DNS 簡(jiǎn)介DNS: 名稱解析服務(wù)，不是域名解析服務(wù)，因?yàn)樗馕龅氖怯?jì)算機(jī)FQDN:FQDN ：(Fully Qualified Domain Name)完全合格域名/全稱域名，是指主機(jī)名加上全路徑，

DNS 簡(jiǎn)介

DNS: 名稱解析服務(wù)，不是域名解析服務(wù)，因?yàn)樗馕龅氖怯?jì)算機(jī)

FQDN:

FQDN ：(Fully Qualified Domain Name)完全合格域名/全稱域名，是指主機(jī)名加上全路徑，全路徑中列出了序列中所有域成員。全域名可以從邏輯上準(zhǔn)確地表示出主機(jī)在什么地方，也可以說(shuō)全域名是主機(jī)名的一種完全表示形式。從全域名中包含的信息可以看出主機(jī)在域名樹(shù)中的位置。DNS 組件：

DNS 服務(wù)器

DNS CLIENT

DNS 查詢：

遞歸查詢：DNS 會(huì)回應(yīng)查詢的IP 地址

迭代查詢：在DNS 迭代查詢中，客戶端可能得到下一個(gè)DNS 服務(wù)器的地址

根提示：本地的DNS 查詢公網(wǎng)的13臺(tái)根DNS

(當(dāng)DNS 為. 域，根提示不可用)

轉(zhuǎn)發(fā)：將所有的DNS 請(qǐng)求轉(zhuǎn)發(fā)給指定的DNS

條件轉(zhuǎn)發(fā)：windows 2003及之后，

Zone 類型：

1. 主要zone

2. 輔助zone

3. 存根zone

DNS 區(qū)域類型

正向查找區(qū)域 反向查找區(qū)域

主要區(qū)域 輔助區(qū)域 存根區(qū)域

加入域時(shí)，當(dāng)沒(méi)有配置DNS 時(shí)，可以使用域的netbios 名加入域

名稱解析過(guò)程

1.

2.

3.

4.

5.

6.

7.

8.

Enter commandLocal host nameHosts fileDNS serverNetBIOS name cache WINS ServerBroadcast LMHOSTS File5. DNS Page 1

8. LMHOSTS File

使用DNSSEC 技術(shù)保護(hù)DNS 安全

DNSSEC 主要依靠公鑰技術(shù)對(duì)于包含在DNS 中的信息創(chuàng)建密碼簽名。密碼簽名通過(guò)計(jì)算出一個(gè)密碼hash 數(shù)來(lái)提供DNS 中數(shù)據(jù)的完整性，并將該hash 數(shù)封裝進(jìn)行保護(hù)。私/公鑰對(duì)中的私鑰用來(lái)封裝hash 數(shù)，然后可以用公鑰把hash 數(shù)譯出來(lái)。如果這個(gè)譯出的hash 值匹配接收者剛剛計(jì)算出來(lái)的hash 樹(shù)，那么表明數(shù)據(jù)是完整的。不管譯出來(lái)的hash 數(shù)和計(jì)算出來(lái)的hash 數(shù)是否匹配，對(duì)于密碼簽名這種認(rèn)證方式都是絕對(duì)正確的，因?yàn)楣€僅僅用于解密合法的hash 數(shù)，所以只有擁有私鑰的擁有者可以加密這些信息。DNSSEC 的功能主要有三個(gè)方面：

為DNS 數(shù)據(jù)提供來(lái)源驗(yàn)證，即保證數(shù)據(jù)來(lái)自正確的名稱服務(wù)器。

為數(shù)據(jù)提供完整性驗(yàn)證，即保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中沒(méi)有任何的更改。

否定存在驗(yàn)證，即對(duì)否定應(yīng)答報(bào)文提供驗(yàn)證信息，確認(rèn)授權(quán)名稱服務(wù)器上不存在所查詢的資源記錄。DNSSEC 為了實(shí)現(xiàn)簽名和簽名的驗(yàn)證功能，引入了四個(gè)新的資源記錄類型：

DNSKEY ：用于存儲(chǔ)驗(yàn)證DNS 數(shù)據(jù)的公鑰；

RRSIG ：用于存儲(chǔ)DNS 資源記錄的簽名信息；

NSEC ：存儲(chǔ)和對(duì)應(yīng)的所有者相鄰的下一個(gè)資源記錄，主要用于否定存在驗(yàn)證；

DS （Delegation Signer，授權(quán)簽名者）：用于DNSKEY 驗(yàn)證過(guò)程，存儲(chǔ)密鑰標(biāo)簽，加密算法和對(duì)應(yīng)的DNSKEY 的摘要信息。

DNSSEC 的工作機(jī)制主要體現(xiàn)在DNS 工作過(guò)程中的以下2個(gè)方面：

（1）DNS 查詢/應(yīng)答：這一步因?yàn)槭褂昧宋醇用芎臀打?yàn)證的UDP 數(shù)據(jù)包，存在嚴(yán)重的安全漏洞。DNSSEC 在這一步中加入了對(duì)數(shù)據(jù)源的驗(yàn)證和對(duì)數(shù)據(jù)完整性的校驗(yàn)。DNSSEC 要對(duì)某個(gè)域的數(shù)據(jù)進(jìn)行驗(yàn)證，客戶端就必須信任這個(gè)域的公鑰。由于DNS 中沒(méi)有第三方的公鑰驗(yàn)證體系，要建立對(duì)公鑰的信任，就必須從一個(gè)已經(jīng)被信任的名稱服務(wù)器（如根服務(wù)器）開(kāi)始，由此服務(wù)器驗(yàn)證其子域的公鑰。然后再由這個(gè)子域的公鑰驗(yàn)證其子域的公鑰，一直到所請(qǐng)求的域的公鑰得到驗(yàn)證，這個(gè)過(guò)程稱為建立信任鏈。起始受信任的名稱服務(wù)器的公鑰就被稱為信任錨點(diǎn)。驗(yàn)證數(shù)據(jù)源以后，下一步驗(yàn)證應(yīng)答信息本身，它要求應(yīng)答不僅包括請(qǐng)求的資源記錄，還包括驗(yàn)證這些資源記錄的所需的信息，即一個(gè)資源記錄集的數(shù)字簽名，它包含RRSIG 中。使用信任錨點(diǎn)的DNS 客戶端就可以通過(guò)驗(yàn)證此數(shù)字簽名來(lái)檢查應(yīng)答報(bào)文是否真實(shí)。為了保證和查詢相應(yīng)的資源記錄的確不存在，而不是在傳輸過(guò)程中被刪除，DNSSEC 生成一個(gè)特殊的資源類型記錄（NSEC ）來(lái)檢測(cè)域名是否存在。

（2）DNS 域區(qū)傳輸：一個(gè)域區(qū)中一般有主域名服務(wù)器和備份域名服務(wù)器，域區(qū)傳輸就是域區(qū)文件從主域名服務(wù)器copy 到備份域名服務(wù)器上的過(guò)程。在這個(gè)過(guò)程中面臨著數(shù)據(jù)包攔截和更改的危險(xiǎn)。DNSSEC 用TSIG （Transaction Signature，事務(wù)簽名）來(lái)驗(yàn)證請(qǐng)求方的真實(shí)身份和保證傳輸內(nèi)容在傳輸過(guò)程中被篡改。

因此，DNSSEC 的部署主要有三個(gè)步驟：

生成公/私密鑰對(duì)

公鑰的發(fā)布及私鑰的存儲(chǔ)

域區(qū)的簽署

5. DNS Page 2