day05 DHCP部署與安全 | DNS部署與安全

目錄

• DHCP部署與安全
  • 1、DHCP作用
  • 2、DHCP相關概念
  • 3、DHCP優點
  • 4、DHCP原理
  • 5、DHCP續約
  • 6、部署DHCP服務器
  • 7、地址保留
  • 8、選項優先級
  • 9、DHCP備份和還原
  • 10、DHCP攻擊與防御
• DNS部署與安全
  • 1、DNS
  • 2、域名組成
  • 3、監聽端口
  • 4、DNS解析種類
    • 4.1、按照查詢方式
    • 4.2、按照查詢內容分類
  • 5、DNS服務器搭建過程
  • ６、DNS客戶機如何解析
  • 7、DNS服務器處理域名請求的順序
  • 8、輔助DNS服務器
  • 9、清除DNS緩存
    • 9.1 客戶機清除緩存
    • 9.2 服務器清除緩存
  • 10、域名解析記錄類型：
  • 11、反向DNS
  • 12、DNS服務器分類
  • 13、客戶機域名請求解析順序
  • 14、服務器對域名請求的處理順序
  • 15、為DNS主機命名

DHCP部署與安全

1、DHCP作用

• DHCP（ Dynamic Host Configure Protocol）

• 自動分配 IP 地址

2、DHCP相關概念

• 地址池/作用域：（IP、DNS、子網掩碼、網關、租期），DHCP協議端口是UDP 67/68

3、DHCP優點

• 減少工作量

• 避免IP沖突

• 提高地址利用率

4、DHCP原理

• 也稱為 DHCP 租約過程，分為四個步驟：

  • 客戶機發送 DHCP Discovery 廣播包

    ​ 客戶機廣播請求 IP 地址（包含客戶機的 MAC 地址）

  • 服務器響應 DHCP Offer 廣播包

    ​ 服務器響應提供的 IP 地址（但無子網掩碼、網關等參數）

  • 客戶機發送 DHCP Request廣播包

    ​ 客戶機選擇 IP（也可認為確認使用哪個 IP）

  • 服務器發送DHCP ACK廣播包

    ​ 服務器確定了租約，並提供網卡詳細參數IP，掩碼，網關，DNS，租期等

5、DHCP續約

• 當租期過 50% 的時候，客戶機會再次發送 DHCP Request 包，進行續約，如果服務器無響應，則繼續使用並在 87.5% 時再次發送 DHCP Request 包，進行續約，如果仍未響應，則釋放 IP 地址，並回到第一步發送 DHCP Discovery 包
• 當無任何服務器響應時，自動給自己分配一個 169.254.x.x/16，屬於全球統一無效地址，用於臨時內網通信

6、部署DHCP服務器

1. IP 地址固定（服務器必須固定 IP 地址）‘

2. 安裝DHCP服務插件

3. 新建作用域及作用域選項

4. 激活

5. 客戶機驗證：

   ipconfig /release  釋放IP (取消租約，或者改為手動配置IP，也可以釋放租約)
   
   ipconfig /renew  重新獲取IP（有IP時發送 Request 包續約，如果沒有則發送 Discovery 包重新獲取IP）
   

7、地址保留

• 對指定的 MAC 地址，固定動態分配 IP 地址

8、選項優先級

• 作用域選項＞服務器選項
• *當服務器上有多個作用域時，可以在服務器選項設置DNS服務器

9、DHCP備份和還原

• 右鍵服務器可以備份，防止宕機等問題

10、DHCP攻擊與防御

• 攻擊 DHCP 服務器：頻繁的發送偽裝 DHCP 請求，直到將 DHCP 地址池資源耗盡，導致正常請求無法回應

  防御：在交換機（管理型）的端口上做動態 MAC 地址綁定

• 偽裝 DHCP 服務器：通過將自己部署為 DHCP 服務器，為客戶機提供非法IP地址

  防御：在交換機（管理型）除合法的 DHCP 服務器所在接口外，禁止發送 DHCP Offer 包

  ---

DNS部署與安全

1、DNS

• Domain Name Service
• 域名服務
• 作用：為客戶機提供域名解析服務

2、域名組成

• 如“www.baidu.com”,"baidu.com"為域名
• “主機名.域名”稱為 完全限定域名（FQDN）。主機名為服務器標識，

• 

  例如www.baidu.com. (←這個.默認瀏覽器自動添加)

  .為根域

  .com為頂級域

  baidu為一級域名

  www為二級域名

• FQDN = 主機名.DNS后綴

• FQDN（完整合格的域名）

3、監聽端口

    TCP 53
    UDP 53

4、DNS解析種類

4.1、按照查詢方式

1.遞歸查詢：客戶機與本地 DNS 服務器之間

2.迭代查詢：本地 DNS 服務器與根等其他 DNS 服務器的解析過程

DNS解析過程： *客戶機想訪問www.baidu.com

1. 查找本機緩存
2. 若無則找本機 host
3. 還沒有就向本地 DNS 服務器發出請求
4. 本地 DNS 服務器查找 DNS 緩存 和 內置的解析 若有則向客戶機返回 IP 地址
5. 若無則向外查找
6. 本地 DNS 服務器向根域 DNS 服務器發送請求
7. 根域 DNS 服務器回應 .com域名服務器 的 IP 地址
8. 本地 DNS 服務器向 .com域名服務器 發送請求
9. .com域名服務器回應 baidu.com域名服務器 的 IP 地址
10. 本地 DNS 服務器向 baidu.com域名服務器 發送請求
11. baidu.com域名服務器回應 www.baidu.com 對應的 IP 地址
12. 本地 DNS 服務器把收到的 IP 地址返回給客戶機，並記下緩存
13. 客戶機收到地址並記下緩存

總結：

​ 1-4 若成功就是 遞歸解析 （DNS服務器轉發器也算）

​ 5-12 為迭代查詢

4.2、按照查詢內容分類

1. 正向解析：已知域名，解析IP地址

2. 反向解析：已知IP地址，解析域名

5、DNS服務器搭建過程

1. 要求網卡 IP 是靜態 IP 地址
2. 安裝 DNS 服務器插件（也就是安裝並開啟 TCP 及 UDP53 端口）
3. 創建區域文件（負責一個域名后綴的解析，如 baidu.com 為域名后綴，一台 DNS 服務器內可以存放多個區域文件）
4. 新建 A 記錄

６、DNS客戶機如何解析

1. 指向DNS
2. 手工解析域名：

nslookup 域名

7、DNS服務器處理域名請求的順序

1. DNS 高速緩存
2. DNS 區域配置文件
3. DNS 轉發器
4. 根提示

8、輔助DNS服務器

• 作用：為主 DNS 服務器提供備份，提高安全性，會實時更新

• 創建過程：

  1. 在主要 DNS 服務器中，對想要備份的區域右鍵--屬性--區域復制里，勾上”只允許到下列服務器“並把輔助 DNS 服務器的 IP 地址添加上去
  2. 在輔助 DNS 服務器中，新建區域並選擇輔助區域，IP 地址填主要 DNS 服務器即可

9、清除DNS緩存

9.1 客戶機清除緩存

ipconfig /flushdns      清除 DNS 緩存
ipconfig /displaydns    查看 DNS 緩存

9.2 服務器清除緩存

windows服務器：dns工具--查看--高級，調出緩存，清除緩存

10、域名解析記錄類型：

• A記錄：正向解析記錄
• CNAME記錄：別名
• PTR記錄：反向解析記錄
• MX：郵件交換記錄
• NS：域名服務器解析

11、反向DNS

• nslookup 手工解析時，會進行一個反向解析，顯示真實服務器信息

12、DNS服務器分類

• 主要名稱服務器
• 輔助名稱服務器 == 備份的
• 根名稱服務器
• 高速緩存名稱服務器 == 只保存緩存，不解析

13、客戶機域名請求解析順序

1. DNS 緩存
2. 本地 hosts 文件
3. 找本地 DNS 服務器

14、服務器對域名請求的處理順序

1. DNS 高速緩存
2. 本地區域解析文件
3. 轉發器
4. 根

15、為DNS主機命名

1. 在正向區域里創建主機名的域
2. 在域里新建dns1記錄，IP地址填DNS主機IP
3. 在反向區域里新建域 IP地址填DNS主機IP
4. 新建 PTR 指針，IP號填DNS主機對應的，主機名選擇之前創建的那個dns1