Domain Name System 蔡 政 道 Ver.1030328.

Slides:



Advertisements
Similar presentations
●網路能做些什麼呢? 檔案管理 共享檔案 傳輸檔案 共享應用程式 資料庫 網路電玩 週邊設備分享 印表機 硬碟空間 光碟機 傳真 / 數據機 和其他網路使用者交流 收發電子郵件 電子會議 網路電玩 在網路上,必須透過帳號與密碼來管理使用者的身分與權限.
Advertisements

DNS DNS( Domain Name System): 域名系统 DNS 介绍 DNS 基本构成 DNS 名字解析过程 在 Windows2000 中配置 DNS.
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
计算机网络技术基础(第三版) 主编:尚晓航 高等教育出版社
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
第七章 Internet网络应用.
第9章 DNS服务器的配置与管理 DNS的基本概念 DNS的测试 DNS服务器的动态更新 Windows Server 2003网络操作系统
第五章 网络服务组件.
第9章 DNS和DHCP.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
TWNIC 98年度 DNS 安全教育訓練 TWNIC 技術組編撰
Internet Chapter INTERNET的起源 8-2 Internet提供的資源 8-3 寬頻上網的方式
第4单元 网络技术与信息安全.
課程名稱:計算機概論 授課老師:李春雄 博士
计算机基础知识培训 信息所网络研究室.
第4单元 网络技术与信息安全.
第七章 電信、網際網路與無線技術.
第七章 Internet 基础与应用 第一节 主机名字与域名服务 第二节 Internet的域名体系 第三节 主机名字的书写方法
计算机网络(第 6 版) 第 6 章 应用层 青岛理工大学通信与电子工程学院.
Domain Name System (DNS)
TANet DNS及 Mail Server 系統規劃、維護與管理 期初報告:
网页的欣赏与设计 主讲:杨军锋.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
網際網路介紹 主講人:劉安迪.
第一节 电子商务网站规划 第二节 网络服务的选择与费用核算 第三节 网站内容建设
第7章 计算机网络与安全.
网络实用技术基础 Internet技术及应用.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
DomainNameSystem 蔡 政 道 Ver
DNS 西安交通大学 李思 2004年8月23日.
辅导教师:杨屹东 网络实用技术基础 辅导教师:杨屹东
第5章 网络软件 开发技术 (一) 软件开发技术基础 计算机教学实验中心.
台灣大學計資中心 邵喻美 DNS建置與維護 台灣大學計資中心 邵喻美 2018/9/20.
指導教授:黃 燕 忠 教授 研究生 :李欣衛 謝士傑
第 13 章 DNS 著作權所有 © 旗標出版股份有限公司.
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
網域名稱系統 Domain Name System
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
TCP協定 (傳輸層).
第九章 DNS和DHCP 課前指引 前面的章節已介紹了DoD模型的TCP/IP協定組合,前三層的協定,從本章開始將陸續介紹應用層的協定。本章要介紹的是用於查詢網域主機IP的DNS協定;還有可以讓主機自動取得IP的DHCP協定。
DNS y2k/security 相關問題 剖析及對策
網路概論 第9章 DNS通訊協定.
岗位技能(三) Linux网络服务器配置与管理 项目2 架设DNS服务器
97/07/03 【 網際網路介紹 】 上課日期:97年7月3日 主講人:王首惠 技士.
單元六:你信賴電子商務嗎? (網域名稱、商標與爭議處理)
本章主要讲解Internet应用服务器的配置方法,包括DNS服务器、FTP服务器、 服务器。通过对本章的学习,主要掌握以下内容:
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
5.3 IP地址与域名 IP地址 子网划分 IPv 域名机制 域名解析.
益思科技法律事務所 賴文智律師 網域名稱與商標權 益思科技法律事務所 賴文智律師
Windows 2003 server 進階介紹 麋鹿.
TCP/IP介紹 講師:陳育良 2018/12/28.
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
新世代計算機概論第三版 第11章 網際網路.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
IP, Port, Router and Port forward
DHCP for W2K.
Unit 10: Introduction to the Internet
網路安全技術期末報告 Proxy Server
第一章 互联网与网站 Cpt1 Interent & Website
解析系統介紹 TWNIC 2000年11月27日.
网络域名及其管理 复习IP地址相关知识,上网时为什么没有输入IP地址而是输入如
網頁資料知多少? 事 實 ? 謠言?.
MDNS Development Plan TWNIC May 2000.
Speaker : Chang Kai-Jia Date : 2010/04/26
大学计算机基础 5-5 网络地址与域名系统.
Cloud Operating System - Unit 03: 雲端平台建構實驗
Domain Name System 蔡 政 道 Ver
DNS CACHE POISONING A 曾子桐 指導教授: 梁明章.
DNS (Domain Name System)
Presentation transcript:

Domain Name System 蔡 政 道 Ver.1030328

網域名稱是電腦在網路上的身份, 如同 IP 一樣,都具有唯一的特性 網域名稱比 IP 好記 好記的網域名稱成為大家申請的對象 字數少 特殊意義單字 諧音字 隨著 Internet 及 IPv6 的發展,網域名稱的作用將更顯得重要

使用網域名稱讓系統更具移值性,當 IP 變動,只 需更改 DNS 設定即可,程式 網頁等不需更改 為 Internet 服務最基礎的一環 提供機器名稱與 IP 位址雙向對映的機制 WWW www.tp.edu.tw <-> 163.21.249.220 網域名稱比 IP 容易記, 且具代表意義 使用網域名稱讓系統更具移值性,當 IP 變動,只 需更改 DNS 設定即可,程式 網頁等不需更改 隨著 IPv6 (16 bytes) 的推展,更需要使用網域名稱

中文網域名稱 就國人而言中文字較英文字好記 士林高商 => http://www.slhs.tp.edu.tw/ 士林高商 => http://www.slhs.tp.edu.tw/ 中文域名 => http://士林高商.tw/

國際域名(IDN)標準 中文字應透過某種編碼方式轉換成英文字,並 與舊有的 DNS 系統相容 DNS 設定及伺服器設定應都根據這個編碼定 義 目前國際上認可的編碼為 AMC-ACE-Z,稱為 puny code (RFC 3492) 例: http://xn--fiq43lrrlz83a.tw/  台網中心.tw http://xn--czrr8f77qt33c.tw/  士林高商.tw http://xn--pssu7c921afvu.tw/  清華大學.tw

域名之分類 分類: 在區分不同的屬性 目前 tw 之第二層域名 ICANN於2011/6通過開放TLD申請 Top Level Domain (TLD) 頂級域名 gTLDs: com/net/org/gov/edu/… 共13類 ccTLDs: tw/cn/jp/us 共 243 個 Second Level Domain (第二層域名) com.tw/org.tw/ 等 目前 tw 之第二層域名 com.tw/net.tw/org.tw/edu.tw/gov.tw/mil.tw idv.tw/game.tw/club.tw/ebiz.tw ICANN於2011/6通過開放TLD申請 102年底,台北市已申請到.taipei

DNS 運作模式 名稱查詢之服務 分散式 穩定 樹狀結構 效率 自己的資料由自己維護,而其他人的資料則分散在全球 全球最大的分散式資料庫系統 以樹狀結構的方式找到目的位址(每個結點需要授權) http://www.root-servers.org/ 目前 Root Server 分布情形 穩定 負載平衡:可由 Master 主機自由的複製到 Slave 主機 備援:一個網域名稱可有多台主機共同服務(輸流查詢) 樹狀結構 經由全球唯一的 Root Server 達到正確搜尋的目的 Root Server 共十三部,每一部可能都有許多 Mirror (如 f.root-servers.net 有二三十部) 效率 使用 UDP 封包 查詢速度基本上都在 100 msec 內 經由 Cache 來加快 DNS 的查詢

DNS 樹狀結構 Root tw cn com net biz arpa … com net gov … in-addr ip6 e164 IPv6 反解 twnic 203 IPv4 反解 72 www whois cdns Zone1 185 186 : 為網域名稱或機器名稱 host1 host1 : 為上一層與下一層的委任關係 註 : DNS 的搜尋由上往下

小範圍 大範圍 www.slhs.tp.edu.tw. 大範圍 小範圍 203.72.185.3

Fully Qualified Domain Name (FQDN) WWW.TP.EDU.TW. 每一個名稱間以 . 隔開 一個名稱對應到多個 IP 稱為 Round Robin 一個名稱對應到不同的服務如 MX 每個 FQDN 如同 IP 一般皆具有唯一性 其限制 最多 127 層 每個分支最長63 字元 (a-z, 0-9, -) 總長 255 字元 注意結尾的點

DNS要求相鄰的node(sibling node)(相同 parent node)其label必須不同- 確保每一node在tree中之domain name唯一

一個Domain的Domain Name就是這個 Domain最高節點(node)的Domain Name A subtree of domain name space 一個Domain的Domain Name就是這個 Domain最高節點(node)的Domain Name 同一個Domain中的host在邏輯上彼此相關, 可以是地域上,或組織上…相關;但與其IP Address,在何Network…無關

Tree中的節點(interior node)可代表一host, 亦可指出此Domain的資訊 Leaves of the tree 之Domain Name代表一個 host,並指出此host的Address, Mail Routing 等資訊 Tree中的節點(interior node)可代表一host, 亦可指出此Domain的資訊 hp.com代表HP公司的Domain Name, 且是網路上一台host

Domain & Zone A zone and a domain may share the same domain name but contain different nodes. 一個授權自行管理的domain會有一個name server, 其所負責的區域稱做zone, 但其範圍 不含其授權管理的subdomain Zone is bounded by delegation, it never includes delegated data.

tw tp domain edu edu zone mil gov tp tp zone fg proxy slhs fg zone slhs zone www mail ftp edu domain

Query Type - recursive The name server repeats the same basic process until it receives an answer. Querier Request Answer Name Server 反覆Query其它Name Server

只須回答the best answer it already known 告訴querier可再查詢的name server Query Type - iterative 只須回答the best answer it already known 告訴querier可再查詢的name server 對name server的負擔較輕

運作原理 當被詢問到有關本域名之內的主機名稱的時候,DNS 伺服器會直接做出回答(此一答案稱為權威回答 (Authoritative Answer),此一主機稱為權威主機) 如果所查詢的主機名稱屬於其它域名的話,會檢查快 取(Cache),看看有沒有相關資料 如果沒有發現,則會轉向root伺服器查詢,然後root伺 服器會將該域名之授權(authoritative)伺服器(可能會超 過一台)的地址告知

運作原理 本地伺服器然後會向其中的一台伺服器查詢,並將這 些伺服器名單存到記憶體中,以備將來之需(省卻再向 root查詢的步驟) 遠方伺服器回應查詢 將查詢結果回應給客戶,並同時將結果儲存一個備份 在自己的快取記憶裡面 如果Cache資料的時間尚未過期之前再接到相同的查詢, 則以存放於快取記憶裡面的資料來做回應

. Query: www.slhs.tp.edu.tw tw Name Server edu gov tp ntnu resolver root name server tw. name server tw Name Server edu.tw. name server edu gov tp.edu.tw. name server tp ntnu resolver slhs.tp.edu.tw. name server slhs ck

Name server收到一個recursive query,本身沒 有答案,則會向“closet known” name server 詢問 是否知道負責www.tp.edu.tw的Name Server 收到www.tp.edu.tw 不知道 是否知道負責tp.edu.tw的Name Server 不知道 是否知道負責edu.tw的Name Server 不知道 是否知道負責tw的Name Server 不知道 從root找

正解/反解之意義與原理 正解 (forward domain): 由機器名稱對應至 IP Forward mapping – Maps all host names to address 反解 (reverse domain): 由 IP 對應至網域名稱 Reverse mapping – Map address back to host names 反解的 DNS Query 遠比正解高出許多,這是一般人常忽略之處 Used in some authorization checks 正反解一致有其必要 國內的系統較不嚴謹,比較不會檢查正反解的一致性,但國外有許多比例都會進行這個部分的確認 由來源 IP 查反解名稱,依結果再查正解,並檢驗其結果 有部分的Mail Server也會使用正反解確認的機制來減少SPAM的問題

正解之原理 正解 tp.edu.tw. tw com edu net arpa · · · · · · edu com org gov

反解之原理 反解 3.185.72.203.in-addr.arpa. arpa com edu net tw · · · · · · ip6 · · · · · · 203 · · · · · · 72 · · · · · · 185 · · · · · · 3 · · · · · ·

DNS 的平台 UNIX Windows 常見為ISC BIND 共約發行四五十個版本 ( 4.X~9.X) 穩定,可靠,最多人使用 可見於 Windows Server 級的版本 簡單設定是其優點 GUI 設定 Bind 可於 Widnows 上運作

Master - Slave – Master & Slave Server The server for a zone reads the data for the zone from files on its host Slave – The server for a zone gets the zone data from another name server that is authoritative for the zone

The name servers not authoritative for any zones. Cache Only The name servers not authoritative for any zones.

BIND Name server needs a configuration file – Zone data files – named.conf Zone data files – Case-insensitive Resource records must start in the first column of a line Order is not a requirement

Windows Server 2008 DNS

dns.slhs.tp.edu.tw. tom@tp.edu.tw.

安全相關設定

DNS Amplification Attack

Conficker DNS Query lvctmusxcyz.com yrdeuqfs.net xvpyxydqnf.org hiatyjgemd.info uikuhsajkuk.org qbvzspwa.cc hgdhuet.biz lxcvibemyxn.org ntjzoocxdej.ws ziozjiub.cc tyjyybyd.cc

如何建講一個安全的 DNS Server DNS Server 要更新 兩部以上的 DNS Server 並實體適當分離 http://www.isc.org Windows 平台基本上隨 hotfix 或 Service Pack 而更新 兩部以上的 DNS Server 並實體適當分離 容錯考量 避免線路或實體上造成解析問題 區分可 Recursive 對象 架設兩部以上外的可供內部使用的 resover 主機 或使用 BIND view 的架構,區分內外網查詢處理的差別 內網可 Recursive 查詢,外網則禁止以避免欺騙問題

市網中心DNS架構 dns1 dns2 dns3 Slaves Zone Transfer ns1 Master

dns1 dns2

dns1 dns2 ns1 ns2

DNS DNS www.xxx.tp.edu.tw PC www.xxx.tp.edu.tw 203.72.185.10 192.168.1.10 203.72.185.10 DNS www.xxx.tp.edu.tw 192.168.1.1 PC www.xxx.tp.edu.tw 203.72.185.10 192.168.1.10 192.168.1.10 192.168.1.123

區分內外網可 recursive 對象,善用 BIND9 的 view named.conf : acl “Lan” {192.168/24;127.0.0.1;}; acl “public” { !Lan;}; options { directory “/var/named”; allow-transfer {none;}; }; view “intranet” { match-clients {Lan;}; recursion yes; zone "." { type hint; file "named.root"; }; zone “xxx.tp.edu.tw" { type master; file “xxx-intranet.xxx.tp.edu.tw"; }; }; view “internet” { match-clients {!Lan;}; recursion no; zone “xxx.tp.edu.tw" { type master; file “xxx-internet.xxx.tp.edu.tw"; }; 56

限制服務的對象(Allow Query) BIND9.4後 allow-query預設為localhost及localnets acl "SLHS-Campus" { 203.72.185.0/24; 203.72.186.0/24;203.72.187.0/24; 203.72.188.0/24; } ; options { …………………….. allow-query { SLHS-Campus; }; ………………………. zone "slhs.tp.edu.tw" { type master; file "named.slhs"; allow-query { any; }; BIND9.4後 allow-query預設為localhost及localnets

限制服務的對象(Allow Recursion) acl "SLHS-Campus" { 203.72.185.0/24; 203.72.186.0/24;203.72.187.0/24; 203.72.188.0/24; } ; options { …………………….. allow-recursion { SLHS-Campus; }; ………………………. zone "slhs.tp.edu.tw" { type master; file "named.slhs"; allow-recursion預設為 any

存取控制- Restricting Unauthorized Zone Transfer Zone “slhs.tp.edu.tw” { type slave ; masters {203.72.185.1; } ; file “slhs.zone” ; allow-transfer { none ; } ; } ;

Dynamic Update zone “slhs.tp.edu.tw" in { type master; file "named.hosts"; allow-update {none; }; };

dig @server: name server domain: 要查詢的domain name dig [@server] domain [query-type] [query-class] [+query-option] [-dig-option] @server: name server domain: 要查詢的domain name query-type: A, MX, NS, SOA... query-class: in, any query-option: [no]debug, [no]recurse, [no]vc... dig-option: -x

Lame Server Lame Server 成因 DNS 並無管理該網域名稱(即非權威主機),卻將 DNS 的 NS 記錄指向了該部 DNS 很多人將NS Record的 DNS 指定,設向了 校外的DNS(dns.hinet.net) 或其他僅提供大眾查詢與解析網域名稱之DNS 主機(Cache Server),但是此類主機並無管理該網域名稱 DNS 管理該網域名稱,但是 NS 記錄列表裏並沒有該 DNS 的名稱或不一致  xxx.tp.edu.tw 在 市網 的 DNS 指定為 dns1 及 dns2 , 但自己的 DNS 卻將 NS設為 ns3/ns4 等,或與上層不一致之主機名稱。 避免 LAME Server 最大的要求即在上層與下層的 DNS 設定完全一致,並且所有的DNS 主機都能正常工作,如 此方是一個上下層完整的授權關係

27-Feb-2014 09:01:25. 256 info: lame server resolving 'taiwanledlight 27-Feb-2014 09:01:25.256 info: lame server resolving 'taiwanledlight.com.tw' (in 'taiwanledlight.com.tw'?): 59.120.169.201#53 dig @192.83.166.9 taiwanledlight.com.tw ns +norec ;; AUTHORITY SECTION: taiwanledlight.com.tw. 86400 IN NS ypns1.chyp.com.tw. taiwanledlight.com.tw. 86400 IN NS ypns2.chyp.com.tw. ;; ADDITIONAL SECTION: ypns1.chyp.com.tw. 86400 IN A 59.120.169.201 ypns2.chyp.com.tw. 86400 IN A 59.120.169.200 dig @59.120.169.200 taiwanledlight.com.tw ns +norec ;; flags: qr aa ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 …… ;; ANSWER SECTION: taiwanledlight.com.tw. 3600 IN NS ypns2.chyp.com.tw. ;; ADDITIONAL SECTION: ypns2.chyp.com.tw. 1500 IN A 59.120.169.200

dig @59.120.169.201 taiwanledlight.com.tw ns +norec ;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 3 …. ;; AUTHORITY SECTION: . 3600 IN NS g.root-servers.net. . 3600 IN NS h.root-servers.net. . 3600 IN NS i.root-servers.net. . 3600 IN NS j.root-servers.net. . 3600 IN NS k.root-servers.net. . 3600 IN NS l.root-servers.net. . 3600 IN NS m.root-servers.net. . 3600 IN NS a.root-servers.net. . 3600 IN NS b.root-servers.net. . 3600 IN NS c.root-servers.net. . 3600 IN NS d.root-servers.net. . 3600 IN NS e.root-servers.net. . 3600 IN NS f.root-servers.net. ;; ADDITIONAL SECTION: g.root-servers.net. 3600 IN A 192.112.36.4 h.root-servers.net. 3600 IN A 128.63.2.53 i.root-servers.net. 3600 IN A 192.36.148.17

上層授權與下層宣告不一致 06-Mar-2014 12:55:19.656 info: lame server resolving 'boenilaexl.lllh.tp.edu.tw' (in 'lllh.tp.edu.tw'?): 163.21.249.166#53 dig @163.21.249.166 lllh.tp.edu.tw ns +norec ;; AUTHORITY SECTION: lllh.tp.edu.tw. 259200 IN NS dns.lllh.tp.edu.tw. ;; ADDITIONAL SECTION: dns.lllh.tp.edu.tw. 37178 IN A 163.21.2xx.2 dns.lllh.tp.edu.tw. 21507 IN AAAA 2001:288:12xx::1 dig @163.21.2xx.2 lllh.tp.edu.tw ns +norec ;; ANSWER SECTION: lllh.tp.edu.tw. 38400 IN NS dns.tp.edu.tw. lllh.tp.edu.tw. 38400 IN NS dns.lllh.tp.edu.tw. ;; ADDITIONAL SECTION: dns.lllh.tp.edu.tw. 38400 IN A 163.21.2xx.2 dns.lllh.tp.edu.tw. 38400 IN AAAA 2001:288:12xx::1

上層授權與下層宣告不一致 dig @163.21.249.166 cccs.tp.edu.tw ns +norec ;; AUTHORITY SECTION: cccs.tp.edu.tw. 259200 IN NS tpws132.cccs.tp.edu.tw. ;; ADDITIONAL SECTION: tpws132.cccs.tp.edu.tw. 259200 IN A 163.21.5x.5 tpws132.cccs.tp.edu.tw. 259200 IN AAAA 2001:288:12xx::1 dig @163.21.5x.5 cccs.tp.edu.tw ns +norec ;; ANSWER SECTION: cccs.tp.edu.tw. 3600 IN NS tpjh2008.cccs.tp.edu.tw. ;; ADDITIONAL SECTION: tpjh2008.cccs.tp.edu.tw. 3600 IN A 192.168.132.1 tpjh2008.cccs.tp.edu.tw. 3600 IN AAAA 2001:288:12xx:1::1 tpjh2008.cccs.tp.edu.tw. 3600 IN AAAA 2001:288:12xx:1:f82a:b58c:a649:afb1

dig @163.21.249.166 dees.tp.edu.tw ns +norec ;; AUTHORITY SECTION: dees.tp.edu.tw. 259200 IN NS deesdns.dees.tp.edu.tw. ;; ADDITIONAL SECTION: deesdns.dees.tp.edu.tw. 259200 IN A 163.21.2xx.6 deesdns.dees.tp.edu.tw. 259200 IN AAAA 2001:288:12xx::1 dig @163.21.2xx.6 dees.tp.edu.tw ns +norec ;; ANSWER SECTION: dees.tp.edu.tw. 3600 IN NS dns.v6.dees.tp.edu.tw. ;; ADDITIONAL SECTION: dns.v6.dees.tp.edu.tw. 3600 IN AAAA 2001:288:12xx::1

如何確認上層授權與學校宣告是否一致 dig @163.21.249.166 slhs.tp.edu.tw ns +norec ;; AUTHORITY SECTION: slhs.tp.edu.tw. 259200 IN NS netadm.slhs.tp.edu.tw. slhs.tp.edu.tw. 259200 IN NS dns.slhs.tp.edu.tw. ;; ADDITIONAL SECTION: dns.slhs.tp.edu.tw. 57267 IN A 203.72.185.1 dns.slhs.tp.edu.tw. 21211 IN AAAA 2001:288:1201::1 netadm.slhs.tp.edu.tw. 6811 IN A 203.72.185.15 netadm.slhs.tp.edu.tw. 35605 IN AAAA 2001:288:1201::15 dig @203.72.185.1 slhs.tp.edu.tw ns +norec ;; ANSWER SECTION: slhs.tp.edu.tw. 86400 IN NS dns.slhs.tp.edu.tw. slhs.tp.edu.tw. 86400 IN NS netadm.slhs.tp.edu.tw. ;; ADDITIONAL SECTION: dns.slhs.tp.edu.tw. 86400 IN A 203.72.185.1 dns.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::1 netadm.slhs.tp.edu.tw. 86400 IN A 203.72.185.15 netadm.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::15

如何確認市網授權與學校宣告是否一致 dig @163.21.249.166 slhs.tp.edu.tw ns +norec ;; AUTHORITY SECTION: slhs.tp.edu.tw. 259200 IN NS netadm.slhs.tp.edu.tw. slhs.tp.edu.tw. 259200 IN NS dns.slhs.tp.edu.tw. ;; ADDITIONAL SECTION: dns.slhs.tp.edu.tw. 57267 IN A 203.72.185.1 dns.slhs.tp.edu.tw. 21211 IN AAAA 2001:288:1201::1 netadm.slhs.tp.edu.tw. 6811 IN A 203.72.185.15 netadm.slhs.tp.edu.tw. 35605 IN AAAA 2001:288:1201::15 dig @203.72.185.15 slhs.tp.edu.tw ns +norec ;; ANSWER SECTION: slhs.tp.edu.tw. 86400 IN NS netadm.slhs.tp.edu.tw. slhs.tp.edu.tw. 86400 IN NS dns.slhs.tp.edu.tw. ;; ADDITIONAL SECTION: dns.slhs.tp.edu.tw. 86400 IN A 203.72.185.1 dns.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::1 netadm.slhs.tp.edu.tw. 86400 IN A 203.72.185.15 netadm.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::15

IPv4與IPv6都要測 dig @2001:288:1201::1 slhs.tp.edu.tw ns +norec ;; ANSWER SECTION: slhs.tp.edu.tw. 86400 IN NS netadm.slhs.tp.edu.tw. slhs.tp.edu.tw. 86400 IN NS dns.slhs.tp.edu.tw. ;; ADDITIONAL SECTION: dns.slhs.tp.edu.tw. 86400 IN A 203.72.185.1 dns.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::1 netadm.slhs.tp.edu.tw. 86400 IN A 203.72.185.15 netadm.slhs.tp.edu.tw. 86400 IN AAAA 2001:288:1201::15

開啟「命令提示字元」 執行 nslookup 進入nslookup後,打入『set norec』,表示接下來的查詢都要用none-recursive的方式查,這要才會查到所指定DNS上的資料,而不是透過指定DNS到其它DNS查到的資料 打入server <學校DNS的IP>,例如:server 203.72.185.1,使接下來的查詢到學校的DNS查

打入『set q=ns』,表是接下來要查NS記錄,即查學校對自己Domain的宣告資料 打入學校的Domain Name,查學校對自己學校Domain Name的宣告資料

打入市網中心DNS的IP (163.21.249.166) 再打一次學校的Domain Name,看市網中心DNS的授權資料

Client的DNS設哪裡好呢? 設校外的DNS(Hinet, Google) 建議設離Client最近的DNS 學校DNS無法Cache校內常用的Domain (Facebook, Google, Yahoo…) 每一個Query都要透過學校對外線路與設備 吃掉對外頻寬 增加網路設備負擔 建議設離Client最近的DNS 學校 市網(163.21.249.166, 163.21.249.167)

外界IP密集向學校DNS發送Query 該IP是否是DNS 如果對方是DNS,直接阻擋,會造成外界查不 到學校的資料. 如果是-不可直接阻檔 如果不是-可直接阻檔 如果對方是DNS,直接阻擋,會造成外界查不 到學校的資料. 查看DNS之Log, 查看對方送什麼Query,再 決定後續動作

關閉非自己 client 的 recursive 使用 BIND9 會比 BIND8 在查詢上嚴謹 留意 DNS 相關的系統漏洞或問題 避免或少用 168.95.1.1,主要其太多人用常有 timeout 情況發生 開啟 query/secutiry log 記錄查詢及安全方面相 關訊息 網路有調整即檢視 acl 是否仍適當 版本隱藏 (options { version “abc”;}; ) 開啟 use-id-pool yes,增加 query id (2bytes) 的 隨機性,且記錄 qid 與 IP 間的關係,以避免 spoof (會增加系統資源的使用) 可考慮 chroot 環境,以減少入侵後的風險

Q & A