目錄

• DHCP部署與安全
  • 1、DHCP作用
  • 2、DHCP相關概念
  • 3、DHCP優點
  • 4、DHCP原理
  • 5、DHCP續約
  • 6、部署DHCP服務器
  • 7、地址保留
  • 8、選項優先級
  • 9、DHCP備份和還原
  • 10、DHCP攻擊與防御
• DNS部署與安全
  • 1、DNS
  • 2、域名組成
  • 3、監聽埠
  • 4、DNS決議種類
    • 4.1、按照查詢方式
    • 4.2、按照查詢內容分類
  • 5、DNS服務器搭建程序
  • ６、DNS客戶機如何決議
  • 7、DNS服務器處理域名請求的順序
  • 8、輔助DNS服務器
  • 9、清除DNS快取
    • 9.1 客戶機清除快取
    • 9.2 服務器清除快取
  • 10、域名決議記錄型別：
  • 11、反向DNS
  • 12、DNS服務器分類
  • 13、客戶機域名請求決議順序
  • 14、服務器對域名請求的處理順序
  • 15、為DNS主機命名

DHCP部署與安全

1、DHCP作用

• DHCP（ Dynamic Host Configure Protocol）

• 自動分配 IP 地址

2、DHCP相關概念

• 地址池/作用域：（IP、DNS、子網掩碼、網關、租期），DHCP協議埠是UDP 67/68

3、DHCP優點

• 減少作業量

• 避免IP沖突

• 提高地址利用率

4、DHCP原理

• 也稱為 DHCP 租約程序，分為四個步驟：

  • 客戶機發送 DHCP Discovery 廣播包

    ? 客戶機廣播請求 IP 地址（包含客戶機的 MAC 地址）

  • 服務器回應 DHCP Offer 廣播包

    ? 服務器回應提供的 IP 地址（但無子網掩碼、網關等引數）

  • 客戶機發送 DHCP Request廣播包

    ? 客戶機選擇 IP（也可認為確認使用哪個 IP）

  • 服務器發送DHCP ACK廣播包

    ? 服務器確定了租約，并提供網卡詳細引數IP，掩碼，網關，DNS，租期等

5、DHCP續約

• 當租期過 50% 的時候，客戶機會再次發送 DHCP Request 包，進行續約，如果服務器無回應，則繼續使用并在 87.5% 時再次發送 DHCP Request 包，進行續約，如果仍未回應，則釋放 IP 地址，并回到第一步發送 DHCP Discovery 包
• 當無任何服務器回應時，自動給自己分配一個 169.254.x.x/16，屬于全球統一無效地址，用于臨時內網通信

6、部署DHCP服務器

1. IP 地址固定（服務器必須固定 IP 地址）‘

2. 安裝DHCP服務插件

3. 新建作用域及作用域選項

4. 激活

5. 客戶機驗證：

   ipconfig /release  釋放IP (取消租約，或者改為手動配置IP，也可以釋放租約)
   
   ipconfig /renew  重新獲取IP（有IP時發送 Request 包續約，如果沒有則發送 Discovery 包重新獲取IP）
   

7、地址保留

• 對指定的 MAC 地址，固定動態分配 IP 地址

8、選項優先級

• 作用域選項＞服務器選項
• *當服務器上有多個作用域時，可以在服務器選項設定DNS服務器

9、DHCP備份和還原

• 右鍵服務器可以備份，防止宕機等問題

10、DHCP攻擊與防御

• 攻擊 DHCP 服務器：頻繁的發送偽裝 DHCP 請求，直到將 DHCP 地址池資源耗盡，導致正常請求無法回應

  防御：在交換機（管理型）的埠上做動態 MAC 地址系結

• 偽裝 DHCP 服務器：通過將自己部署為 DHCP 服務器，為客戶機提供非法IP地址

  防御：在交換機（管理型）除合法的 DHCP 服務器所在介面外，禁止發送 DHCP Offer 包

  ---

DNS部署與安全

1、DNS

• Domain Name Service
• 域名服務
• 作用：為客戶機提供域名決議服務

2、域名組成

• 如“www.baidu.com”,"baidu.com"為域名
• “主機名.域名”稱為 完全限定域名（FQDN），主機名為服務器標識，

• 例如www.baidu.com. (←這個.默認瀏覽器自動添加)

  .為根域

  .com為頂級域

  baidu為一級域名

  www為二級域名

• FQDN = 主機名.DNS后綴

• FQDN（完整合格的域名）

3、監聽埠

    TCP 53
    UDP 53

4、DNS決議種類

4.1、按照查詢方式

1.遞回查詢：客戶機與本地 DNS 服務器之間

2.迭代查詢：本地 DNS 服務器與根等其他 DNS 服務器的決議程序

DNS決議程序： *客戶機想訪問www.baidu.com

1. 查找本機快取
2. 若無則找本機 host
3. 還沒有就向本地 DNS 服務器發出請求
4. 本地 DNS 服務器查找 DNS 快取 和 內置的決議 若有則向客戶機回傳 IP 地址
5. 若無則向外查找
6. 本地 DNS 服務器向根域 DNS 服務器發送請求
7. 根域 DNS 服務器回應 .com域名服務器 的 IP 地址
8. 本地 DNS 服務器向 .com域名服務器 發送請求
9. .com域名服務器回應 baidu.com域名服務器 的 IP 地址
10. 本地 DNS 服務器向 baidu.com域名服務器 發送請求
11. baidu.com域名服務器回應 www.baidu.com 對應的 IP 地址
12. 本地 DNS 服務器把收到的 IP 地址回傳給客戶機，并記下快取
13. 客戶機收到地址并記下快取

總結：

? 1-4 若成功就是 遞回決議 （DNS服務器轉發器也算）

? 5-12 為迭代查詢

4.2、按照查詢內容分類

1. 正向決議：已知域名，決議IP地址

2. 反向決議：已知IP地址，決議域名

5、DNS服務器搭建程序

1. 要求網卡 IP 是靜態 IP 地址
2. 安裝 DNS 服務器插件（也就是安裝并開啟 TCP 及 UDP53 埠）
3. 創建區域檔案（負責一個域名后綴的決議，如 baidu.com 為域名后綴，一臺 DNS 服務器內可以存放多個區域檔案）
4. 新建 A 記錄

６、DNS客戶機如何決議

1. 指向DNS
2. 手工決議域名：

nslookup 域名

7、DNS服務器處理域名請求的順序

1. DNS 高速快取
2. DNS 區域組態檔
3. DNS 轉發器
4. 根提示

8、輔助DNS服務器

• 作用：為主 DNS 服務器提供備份，提高安全性，會實時更新

• 創建程序：

  1. 在主要 DNS 服務器中，對想要備份的區域右鍵--屬性--區域復制里，勾上”只允許到下列服務器“并把輔助 DNS 服務器的 IP 地址添加上去
  2. 在輔助 DNS 服務器中，新建區域并選擇輔助區域，IP 地址填主要 DNS 服務器即可

9、清除DNS快取

9.1 客戶機清除快取

ipconfig /flushdns      清除 DNS 快取
ipconfig /displaydns    查看 DNS 快取

9.2 服務器清除快取

windows服務器：dns工具--查看--高級，調出快取，清除快取

10、域名決議記錄型別：

• A記錄：正向決議記錄
• CNAME記錄：別名
• PTR記錄：反向決議記錄
• MX：郵件交換記錄
• NS：域名服務器決議

11、反向DNS

• nslookup 手工決議時，會進行一個反向決議，顯示真實服務器資訊

12、DNS服務器分類

• 主要名稱服務器
• 輔助名稱服務器 == 備份的
• 根名稱服務器
• 高速快取名稱服務器 == 只保存快取，不決議

13、客戶機域名請求決議順序

1. DNS 快取
2. 本地 hosts 檔案
3. 找本地 DNS 服務器

14、服務器對域名請求的處理順序

1. DNS 高速快取
2. 本地區域決議檔案
3. 轉發器
4. 根

15、為DNS主機命名

1. 在正向區域里創建主機名的域
2. 在域里新建dns1記錄，IP地址填DNS主機IP
3. 在反向區域里新建域 IP地址填DNS主機IP
4. 新建 PTR 指標，IP號填DNS主機對應的，主機名選擇之前創建的那個dns1

標籤：其他

上一篇：spark鏈接hive資料庫，只能顯示default資料庫，別的資料庫不顯示

下一篇：linux開機進不了單用戶模式如何修改root密碼