DNS 簡介DNS: 名稱解析服務(wù)，不是域名解析服務(wù)，因為它解析的是計算機FQDN:FQDN ：(Fully Qualified Domain Name)完全合格域名/全稱域名，是指主機名加上全路徑，

DNS 簡介

DNS: 名稱解析服務(wù)，不是域名解析服務(wù)，因為它解析的是計算機

FQDN:

FQDN ：(Fully Qualified Domain Name)完全合格域名/全稱域名，是指主機名加上全路徑，全路徑中列出了序列中所有域成員。全域名可以從邏輯上準(zhǔn)確地表示出主機在什么地方，也可以說全域名是主機名的一種完全表示形式。從全域名中包含的信息可以看出主機在域名樹中的位置。DNS 組件：

DNS 服務(wù)器

DNS CLIENT

DNS 查詢：

遞歸查詢：DNS 會回應(yīng)查詢的IP 地址

迭代查詢：在DNS 迭代查詢中，客戶端可能得到下一個DNS 服務(wù)器的地址

根提示：本地的DNS 查詢公網(wǎng)的13臺根DNS

(當(dāng)DNS 為. 域，根提示不可用)

轉(zhuǎn)發(fā)：將所有的DNS 請求轉(zhuǎn)發(fā)給指定的DNS

條件轉(zhuǎn)發(fā)：windows 2003及之后，

Zone 類型：

1. 主要zone

2. 輔助zone

3. 存根zone

DNS 區(qū)域類型

正向查找區(qū)域 反向查找區(qū)域

主要區(qū)域 輔助區(qū)域 存根區(qū)域

加入域時，當(dāng)沒有配置DNS 時，可以使用域的netbios 名加入域

名稱解析過程

1.

2.

3.

4.

5.

6.

7.

8.

Enter commandLocal host nameHosts fileDNS serverNetBIOS name cache WINS ServerBroadcast LMHOSTS File5. DNS Page 1

8. LMHOSTS File

使用DNSSEC 技術(shù)保護(hù)DNS 安全

DNSSEC 主要依靠公鑰技術(shù)對于包含在DNS 中的信息創(chuàng)建密碼簽名。密碼簽名通過計算出一個密碼hash 數(shù)來提供DNS 中數(shù)據(jù)的完整性，并將該hash 數(shù)封裝進(jìn)行保護(hù)。私/公鑰對中的私鑰用來封裝hash 數(shù)，然后可以用公鑰把hash 數(shù)譯出來。如果這個譯出的hash 值匹配接收者剛剛計算出來的hash 樹，那么表明數(shù)據(jù)是完整的。不管譯出來的hash 數(shù)和計算出來的hash 數(shù)是否匹配，對于密碼簽名這種認(rèn)證方式都是絕對正確的，因為公鑰僅僅用于解密合法的hash 數(shù)，所以只有擁有私鑰的擁有者可以加密這些信息。DNSSEC 的功能主要有三個方面：

為DNS 數(shù)據(jù)提供來源驗證，即保證數(shù)據(jù)來自正確的名稱服務(wù)器。

為數(shù)據(jù)提供完整性驗證，即保證數(shù)據(jù)在傳輸?shù)倪^程中沒有任何的更改。

否定存在驗證，即對否定應(yīng)答報文提供驗證信息，確認(rèn)授權(quán)名稱服務(wù)器上不存在所查詢的資源記錄。DNSSEC 為了實現(xiàn)簽名和簽名的驗證功能，引入了四個新的資源記錄類型：

DNSKEY ：用于存儲驗證DNS 數(shù)據(jù)的公鑰；

RRSIG ：用于存儲DNS 資源記錄的簽名信息；

NSEC ：存儲和對應(yīng)的所有者相鄰的下一個資源記錄，主要用于否定存在驗證；

DS （Delegation Signer，授權(quán)簽名者）：用于DNSKEY 驗證過程，存儲密鑰標(biāo)簽，加密算法和對應(yīng)的DNSKEY 的摘要信息。

DNSSEC 的工作機制主要體現(xiàn)在DNS 工作過程中的以下2個方面：

（1）DNS 查詢/應(yīng)答：這一步因為使用了未加密和未驗證的UDP 數(shù)據(jù)包，存在嚴(yán)重的安全漏洞。DNSSEC 在這一步中加入了對數(shù)據(jù)源的驗證和對數(shù)據(jù)完整性的校驗。DNSSEC 要對某個域的數(shù)據(jù)進(jìn)行驗證，客戶端就必須信任這個域的公鑰。由于DNS 中沒有第三方的公鑰驗證體系，要建立對公鑰的信任，就必須從一個已經(jīng)被信任的名稱服務(wù)器（如根服務(wù)器）開始，由此服務(wù)器驗證其子域的公鑰。然后再由這個子域的公鑰驗證其子域的公鑰，一直到所請求的域的公鑰得到驗證，這個過程稱為建立信任鏈。起始受信任的名稱服務(wù)器的公鑰就被稱為信任錨點。驗證數(shù)據(jù)源以后，下一步驗證應(yīng)答信息本身，它要求應(yīng)答不僅包括請求的資源記錄，還包括驗證這些資源記錄的所需的信息，即一個資源記錄集的數(shù)字簽名，它包含RRSIG 中。使用信任錨點的DNS 客戶端就可以通過驗證此數(shù)字簽名來檢查應(yīng)答報文是否真實。為了保證和查詢相應(yīng)的資源記錄的確不存在，而不是在傳輸過程中被刪除，DNSSEC 生成一個特殊的資源類型記錄（NSEC ）來檢測域名是否存在。

（2）DNS 域區(qū)傳輸：一個域區(qū)中一般有主域名服務(wù)器和備份域名服務(wù)器，域區(qū)傳輸就是域區(qū)文件從主域名服務(wù)器copy 到備份域名服務(wù)器上的過程。在這個過程中面臨著數(shù)據(jù)包攔截和更改的危險。DNSSEC 用TSIG （Transaction Signature，事務(wù)簽名）來驗證請求方的真實身份和保證傳輸內(nèi)容在傳輸過程中被篡改。

因此，DNSSEC 的部署主要有三個步驟：

生成公/私密鑰對

公鑰的發(fā)布及私鑰的存儲

域區(qū)的簽署

5. DNS Page 2