以前对DNS(Domain Name System)认识就大概的知道是一个提供域名解析服务,作为互联网的基础设施,任何一个IT人员都会或多或少都接触到DNS,随着我最近的接触不断提高,我发现DNS还是有很多细节技术需要认识和把握的,本文以一个中型互联网企业搭建域DNS服务器架构为基础,从安全的角度看待DNS进行描述,都是一些经验之谈,希望读者能有所收获 。
DNS协议DNS通过开放53端口,通过该端口来监听请求并提供响应的服务,DNS 监听 TCP 和 UDP 都是 53 端口 。如果攻击人员在扫描主机端口的时候发现一台主机开放了53端口,那么就可以判断这是一台DNS服务器,并且对外了 。对外开放53端口,也就意味着运行外部对这台DNS服务器进行安全扫描,如何进行安全扫描,DNS会有哪些安全问题,后面会说 。
出于性能的考虑,DNS查询请求用UDP协议交互并且每个请求的大小小于512字节,但是如果返回的请求大小大于512字节,交互双方会协商使用TCP协议 。
DNS查询说完DNS的端口,那就接着说DNS的服务,DNS提供出来的就是域名解析服务(将域名转换为IP地址的过程),这个服务是怎么实现域名解析服务的?我说一下大概查询过程(如下两张图)
文章插图
文章插图
【从安全的角度看待DNS】
假设你想访问 sspai.com 这个网站,那么就如走这个流程
- 先问 客户端(本地主机)DNS服务器
- 再问 局部(局域网)DNS域服务器
- 再去问 根域名
- 最后问 顶级域名服务器
Copy?~ dig +trace sspai.com; <<>> DiG 9.10.6 <<>> +trace sspai.com;; global options: +cmd# 第一段列出根域名.的所有NS记录,即所有根域名服务器 。.3600 IN NS d.root-servers.net..3600 IN NS k.root-servers.net..3600 IN NS j.root-servers.net..3600 IN NS a.root-servers.net..3600 IN NS b.root-servers.net..3600 IN NS e.root-servers.net..3600 IN NS f.root-servers.net..3600 IN NS h.root-servers.net..3600 IN NS c.root-servers.net..3600 IN NS i.root-servers.net..3600 IN NS g.root-servers.net..3600 IN NS l.root-servers.net..3600 IN NS m.root-servers.net.;; Received 472 bytes from 10.249.150.1#53(10.249.150.1) in 1 ms# 接着询问sspai.com的顶级域 com.的NS记录com.172800 IN NS b.gtld-servers.net.com.172800 IN NS f.gtld-servers.net.com.172800 IN NS l.gtld-servers.net.com.172800 IN NS c.gtld-servers.net.com.172800 IN NS d.gtld-servers.net.com.172800 IN NS j.gtld-servers.net.com.172800 IN NS a.gtld-servers.net.com.172800 IN NS e.gtld-servers.net.com.172800 IN NS h.gtld-servers.net.com.172800 IN NS g.gtld-servers.net.com.172800 IN NS i.gtld-servers.net.com.172800 IN NS k.gtld-servers.net.com.172800 IN NS m.gtld-servers.net.com.86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766com.86400 IN RRSIG DS 8 1 86400 20200801170000 20200719160000 46594 . nl6GGtQwgNAf1YLcWFFcQyXZ1BE/E5dhOVVBIxTCl0QNtvt9sb+btQIM NOVpc6JovoxxfXvDxotRmCqVe9BJunaZvCqMGySy8JdFTcSo1kdVKXvU nI+b3mad5ROgvP2GaUZelhRIn7++FIQAjSUl40H/jdaQP2fxXDH1PQ4B oBhQwnlDo/rn3AJxhH+P2hx/23fadNwsmh/WY9truU1Gv4cf+uwAPkE9 QFSKDcDF7VgTF1bHN9A9nuURQXIjGQkZAGUHaR9bIrKtgYDa3szrmdOJ GejllYy4VyKoBxwZLkV+W7gt+ODYXxAz42UFk5VOGF560wfCIM11FSYR +XPqPg==;; Received 1169 bytes from 192.36.148.17#53(i.root-servers.net) in 65 ms# 询问sspai.com的次级域名 NS记录sspai.com.172800 IN NS dns17.hichina.com.sspai.com.172800 IN NS dns18.hichina.com.CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9ANS SOA RRSIG DNSKEY NSEC3PARAMCK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20200724044108 20200717033108 24966 com. Tf4OQOpeShS1V8R5W7+YWbLa+iIn/wJf3iDfMsHf4P7TJ1ZBm+1EC4FB bdE2Xcyi9wFIetecgTseEQGLYEKdwUBx6mqGmR3nHMaRDl+4Sm+hBufD UUR+2sGFNM/KMWC5zgm7nLc4wHBSrsq8T36nache8cXBhEWSEvR+MIGw o1fJdUNWhihU/maM05P4wrigqDw5igwIkDZZ1O3Fz5uwnQ==M34OU778JRD89U2DUUTAAI48T6FEI7CV.com. 86400 IN NSEC3 1 1 0 - M34P2GDRCOK7PL50LT2A785I7P76KSGSNS DS RRSIGM34OU778JRD89U2DUUTAAI48T6FEI7CV.com. 86400 IN RRSIG NSEC3 8 2 86400 20200725051418 20200718040418 24966 com. Fis/2uVliOd9QYjFtzH0SVeSU4lAtekdPXOlqU5Zp+IxDXOovSM31wmL YD9zQRdfecDoiurSZi/yZceE2HxgWyWDc1epW7gTQYGOr99s7dxA08dm +gZZIExIIYNpc1MzSqktmLQuOg9yyUQwyf1YWCrQF8d+e3/fdPxFBunf j2psiF3BKzhPt5tlzfx98Gu8pckCBk9pV3xFXCAv5Vx0/A==;; Received 947 bytes from 192.41.162.30#53(l.gtld-servers.net) in 177 ms## 查询到有一条A记录,通过这个IP(119.23.141.248) 地址就可以访问到这个网站sspai.com.600 IN A 119.23.141.248;; Received 54 bytes from 140.205.41.28#53(dns18.hichina.com) in 31 ms
而具体实现这个查询过程的技术有
推荐阅读
- 鉴别古树茶的五点,糯伍古树赏析
- 喝茶喝醉的原因,喝茶失眠主要原因
- 经常熬夜的人喝什么茶,脾胃虚寒的人喝什么茶好呢
- 关于ROADM的入门科普
- 红豆茶的功效,红豆薏米茶什么味道
- 基于canvas的JavaScript 二维码生成工具——QRCanvas
- 适合数据库初级人员 常用的sql语句集合
- 给你的Nginx加个防火墙
- 彻底搞清HTTPS安全通讯之SSL/TLS加密协议
- H3C的INode客户端配置,L2TP配置使用客户端登入。你会了吗?