区声明

用vi编辑器修改/etc/named.conf配置文件，加入以下内容：

#添加正向区声明#

zone“”{

typemaster;#注明是主域名服务器#

file“.hosts”;

};

#添加反向区声明#

zone“1.168.192.”{

typemaster;#注明是主域名服务器#

file“192.168.1.rev”;

};

配置正向解析数据库文件

即实现域名到IP的对应，用vi编辑器修改/etc/named/.hosts文件,加入以下内容：

＄TTL86400

@INSOAroot..(

2001101100;#serialnumber#

10800;#refresh#

3600;#retryquery#

604800;#expire#

0);#minimumTTL#

INNS#设置域名服务记录#

INMS#设置邮件交换记录#

INA#设置地址记录#

wwwINCNAME.#设置别名记录#

配置反向解析数据库文件

即实现IP地址到域名的映射，用vi编辑器修改/etc/named/192.168.1rev文件，加入以下内容：

＄TTL86400

@INSOAroot..(

2001101100;#serialnumber#

10800;#refresh#

3600;#retryquery#

604800;#expire#

0);#minimumTTL#

INNS#设置域名服务记录#

1INPTR#设置反向指针记录#

重新启动DNS服务器

#servicenamedreload

测试DNS服务器

A．使用host命令

#host#正向查询主机地址

hasaddress

#host#正向查询域名

92.domainnamepointer

B．nslookup

用来测试正向、反向的解析是否正常。

配置辅助域名服务器

辅助域名服务器的作用是为主域名服务器提供备份，也可以进行域名解析。

修改配置文件，将master改成slave，并且指定主域名服务器的IP地址为：

#添加正向区声明#

zone“”{

typeslave;#注明是辅助域名服务器#

file“.hosts”;

master{;};#指定主DNS服务器的IP地址#

#添加反向区声明#

zone“1.168.192.”{

typeslave;#注明是辅助域名服务器#

file“192.168.1.rev”;

masters{;};#指定主DNS服务器IP地址#

配置域名服务器客户端

BIND软件是一个客户端/服务器系统，客户端程序称为转换程序（resolver）,它负责产生域名信息查询，将这类信息发送到服务器，服务器的named守护进程负责回答转换程序的查询。作为客户端，首先要在用户的计算机上配置客户端程序，即向DNS服务器获得域名解析/反解析服务。

DNS故障排除工具

DNS是一组文件构成的，所以需要不同的工具检查对应的文件。

dlint

一个配置不完善的DNS服务器存在很大的安全漏洞，dlint可以帮助分析DNS配置文件中的问题，它是一个专门检查DNS配置文件的开发源代码的软件，要运行它系统安装Perl语言和dig命令。

DNS服务器的工作状态检查

使用dnstop查询DNS服务器的工作状态；

nslookup即域名服务器查找（NameServerLookup）,用来查找DNS服务器上的DNS记录；

dig工具向DNS服务器发送named查询，dig可以查询单一或多个域名服务器，功能比nslookup强大很多；

named-checkzone通过检查句法的正确性来检查区带文件的正确性；

named-checkconf通过检查named.conf句法的正确性来检查named文件的正确性。

全面加固DNS服务器

使用TSIG技术

使用DNSSEC技术

配置安全的DNS服务器

隔离DNS服务器

为BIND创建chroot

隐藏BIND的版本号

避免透露服务器的信息

关闭服务器的gluefetching选项

控制区域（zone）传输

请求限制

为DNS服务器配置DNSFloodDetector

建立完整的域名服务器

建立DNS日志

增强DNS服务器的防范DoS/DdoS功能

使用分布式DNS负载均衡

防范DNS服务器网络

配置防火墙

参考文献：

曹江华.Linux服务器安全策略详解.北京.电子工业出版社,2007,87-113.

白雪松.Linux基础及应用.天津.天津科技技术出版社,2008,257-265.

罗文村,汤庸.Linux实践及应用.北京.清华大学出版社,2006,220-233.

心得

学过Linux后，感觉选修这门课是很正确的，通过学习Linux，学到了很多新知识，同时，也因为了解更多，而加深了对计算机专业的热爱。现在发现，如果你想要培养对某件事的兴趣，就必须先充分的了解它，了解的越多，兴趣就越浓，兴趣是可以慢慢培养的。

Linux学习的收获很多，首先，对Linux操作系统有了一个初步的了解，会安装Linux系统，会利用一些简单的命令来做一些基本操作，了解到Linux系统中必须进行挂载操作才能识别U盘或光盘等外设，并且学会了熟练使用支持中文的U盘挂载命令。其次，通过对几种重要的服务器的配置及作用了解，又学到了很多，虽然大多只是初步了解其作用而已，但这就相当于一个入门，今后通过进一步学习，会加深了解。同时，学习Linux后，对于其它课程的学习也有很多帮助，比如学习了apache后，对于Java就有帮助，Java的开发需要tom