当前位置:首页 > 生活维修 > 正文

从安全的角度看待DNS

以前对DNS(DomainNameSystem)认识就大概的知道是一个提供域名解析服务,作为互联网的基础设施,任何一个IT人员都会或多或少都接触到DNS,随着我最近的接触不断提高,我发现DNS还是有很多细节技术需要认识和把握的,本文以一个中型互联网企业搭建域DNS服务器架构为基础,从安全的角度看待D...

以前对DNS(DomainNameSystem)认识就大概的知道是一个提供域名解析服务,作为互联网的基础设施,任何一个IT人员都会或多或少都接触到DNS,随着我最近的接触不断提高,我发现DNS还是有很......

以前对DNS(DomainNameSystem)认识就大概的知道是一个提供域名解析服务,作为互联网的基础设施,任何一个IT人员都会或多或少都接触到DNS,随着我最近的接触不断提高,我发现DNS还是有很多细节技术需要认识和把握的,本文以一个中型互联网企业搭建域DNS服务器架构为基础,从安全的角度看待DNS进行描述,都是一些经验之谈,希望读者能有所收获。

DNS协议

DNS通过开放53端口,通过该端口来监听请求并提供响应的服务,DNS监听TCP和UDP都是53端口。如果攻击人员在扫描主机端口的时候发现一台主机开放了53端口,那么就可以判断这是一台DNS服务器,并且对外了。对外开放53端口,也就意味着运行外部对这台DNS服务器进行安全扫描,如何进行安全扫描,DNS会有哪些安全问题,后面会说。

出于性能的考虑,DNS查询请求用UDP协议交互并且每个请求的大小小于512字节,但是如果返回的请求大小大于512字节,交互双方会协商使用TCP协议。

DNS查询

说完DNS的端口,那就接着说DNS的服务,DNS提供出来的就是域名解析服务(将域名转换为IP地址的过程),这个服务是怎么实现域名解析服务的?我说一下大概查询过程(如下两张图)



假设你想访问这个网站,那么就如走这个流程

先问客户端(本地主机)DNS服务器

再问局部(局域网)DNS域服务器

再去问根域名

最后问顶级域名服务器

如果使用类linux系统,可以使用dig命令来显示整个分级查询的过程,

Copy➜~dig+;+;;globaloptions:+cmd53(10.249.150.1)in1ms53()in65ms53()in177ms查询到有一条A记录,通过这个IP(119.23.141.248)地址就可以访问到这个网站;;#53()in31ms

而具体实现这个查询过程的技术有

递归查询

迭代查询

反向查询

这里的每种查询技术都不简单,迭代、递归查询也是实现DNS服务的核心,但不是我这篇文章想讲述的重点,所以忽略。想了解细节的可以自己查询一下网络资料,反向查询有挺多安全知识的,我就单独写成一篇文章了:

查询的技术细节可以不用关心,但是常见的DNS记录类型还是要关心的:

CopyA:地址记录(Address),返回域名指向的IP地址。AAAA:A记录处理IPV4,AAAA处理IPV6。SOA:起始授权机构记录,SOA备注说明了众多NS(nameserver)记录中谁是主名称服务器,不参与功能,但是不能缺少。NS:域名服务器记录(NameServer),返回保存下一级域名信息的服务器地址。该记录只能设置为域名,不能设置为IP地址。MX:邮件记录(MaileXchange),返回接收电子邮件的服务器地址。CNAME:规范名称记录(CanonicalName),返回另一个域名,即当前查询的域名是另一个域名的跳转(类似302跳转)。PTR:逆向查询记录(PointerRecord),只用于从IP地址查询域名。

答应我!下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。答应我!下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。答应我!下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。

从安全的角度上看,为了保证服务的安全可靠,至少应该有两条NS记录,而A记录和MX记录也可以有多条,这样就提供了服务的冗余性,防止出现单点失败。

域维护

因为DNS服务就是一个类似分布式的服务,分布式就是分散的,如何保证各个分散的机器能及时的同步消息呢?在主域名服务器和从域名服务器之间维护同一个zone文件。可以简单的理解为,DNS设定一个协议来在主域名服务器和从域名服务器之间维护同一个zone文件。主要有以下两种同步的手段有:

全量传输AXFR(fullzonetransfer)
就是设定一个固定时间(比如2分钟一次),就同步一次zone文件

增量传输IXFR(incrementalzonetransfer)
传递非常大的zone文件是非常耗资源的(时间、带宽等),尤其是只有zone中的一个记录改变的时候,没有必要传递整个zone文件,增量传输是允许主域名服务器和从域名服务器之间只传输那些改变的记录。

ZONE文件是DNS上保存域名配置的文件,一个域名对应一个ZONE文件。

如果你的企业局域网只有一台DNS服务器,那么就不需要AXFR、IXFR


如果你的企业局域网有多台DNS服务器,那么就需要AXFR、IXFR


做DNS监控,就会用到ES技术,通过记录,你会发现你记录的DNS服务器clientIp为127.0.0.1,并且在固定周期就会传输AXFR类型的Domain。


DNS安全

DNS本身的DNS服务漏洞、区域转发配置错误、找真实IP绕过WAF等,都是常见的DNS安全,今天就到这把,后续有精力在写了..


微信公众号:Mysticbinary
Github:

本文由admin于2024-11-28发表在生活维修通,如有疑问,请联系我们。
本文链接:https://wexi.porsven.com/324800238248.html

上一篇:空调如何保持干燥 空调保持干燥的方法及注意事项 空调如何保持干燥 空调保持干燥的方法及注意事项

下一篇:手把手教你压缩机检查与维修方法 手把手教你压缩机检查与维修方法

相关文章

最新文章