企业开源 DNS 服务应用概述
在 Internet 上域名与 IP 地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识 IP 地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS 就是进行域名解析的服务器。DNS 是域名系统 Domain Name System 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,用户在上网时输入的网址,是通过域名解析系解析找到相对应的 IP 地址,这样才能上网。其实,域名的最终指向是 IP。
DNS 是一个分层级的分散式名称对应系统,看起来有点像电脑的目录树结构。在最顶端的是一个“.”(root),然后其下分为好几个基本类别名称,如 com、org、edu 等。再下面是组织名称,如 sun、yale 等。继而是主机名称,如 eng、cs、ntu 等。如图 1 所示的 DNS 域名空间的分层结构:
值得一提的是,因为当初 Internet 是从美国发起的,所以当时并没有国域名称。但随着后来 Internet 的蓬勃发展,DNS 也加进了诸如 cn、jp、au 等国域名称。所以一个完整的 DNS 名称就好像是这样的 www.xyz.com.cn 而整个名称对应的就是一个 IP 地址了。在开始的时候 root 下面只有六个组织类别:
- edu:教育学术单位
- org:组织机构
- net:网路通讯单位
- com:公司企业
- gov:政府机关
- mil:军事单位
不过自从组织类别名称开放以後各种各样五花八门的名称也相继出现,但无论如何取名的规则最好量适合网站性质。除了原来的类别资料由美国的 NIC(Network Information Center)管理之外,其它在国域以下的类别分别由该国的 NIC 管理。
DNS 系统基于客户机 / 服务器模式,从概念上说它主要由三个部分组成:
(1)域名空间:域名空间中的记录标识一组主机并提供它们的有关信息。域中的每一个节点都有它的有关信息的数据库。查询命令试图从这个数据库中提取适当的信息。简单地说,域名空间是所有不同类型信息的列表,这些信息是域名、IP 地址、邮件别名和那些在 DNS 系统中能查到的内容。
(2)域名服务器:保持并维护域名空间中的数据的程序。每个域名服务器含有一个域名空间子集的完整信息,并保存其它有关部分的信息。一个域名服务器拥有它控制范围的完整信息。控制的信息按区进行划分,区可以分布在不同的域名服务器上,以便为每个区提供服务。每个域名服务器都知道所有负责其他区的域名服务器。如果来了一个请求,它请求给定域名服务器负责的那个区的信息,那么这个域名服务器只是简单地返回信息。但是,如果请求是不同区的信息,那么这个域名服务器就要与控制该区的相应服务器联系。
(3)解析器:解析器是简单的程序或子程序库,它从服务器中提取信息以响应对域名空间内主机的查询。
DNS 是一个很复杂的概念,下表列出了常用的 DNS 术语:
- 域:代表网络一部分的逻辑实体或组织。
- 域名:主机名的一部分,它代表包含这个主机的域。它可以和域交换使用。
- 主机:网络上的一台计算机。
- 节点:网络上的一台计算机。
- 域名服务器:提供 DNS 服务的计算机,它将 DNS 名字转化为 IP 地址。
- 解析:把一个域名转化为与其相应的 IP 地址的过程。
- 解析器:从域名服务器中提取 DNS 信息的程序或库子程序。
- 反向解析:将给出的 IP 地址转化为其相应的 DNS 名字。
- 欺骗:使网络看上去好象具有不同的 IP 地址或域名的行为。
DNS 域名服务器是用来存储主机 – 域名映射信息的,这些服务器具体又可以分为 3 类:
(1)主 DNS 服务器(primary name server):它是特定域所有信息的权威性信息源。它从域管理员构造的本地磁盘文件中加载域信息,该文件(区文件)包含着该服务器具有管理权的一部分域结构的最精确信息。主服务器是一种权威性服务器,因为它以绝对的权威去回答对其管辖域的任何查询。
(2)辅助 DNS 服务器(secondary name server):它可从主服务器中复制一整套域信息。区文件是从主服务器中复制出来的,并作为本地磁盘文件存储在辅助服务器中。这种复制称为“区文件复制”。在辅助域名服务器中有一个所有域信息的完整拷贝,可以有权威地回答对该域的查询。因此,辅助域名服务器也称作权威性服务器。配置辅助域名服务器不需要生成本地区文件,因为可以从主服务器中下载该区文件。
(3)高速缓存服务器(caching-only server):可运行域名服务器软件,但是没有域名数据库软件。它从某个远程服务器取得每次域名服务器查询的结果,一旦取得一个,就将它放在高速缓存中,以后查询相同的信息时就用它予以回答。高速缓存服务器不是权威性服务器,因为它提供的所有信息都是间接信息。对于高速缓存服务器只需要配置一个高速缓存文件,但最常见的配置还包括一个回送文件,这或许是最常见的域名服务器配置。
DNS 基于 C/S(Client/Server,客户机 / 服务器)模式,因而分为 Client 和 Server 两种角色。Client 扮演询问的角色,也就是向 Server 询问一个 Domain Name,而 Server 必须要回答此 Domain Name 所对应的真正 IP 地址。而当地的 DNS 先会查自己的资料库。如果自己的资料库没有,则会往该 DNS 上所设的其他 DNS 进行求助询问,依此得到答案之后,将收到的答案存起来,并回答客户。
DNS 服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个高速缓存区(Cache),这个 高速缓存区的主要目的是将该名称服务器所查询出来的名称及相对的 IP 地址记录在高速缓存区中,这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该名称记录资料,传回给客户端,以加速客户端对名称查询的速度。
举个例子,当 DNS 客户端向指定的 DNS 服务器查询网 Internet 上的某一台主机名称时,DNS 服务器会先在自己的高速缓存区中查询有无该条纪录,如果找到该条名称记录后,会从 DNS 服务器直接将所对应到的 IP 地址传回给客户端;如果查不到,则再次在本地资料库中找寻用户所指定的名称;如果 DNS 服务器在高速缓存区中和本地资料记录都查不到时,服务器才会向别的 DNS 服务器查询所要的名称。例如,本地的 DNS 服务器会向最接近(比如属于同一个 IP 地址段或者同一个 ISP)的 DNS 服务器去要求帮忙找寻该名称的 IP 地址。在另一台服务器上也有相同的动作的查询,当查询到后会回复原本要求查询的服务器,该 DNS 服务器在接收到另一台 DNS 服务器查询的结果后,先将所查询到的主机名称及对应 IP 地址记录到高速缓存区中,最后在将所查询到的结果回复给客户端。这样就成功地完成了一次标准的 DNS 查询 – 应答过程。
开源 DNS 服务构建面临的主要安全威胁分析
DNS 由于受当时条件限制,其系统设计存在很多缺陷:
DNS 面临的网络威胁是指 DNS 在实际的应用和部署中,不法用户或者黑客利用 DNS 协议或者软件设计的漏洞,可以通过网络向 DNS 发起的攻击,主要包括如下几种:
实战一:DNS 服务安全配置
在使用 DNS 服务器之前,需要对与之相关的配置文件进行配置,因而首先需要了解这些基本文件,下面列表给出了几种主要的与 DNS 有关的文件:
在使用 named.conf 进行配置时,需要了解如下常用的配置语句,如表 1 所示。
根据在实际应用中的广泛程度和重要性,下面我们着重对 option 语句和 zone 声明的使用进行介绍。
option 语句的使用语法为:
在上述语法中,其配置子句常用的主要有如下两类:
- directory:该子句后接目录路径,主要用于定义服务器区配置文件的工作目录,如 /home 等,在 Red Hat Enterprise Linux 5 系统中的默认路径为 /var/named;
- forwarders:该子句后接 IP 地址,定义转发器;
区声明是主配置文件中非常常用而且是最重要的部分,它一般要说明域名、服务器类型以及域信息源三个重要部分。它的语法为:
那么,围绕上述三个重要部分,区声明语句有如下两类子句:
- type:其主要有如下三种,master(说明一个区为主域名服务器)、slave(说明一个区为辅助域名服务器)和 hint(说明一个区为启动时初始化高速缓存的域名服务器)。
- file:后接文件路径,主要说明一个区的域信息源的路径。
为了方便读者对 DNS 服务器配置文件的使用有个详细的了解,本节将针对一个实际的配置文件例子来进行讲解。该配置文件如下所示。我们虚构了一个域 feixiang.com 来举例说明主服务器的配置,下面是定义 feixiang.com 域的主服务器的 named.conf 文件:
上例中第一个 master 告诉我们这是 feixiang.com 域的主服务器。该域的数据是从 named.hosts 文件中加载的。在我们这个例子中,我们将文件名 named.hosts 作为区文件名。第三个 master 语句指向能将 IP 地址 198.25.0.0 映射为主机名的文件。它假定本地服务器是反向域 198.25.in-addr.arpa 的主服务器,该域的数据从文件 named.rev 中加载。
除了定义上述的主文件外,还需要定义如下的区文件(/var/named/feixiang.com):
实战二:安全使用 DNS 服务器的高级技巧
辅助服务器可从主服务器中复制一整套域信息。区文件是从主服务器中复制出来的,并作为本地磁盘文件存储在辅助服务器中。这种复制称为“区文件复制”。在辅助域名服务器中有一个所有域信息的完整拷贝,可以有权威地回答对该域的查询。因此,辅助域名服务器也称作权威性服务器。配置辅助域名服务器不需要生成本地区文件,因为可以从主服务器中下载该区文件。
辅助服务器的配置与主服务器的配置不同,它使用 slave 语句代替 master 语句。slave 语句指向用作域信息源的远程服务器,以替代本地磁盘文件。下面的 named.conf 文件可以配置 feixiang.com 域的辅助服务器:
第一个 slave 语句是使这个服务器成为 vbrew.com 的辅助服务器。它告诉 named 从 IP 地址为 25.198.10.3 的服务器中下载 feixiang.com 的信息,并将其数据保存在 /var/named/named.hosts 文件中。如果该文件不存在,named 就创造一个,并从远程服务器中取得区数据,然后将这些数据写入新创建的文件中。如果存在该文件,named 就要检查远程服务器,以了解该远程服务器的数据是否不同于该文件中的数据,如果数据有变化,它就下载更新后的数据,用新数据覆盖该文件的内容;如果数据没有变化,named 就加载磁盘文件的内容,不必做麻烦的区转移工作。将一个数据库拷贝到本地磁盘文件中,就不必每次引导主机时都要转移区文件;只有当数据修改时,才进行这种区文件的转移工作。该配置文件中的下一行表示该本地服务器也是反向域 198.25.in-addr.arpa 的一个辅助服务器,而且该域的数据也从 25.198.10.3 中下载。该反向域的数据存储在 named.rev 中。
高速缓存服务器可运行域名服务器软件,但是没有域名数据库软件。它从某个远程服务器取得每次域名服务器查询的结果,一旦取得一个,就将它放在高速缓存中,以后查询相同的信息时就用它予以回答。高速缓存服务器不是权威性服务器,因为它提供的所有信息都是间接信息。对于高速缓存服务器只需要配置一个高速缓存文件,但最常见的配置还包括一个回送文件,这或许是最常见的域名服务器配置。
配置高速缓存域名服务器是很简单的。必须有 named.conf 和 named.ca 文件,通常也要用到 named.local 文件。下面是用于高速缓存服务器的 named.conf 文件的例子:
directory 这一行告诉 named 到哪里去找寻文件。所有其后命名的文件都将是相对于此目录的。该文件告诉 named 去维持一个域名服务器响应的高速缓存,并利用 named.ca 文件的内容去初始化该高速缓存。该高速缓存初始化文件的名字可以是任何名字,但一般使用 /var/named/named.ca。并不是在该文件中使用一个 hint 语句就能使它成为高速缓存配置,几乎每一种服务器的配置都要用到 cache 语句,而是因为没有 master 和 slave 语句才使它成为一个高速缓存配置。
但是,在我们这个例子中却有一个 master 语句。事实上,几乎在每一个高速缓存的配置文件中都有这一个语句,它将本地服务器定义为它自己的回送域的主服务器,并假定该域的信息存储在 named.local 文件中。这个回送域是一个 in-addr.arpa 域(in-addr.arpa 域用于指定逆向解析,或 IP 地址到 DNS 名字解析),它将地址 127.0.0.1 映射为名字 localhost。转换自己的回送地址对于大多数人都是有意义的,因为大多数的 named.conf 文件都包含这一项。
在大多数高速缓存服务器的配置文件中,这种 directory、master 和 hint 语句是唯一使用的语句,但也可以增加其他的语句,forwarders 和 slave 等语句都可以使用。
DNS 负载均衡技术是在 DNS 服务器中为同一个主机名配置多个 IP 地址,在应答 DNS 查询时,DNS 服务器对每个查询将以 DNS 文件中主机记录的 IP 地址按顺序返回不同的解析结果,将客户端的访问引导到不同的机器上去,使得不同的客户端访问不同的服务器,从而达到负载均衡的目的。
现假设有三台服务器来应对 www.feixiang.com 的请求。在采用 Linux 系统上实现起来比较简单,只需在该域区文件的数据记录中添加类似下面的资源记录即可:
上述六条资源记录的具体含义为:在 DNS 服务器中为 www.feixiang.com 设定了三台服务器响应客户的访问请求。这三台服务器分别为 web_server1、web_server2 和 web_server3,而他们均为 www 服务器的别名。因此,在访问 www 服务器时,DNS 服务器将依次循环地将访问请求均衡到三台服务器中去,以达到负载均衡的目的。
随着原中国的互联网骨干网被一分为二了,北有联通、南有电信。从此,细心的网民可以发现,有些经常访问的网站速度一下子慢了下来,有时候还有访问不到的情况出现。例如北方地区的网络用户访问中国联通的服务器会非常快,而访问中国电信的服务器时,感觉非常慢。这种现象不仅影响了网站的访问量,更严重的是它直接影响了一些经营性网站的经济效益。据分析,产生这个问题的根本原因是中国电信分家之后,电信与联通之间的互连存在问题。虽然信息产业部已经在规划南北互通计划,但在今后相当长的一段时期内,南北方网互连的问题还会长期存在。
智能 DNS 策略解析很好的解决了上面所述的问题。DNS 策略解析最基本的功能是可以智能的判断访问网站的用户,然后根据不同的访问者把网站的域名分别解析成不同的 IP 地址。如访问者是联通用户,DNS 策略解析服务器会把网站域名对应的联通 IP 地址解析给这个访问者。如果用户是电信用户,DNS 策略解析服务器会把网站域名对应的电信 IP 地址解析给这个访问者。
除此之外,智能 DNS 策略解析还可以实现就近访问机制。有些用户在国外和国内都放置了服务器,使用 DNS 策略解析服务可以让国外的网络用户访问国外的服务器,国内的用户访问国内的服务器,从而使国内外的用户都能迅速的访问到网站的服务器。另外,智能 DNS 策略解析还可以给网站的多个主机实现负载均衡,这时来自各地的访问流量会比较平均的分布到服务器的每一个主机上。
下面以一个简单的例子来说明如何实现智能 DNS 的配置。在配置之前,我们需要使用前面小节介绍的有关知识生成针对电信网(telecom_feixiang.com)和联通网(cnc_feixiang.com)的区文件:
DNS 的查询方式有两种,递归查询和迭代查询。合理配置这两种查询方式,能够在实践中取得较好的效果。
其中,递归查询是最常见的查询方式,工作方式是:域名服务器将代替提出请求的客户机(下级 DNS 服务器)进行域名查询,若域名服务器不能直接回答,则域名服务器会在域各树中的各分支的上下进行递归查询,最终将返回查询结果给客户机,在域名服务器查询期间,客户机将完全处于等待状态。具体流程示意请见图 2:
迭代查询又称重指引查询。其工作方式为:当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址,若此最佳的查询点中包含需要查询的主机地址,则返回主机地址信息,若此时服务器不能够直接查询到主机地址,则是按照提示的指引依次查询,直到服务器给出的提示中包含所需要查询的主机地址为止,一般的,每次指引都会更靠近根服务器(向上),查寻到根域名服务器后,则会再次根据提示向下查找。具体流程示意如图 3 所示:
综合上面两点,我们可以看出来,递归查询就是客户机会等待最后结果的查询,而迭代查询是客户机等到的不一定是最终的结果,而可能是一个查询提示。因而存在如下两个问题:
因此,有很多流量很大的 DNS 服务器是禁止客户机使用递归查询,用这种方式来减轻服务器的流量。
在维护 DNS 服务器时,用户往往希望知道到底是哪些用户在使用 DNS 服务器,同时也希望能对 DNS 状态查询做一个统计,以及时地知道 DNS 的工作情况和状态。在传统的方式下,用户通常使用的是 tcpdump 等开源工具来进行抓包并通过查看 53 端口的流量来查看 DNS 数据包。由于 tcpdump 并没有针对 DNS 流量进行特殊定制,因此使用起来可能不是非常方便。因此,用户可以使用专用于 DNS 的 dnstop 工具查询 DNS 服务器状态。
dnstop 是一种非常优秀的开源软件,用户可以到网站 http://dns.measurement-factory.com/tools/dnstop/src/ 上进行下载使用,目前该软件的最新版本为:dnstop-20090128.tar.gz。
由于该软件依赖 tcpdump 和 pcap 抓包库(libpcap)对网络上传输的数据包进行截获和过滤,所以用户需要确保系统安装相应软件后才能正常安装和使用 dnstop。通常情况下,这两种必须的库都已经在系统中预装好了,使用下面的命令安装 dnstop 即可:
(1)解压缩源代码安装包
(2)切换到解压目录,并使用 configure 命令生成 Makefile 文件
(3)使用 make 命令进行安装
安装成功后,可以查看通过相应的网络接口来监控 DNS 网络流量,如下所示:
在运行 dnstop 的过程中,可以键入 <S>、<D>、<T>、<1>、<2>、<Ctr+R>、<Ctr+X> 等方式以交互方式来显示不同的信息:
- S:记录发送 DNS 查询的客户端 IP 地址列表
- D:记录 DNS 查询的目的服务器的 IP 地址表
- T:记录查询详细类型
- 1:记录查询的顶级域名
- 2:记录查询的二级域名
- Ctr+R:重新纪录
- Ctr+X:退出
更详细信息可以使用 dnstop –help 命令进行查看。
DNSSEC 主要依靠公钥技术对于包含在 DNS 中的信息创建密码签名。密码签名通过计算出一个密码 hash 数来提供 DNS 中数据的完整性,并将该 hash 数封装进行保护。私/公钥对中的私钥用来封装 hash 数,然后可以用公钥把 hash 数译出来。如果这个译出的 hash 值匹配接收者刚刚计算出来的 hash 树,那么表明数据是完整的。不管译出来的 hash 数和计算出来的 hash 数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法的 hash 数,所以只有拥有私钥的拥有者可以加密这些信息。
DNSSEC 的功能主要有三个方面:
- 为 DNS 数据提供来源验证,即保证数据来自正确的名称服务器。
- 为数据提供完整性验证,即保证数据在传输的过程中没有任何的更改。
- 否定存在验证,即对否定应答报文提供验证信息,确认授权名称服务器上不存在所查询的资源记录。DNSSEC 为了实现签名和签名的验证功能,引入了四个新的资源记录类型:
- DNSKEY:用于存储验证 DNS 数据的公钥;
- RRSIG:用于存储 DNS 资源记录的签名信息;
- NSEC:存储和对应的所有者相邻的下一个资源记录,主要用于否定存在验证;
- DS(Delegation Signer,授权签名者):用于 DNSKEY 验证过程,存储密钥标签,加密算法和对应的 DNSKEY 的摘要信息。
DNSSEC 的工作机制主要体现在 DNS 工作过程中的以下 2 个方面:
(1)DNS 查询 / 应答:这一步因为使用了未加密和未验证的 UDP 数据包,存在严重的安全漏洞。DNSSEC 在这一步中加入了对数据源的验证和对数据完整性的校验。DNSSEC 要对某个域的数据进行验证,客户端就必须信任这个域的公钥。由于 DNS 中没有第三方的公钥验证体系,要建立对公钥的信任,就必须从一个已经被信任的名称服务器(如根服务器)开始,由此服务器验证其子域的公钥。然后再由这个子域的公钥验证其子域的公钥,一直到所请求的域的公钥得到验证,这个过程称为建立信任链。起始受信任的名称服务器的公钥就被称为信任锚点。验证数据源以后,下一步验证应答信息本身,它要求应答不仅包括请求的资源记录,还包括验证这些资源记录的所需的信息,即一个资源记录集的数字签名,它包含 RRSIG 中。使用信任锚点的 DNS 客户端就可以通过验证此数字签名来检查应答报文是否真实。为了保证和查询相应的资源记录的确不存在,而不是在传输过程中被删除,DNSSEC 生成一个特殊的资源类型记录(NSEC)来检测域名是否存在。
(2)DNS 域区传输:一个域区中一般有主域名服务器和备份域名服务器,域区传输就是域区文件从主域名服务器 copy 到备份域名服务器上的过程。在这个过程中面临着数据包拦截和更改的危险。DNSSEC 用 TSIG(Transaction Signature,事务签名)来验证请求方的真实身份和保证传输内容在传输过程中被篡改。
因此,DNSSEC 的部署主要有三个步骤:
- 生成公 / 私密钥对
- 公钥的发布及私钥的存储
- 域区的签署
DNSSEC 也是一种非常优秀的开源工具,用户可以到 http://sourceforge.net/projects/dnssec-tools/files/dnssec-tools/1.5/dnssec-tools-1.5.tar.gz/download 网站上进行下载和安装,目前其最新版本为 dnssec-tools-1.5.tar.gz。安装的具体步骤如下所示:
(1)解压缩源代码安装包
(2)切换到解压目录,并使用 configure 命令生成 Makefile 文件
(3)使用 make 命令进行安装
下面我们通过一个实际的例子来说明如何为名称是 feixiang.com 的域建立 DNSSEC 配置。使用 DNSSEC 保护 DNS 的步骤如下所示:
(1)为 feixiang.com 域建立一对密钥。在 /var/named 目录下,使用如下命令:
这个命令产生一对长度 768 位 DSA 算法的私有密钥和公共密钥。
(2)使用如下命令
建立一个密钥集合。该命令以 1800 秒的生存时间(time-to-live)建立密钥集合,有效期限 21 天,并且创建一个文件:feixiang.com.keyset。
(3)使用命令
为密钥集合签名。然后建立一个签名文件:feixiang.com.signedkey。
(4)使用命令
为区带文件签名。然后建立一个签名文件:feixiang.com.signed。
(5)替换配置文件 /etc/named.conf 中 feixiang.com 的区文件部分。如下所示:
原文链接:https://blog.csdn.net/hzrandd/article/details/50981517
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23043
