商业源码 DNS(域名解析服务器)的配置与使用
我不大明白楼主是在本地机设置 DNS 服务器地址还是架设DNS服务器。
如果设置本地机DNS服务器地址,比较简单,在桌面上 右键单击“网上邻居”选“属性”,双击“本地连接”选“属性”按钮,然后双击“TCP/IP”协议,在弹出的对话框中,便可以设置DNS服务器的地址,
如果楼主要架设DNS服务器,为网络中的其他用户提供DNS服务,那就复杂了。也不知道您的老师对您的答案有什么要求,是详细,还是说个大概?我看咱们还是尽量说得细一点吧。
首先,机器要装WIN2000,WIN2003,LINUX等系统,这里以WIN2000为例。
您首先要把自己手里的这台电脑指定为运行数据和解析网络地址的的硬件设备。您需要将本机I P地址或计算机名称指定给D N S服务器,这样D N S服务器会自动与您的计算机硬件建立连接,并启用所需的设备完成数据运算和解析网络地址的工作。具体创建过程,操作步骤如下:
1 打开“开始”菜单,选择“程序” |“管理工具”|“D N S”命令,打开“ D N S控制台窗口”(必须是在WIN2000或WIN2003服务器版上才有,专业版及家庭版XP都没有这个选项)。
2 打开“操作”菜单,选择“连接计算机”命令,打开“选择目标机器”对话框。
3 如果您要在本机上运行D N S服务器,请选定“这台计算机”单选按钮。
如果您不希望本机运行D N S服务器,请选定“另一台计算机”单选按钮,然后在“另一台计算机”后面的文本框中输入要运行D N S服务器的计算机的名称。
4 如果您希望立即与这台计算机进行连接,请选定“立即连接到这台计算机”复选框。
5 单击“ 确定” 按钮,返回到“D N S控制台窗口”,这时在控制台目录树中将显示代表D N S服务器的图标和计算机的名称。
创建一个D N S服务器,除了需要必需的计算机硬件外,还需要建立一个新的区域即一个数据库才能正常运作。该数据库的功能是提供D N S名称和相关数据(如I P地址或网络服务)间的映射。该数据库中存储了所有的域名与对应I P地址的信息,网络客户机正是通过该数据库的信息来完成从计算机名到I P地址的转换。下面将对创建区域进行具体的介绍,操作步骤如下:
1 在“D N S控制台”窗口中,打开“操作”菜单,选择“创建新区域”命令,打开“欢迎使用创建新区域向导”对话框。
2 单击“下一步”按钮,打开“选择一个区域类型”对话框。
3 在“选择一个区域类型”对话框中有三个选项,分别是:集成的Active Directory、标准主要区域和标准辅助区域。您可以根据区域存储和复制的方式选择一个区域类型。如果您希望新建的区域使用活动目录,可选定“集成的Active Directory”。
4 单击“下一步”按钮,打开“选择区域搜索类型”对话框。
5 在“选择区域搜索类型”对话框中用户可以选择“反向搜索”或“正向搜索”单选按钮。如果您希望把名称映射到地址并给出提供的服务的信息,应选定“正向搜索”单选按钮。如果您希望把机器的I P地址映射到用户好记的域名,应选定“反向搜索”单选按钮。这里我们选择“反向搜索”单选按钮。
6 单击“下一步”按钮,打开“网络I D”对话框。
7 默认情况下“创建新区域向导”会选定“输入反向搜索区域的网络标识和子网掩码”单选按钮,您必须在“网络标识”和“子网掩码”文本框中输入正确的I P地址和相应的子网掩码。如果不希望使用系统默认的反向搜索区域的名称,可以单击“输入反向搜索区域的名称”单选按钮,然后在“名称”文本框中输入自己喜欢的名称。
8 单击“下一步”按钮,打开“正完成‘创建新区域向导’”对话框。
9 在“正完成‘创建新区域向导’”对话框中显示了您对新建区域进行配置的信息,如果您认为某项配置需要调整,单击“上一步”按钮返回到前面的对话框中重新配置。如果确认了自己配置正确的话,可单击“完成”按钮,打开“ D N S”对话框。
10 创建新区域向导提示用户新区域已经创建成功。您可单击“确定”按钮完成所有创建工作。如果您再次打开“DNS控制台”窗口,单击“服务器”根节点展开该节点,然后单击“反向搜索区域”节点展开该节点,您可以看到新建的区域显示在反向搜索区域节点的下面。
您在完成了上面的一些有关D N S服务器的创建工作后,还需要对D N S服务器的一些重要的属性进行设置。因为,属性设置是保证D N S服务器稳定、安全运行的必要条件。毕竟您是在做题,各选项卡,LWH等设置便不细细讲了,希望对您有所帮助。
DNS设置方法
以下是最常见的顶级域:com,用于商业组织。edu,用于教育机构。org,用于非赢利组织。net,用于计算机网络组织。gov,用于美国政府组织。两字母或三字母国家/地区代码,如jp是日本的代码。不同组织的域名在每个顶级域下面相应地
以下是最常见的顶级域:
com,用于商业组织。
edu,用于教育机构。
org,用于非赢利组织。
net,用于计算机网络组织。
gov,用于美国政府组织。
两字母或三字母国家/地区代码,如jp是日本的代码。
不同组织的域名在每个顶级域下面相应地分支展开。可以进一步沿树状结构细分出组织内各部门的更多域名(称为子域)。最后,将主机名加在名称结构的前面构成FQDN,如“server2msdnmicrosoftcom”。事实上,“msdnmicrosoftcom”也是一个FQDN,它指的是microsoftcom中的某个Web服务器群集。
DNS工作原理
DNS是一个分布式数据库系统,它提供将域名转换成对应IP地址的信息。这种将名称转换成IP地址的方法称为名称解析。
一般来说,每个组织有其自己的DNS服务器,并维护域的名称映射数据库记录或资源记录。当请求名称解析时,DNS服务器先在自己的记录中检查是否有对应的IP地址。如果未找到,它就会向其它DNS服务器询问该信息。
例如,当要求Web浏览器访问“msdnmicrosoftcom”站点时,它就会通过以下步骤来解析该域名的IP地址:
Web浏览器调用DNS客户端(称为解析器),并使用上次查询缓存的信息在本地解析该查询。
如果在本地无法解析查询,客户端就会向已知的DNS服务器询问答案。如果该DNS服务器曾经在特定的时间段内处理过相同的域名(“msdnmicrosoftcom“)请求,它就会在缓存中检索相应的IP地址,并将它返回给客户端。
如果该DNS服务器找不到相应的地址,客户端就会向某个全局根DNS服务器询问,后者返回顶级域权威DNS服务器的指针。在这种情况下,“com”域权威服务器的IP地址将返回给客户端。
类似地,客户端向“com”服务器询问“microsoftcom”服务器的地址。然后,客户端将原始查询传到“microsoftcom”服务器。
因为“microsoftcom”服务器在本地维护“msdnmicrosoftcom”域的权威记录,所以它将最终结果返回给客户端,并完成特定IP地址的查询。
注意,可以将DNS资源记录缓存到网络上任意数量的DNS服务器中。第2步中提到的DNS服务器可能不包含“msdnmicrosoftcom”缓存记录。但是,它可能有“microsoftcom”的记录,更可能有“com”域的记录。这可省去客户端获得最终结果所需的一次或几次查询,从而加快了整个搜索过程。
为了维护DNS缓存中的最新信息,缓存记录有一个与信息关联的“生存时间”设置(类似于牛奶的保鲜期)。当记录到期时,必须对它们再次进行搜索。
DNS资源记录
如前所述,每个DNS数据库都由资源记录构成。一般来说,资源记录包含与特定主机有关的信息,如IP地址、主机的所有者或者提供服务的类型。
资源记录类型
说明
解释
SOA
起始授权机构
此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址,以及指示辅DNS服务器如何更新区域数据文件的设置等。
常用的资源记录类型
A地址此记录列出特定主机名的IP地址。这是名称解析的重要记录。
CNAME标准名称此记录指定标准主机名的别名。
MX邮件交换器此记录列出了负责接收发到域中的电子邮件的主机。
NS名称服务器此记录指定负责给定区域的名称服务器。
DNS区域
通常,DNS数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。
管理某个区域(或记录集)的DNS服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。
在域中划分多个区域的主要目的是为了简化DNS的管理任务,即委派一组权威名称服务器来管理每个区域。采用这样的分布式结构,当域名称空间不断扩展时,各个域的管理员可以有效地管理各自的子域。
有时,区域和域是很难分辨的。
区域是域的子集。可以将它看作域名称空间的某个分支(或子树)。例如,Microsoft名称服务器可以同时是“microsoftcom”区域、“msdnmicrosoftcom”区域和“marketingmicrosoftcom”区域的权威名称服务器。但是,可以将子域的区域(如“msdnmicrosoftcom”)委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录,那么该区域与该域的范围是相同的。
对于Windows2000,区域信息或者以传统文本文件格式存储,或者集成到ActiveDirectory数据库中。稍后,我们将详细阐述DNS与ActiveDirectory如何协作。
主DNS服务器和辅DNS服务器
为保证服务的高可用性,DNS要求使用多台名称服务器冗余支持每个区域。
某个区域的资源记录通过手动或自动方式更新到单个主名称服务器(称为主DNS服务器)上。主DNS服务器可以是一个或几个区域的权威名称服务器。
其它冗余名称服务器(称为辅DNS服务器)用作同一区域中主服务器的备份服务器,以防主服务器无法访问或宕机。辅DNS服务器定期与主DNS服务器通讯,确保它的区域信息保持最新。如果不是最新信息,辅DNS服务器就会从主服务器获取最新区域数据文件的副本。这种将区域文件复制到多台名称服务器的过程称为区域复制。
ActiveDirectory和DNS的关系
ActiveDirectory是Windows2000中新增的目录服务。该服务存储所有网络资源的信息,如计算机、共享文件夹、用户等等。它还通过标准的Internet协议(轻量目录访问协议,LDAP)将此类信息提供给用户和应用程序。有关ActiveDirectory的详细信息,请参阅Technet文章设置ActiveDirectory域。
与MicrosoftWindowsNT®40中的域控制器相比,ActiveDirectory与DNS的关系更加密切。实际上,DNS是支持ActiveDirectory所必需的。通常,安装ActiveDirectory服务器时,如果网络上找不到DNS服务器,就会在安装过程中安装DNS服务器。
支持域控制器的定位器服务
Windows2000中最重要的新概念之一就是:计算机不再主要用网络基本输入/输出系统(NetBIOS)名称来标识,而是使用DNS完全合格的域名称(FQDN)来标识,如“server1duwamishonlinecom”。
因此,要登录并访问WindowsNT域中的资源,Windows2000计算机必须查找DNS服务器,后者帮助定位ActiveDirectory域控制器。换句话说,DNS用作域控制器的定位器服务。
与ActiveDirectory集成
Windows2000DNS服务器的另一个重要功能是:DNS区域可以集成到ActiveDirectory中,以提供增强的容错和安全功能。每个与ActiveDirectory集成的区域将自动复制到ActiveDirectory域的所有域控制器中。
不过,仍可以将Windows2000DNS服务器配置为基于传统文件的DNS服务器。但是,要提供DNS服务容错功能,除主DNS服务器外,还必须手动安装辅DNS服务器。
配置DuwamishOnline的DNS服务
DuwamishOnline要求使用外部和内部域名称解析。
在外部,DNS服务将“wwwDuwamishOnlinecom”解析为Web服务器的IP地址。DuwamishOnline应用程序使用内部名称解析来解析服务器的名称。要从COM+列队组件(QC)访问消息队列(MSMQ)公共队列,必须使用ActiveDirectory,而后者又要求使用DNS。有关MSMQ和网络体系结构的详细信息,请参阅DuwamishOnlineMessageQueuingConfiguration上的文章。
在Windows2000中安装DNS服务相对比较简单。但是,外部和内部DNS信息的安全要求是不同的。在本节中,我们将讨论这些安全问题和可能的解决方案。我们将讨论(消息队列配置使用的)ActiveDirectory服务与DuwamishOnlineWeb群中DNS之间的关系。还要告诉您如何注册域名,如何安装带有Windows2000的DNS服务器。
公用和专用DNS信息的安全问题
最初,我们安装了两台DNS服务器:一台主DNS服务器和一台用于冗余的辅DNS服务器。在这些DNS服务器中设置了两个区域:一个用于外部Internet域“DuwamishOnlinecom”,另一个用于内部域“InternalDomaincom”。
如前所述,安装用于内部域的DNS服务器是Windows2000ActiveDirectory域的新要求。使用该原始配置,将DNS服务器同时设置为内部域和外部域的“多主”,例如,外部网络接口卡(NIC)的IP地址为1921681001,内部NIC的IP地址为1010101。
允许Internet用户向服务器查询外部区域。但是,因为同一DNS服务器同时管理外部和内部区域,所以外部用户也可以向服务器查询内部区域。Internet用户可以使用基本网络工具(如名称服务搜索,NSLookup)访问所有内部域DNS信息。
理论上,无法将任何网络数据包路由到内部域,直接攻击内部服务器。但是,向外界泄露的内部信息越少,操作的安全性越高。这可防止他人利用后端服务器(此处存储重要业务信息)的潜在漏洞,进一步窃取机密信息。
DNS部署的解决方案
下面列出了一些解决原始配置安全问题的方案:�
两个域/区域使用各自的DNS服务器。
由Internet服务提供商(ISP)托管外部DNS。
将两个区域放在一台服务器中,并用正确的访问控制配置ActiveDirectory。
使用各自的DNS服务器
解决安全问题的一种方法是使用两台单独的DNS服务器将两个区域的DNS操作分开,一个放在公共网段,另一个仅用于内部DNS查询。
但是,对于小型Web操作,并不希望再多管理一台服务器。实际上,根据一般建议所述,每个区域至少配置两台权威名称服务器,那么我们需要安装四台DNS服务器为两个域(带有主DNS服务器和辅DNS服务器)提供足够的容错功能。这样,如果其中一台服务器出现故障,站点仍可正常工作。
在较大的Web群中,这可能是首选设置,因为它可以绝对控制整个操作环境,并将对第三方系统的依赖性降到最低。
由ISP托管外部DNS
另一个常用的方法是由Internet服务提供商维护外部域,而我们自己继续管理内部域的DNS服务器。对于此类配置,DNS服务器仅连接到内部网络,不能通过Internet访问它。
这可能是隔离两个域并最大限度降低管理其它DNS服务器额外开销的最简单方法。同时,ISP为其DNS服务器提供了更好的网络和系统冗余。然后,我们可以在内部网络上安装辅DNS服务器,为内部名称搜索提供容错功能。
配置ActiveDirectory访问控制
可以将两个区域放在一个服务器中,并将该区域与ActiveDirectory安全功能集成起来。通过正确控制对ActiveDirectory中DNS文件的访问,可将内部DNS查询仅限于经过身份验证的用户。
但是,我们还没有验证该解决方案。由于该方案非常复杂,所以必须进行大量的试验,确保设置正确并且没有误将内部信息输出到Internet。
注册域名
要避免与其它组织的名称空间冲突,外部域的指定名称“DuwamishOnlinecom”必须由相应的域名颁发机构(称为“注册机构”)注册。
对于整个域名空间,过去只有一个注册机构。但是,随着美国政府对整个Internet基础结构的不断私有化和全球化,现在出现了许多注册机构。
在Internet名称和号码分配社团(ICANN)的Web站点(http://wwwicannorg/)上,可以找到世界各地的可信注册机构的列表,该社团是由美国政府唯一缔约的非赢利组织,监督IP地址的分配和DNS基础结构的管理。
尽管不同注册机构的注册过程有所差异,但是,它们大致还是相同的。您可以先登录到其中的某个Web站点,搜索想要使用的域名,看看是否已经存在。如果此域名还未使用,就会要求您提供合同和记帐信息。另外,您需要提供两个IP地址和FQDN,用于主DNS服务器和辅DNS服务器。
如果您的ISP正在管理Internet域的DNS服务器,请在开始注册过程之前,先向他们询问此类信息。事实上,现在大多数提供商除了给您的域提供DNS服务外,还替您提交注册请求。
因为内部域的DNS服务器安装是由ActiveDirectory安装向导自动完成的,所以本文不再讨论这个简单的过程。详细信息,请参阅文章设置ActiveDirectory域。
外部域的DNS服务器配置
如果选择为外部域管理一组单独的DNS服务器,则可通过以下步骤获得一组基本外部DNS服务器配置。
在Windows2000中安装DNS
在Windows2000Server、AdvancedServer和DatacenterServer中,DNS是作为操作系统软件的一部分提供的。但是,它并不是默认安装的一部分,必须在安装DNS服务器之前进行安装。
要安装DNS
从开始菜单,指向设置\控制面板。双击添加/删除程序,单击添加/删除Windows组件,然后单击组件按钮。
在“Windows组件向导”中,选择网络服务,然后单击详细信息。选择域名系统组件,并单击确定。
安装主DNS服务器
主DNS服务器包含外部区域DuwamishOnlinecom的资源记录。辅DNS服务器用作该服务器的备份服务器。
要安装主DNS服务器
从开始菜单,指向程序\管理工具。单击DNS启用DNS控制台程序。
在左侧窗格中,选择正在配置的服务器。
如果还没有配置DNS服务器,请从操作菜单单击配置服务器,启动“配置DNS向导”。此向导将引导您完成“正向搜索区域”和“反向搜索区域”的设置。
注意如果已经给其它区域配置了该DNS服务器,则无法从菜单上使用该选项。需要分别右键单击“正向搜索区域”和“反向搜索区域”文件夹,指向新建区域,启动“新建区域向导”。设置过程与下面的步骤类似。
按照向导的指示设置正向搜索区域。“正向搜索区域”是将域名转换成IP地址的资源记录集。无疑,这是DNS服务器最重要的数据文件。
在新建区域向导对话框中,单击选项按钮将区域类型指定为标准主要区域,后者以传统文本文件格式存储区域数据。
注意如果网络上使用ActiveDirectory服务器,您可以选择ActiveDirectory集成的区域选项按钮。该选项允许将区域数据存储在ActiveDirectory数据库中,并自动复制到其它ActiveDirectory服务器中。
输入完全合格的域名称(本例中为“DuwamishOnlinecom”)。
接受新区域文件的默认文件名。
如果需要,请创建一个反向搜索区域。“反向搜索区域”是将IP地址转换回相应域名的资源记录集。许多Internet服务经常需要使用此信息进行安全验证。
要设置“反向搜索区域”的名称,系统将要求您输入外部网络的网络ID。例如,如果DNS服务器位于一个完全C类网络中,则输入该服务器IP地址的前三段。不过,您应该从ISP那里获得此类信息。(有关IP地址类别的详细信息,请参阅http://msdnmicrosoftcom/library/wcedoc/wcecomm/tcpip_11htm。)
将区域名用作“反向搜索区域”的数据文件名。
此时,您已完成了主DNS服务器的安装,并已准备好配置该区域的其它资源记录。
配置主DNS服务器
在Windows2000DNS服务器中有很多有用的功能。下面讲述了为DuwamishOnlinecom这样的Web群配置主DNS服务器的最小需求。假定您已如上所述成功创建了一个新的正向和反向搜索区域。
要修改SOA和名称服务器记录
从DNS控制台左侧窗格中,展开选定计算机名称下面的树状结构。指向正向搜索区域文件夹中的FQDN(本例中,FQDN就是“duwamishonlinecom”);右键单击并选择属性。
在属性对话框中,单击起始授权机构(SOA)选项卡。
根据需要修改主服务器字段。该字段应包含主DNS服务器的FQDN。
根据需要修改负责人字段。该字段应包含DNS管理员的电子邮件地址。但是按照DNS标准,应该用“”来替代“@”。例如,如果管理员的电子邮件地址是“admin@duwamishonlinecom”,则该字段应包含“adminduwamishonlinecom”。
单击名称服务器选项卡。
如果已修改了SOA选项卡上的主服务器字段,则修改第一个服务器项。
添加第二项,指定辅DNS服务器的FQDN和IP地址。
单击区域复制选项卡。单击选项按钮,以便允许对只有在“名称服务器”选项卡中列出的服务器进行区域复制。单击确定。
将看到一个带有辅DNS服务器信息的新“名称服务器”记录。
注意您可以按下F5键刷新屏幕并查看所作的修改。
要创建新的主机地址记录
从DNS控制台左侧窗格中,展开选定计算机名称下面的树状结构。指向正向搜索区域文件夹中的FQDN(本例中,FQDN就是“duwamishonlinecom”);右键单击并选择新建主机。
在名称字段中,输入Web服务器的主机名,例如,本例中为“www”。
在IP地址字段中,输入Web服务器的IP地址。
选择该复选框以创建相关的指针(PTR)记录。这样,在“反向搜索区域”中就会自动创建相应主机的新指针记录。
单击添加主机按钮,然后单击完成以应用更改。
就会在“正向搜索区域”中看见一个新的资源记录。
注意您可以按下F5键刷新屏幕并查看所作的修改。
安装辅DNS服务器
安装辅DNS服务器与安装主服务器一样容易。
注意,不能将辅DNS服务器与主DNS服务器安装在同一台计算机上。这样,将导致DNS服务没有冗余。
安装辅DNS服务器
请执行“安装DNS”一节中的第1步和第2步。
然后,完成与安装主DNS服务器相同的步骤,此时将区域类型指定为标准辅助区域。并要求您将主DNS服务器的IP地址添加到主DNS服务器列表中。
在今天的网络环境里,设计DNS (Domain Name System)架构时不再只是简单地考虑满足DNS查询量的要求了。企业需要一个集成的高度安全的DNS架构,安全已成为DNS架构设计中的基本要求。
DNS在今天的企业里不仅仅是一项IT技术,更成为企业核心业务的组成部分。DNS系统将网络域名转换为计算机之间可以沟通的IP地址。如果离开了DNS,物联网之间的沟通将不可能实现,企业基于互联网的业务基本瘫痪。
有几种办法来分类DNS服务器,本文相关的是主DNS服务器和从DNS服务器。主DNS服务器可以被定义为拥有最原始DNS区记录的服务器,而从DNS服务器可以接受从主DNS服务器的DNS区拷贝。有多种原因需要使用从DNS服务器,比如性能或隐藏主服务器等。
你的客户需要使用你的DNS系统访问你的网站。如果没有一个好的DNS架构,你的企业将从互联网上消失。电商公司将无法销售它们的产品和服务。即使是一个经营砖和水泥的普通公司依然需要DNS服务器来推销他们的产品。简而言之,没有了DNS协议就没有了互联网。
当一个企业的产品和服务需求增长时,DNS服务器的负载也会加重。当一个企业的DNS服务器不管是因为合法流量的增长还是遭到DDoS攻击导致的流量增加,当性能达到DNS服务器的极限时,企业首先想到的是增加DNS服务的QPS能力(即每秒查询速度)。
解决这个性能问题的一个办法是为主DNS服务器增加一个更快的从DNS服务器。如果这两台服务器是通过集成方法使用相同的数据库和交互界面,就会工作得更加有效。但如果用两台完全分立的服务器,在备份,回复,报表和管理等基本功能上会导致互操作不一致的问题。为了保护投资,主从DNS服务器有一个统一的交互界面是一个很重要的考虑因素。
解决这个性能问题的另一个办法是在一台均衡负载器后面部署多台DNS服务器。如果所有的服务器都有统一的管理和配置策略,这个方法也会让DNS服务器工作得更好。
当设计一个DNS架构时,不仅仅是根据当前的需求量来设计,更要考虑未来的业务增长。另外重要的一点是,要考虑DNS易受攻击的特性所带来的安全威胁。我们下面将讨论这一点。
现在每天都会发生大量的DNS攻击且增长趋势明显。传统的DNS服务器有多个可以被利用的攻击界面和外部端口,比如80端口和25端口。黑客可以利用这些端口进入到操作系统攻击你的服务器。如果你的DNS服务器不支持分层设计的安全特权,任何用户都有可能获得进入到操作系统级别的账号特权,导致配置更改从而让你的服务器受到攻击。另外传统DNS服务器需要花费大量时间用在人工操作的流程上。
另外一个需要考虑的是保护DNS服务器免受外部攻击。企业的授权DNS服务器是可以从互联网上访问到达的,这就使得这些服务器容易受到外部攻击,比如:DNS洪水和放大,DNS劫持,DNS漏洞等。这些攻击会导致你的DNS服务器停止响应或危害到DNS服务的完整性。同样重要的是,要防止这些已经受到攻击的服务器把自身作为攻击工具去攻击其他的DNS服务器(DNS反射攻击)。DNS反射攻击可以破坏你公司的声誉,影响公司长远财务营收。
尽管你的授权DNS服务器是放在防火墙的后面,但这些针对DNS的攻击是不能被传统防火墙消除的。防火墙在保护应用层免受攻击方面是有先天缺陷的。即使是号称新一代防火墙(NextGen Firewall)也几乎没有覆盖到DNS协议的安全。这些防火墙方案通常是将安全策略扩展覆盖到大量协议上,但却牺牲了覆盖的深度和幅度。
负载均衡器提供了基本的功能来防范DNS Floods。但是黑客有一整套基于DNS的攻击手段攻击你的外部授权服务器,这是负载均衡器无法解决的。举个例子,负载均衡器无法识别恶意的DNS查询,当遇到DDoS攻击时,负载均衡器只能通过使用IP Anycast将负载扩展到多个设备上。仅仅增加负载均衡器已经被证明是低效和高成本的应对DNS攻击的手段。
无论你采用何种防护技术,最重要的是你需要领先攻击者一步。让你的DNS安全防护系统持保持最新的防护状态,跟上威胁的持续进化和攻击形式的不断改变。同样重要的是这些防护策略的更新必须是自动完成,无需手工干预。
通过DNS发生的数据泄露事故也在以令人震惊的速度发生着,现在每天新的恶意软件样本有超过十万种被归类。按照Cisco2014年的安全报告,100%的商业网络里都有恶意软件流向各个网站。
投资在下一代防火墙和入侵检测系统上,看起来可以阻止一些恶意软件和高级持续攻击进入到网络里,但事实并非如此。现在越来越流行将自己的个人设备(BYOD)带入到公司网络中,这让IT环境更加复杂,同时也新的通道让恶意软件进入网络并潜伏下来。
由于恶意软件的增长变得更加复杂和传统防护方法的失灵,导致在一个大型网络中发现恶意软件行为变得几乎不可能。Fast flux, Proxy C&C networks, anonymous TOR和其他的一些高级技术可以轻易地绕开防护的边界。在内部的网络里,一旦恶意软件利用DNS和外部的僵尸网络和命令控制服务器进行通讯,可能会导致企业的敏感数据泄露。
希望对你有帮助,祝你好运!
在大多数情况下,ISP 的域名服务器使用的 IP 地址是由 ISP 通过 DHCP 自动设置的。要使用 360 公共DNS,您需要在操作系统或设备中更改 DNS 设置。更改 DNS 设置的过程因操作系统和版本(Windows、Mac、Linux 或 Android 等)或设备(电脑、手机或路由器等)而异。
360公共DNS服务的IP为:中国电信/铁通/移动:10122646,218301186, 中国联通:123125816,1402071986。常见设置方法如下:
一、DNS的含义
DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。
DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对DNS的动态更新进行说明,RFC 2308对DNS查询的反向缓存进行说明
二、设置步骤
1、右击桌面网上邻居→选择“属性”,在网卡对应的“本地连接”选择“属性”,“常规”,“Internet协议(TCP/IP)”,查看其“属性”
若路由器为默认设置,那么主机网络参数设置为:
IP:1921681x(2-254)
掩码:2552552550
网关:19216811
DNS:填写当地DNS地址,如不清楚,请咨询当地服务提供商。(也可将IP地址设置为自动获取,DNS建议手动指定)
2、Vista IP地址参数设置:右击桌面网上邻居,选择“属性”,在网络管理侧边栏选择“管理网络连接”在网卡对应的“本地连接”选择“属性”,“常规”,“Internet协议版本4(TCP/IP)”,查看其“属性”。若路由器为默认设置,那么主机网络参数设置为:
IP:1921681x(2-254)
掩码:2552552550
网关:19216811
DNS:填写当地DNS地址,如不清楚,请咨询当地服务提供商。
三、设置路径
右击桌面网上邻居→选择“属性”→在网卡对应的“本地连接”选择“属性”,“常规”,“Internet协议(TCP/IP)”,“属性”
扩展资料:
DNS功能:
每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。有了主机名,就不要死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。这就是DNS协议的功能。
主机名到IP地址的映射有两种方式:
1)静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;
2)动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。 [1]
通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
参考资料:
-DNS
1如何关闭Windows 2000下的445端口?
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System/Controlset/Services/NetBT/Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。
2如何使用IPSec保护我的网络通信?
IPSec 术语
在执行以下指导步骤之前,确保您知道以下术语的含义:
身份验证:确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证:Kerberos、证书和预共享密钥。只有当两个终结点(计算机)都位于同一个 Windows 2000 域时,Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中,或者至少有一台计算机不在某个域中,则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时,证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中,并且无法获得证书,则预共享密钥是唯一的身份验证选择。
加密:使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法,每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥,而且如果任何密钥交换序列被拦截,拦截者不会得到任何有价值的内容。
筛选器:对 Internet 协议 (IP) 地址和协议的描述,可触发 IPSec 安全关联的建立。
筛选器操作:安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。
筛选器列表:筛选器的集合。
Internet 协议安全策略:规则集合,描述计算机之间的通讯是如何得到保护的。
规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。
安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。
在 Microsoft 管理控制台中查找 IPSec
通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec,请单击开始,指向程序,单击管理工具,然后单击本地安全策略。在打开的 MMC 中的左窗格中,单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。
更改 IP 地址、计算机名和用户名
为了此示例的目的,假设 Alice 是一个计算机用户,该计算机名为"Alicepc"、IP 地址为 1721698231,Bob 的计算机名为"Bobslap",IP 地址为 1723167244。他们使用 Abczz 程序连接他们的计算机。
通过使用 Abczz 程序互相连接时,Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时,启动程序使用其本身上的随机高端口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中,TCP 是"传输控制协议"的缩写)。通常,这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接,所以该策略必须存在于两端。
创建筛选器列表
通过在 MMC 控制台中右键单击 IP 安全策略,可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置,但却不应从此位置开始。在可创建策略及其相关规则之前,您需要定义筛选器列表和筛选器操作,它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。
将显示带有两个选项卡的对话框:一个用于筛选器列表,另一个用于筛选器操作。首先,打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表,您不会使用它们。相反,您可以创建一个特定的筛选器列表,使其与要连接到的其他计算机对应。
假设您在 Alice 的计算机上创建策略:
单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。
单击添加添加新筛选器。将启动一个向导。
单击我的 IP 地址作为源地址。
单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (1723167244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。
Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。
对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单击完成完成该向导。
重复上述步骤,但这次键入:6668作为端口号,然后单击关闭。
您的筛选器列表中包含两个筛选器:一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯,另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口:一个端口用于传出的通讯,另一个用于传入的通讯。)这些筛选器是镜像的,每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器,该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器,IPSec 通讯通常不成功。
创建筛选器操作
您已经定义了必须受到保护的通信的种类。现在,您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作,您必须创建一个更严格的新操作。
若要创建新操作,请:
单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。
对于常规选项,单击协商安全,然后单击不和不支持 IPsec 的计算机通讯。
单击 IP 通信安全性为高选项,然后单击完成以关闭该向导。
双击新的筛选器操作(前面命名的"Encrypt Abczz")。
单击清除接受不安全的通讯,但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。
单击会话密钥完全向前保密以确保不重新使用密钥资料,单击确定,然后单击关闭。
创建 IPSec 策略
您已经获得了策略元素。现在,您可以创建策略本身了。右键单击 MMC 的右窗格,然后单击创建 IP 安全策略。当向导启动时:
将该策略命名为"Alice's IPSec"。
单击清除激活默认响应规则复选框。
单击编辑属性(如果未选中的话),然后完成该向导。该策略的属性对话框将打开。
为使 IPSec 策略有效,它必须至少包含一个将筛选器列表链接到筛选器操作的规则。
若要在属性对话框中指定规则,请:
单击添加以创建新规则。启动向导后,单击此规则不指定隧道。
单击局域网 (LAN) 作为网络类型。
如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中,单击 Windows 2000 默认值(Kerberos V5 协议)作为身份验证方法。如果不在一个域中,则单击使用此字串来保护密钥交换(预共享密钥),然后输入字符串(使用您可记住的长字符串,不要有任何键入错误)。
选择前面创建的筛选器列表。在此示例中,该筛选器列表为"Abczz to Bob's PC"。然后,选择前面创建的筛选器操作。在此示例中,该筛选器操作为"Encrypt Abczz"。
完成该向导,然后单击关闭。
配置其他终结点
在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更改,例如,"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。
指派策略
您已经在两个端点上定义了策略。现在,必须指派它们:
在本地安全设置 MMC 中,右键单击策略(在此示例中为 Abczz )。
单击指派。
一次只能指派一个 IPSec 策略,但是一个策略可根据需要拥有多个规则。例如,如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯,则您必须创建相应的筛选器列表和操作,并向 IPSec (属于 Alice)添加一个规则,以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则:一个用于与 Bob 进行 Abczz 通讯,另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯,所以 Bob 的策略中未添加任何规则,Eve 的策略中包含一个用于与 Alice 进行通讯的规则。
疑难解答
使用 IPSecMon 测试策略
Windows 2000 包括一个实用程序 (IPSecMonexe),它可用于测试 IPSec 安全关联是否已成功建立。若要启动 IPSecMon,请:
单击开始,然后单击运行。
键入:ipsecmon,然后按 ENTER 键。
单击选项。
将刷新间隔更改为 1。
必须在不同终结点之间建立通讯。可能会有一个延迟,这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联,可在 IPSecMon 中观察到显示此行为的条目。
如果期望的安全协商没有建立,则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时,确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样,可向使用此筛选器列表的策略添加一个新规则,然后禁用现有的规则。在两个终结点上执行这些步骤。然后,可使用 ping 命令测试连接性。ping 命令在安全关联阶段可显示"Negotiating IP security"(正在协商 IP 安全),然后显示建立安全关联之后的正常结果。
NAT 与 IPSec 不兼容
如果在两个终结点之间有任何网络地址转换 (NAT),则 IPSec 不起作用。IPSec 将终结点地址作为有效负载的一部分嵌入。在将数据包发送到电缆上之前进行数据包校验和计算时,IPSec 也使用源地址。NAT 可更改出站数据包的源地址,目标在计算自己的校验和时使用头中的地址。如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符,则目标可丢弃这些数据包。不能将 IPSec 用于任何类型的 NAT 设备。
参考
有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息,请参阅以下 Microsoft Web 站点:
http://wwwmicrosoftcom/windows2000/technologies/security/defaultasp
3如何更改Terminal Server的端口
该修改需要在服务器端和客户端同时修改,如果不知道该服务器的端口号,客户端将无法连接服务器。
服务器端的修改:
Key: HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重启后生效。
然后我们修改客户端,打开Terminal Server Client的客户端管理器,导出连接文件(后缀名为cns),用记事本打开该cns文件,搜索"Server Port",修改该值,与服务器保持一致即可(注意进制的转换)。最后导入该cns文件至Terminal Server的客户端管理器。
4如何禁止Guest访问事件日志?
在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,建议修改注册表来禁止Guest访问事件日志。
应用日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系统日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5如何删除管理共享(C$,D$)?
我们可以用Net Share命令来删除,但是机器重启后这个共享会自动出现,这时,我们可以修改注册表。
对于服务器而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareServer
Type: DWORD
value: 0
对于工作站而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注册表后需要重启Server服务或重新启动机器。
注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。
6如何禁止恶意用户使用FileSystemObject?
常见的有3种方法:
1、修改注册表,将FileSystemObject改成一个任意的名字,只有知道该名字的用户才可以创建该对象,
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228}/ProgID]
@="ScriptingFileSystemObject"
2、运行Regsvr32 scrrundll /u,所有用户无法创建FileSystemObject。
3、运行cacls %systemroot%/system32/scrrundll /d guests,匿名用户(包括IUSR_Machinename用户)无法使用FileSystemObject,我们可以对ASP文件或者脚本文件设置NTFS权限,通过验证的非Guests组用户可以使用FileSystemObject。
7如何禁止显示上次登陆的用户名?
我们可以通过修改注册表来实现:
Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8如何禁止匿名用户连接你的IPC$共享?
我们可以通过修改注册表来实现
Key:HKLM/SYSTEM/CurrentControlSet/Control/Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
说明:把该值设为1时,匿名用户无法列举主机用户列表;
把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
0条评论