以前對DNS(Domain Name System)認識就大概的知道是一個提供域名決議服務，作為互聯網的基礎設施，任何一個IT人員都會或多或少都接觸到DNS，隨著我最近的接觸不斷提高，我發現DNS還是有很多細節技術需要認識和把握的，本文以一個中型互聯網企業搭建域DNS服務器架構為基礎，從安全的角度看待DNS進行描述，都是一些經驗之談，希望讀者能有所識訓，

DNS協議

DNS通過開放53埠，通過該埠來監聽請求并提供回應的服務，DNS 監聽 TCP 和 UDP 都是 53 埠，如果攻擊人員在掃描主機埠的時候發現一臺主機開放了53埠，那么就可以判斷這是一臺DNS服務器，并且對外了，對外開放53埠，也就意味著運行外部對這臺DNS服務器進行安全掃描，如何進行安全掃描，DNS會有哪些安全問題，后面會說，

出于性能的考慮，DNS查詢請求用UDP協議互動并且每個請求的大小小于512位元組，但是如果回傳的請求大小大于512位元組，互動雙方會協商使用TCP協議，

DNS查詢

說完DNS的埠，那就接著說DNS的服務，DNS提供出來的就是域名決議服務（將域名轉換為IP地址的程序），這個服務是怎么實作域名決議服務的？我說一下大概查詢程序（如下兩張圖）

假設你想訪問 sspai.com 這個網站，那么就如走這個流程

先問客戶端（本地主機）DNS服務器
再問區域（局域網）DNS域服務器
再去問根域名
最后問頂級域名服務器

如果使用類linux系統，可以使用 dig 命令來顯示整個分級查詢的程序，

?  ~ dig +trace sspai.com

; <<>> DiG 9.10.6 <<>> +trace sspai.com
;; global options: +cmd


# 第一段列出根域名.的所有NS記錄，即所有根域名服務器，
.			3600	IN	NS	d.root-servers.net.
.			3600	IN	NS	k.root-servers.net.
.			3600	IN	NS	j.root-servers.net.
.			3600	IN	NS	a.root-servers.net.
.			3600	IN	NS	b.root-servers.net.
.			3600	IN	NS	e.root-servers.net.
.			3600	IN	NS	f.root-servers.net.
.			3600	IN	NS	h.root-servers.net.
.			3600	IN	NS	c.root-servers.net.
.			3600	IN	NS	i.root-servers.net.
.			3600	IN	NS	g.root-servers.net.
.			3600	IN	NS	l.root-servers.net.
.			3600	IN	NS	m.root-servers.net.
;; Received 472 bytes from 10.249.150.1#53(10.249.150.1) in 1 ms


# 接著詢問sspai.com的頂級域 com.的NS記錄
com.			172800	IN	NS	b.gtld-servers.net.
com.			172800	IN	NS	f.gtld-servers.net.
com.			172800	IN	NS	l.gtld-servers.net.
com.			172800	IN	NS	c.gtld-servers.net.
com.			172800	IN	NS	d.gtld-servers.net.
com.			172800	IN	NS	j.gtld-servers.net.
com.			172800	IN	NS	a.gtld-servers.net.
com.			172800	IN	NS	e.gtld-servers.net.
com.			172800	IN	NS	h.gtld-servers.net.
com.			172800	IN	NS	g.gtld-servers.net.
com.			172800	IN	NS	i.gtld-servers.net.
com.			172800	IN	NS	k.gtld-servers.net.
com.			172800	IN	NS	m.gtld-servers.net.
com.			86400	IN	DS	30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com.			86400	IN	RRSIG	DS 8 1 86400 20200801170000 20200719160000 46594 . nl6GGtQwgNAf1YLcWFFcQyXZ1BE/E5dhOVVBIxTCl0QNtvt9sb+btQIM NOVpc6JovoxxfXvDxotRmCqVe9BJunaZvCqMGySy8JdFTcSo1kdVKXvU nI+b3mad5ROgvP2GaUZelhRIn7++FIQAjSUl40H/jdaQP2fxXDH1PQ4B oBhQwnlDo/rn3AJxhH+P2hx/23fadNwsmh/WY9truU1Gv4cf+uwAPkE9 QFSKDcDF7VgTF1bHN9A9nuURQXIjGQkZAGUHaR9bIrKtgYDa3szrmdOJ GejllYy4VyKoBxwZLkV+W7gt+ODYXxAz42UFk5VOGF560wfCIM11FSYR +XPqPg==
;; Received 1169 bytes from 192.36.148.17#53(i.root-servers.net) in 65 ms


# 詢問sspai.com的次級域名 NS記錄
sspai.com.		172800	IN	NS	dns17.hichina.com.
sspai.com.		172800	IN	NS	dns18.hichina.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A  NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20200724044108 20200717033108 24966 com. Tf4OQOpeShS1V8R5W7+YWbLa+iIn/wJf3iDfMsHf4P7TJ1ZBm+1EC4FB bdE2Xcyi9wFIetecgTseEQGLYEKdwUBx6mqGmR3nHMaRDl+4Sm+hBufD UUR+2sGFNM/KMWC5zgm7nLc4wHBSrsq8T36nache8cXBhEWSEvR+MIGw o1fJdUNWhihU/maM05P4wrigqDw5igwIkDZZ1O3Fz5uwnQ==
M34OU778JRD89U2DUUTAAI48T6FEI7CV.com. 86400 IN NSEC3 1 1 0 - M34P2GDRCOK7PL50LT2A785I7P76KSGS  NS DS RRSIG
M34OU778JRD89U2DUUTAAI48T6FEI7CV.com. 86400 IN RRSIG NSEC3 8 2 86400 20200725051418 20200718040418 24966 com. Fis/2uVliOd9QYjFtzH0SVeSU4lAtekdPXOlqU5Zp+IxDXOovSM31wmL YD9zQRdfecDoiurSZi/yZceE2HxgWyWDc1epW7gTQYGOr99s7dxA08dm +gZZIExIIYNpc1MzSqktmLQuOg9yyUQwyf1YWCrQF8d+e3/fdPxFBunf j2psiF3BKzhPt5tlzfx98Gu8pckCBk9pV3xFXCAv5Vx0/A==
;; Received 947 bytes from 192.41.162.30#53(l.gtld-servers.net) in 177 ms


## 查詢到有一條A記錄，通過這個IP(119.23.141.248) 地址就可以訪問到這個網站
sspai.com.		600	IN	A	119.23.141.248
;; Received 54 bytes from 140.205.41.28#53(dns18.hichina.com) in 31 ms

而具體實作這個查詢程序的技術有

遞回查詢
迭代查詢
反向查詢

這里的每種查詢技術都不簡單，迭代、遞回查詢也是實作DNS服務的核心，但不是我這篇文章想講述的重點，所以忽略，想了解細節的可以自己查詢一下網路資料，反向查詢有挺多安全知識的，我就單獨寫成一篇文章了：https://www.cnblogs.com/mysticbinary/p/13344930.html

查詢的技術細節可以不用關心，但是常見的DNS記錄型別還是要關心的：

A：地址記錄（Address），回傳域名指向的IP地址，
AAAA ：A 記錄處理 IPV4，AAAA 處理 IPV6，

SOA ：起始授權機構記錄，SOA 備注說明了眾多 NS（name server）記錄中誰是主名稱服務器，不參與功能，但是不能缺少，
NS：域名服務器記錄（Name Server），回傳保存下一級域名資訊的服務器地址，該記錄只能設定為域名，不能設定為IP地址，

MX：郵件記錄（Mail eXchange），回傳接收電子郵件的服務器地址，

CNAME：規范名稱記錄（Canonical Name），回傳另一個域名，即當前查詢的域名是另一個域名的跳轉（類似302跳轉），

PTR：逆向查詢記錄（Pointer Record），只用于從IP地址查詢域名，

答應我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之內想出他們是干嘛的，因為太重要了，
答應我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之內想出他們是干嘛的，因為太重要了，
答應我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之內想出他們是干嘛的，因為太重要了，

從安全的角度上看，為了保證服務的安全可靠，至少應該有兩條NS記錄，而A記錄和MX記錄也可以有多條，這樣就提供了服務的冗余性，防止出現單點失敗，

域維護

因為DNS服務就是一個類似分布式的服務，分布式就是分散的，如何保證各個分散的機器能及時的同步訊息呢？在主域名服務器和從域名服務器之間維護同一個zone檔案，可以簡單的理解為，DNS設定一個協議來在主域名服務器和從域名服務器之間維護同一個zone檔案，主要有以下兩種同步的手段有：

全量傳輸 AXFR (full zone transfer)
就是設定一個固定時間（比如2分鐘一次），就同步一次zone檔案
增量傳輸 IXFR (incremental zone transfer)
傳遞非常大的zone檔案是非常耗資源的（時間、帶寬等），尤其是只有zone中的一個記錄改變的時候，沒有必要傳遞整個zone檔案，增量傳輸是允許主域名服務器和從域名服務器之間只傳輸那些改變的記錄，

ZONE檔案是DNS上保存域名配置的檔案，一個域名對應一個ZONE檔案，

如果你的企業局域網只有一臺DNS服務器，那么就不需要AXFR、IXFR

如果你的企業局域網有多臺DNS服務器，那么就需要AXFR、IXFR

做DNS監控，就會用到ES技術，通過記錄，你會發現你記錄的DNS服務器clientIp為127.0.0.1，并且在固定周期就會傳輸AXFR型別的Domain，

DNS監控

DNS監控就是通過在每臺客戶端機器上面都裝個軟體，然后將dns域名修改成自己企業內部的dns域名，采集流量，即可做到dns監控了，

DNS安全

DNS本身的DNS服務漏洞、區域轉發配置錯誤、找真實IP繞過WAF等，都是常見的DNS安全，今天就到這把，后續有精力在寫了.....

參考

http://www.ruanyifeng.com/blog/2016/06/dns.html
https://www.cnblogs.com/cobbliu/archive/2013/03/24/2979521.html
https://www.cnblogs.com/bluestorm/p/10345334.html
https://www.cnblogs.com/Dy1an/p/11157152.html

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/73480.html

標籤：其他

上一篇：DNS反向查詢

下一篇：北斗授時服務器,時間同步服務器,網路時鐘服務器2020最新報價