Dns easy

1,933 views
1,732 views

Published on

http://phorum.study-area.org/index.php/topic,62437.0.html

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,933
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
19
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Dns easy

  1. 1. DNS
  2. 2. Study Area 2010群英會@台南 <ul><li>地點:南台科技大學
  3. 3. 時間:12/11(週六)
  4. 4. 請洽CYJ </li></ul>
  5. 5. Before start <ul><li>請多參與社群活動
  6. 6. 窗口是很可憐的
  7. 7. 參與社群活動可增加知名度?
  8. 8. 找工作更快?
  9. 9. 考試都考不及格 </li></ul>
  10. 10. What is DNS <ul><li>DNS </li><ul><li>Domain Name System
  11. 11. 網域名稱系統
  12. 12. 正解/反解 </li></ul><li>Domain name具有唯一性
  13. 13. 比IP好記
  14. 14. 容易管理
  15. 15. 穩定、有備援、平衡負載機制
  16. 16. Domain name是租用,並非買斷 </li></ul>
  17. 17. 網域名稱 <ul><li>從FQDN 開始 </li><ul><li>www.study-area.org. </li></ul><li>階層式架構,以&quot;.&quot; 隔開 </li></ul>.(root) org study-area www com twnic www tw twnic www jp adobe mail www arpa
  18. 18. FQDN 的限制 <ul><li>最多 127 層 </li><ul><li>www.study-area.org. </li></ul><li>每層最多63個字元 </li><ul><li>中文有可能超過 </li></ul><li>總長度不可超過255個字元 </li></ul>
  19. 19. <ul>主機名稱.網域名稱 </ul><ul><li>www.study-area.org . </li><ul><li>你要找study-area.org這個網域的www主機 </li></ul><li>mail.study-area.org. </li><ul><li>你要找study-area.org這個網域的mail主機 </li></ul><li>study-area.org. </li><ul><li>你要找org這個網域的study-area的主機 </li></ul><li>org. </li><ul><li>你要找.(root)這個網域的org主機 </li></ul></ul>
  20. 20. 管理主機是可以很多台的 <ul><li>查詢www.study-area.org. </li><ul><li>查詢是由右邊往左邊走
  21. 21. 上層放右邊 </li></ul><li>上下層如何授權? </li><ul><li>NS (Name server) </li></ul></ul>ns1.study-arae.org. ns2.study-area.org. ns2.study-area.org. ns1.study-area.org. ns2.study-area.org. www,study-area.org. => 163.16.211.23 d.root-servers.net. .(root) org study-area
  22. 22. 正解 / 反解 <ul><li>正解 </li><ul><li>www.study-area.org. => 163.16.211.23 </li></ul><li>反解 </li><ul><li>163.16.211.23 => www.study-area.org.
  23. 23. 反解的設定不是必要,但卻非常重要
  24. 24. 反解查詢的量大於正解 </li></ul></ul>
  25. 25. 反解查詢方式 <ul><li>163.16.211.23 也是由右邊開始查詢的嗎? </li><ul><li>所以是 23 => 211 => 16 => 163 ??? </li></ul><li>反解格式(上層放右邊) </li><ul><li>23.211.16.163.in-addr.arpa. </li></ul></ul>ns.ks.edu.tw. dwb.ks.edu.tw . 23.211.16.163 PTR www.study-area.org. .(root) arpa in-addr 163 16 211
  26. 26. Resolver(解析器) <ul><li>解析器的作用就是取得正/反解的答案
  27. 27. 遞迴查詢:直接取得答案
  28. 28. Resolver </li><ul><li>API, function, system call, Application.... </li></ul></ul>送出查詢www.study-area.org. 得到答案 163.16.211.23 internet Resolver firefox mail kernel
  29. 29. DNS運作流程 <ul><li>Resolver 如何取得答案? </li></ul>取得www.study-area.org study-area client Resolver DNS Server (cache server) ex: 168.95.1.1 非遞迴查詢 遞迴查詢 權威伺服器
  30. 30. Resolver 如何知道去哪裡找DNS Server <ul><li>/etc/hosts </li><ul><li>早期的DNS解析方式 </li></ul><li>/etc/resolv.conf </li><ul><li>Unix like </li></ul><li>Windows 則在網路設定的地方 </li><ul><li>指定DNS伺服器 </li></ul></ul>
  31. 31. Resolver Loop ? <ul><li>Resolver的解析從/etc/hosts => /etc/resolver 開始 </li><ul><li>接收本機查詢 </li></ul><li>DNS server 的解析從.(root)開始 </li><ul><li>接收遠端(網路)查詢
  32. 32. DNS server怎麼知道誰是.(root) ? </li></ul></ul>192.168.1.99 A host /etc/resolv.conf: 192.168.1.1 192.168.1.1 A host /etc/resolv.conf: 192.168.1.99 internet .(root)
  33. 33. DNS運作圖 取得www.study-area.org study-area client Resolver DNS Server (cache server) ex: 168.95.1.1 非遞迴查詢 遞迴查詢 權威伺服器
  34. 34. 十分鐘學會DNS運作流程 <ul>來說一個張爸的故事 </ul>
  35. 35. 十分鐘學會DNS運作流程 鄉長 小強 張爸 張小明 地址:台灣路 25 號 小強問:請問張小明住哪裡 ? 鄉長回:台灣路 25 號是張家 你去哪裡問看看!
  36. 36. 十分鐘學會DNS運作流程 org. query study-area.org www.study-area.org 權威伺服器: ns1.study-area.org query : www.study-area.org ? tw.: study-area.org NS ns1.study-arae.org
  37. 37. 十分鐘學會DNS運作流程 <ul><li>張爸發了,買了第二棟房子 </li></ul>鄉長 小強 張爸 張小明 地址:台灣路 25 號 小強問:請問張小明住哪裡 ? 鄉長回:台灣路 25 or 26 號是張家 你去哪裡問看看! 張爸 張小明 地址:台灣路 26 號
  38. 38. 十分鐘學會DNS運作流程 org. query study-area.org. www.study-area.org. 權威伺服器: ns1.study-arae.org query: www.study-area.org ? tw.: study-area.org NS ns1.study-area.org. study-area.org NS ns2.study-area.org. study-area.org. www.study-area.org. 權威伺服器: ns2.study-arae.org
  39. 39. 十分鐘學會DNS運作流程 x 中華路 1 號不是張家 小強問:請問張小明住哪裡 ? 鄉長回:中華路 1 號 鄉長 小強 張爸 張小明 地址:台灣路 25 號 張爸 張小明 地址:台灣路 26 號 陳阿婆 地址:中華路1號
  40. 40. 十分鐘學會DNS運作流程 x 權威伺服器錯誤 query:www.study-area.org study-area.org NS ns1.study-area.org org. query study-area.org. www.study-area.org. ns1.study-area.org. study-area.org www...... twnic.net.tw dns.twnic.net.tw
  41. 41. 十分鐘學會DNS運作流程 <ul><li>郵件 </li></ul>鄉長 郵差 張爸: 郵件給我,若我不在 可以轉教好朋友大強 他可以幫我收,地址是: 共產路 25 號 郵差問:請問張小明住哪裡 ? 鄉長回:台灣路 25 號是張家 你去哪裡問看看! 大強: 我可以代收張爸的信 地址:共產路25號
  42. 42. 十分鐘學會DNS運作流程 <ul><li>MX </li></ul>org. query ns1.study-area.org study-area.org MX 10 ns1.study-area.org. study-area.org MX 20 ns1.sayya.org. query : mail.study-area.org. tw. : study-area.org. NS ns1.study-area.org. ns1.sayya.org.
  43. 43. 十分鐘學會DNS運作流程 鄉長 小強 張爸 小明是張小明的暱稱 地址:台灣路 25 號 小強問:請問小明住哪裡 ? 鄉長回:台灣路 25 號是張家 你去哪裡問看看!
  44. 44. 十分鐘學會DNS運作流程 <ul><li>CNAME </li></ul>org. query study-area.org. ftp.study-area.org CNAME www ns1.study-area.org. query: ftp.study-area.org. ? tw. : study-area.org NS ns1.study-area.org.
  45. 45. 十分鐘學會DNS運作流程 鄉長 張爸 地址:台灣路 25 號 張家 地址:xxx 黃家 地址:xxx 劉家 地址:xxx 陳家 地址:xxx ...... 張爸 張小明 張大明 張三明
  46. 46. 十分鐘學會DNS運作流程 <ul><li>Zone file </li></ul>org. study-area.org. ns1.study-area.org. study-area.org NS ns1 www.study-area.org. mail.study-area.org. ftp.study-area.org. ns1.study-area.org. xxxx
  47. 47. 十分鐘學會DNS運作流程 鄉長 小強 張爸 : 資料只能保留 86400 秒 張小明 地址:台灣路 25 號 小強問:請問張小明住哪裡 ? 鄉長回:台灣路 25 號是張家 你去哪裡問看看! 每次都要問鄉長,好累喔 我自己抄一份起來 張爸 張大明 台灣路 26 號
  48. 48. 十分鐘學會DNS運作流程 <ul><li>要找到張家,最重要的就是張家的地址
  49. 49. 要找到正確的DNS伺服器,最重要的就是NS </li></ul>
  50. 50. DNS運作圖 study-area client Resolver DNS Server (cache server) ex: 168.95.1.1 query: www.study-area.org? query: org. ? org. IN NS c0.org.afilias-nst.info. query: study-area.org. ? study-area.org IN NS ns2.study-area.org. query: www.study-area.org. 163.16.211.23
  51. 51. <ul>架設Domain Name </ul>
  52. 52. 架設Domain Name步驟 <ul><li>購買網址
  53. 53. 架設DNS伺服器
  54. 54. 登入註冊商管理介面 </li><ul><li>登記Name Server(NS)位置 </li></ul><li>驗證DNS運作 </li></ul>
  55. 55. Install BIND9 <ul><li>Unix like / BIND9 </li><ul><li>yum install bind
  56. 56. ./configure --prefix=/usr --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-ipv6
  57. 57. make
  58. 58. make install </li></ul><li>Windows / 安裝DNS服務
  59. 59. UDP / port 53 </li><ul><li>iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT </li></ul></ul>
  60. 60. BIND 介紹 <ul><li>設定檔/etc/named.conf </li><ul><li>/var/named/chroot/etc/named.conf
  61. 61. named 啟動參數
  62. 62. 定義root server的位置
  63. 63. 定義Zone與zone file 位置 </li></ul><li>Zone file /var/named/xxxxx.db </li><ul><li>/var/named/chroot/var/named/xxxxx.db
  64. 64. SOA & Resource Record(RR) </li></ul><li>啟動與停止 </li><ul><li>/etc/init.d/named [start/stop/restart]
  65. 65. /usr/sbin/named -c /etc/named.conf -u named -t /var/named/chroot
  66. 66. killall named </li></ul></ul>
  67. 67. SOA(Start Of Authority) <ul>study-area.org. IN SOA ns1 haway ( 42 ; serial (d. adams) 1H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum <li>在 Zone file 中 , 不是 FQDN 的網域都會被附加該網域名稱
  68. 68. ns1 = ns1.study-area.org.
  69. 69. haway = haway.study-area.org. </li></ul>
  70. 70. Resource Record(RR) <ul><li>FQDN
  71. 71. TTL
  72. 72. Class
  73. 73. Type:A / NS / MX / CNAME
  74. 74. rdata </li></ul>www.study-area.org. 3600 IN A 163.16.211.23 study-area.org. 3600 IN NS ns1.study.area.org.
  75. 75. <ul><li>啟動named
  76. 76. 建立example.tw zone file </li></ul>
  77. 77. Master / slave DNS <ul><li>開啟Master DNS 的named.conf </li><ul><li>allow-transfer{ slave ip; }; </li></ul><li>修改slave DNS的named.conf </li><ul><li>zone &quot;example.tw&quot;{ </li><ul><li>type slave;
  78. 78. masters{ master ip; };
  79. 79. file &quot;xxx.db.slave&quot;;
  80. 80. allow-transfer{ nono; }; </li></ul><li>}; </li></ul><li>對外界查詢來說,是沒有master/slave的區分 </li></ul>
  81. 81. <ul><li>購買網址 </li></ul>rsync.tw. IN NS ns1.rsync.tw. rsync.tw. IN NS ns2.rsync.tw. ns1.rsync.tw. IN A 202.153.191.99 ns2.rsync.tw. IN A 210.17.9.203 tw. ns1.rsync.tw. ns2.rsync.tw.
  82. 82. NS 的重要性 <ul><li>NS 就是 DNS 伺服器的位置 , 非常重要
  83. 83. Ns 必須保持三個要素 </li><ul><li>一致性
  84. 84. 正確性
  85. 85. 可用度 </li></ul></ul>
  86. 86. NS的重要性- 1 <ul><li>NS的設定要求一致性 </li><ul><li>study-area.org. IN NS ns1.study-area.org.
  87. 87. study-area.org. IN NS ns2.study-area.org.
  88. 88. ns1.study-area.org IN A 163.16.211.23
  89. 89. ns2.study-area.org. IN A 203.68.102.192 </li></ul></ul>
  90. 90. NS 的重要性- 2 <ul><li>NS的設定要求正確性 </li><ul><li>study-area.org. IN NS ns1.study-area.org.
  91. 91. study-area.org. IN NS ns2.study-area.org.
  92. 92. study-area.org. IN NS dns.hinet.net. </li></ul></ul>
  93. 93. NS的重要性- 3 <ul><li>NS 的可用性 </li><ul><li>study-area.org. IN NS ns1.study-area.org.
  94. 94. ns1.study-arae.org. IN A 192.168.1.1
  95. 95. ns1.study-area.org. IN A 163.16.211.23 </li></ul></ul>
  96. 96. DNS Client Tools <ul><li>nslookup </li><ul><li>nslookup www.study.area
  97. 97. nslookup (enter) 進入互動模式 </li></ul><li>dig </li><ul><li>dig domain type </li><ul><li>reslover </li></ul><li>dig @serverip domain type </li><ul><li>dns server </li></ul><li>dig +tcp +dnssec +trace @.... </li><ul><li>dns server </li></ul></ul></ul>
  98. 98. 如何知道DNS是正確設定/運作? <ul><li>先查詢上層有哪些伺服器 </li><ul><li>dig org. ns ( org. 依不同屬性替換: com.tw org.tw ) </li></ul><li>對上層伺服器查詢NS位置 </li><ul><li>dig @b0.org.afilias-nst.org. study-area.org ns </li></ul><li>對每個權威伺服器查詢該網域NS紀錄,並顯示權威伺服器 </li><ul><li>dig @ns1.study-area.org. study-area.org ns
  99. 99. 在flags欄位顯示aa表示權威伺服器 </li></ul><li>對權威伺服器查詢網域 </li><ul><li>dig @ns1.study-area.org www.study-area.org a </li></ul><li>對cache server查詢網域 </li><ul><li>dig www.study-area.org a </li></ul></ul>
  100. 100. <ul>DNS 封包篇 </ul>
  101. 101. <ul>DNS 安全 </ul>
  102. 102. DNS基本安全設定 <ul><li>DNS安全並不難著手 </li><ul><li>Firewall 阻擋
  103. 103. 限制recursive的對象或是關閉
  104. 104. 限制轄區傳送 </li><ul><li>default any </li></ul><li>限制動態更新
  105. 105. 以非root的方式啟動服務
  106. 106. 使用chroot/selinux的方式限制環境 </li></ul></ul>
  107. 107. DNS安全- DNS spoof <ul><li>Dns cache poisoning </li><ul><li>http://www.youtube.com/watch?v=1d1tUefYn4U
  108. 108. Metasploit </li></ul></ul>
  109. 109. DNS 安全- DNS spoof <ul><li>Man in the middle
  110. 110. ettercap </li></ul>user hacker DNS Server
  111. 111. <ul>中文域名 </ul>
  112. 112. 中文域名 <ul><li>目前所有網域查詢都是以英文完成 </li><ul><li>www.study-arae.org </li></ul><li>所以把中文轉成英文就可以了. </li><ul><li>PunyCode
  113. 113. 哈維.台灣 => xn--qvrq56g.xn--kpry57d.
  114. 114. 哈維.tw => xn--qvrq56g.tw
  115. 115. www.哈維.tw => www.xn--qvrq56g.tw </li></ul><li>中文email什麼時候通? </li></ul>
  116. 116. 中文域名 系統運作層 xn--qvrq56g.xn--kpry57d 可見軟體層 哈維.台灣 firefox filezilla ... DNS zone file mail server unix/linux ftp
  117. 117. DNAME的使用 <ul><li>凡註冊.tw網域則核配 .台灣 與.台湾 網域同時可提供解析。 </li><ul><li>這是怎麼作到的?要兩組DNS伺服器同時擁有所有網域資料嗎?
  118. 118. 透過DNAME設定將.台湾轉由.台灣回答
  119. 119. 網域的別名(CNAME) </li></ul></ul>
  120. 120. <ul><li>Q & A </li></ul>

×