CentOS 7 Linux 搭建DNS服务
4
2022-07-02
CentOS 7 Linux 搭建DNS服务
1、DNS介绍
DNS服务器是计算机域名系统 (Domain Name System Domain Name Service) 的缩写1.1、DNS分布图
1.2 DNS解析类型
DNS的解析类型其实也有很多种,我们比较常接触到的就是A类和CNAME,当然现在IPv6开始普及了也就有AAAA类(相当于IPv6版的A类)。- A-将域名指向一个IPV4地址比如将
test.com这个域名解析到1.1.1.1这个IPv4地址; - CNAME-将域名指向另外一个域名比如将
test.com这个域名解析到dns.test.com - AAAA-将域名指向一个IPV6地址比如将
test.com这个域名解析到2001:df2:e500:ed1a::1这个IPv6地址; - NS-将子域名指定其他DNS服务器解析比如你在阿里云购买的域名,但是想要使用网易云来提供DNS解析服务,那就添加一个NS记录,将记录值设置成网易云的DNS服务器域名;
- MX-将域名指向邮件服务器地址设置邮箱时,让邮箱能收到邮件,就需要添加 MX 记录。MX全称为
mail exchanger,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如,当有人发邮件给admin@test.com时,系统将对test.com进行DNS中的MX记录解析。如果MX记录存在,系统就根据MX记录的优先级,将邮件转发到与该MX相应的邮件服务器上。 - TXT-文本长度限制一般为255,通常做SPF记录(反垃圾邮件)SPF是
Sender Policy Framework的缩写,一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。 - CAA-CA证书颁发机构授权校验CAA
(Certificate Authority Authorization),即证书颁发机构授权。是一项新的可以添加到DNS记录中的额外字段,通过DNS机制创建CAA资源记录,可以限定域名颁发的证书和CA(证书颁发机构)之间的联系。未经授权的第三方尝试通过其他CA注册获取用于该域名的SSL/TLS证书将被拒绝。域名设置 CAA 记录,使网站所有者,可授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发,从而提高网站安全性。
其他的还有诸如SRV、显性/隐性URL等解析,具体可以查看对应的域名供应商提供的DNS解析服务说明文档。
1.3、DNS查询过程
1.4、DNS缓存
DNS 缓存(DNS caching) 有时也叫做 DNS 解析器缓存 ,它是 由操作系统维护的临时数据库,它包含有 最近的网站和其他 Internet 域的访问记录。也就是说, DNS 缓存只是计算机为了满足快速的响应速度而把已加载过的资源缓存起来,再次访问时可以直接快速引用的一项技术和手段。那么 DNS 的缓存是如何工作的呢?1.4.1、DNS 缓存的工作流程
在浏览器向外部发出请求之前,计算机会拦截每个请求并在 DNS 缓存数据库中查找域名,该数据库包含有最近的域名列表,以及 DNS 首次发出请求时 DNS 为它们计算的地址。1.4.2、DNS 缓存方式
DNS 数据可缓存到各种不同的位置上,每个位置均将存储 DNS 记录,它的生存时间由 TTL(DNS 字段) 来决定。1、浏览器缓存 现如今的 Web 浏览器设计默认将 DNS 记录缓存一段时间。因为越靠近 Web 浏览器进行 DNS 缓存,为检查缓存并向 IP 地址发出请求的次数就越少。发出对 DNS 记录的请求时,浏览器缓存是针对所请求的记录而检查的第一个位置。 在 chrome 浏览器中,你可以使用 chrome://net-internals/#dns 查看 DNS 缓存的状态。这是基于 Windows 下查询的,我的 Mac 电脑输入上面 url 后无法查看 DNS ,只能 clear host cache ,我也不知道为啥,可能是哪里设置的原因? 2、操作系统内核缓存 在浏览器缓存查询后,会进行操作系统级 DNS 解析器的查询,操作系统级 DNS 解析器是 DNS 查询离开你的计算机前的第二站,也是本地查询的最后一个步骤。
1.5、DNS安全
几乎所有的网络请求都会经过 DNS 查询,而且 DNS 和许多其他的 Internet 协议一样,系统设计时并未考虑到安全性,并且存在一些设计限制,这为 DNS 攻击创造了机会。DNS 攻击主要有下面这几种方式
- Dos 攻击 ,这种攻击的主要形式是使重要的 DNS 服务器比如 TLD 服务器或者根域名服务器过载,从而无法响应权威服务器的请求,使 DNS 查询不起作用。
- DNS 欺骗 ,通过改变 DNS 资源内容,比如伪装一个官方的 DNS 服务器,回复假的资源记录,从而导致主机在尝试与另一台机器连接时,连接至错误的 IP 地址。
- DNS 隧道 ,这种攻击使用其他网络协议通过 DNS 查询和响应建立隧道。攻击者可以使用 SSH、TCP 或者 HTTP 将恶意软件或者被盗信息传递到 DNS 查询中,这种方式使防火墙无法检测到,从而形成 DNS 攻击。
- DNS 劫持 ,在 DNS 劫持中,攻击者将查询重定向到其他域名服务器。这可以通过恶意软件或未经授权的 DNS 服务器修改来完成。尽管结果类似于 DNS 欺骗,但这是完全不同的攻击,因为它的目标是名称服务器上网站的 DNS 记录,而不是解析程序的缓存。
- DDoS 攻击 ,也叫做分布式拒绝服务带宽洪泛攻击,这种攻击形式相当于是 Dos 攻击的升级版
那么该如何防御 DNS 攻击呢?防御 DNS 威胁的最广为人知的方法之一就是采用 DNSSEC 协议 。
- DNSSEC
- DNS 防火墙
2、拓扑
| IP | 系统 | 用处 | 别名 |
|---|---|---|---|
| 10.20.1.2 | CentOS 7 | DNS主服务、DHCP服务器 | Linux03 |
| 10.10.1.1 | CentOS 7 | DNS从服务器 | Linux02 |
| 10.20.1.99 | Windows 10 | 客户机 | Windows10 |
3、安装DNS服务软件包
[root@linux03 ~]# yum install -y bind*查看软件包
rpm -qa | grep '^bind' ^:以bind开头 $:以bind结尾
[root@linux03 ~]# rpm -qa | grep '^bind' bind-libs-9.11.4-26.P2.el7.aarch64 bind-9.11.4-26.P2.el7.aarch64 bind-export-devel-9.11.4-26.P2.el7.aarch64 bind-pkcs11-devel-9.11.4-26.P2.el7.aarch64 bind-export-libs-9.11.4-26.P2.el7.aarch64 bind-license-9.11.4-26.P2.el7.noarch bind-libs-lite-9.11.4-26.P2.el7.aarch64 bind-pkcs11-libs-9.11.4-26.P2.el7.aarch64 bind-pkcs11-utils-9.11.4-26.P2.el7.aarch64 bind-sdb-9.11.4-26.P2.el7.aarch64 bind-dyndb-ldap-11.1-7.el7.aarch64 bind-chroot-9.11.4-26.P2.el7.aarch64 bind-devel-9.11.4-26.P2.el7.aarch64 bind-lite-devel-9.11.4-26.P2.el7.aarch64 bind-pkcs11-9.11.4-26.P2.el7.aarch64 bind-sdb-chroot-9.11.4-26.P2.el7.aarch64 bind-utils-9.11.4-26.P2.el7.aarch64
-qf xxxx 文件名 根据文件找对应的软件包 #rpm -ql bind | more //查询BIND软件包有哪些对应文件 /etc/named.conf DNS服务的属性配置文件 /etc/named.rfc1912.zones DNS服务的区域记录 /var/named/named.localhost 存在DNS的正向解析记录模板 /var/named/named.loopback 存放DNS的反向解析记录模板 /var/named/slaves 辅助DNS区域记录文件的存放位置
4、修改配置文件
[root@linux03 ~]# vim /etc/named.conf
#找到如下配置进行修改
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { localhost; };
#改成
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };
[root@linux03 ~]# systemctl restart named && systemctl enable named
Created symlink from /etc/systemd/system/multi-user.target.wants/named.service to /usr/lib/systemd/system/named.service.
[root@linux03 ~]# vim /etc/named.rfc1912.zones
#修改如下信息
zone "0.in-addr.arpa" IN {
type master;
file "named.empty";
allow-update { none; };
};
#修改后
zone "test.com" IN {
type master;
file "test.com.zone";
allow-update { none; };
};
#正向解析区域
zone "localhost.localdomain" IN {
type master;
file "named.localhost";
allow-update { none; };
};
zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
};
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};
#反向解析区域
zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};
#创建区域,声明区域类型,区域记录文件
zone "test.com" IN {
type master;
file "test.com.zone";
5、编辑正向解析模板文件
复制正向区域记录模板[root@linux03 ~]# cp -a /var/named/named.localhost /var/named/test.com.zone
[root@linux03 ~]# vim /var/named/test.com.zone
$TTL 1D
# dns地址 管理员邮箱
@ IN SOA @ rname.invalid. (
#序号 表示DNS数据库文件新旧程度,越大越新 用于辅助DNS判断主DNS记录的新旧程度
0 ; serial
#刷新 辅助DNS每隔多久向主DNS请求更新记录
1D ; refresh
#重试 辅助DNS在更新失败后,等待多久后向主DNS请求更新记录
1H ; retry
#失效 辅助DNS如果一直请求更新失败,多久后,辅助DNS不再向主DNS请求更新
1W ; expire
#缓存 辅助DNS将该记录缓存在本地的时间
3H ) ; minimum
NS @
A 127.0.0.1
AAAA ::1
#修改后
$TTL 1D
@ IN SOA dns.test.com. root.test.com. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
#格式:xxx.com.
NS dns.test.com.
dns A 10.20.1.2
dhcp CNAME dns.test.com.
linux03 A 10.10.1.2
linux02 A 10.10.1.1
linux01 A 10.211.55.201
Win10 A 10.211.55.99
重启并查看DNS服务
[root@linux03 ~]# systemctl restart named && systemctl enable named [root@linux03 ~]# netstat -ntlup | grep named tcp 0 0 192.168.1.103:53 0.0.0.0:* LISTEN 7505/named tcp 0 0 10.20.1.2:53 0.0.0.0:* LISTEN 7505/named tcp 0 0 10.10.1.2:53 0.0.0.0:* LISTEN 7505/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 7505/named tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 7505/named tcp6 0 0 :::53 :::* LISTEN 7505/named tcp6 0 0 ::1:953 :::* LISTEN 7505/named udp 0 0 192.168.1.103:53 0.0.0.0:* 7505/named udp 0 0 10.20.1.2:53 0.0.0.0:* 7505/named udp 0 0 10.10.1.2:53 0.0.0.0:* 7505/named udp 0 0 127.0.0.1:53 0.0.0.0:* 7505/named udp6 0 0 :::53 :::* 7505/named
6、修改DHCP配置文件
因为客户端使用的是DHCP获取IP和DNS的方式,并且Linux03已经搭建好了DHCP服务器,需要修改一下配置,让客户端自动获取[root@linux03 ~]# vim /etc/dhcp/dhcpd.conf
subnet 10.20.1.0 netmask 255.255.255.0 {
range 10.20.1.90 10.20.1.100;
#在这一行添加为DNS服务器的IP
option domain-name-servers 10.20.1.2;
option domain-name "test.com";
option routers 10.20.1.2;
option broadcast-address 10.20.1.255;
default-lease-time 600;
max-lease-time 7200;
}
[root@linux03 ~]# systemctl restart dhcpd
7、客户端测试
C:\Users\luna>ipconfig /release
Windows IP 配置
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :
IPv6 地址 . . . . . . . . . . . . : fdb2:2c26:f4e4:2:74ac:e010:447e:a809
临时 IPv6 地址. . . . . . . . . . : fdb2:2c26:f4e4:2:d82e:a95b:173:bd01
本地链接 IPv6 地址. . . . . . . . : fe80::74ac:e010:447e:a809%7
默认网关. . . . . . . . . . . . . :
C:\Users\luna>ipconfig /renew
Windows IP 配置
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . : test.com
IPv6 地址 . . . . . . . . . . . . : fdb2:2c26:f4e4:2:74ac:e010:447e:a809
临时 IPv6 地址. . . . . . . . . . : fdb2:2c26:f4e4:2:d82e:a95b:173:bd01
本地链接 IPv6 地址. . . . . . . . : fe80::74ac:e010:447e:a809%7
IPv4 地址 . . . . . . . . . . . . : 10.20.1.99
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.20.1.2
C:\Users\luna>ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : 5E53
主 DNS 后缀 . . . . . . . . . . . :
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
DNS 后缀搜索列表 . . . . . . . . : test.com
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . : test.com
描述. . . . . . . . . . . . . . . : Parallels VirtIO Ethernet Adapter
物理地址. . . . . . . . . . . . . : 00-1C-42-73-A3-10
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
IPv6 地址 . . . . . . . . . . . . : fdb2:2c26:f4e4:2:74ac:e010:447e:a809(首选)
临时 IPv6 地址. . . . . . . . . . : fdb2:2c26:f4e4:2:d82e:a95b:173:bd01(首选)
本地链接 IPv6 地址. . . . . . . . : fe80::74ac:e010:447e:a809%7(首选)
IPv4 地址 . . . . . . . . . . . . : 10.20.1.99(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
获得租约的时间 . . . . . . . . . : 2022年7月31日 11:36:42
租约过期的时间 . . . . . . . . . : 2022年7月31日 11:46:42
默认网关. . . . . . . . . . . . . : 10.20.1.2
DHCP 服务器 . . . . . . . . . . . : 10.20.1.2
DHCPv6 IAID . . . . . . . . . . . : 83893314
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-2A-75-95-89-00-1C-42-73-A3-10
DNS 服务器 . . . . . . . . . . . : 10.20.1.2
TCPIP 上的 NetBIOS . . . . . . . : 已启用
C:\Users\luna>ping linux01
正在 Ping linux01.test.com [10.211.55.201] 具有 32 字节的数据:
来自 10.211.55.201 的回复: 字节=32 时间<1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
10.211.55.201 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
C:\Users\luna>ping linux03
正在 Ping linux03.test.com [10.10.1.2] 具有 32 字节的数据:
来自 10.10.1.2 的回复: 字节=32 时间<1ms TTL=64
来自 10.10.1.2 的回复: 字节=32 时间=1ms TTL=64
来自 10.10.1.2 的回复: 字节=32 时间=1ms TTL=64
来自 10.10.1.2 的回复: 字节=32 时间=1ms TTL=64
10.10.1.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
C:\Users\luna>ping dhcp.test.com
正在 Ping dns.test.com [10.20.1.2] 具有 32 字节的数据:
来自 10.20.1.2 的回复: 字节=32 时间<1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间=1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间=1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间<1ms TTL=64
10.20.1.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
8、配置Linux02为辅助DNS
8.1安装bind软件包
[root@linux02 ~]# yum install -y bind*
8.2、修改配置文件
[root@linux02 ~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };
/*
辅助DNS,新建和主DNS相同的域名,类型为slave,声明谁是DNS的master
[root@linux02 ~]# vim /etc/named.rfc1912.zones
zone "test.com" IN {
type slave;
file "slave/test.com.zone";
masters{ 10.20.1.2; };
# allow-update { none; };
};
8.3、配置主DNS同步
[root@linux03 ~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };
allow-transfer { 10.10.1.1; };
[root@linux03 ~]# systemctl restart named
8.4、配置DHCP文件添加从DNS
[root@linux03 ~]# vim /etc/dhcp/dhcpd.conf
# A slightly different configuration for an internal subnet.
subnet 10.20.1.0 netmask 255.255.255.0 {
range 10.20.1.90 10.20.1.100;
option domain-name-servers 10.20.1.2,10.10.1.1;
option domain-name "test.com";
option routers 10.20.1.2;
option broadcast-address 10.20.1.255;
default-lease-time 600;
max-lease-time 7200;
}
[root@linux03 ~]# systemctl restart dhcpd
9、测试从DNS服务是否正常
[root@linux03 ~]# systemctl stop named
[root@linux03 ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
Active: inactive (dead) since 日 2022-07-31 12:44:19 CST; 2min 1s ago
Process: 8908 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
Process: 8877 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
Process: 8874 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
Main PID: 8880 (code=exited, status=0/SUCCESS)
[root@linux02 ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
Active: active (running) since 日 2022-07-31 12:41:52 CST; 5min ago
Process: 9568 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
Process: 9583 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
Process: 9581 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
Main PID: 9584 (named)
CGroup: /system.slice/named.service
└─9584 /usr/sbin/named -u named -c /etc/named.conf...
C:\Users\luna>ping linux01
正在 Ping linux01.test.com [10.211.55.201] 具有 32 字节的数据:
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
来自 10.211.55.201 的回复: 字节=32 时间=1ms TTL=62
10.211.55.201 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 1ms,最长 = 1ms,平均 = 1ms
C:\Users\luna>ping dns.test.com
正在 Ping dns.test.com [10.20.1.2] 具有 32 字节的数据:
来自 10.20.1.2 的回复: 字节=32 时间<1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间=1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间<1ms TTL=64
来自 10.20.1.2 的回复: 字节=32 时间<1ms TTL=64
10.20.1.2 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
- 0
-
分享