day05 DHCP部署与安全 | DNS部署与安全

目录

• DHCP部署与安全
  • 1、DHCP作用
  • 2、DHCP相关概念
  • 3、DHCP优点
  • 4、DHCP原理
  • 5、DHCP续约
  • 6、部署DHCP服务器
  • 7、地址保留
  • 8、选项优先级
  • 9、DHCP备份和还原
  • 10、DHCP攻击与防御
• DNS部署与安全
  • 1、DNS
  • 2、域名组成
  • 3、监听端口
  • 4、DNS解析种类
    • 4.1、按照查询方式
    • 4.2、按照查询内容分类
  • 5、DNS服务器搭建过程
  • ６、DNS客户机如何解析
  • 7、DNS服务器处理域名请求的顺序
  • 8、辅助DNS服务器
  • 9、清除DNS缓存
    • 9.1 客户机清除缓存
    • 9.2 服务器清除缓存
  • 10、域名解析记录类型：
  • 11、反向DNS
  • 12、DNS服务器分类
  • 13、客户机域名请求解析顺序
  • 14、服务器对域名请求的处理顺序
  • 15、为DNS主机命名

DHCP部署与安全

1、DHCP作用

• DHCP（ Dynamic Host Configure Protocol）

• 自动分配 IP 地址

2、DHCP相关概念

• 地址池/作用域：（IP、DNS、子网掩码、网关、租期），DHCP协议端口是UDP 67/68

3、DHCP优点

• 减少工作量

• 避免IP冲突

• 提高地址利用率

4、DHCP原理

• 也称为 DHCP 租约过程，分为四个步骤：

  • 客户机发送 DHCP Discovery 广播包

    ​ 客户机广播请求 IP 地址（包含客户机的 MAC 地址）

  • 服务器响应 DHCP Offer 广播包

    ​ 服务器响应提供的 IP 地址（但无子网掩码、网关等参数）

  • 客户机发送 DHCP Request广播包

    ​ 客户机选择 IP（也可认为确认使用哪个 IP）

  • 服务器发送DHCP ACK广播包

    ​ 服务器确定了租约，并提供网卡详细参数IP，掩码，网关，DNS，租期等

5、DHCP续约

• 当租期过 50% 的时候，客户机会再次发送 DHCP Request 包，进行续约，如果服务器无响应，则继续使用并在 87.5% 时再次发送 DHCP Request 包，进行续约，如果仍未响应，则释放 IP 地址，并回到第一步发送 DHCP Discovery 包
• 当无任何服务器响应时，自动给自己分配一个 169.254.x.x/16，属于全球统一无效地址，用于临时内网通信

6、部署DHCP服务器

1. IP 地址固定（服务器必须固定 IP 地址）‘

2. 安装DHCP服务插件

3. 新建作用域及作用域选项

4. 激活

5. 客户机验证：

   ipconfig /release  释放IP (取消租约，或者改为手动配置IP，也可以释放租约)
   
   ipconfig /renew  重新获取IP（有IP时发送 Request 包续约，如果没有则发送 Discovery 包重新获取IP）
   

7、地址保留

• 对指定的 MAC 地址，固定动态分配 IP 地址

8、选项优先级

• 作用域选项＞服务器选项
• *当服务器上有多个作用域时，可以在服务器选项设置DNS服务器

9、DHCP备份和还原

• 右键服务器可以备份，防止宕机等问题

10、DHCP攻击与防御

• 攻击 DHCP 服务器：频繁的发送伪装 DHCP 请求，直到将 DHCP 地址池资源耗尽，导致正常请求无法回应

  防御：在交换机（管理型）的端口上做动态 MAC 地址绑定

• 伪装 DHCP 服务器：通过将自己部署为 DHCP 服务器，为客户机提供非法IP地址

  防御：在交换机（管理型）除合法的 DHCP 服务器所在接口外，禁止发送 DHCP Offer 包

  ---

DNS部署与安全

1、DNS

• Domain Name Service
• 域名服务
• 作用：为客户机提供域名解析服务

2、域名组成

• 如“www.baidu.com”,"baidu.com"为域名
• “主机名.域名”称为 完全限定域名（FQDN）。主机名为服务器标识，

• 例如www.baidu.com. (←这个.默认浏览器自动添加)

  .为根域

  .com为顶级域

  baidu为一级域名

  www为二级域名

• FQDN = 主机名.DNS后缀

• FQDN（完整合格的域名）

3、监听端口

    TCP 53
    UDP 53

4、DNS解析种类

4.1、按照查询方式

1.递归查询：客户机与本地 DNS 服务器之间

2.迭代查询：本地 DNS 服务器与根等其他 DNS 服务器的解析过程

DNS解析过程： *客户机想访问www.baidu.com

1. 查找本机缓存
2. 若无则找本机 host
3. 还没有就向本地 DNS 服务器发出请求
4. 本地 DNS 服务器查找 DNS 缓存 和 内置的解析 若有则向客户机返回 IP 地址
5. 若无则向外查找
6. 本地 DNS 服务器向根域 DNS 服务器发送请求
7. 根域 DNS 服务器回应 .com域名服务器 的 IP 地址
8. 本地 DNS 服务器向 .com域名服务器 发送请求
9. .com域名服务器回应 baidu.com域名服务器 的 IP 地址
10. 本地 DNS 服务器向 baidu.com域名服务器 发送请求
11. baidu.com域名服务器回应 www.baidu.com 对应的 IP 地址
12. 本地 DNS 服务器把收到的 IP 地址返回给客户机，并记下缓存
13. 客户机收到地址并记下缓存

总结：

​ 1-4 若成功就是 递归解析 （DNS服务器转发器也算）

​ 5-12 为迭代查询

4.2、按照查询内容分类

1. 正向解析：已知域名，解析IP地址

2. 反向解析：已知IP地址，解析域名

5、DNS服务器搭建过程

1. 要求网卡 IP 是静态 IP 地址
2. 安装 DNS 服务器插件（也就是安装并开启 TCP 及 UDP53 端口）
3. 创建区域文件（负责一个域名后缀的解析，如 baidu.com 为域名后缀，一台 DNS 服务器内可以存放多个区域文件）
4. 新建 A 记录

６、DNS客户机如何解析

1. 指向DNS
2. 手工解析域名：

nslookup 域名

7、DNS服务器处理域名请求的顺序

1. DNS 高速缓存
2. DNS 区域配置文件
3. DNS 转发器
4. 根提示

8、辅助DNS服务器

• 作用：为主 DNS 服务器提供备份，提高安全性，会实时更新

• 创建过程：

  1. 在主要 DNS 服务器中，对想要备份的区域右键--属性--区域复制里，勾上”只允许到下列服务器“并把辅助 DNS 服务器的 IP 地址添加上去
  2. 在辅助 DNS 服务器中，新建区域并选择辅助区域，IP 地址填主要 DNS 服务器即可

9、清除DNS缓存

9.1 客户机清除缓存

ipconfig /flushdns      清除 DNS 缓存
ipconfig /displaydns    查看 DNS 缓存

9.2 服务器清除缓存

windows服务器：dns工具--查看--高级，调出缓存，清除缓存

10、域名解析记录类型：

• A记录：正向解析记录
• CNAME记录：别名
• PTR记录：反向解析记录
• MX：邮件交换记录
• NS：域名服务器解析

11、反向DNS

• nslookup 手工解析时，会进行一个反向解析，显示真实服务器信息

12、DNS服务器分类

• 主要名称服务器
• 辅助名称服务器 == 备份的
• 根名称服务器
• 高速缓存名称服务器 == 只保存缓存，不解析

13、客户机域名请求解析顺序

1. DNS 缓存
2. 本地 hosts 文件
3. 找本地 DNS 服务器

14、服务器对域名请求的处理顺序

1. DNS 高速缓存
2. 本地区域解析文件
3. 转发器
4. 根

15、为DNS主机命名

1. 在正向区域里创建主机名的域
2. 在域里新建dns1记录，IP地址填DNS主机IP
3. 在反向区域里新建域 IP地址填DNS主机IP
4. 新建 PTR 指针，IP号填DNS主机对应的，主机名选择之前创建的那个dns1