視其所以觀其所由察其所安 - 論語為政第二 2

Size: px

Start display at page:

Download "視其所以觀其所由察其所安 - 論語為政第二 2"

串钮
5 years ago
Views:

1 名稱伺服器系統簡介 Introduction of DNS 謝祿適老師高雄市教育局資訊教育中心

2 視其所以觀其所由察其所安 - 論語為政第二 2

3 課程內容有對錯風險學習應詳閱參考資料不負責任 DNS 開課 3

4 主題 DNS 運作原理查詢 DNS 工具 DNS 的各種紀錄 DNSSEC 運作原理 DNS over TLS DNS over https 4

5 安裝軟體工具 -dig Ubuntu 中 apt-get install dnsutils Centos 7 中 yum install bind-utils 5

6 安裝軟體工具 -dig Windows 中下載軟體地址是解開 BIND P2.x64.zip 使用管理者權限執行目錄中 BINDInstaller.exe 選擇 tools only 的選項把程式所在目錄放入系統變數 PATH 中註建議使用 Unix-like 中的 dig 軟體 6

7 安裝軟體工具 -nslookup Ubuntu 及 Centos 中同 dig 安裝 Windows 中內建 7

8 Dig 的簡易使用 dig -h dig dig [-b address] [-c class] [-f filename] [-k filename] [ -n ][-p port#] [-t type] [-x addr] [-y name:key] [name] [type] [class] [queryopt...] 8

9 DNS? 網域名稱服務的縮寫其主要目地是在解決機器的網域名稱 (Domain name) 與 IP address 的對應問題提供 telnet WWW browser ftp 等常用工具的基本服務 Domain name IP 雙向多重對映 9

10 實習一 dig 自己學校的 web server ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 8 ;; QUESTION SECTION: ; INA 例 ; <<>> DiG P1 <<>> ;; ANSWER SECTION: dig dig +short INA ;; AUTHORITY SECTION: kh.edu.tw INNS dns2.kh.edu.tw. kh.edu.tw INNS dns.kh.edu.tw. kh.edu.tw INNS dns1.kh.edu.tw. kh.edu.tw INNS kpprcdns.kh.edu.tw. ;; ADDITIONAL SECTION: dns.kh.edu.tw INA dns.kh.edu.tw INAAAA 2001:288:8201:1::14 dns1.kh.edu.tw INA dns1.kh.edu.tw INAAAA 2001:288:8201:1::2 dns2.kh.edu.tw INA dns2.kh.edu.tw INAAAA 2001:288:8201:1::10 kpprcdns.kh.edu.tw INA kpprcdns.kh.edu.tw INA ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 13:44: ;; MSG SIZE rcvd:

11 DNS 表頭旗標 (Header Flags) Flag Description Reference QR Query/Response 0:Query 1:Response AA Authoritative Answer RFC1035 TC Truncated Response RFC1035 RD Recursion Desired RFC1035 RA Recursion Allowed RFC1035 AD Authentic Data RFC4035 CD Checking Disabled RFC

12 使用 DNS 12

13 13 Root Servers Hostname IP Addresses Manager a.root-servers.net , 2001:503:ba3e::2:30 VeriSign, Inc. b.root-servers.net , 2001:500:84::b University of Southern California (ISI) c.root-servers.net , 2001:500:2::c Cogent Communications d.root-servers.net , 2001:500:2d::d University of Maryland e.root-servers.net , 2001:500:a8::e NASA (Ames Research Center) f.root-servers.net , 2001:500:2f::f Internet Systems Consortium, Inc. g.root-servers.net US Department of Defense (NIC) h.root-servers.net , 2001:500:1::53 US Army (Research Lab) i.root-servers.net , 2001:7fe::53 Netnod j.root-servers.net , 2001:503:c27::2:30 VeriSign, Inc. k.root-servers.net , 2001:7fd::1 RIPE NCC l.root-servers.net , 2001:500:9f::42 ICANN m.root-servers.net , 2001:dc3::35 WIDE Project 13

14 Root Servers Map 取至 14

15 Domain Name? 網域名稱 (Domain Name) 格式 xxxx.xxxx...xxxx 例如 ftp.kh.edu.tw mail.kh.edu.tw FQDN (Fully Qualified Domain Name) 正式註冊可在 Internet 上可為他人查詢的 Domain Name 15

16 DNS 的樹狀架構 16

17 DNS 的樹狀架構 DNS 以樹狀結構為一全球性的分散式資料庫以. 為樹根各節點也以. 作分隔例如便是一個典型的網域名稱右邊節點 tw 為樹狀結構的最上層 (TLD) 而左邊節點 www 則在樹狀結構的最下層每個 FQDN 對 DNS 系統上來說其網域名稱均是唯一的不能同時有兩個相同的名稱 17

18 FQDN 的第一層 (TLD) 名稱 Generic top-level domains Country code top-level domains 通用的第一層名稱 two-letter country-code 依照網路使用單位的特性大致分類.tw,.us, cn.com,.org,.net USA top-level domains.edu,.gov,.mil Internationalized country code top-level domains. 臺灣,. 中國,. 新加坡請參考 18

19 授權 (Delegation) 上層的 domain 可以將其分出的某個 sub domain 的 domain name 與 IP mapping 交由另一部機器管理這個動作我們稱之為授權 (Delegation) 19

20 正解 (Forward) Domain name IP 應該看成兩種不同的對映 Domain name IP 稱之為 forward mapping 例如代表在負責 kh.edu.tw 這個 domain 的機器上可以查到其 mapping table 上有一筆紀錄是 www

21 反解 (Reverse) IP domain name 稱為 reverse mapping 在這個命名空間中所有的 IP 組成一個叫作 arpa.in-addr 的 top domain 然後再依 IP 層層細分... 例如代表在負責 in-addr.arpa ( 注意是反過來寫因為 top domain 要在最後面 ) 這個 sub domain 的機器上可以查到其 mapping table 上有一筆紀錄是

22 反解 (Reverse) 22

23 實習二查詢反解 ; <<>> DiG P1 <<>> in-addr.arpa. -t ptr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5840 dig -x 163.xx.xx.xx dig xx.xx.xx.163.inaddr.arpa. -t ptr ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 6 ;; QUESTION SECTION: ; in-addr.arpa. INPTR ;; ANSWER SECTION: in-addr.arpa. 300 INPTR wwwedu.kh.edu.tw in-addr.arpa. 300 INPTR boe.kh.edu.tw. ;; AUTHORITY SECTION: in-addr.arpa. 300 INNS dns2.kh.edu.tw in-addr.arpa. 300 INNS dns.kh.edu.tw in-addr.arpa. 300 INNS dns1.kh.edu.tw. ;; ADDITIONAL SECTION: dns.kh.edu.tw INA dns.kh.edu.tw INAAAA 2001:288:8201:1::14 dns1.kh.edu.tw INA dns1.kh.edu.tw INAAAA 2001:288:8201:1::2 dns2.kh.edu.tw INA dns2.kh.edu.tw INAAAA 2001:288:8201:1::10 ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 14:06: ;; MSG SIZE rcvd:

24 名稱伺服器 (DNS server) 負責紀錄 forward/reverse mapping 的機器會執行一個叫 name server 的軟體透過這個軟體回應來自其它機器對 domain name 或 IP 的查詢 BIND: Internet 最常見的 DNS server 軟體 24

25 BIND 實做 DNS Server 功能的著名但非唯一軟體下載現在建議大家使用 Bind 9 的軟體 Current-Stable P2 Bind 9 由很都知名的公司組織維護發展參見 bind 網頁上 History of Bind 25

26 三種 DNS 伺服器的角色主要名稱伺服器 (Primary/master Server) 次要名稱伺服器 (Secondary/slave Server) 快取名稱伺服器 (Cache only Server) 同一台 DNS 伺服器有可能對不同的 Zone 擔任不同的角色也就是說同一台機器可能同時擁有這三種角色 26

27 主要名稱伺服器 (Primary/master Server) 主要名稱伺服器由它所在的主機上的檔案中取得管理 Zone 的資料如果您的學校擁有自己的網域 (Domain) 則必須建立自己的 Primary/master Server 來回答網路上對您學校中所有的 FQDN 與 IP 地址的轉換服務 27

28 次要名稱伺服器 (Secondary/Slave Server) 次要名稱伺服器是由其他管理這個地帶的名稱伺服器中取得 Zone 的資料註其它伺服器不一定是 Master Server 為了網路穩定度的考慮通常你需要一部次要名稱伺服器以備不時之需 28

29 快取名稱伺服器 (Cache Server) 每個 DNS 都會將查詢過的 Domain Name 給 cache 起來所以每個 DNS Server 都有 cache Server 的功能硬碟中沒有該 Domain 的 zone database 檔案 Cache Only Server 29

30 DNS 的運作有兩種詢問方法 Recursive 和 Iterative 兩種 Recursive 是由 DNS Server 代理去問問的方法是用 Iterative 方式 Iterative 是由本機直接做 Iterative 式的詢問 30

31 交談式 Iterative 由 Client 端發出去問這種方式送封包出去問所回應回來的資料不一定是最後正確的名稱位置也許是另外一台 DNS 的位址 ( 當該台 DNS 沒有答案時會傳回一台權威授權者 (SOA) DNS 的位址 ) 再由 Client 端自己向權威授權者 DNS 詢問 31

32 實習三觀察 Iterative 查詢 ; <<>> DiG P1 <<>> +trace ;; global options: +cmd INNS l.root-servers.net INNS f.root-servers.net INNS j.root-servers.net INNS a.root-servers.net. dig +trace INNS g.root-servers.net INNS k.root-servers.net INNS h.root-servers.net INNS e.root-servers.net INNS i.root-servers.net INNS b.root-servers.net INNS c.root-servers.net INNS d.root-servers.net INNS m.root-servers.net. ;; Received 512 bytes from #53( ) in 7194 ms tw INNS a.dns.tw. tw INNS b.dns.tw. tw INNS c.dns.tw. tw INNS d.dns.tw. tw INNS e.dns.tw. tw INNS f.dns.tw. tw INNS g.dns.tw. tw INNS h.dns.tw. tw INNS ns.twnic.net. tw INNS sec4.apnic.net. ;; Received 491 bytes from #53( ) in 5467 ms edu.tw INNS c.twnic.net.tw. edu.tw INNS a.twnic.net.tw. edu.tw INNS moemoon.edu.tw. edu.tw INNS d.twnic.net.tw. edu.tw INNS b.twnic.net.tw. edu.tw INNS moevax.edu.tw. edu.tw INNS moestar.edu.tw. ;; Received 427 bytes from #53( ) in 325 ms kh.edu.tw. 300 INNS dns2.kh.edu.tw. kh.edu.tw. 300 INNS dns.kh.edu.tw. kh.edu.tw. 300 INNS dns1.kh.edu.tw. ;; Received 140 bytes from #53( ) in 19 ms INCNAMEproxy2.rssh.kh.edu.tw. proxy2.rssh.kh.edu.tw INA rssh.kh.edu.tw INNS earth.rssh.kh.edu.tw. rssh.kh.edu.tw INNS mars.rssh.kh.edu.tw. ;; Received 200 bytes from 2001:288:8201:1::14#53(2001:288:8201:1::14) in 1 ms 32

33 遞迴式 Recursive Client 向 DNS Server 的查詢模式這種方式是將要查詢的封包送出去問就等待正確名稱的正確回應這種方式只處理回應回來的封包是否是正確回應或是說是找不到該名稱的錯誤訊息 33

34 Recursive Query 34

35 實習四觀察 Recursive 查詢 Dig +recurse ; <<>> DiG P1 <<>> +recurse ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4 ;; QUESTION SECTION: ; INA ;; ANSWER SECTION: INCNAME proxy2.rssh.kh.edu.tw. proxy2.rssh.kh.edu.tw INA ;; AUTHORITY SECTION: rssh.kh.edu.tw INNS mars.rssh.kh.edu.tw. rssh.kh.edu.tw INNS earth.rssh.kh.edu.tw. ;; ADDITIONAL SECTION: mars.rssh.kh.edu.tw INA mars.rssh.kh.edu.tw INAAAA 2001:288:8212:4::1 earth.rssh.kh.edu.tw INA earth.rssh.kh.edu.tw INAAAA 2001:288:8212:1::1 ;; Query time: 2 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 15:53: ;; MSG SIZE rcvd:

36 DNS 紀錄 (record) 常用類別 SOA MX NS TXT A SRV AAAA PTR CNAME 36

37 SOA 紀錄 Start Of Authority 這種 record 放在 zone file 一開始的地方每一個紀錄檔只能有一個 SOA 而且一定是檔案中第一個紀錄它描述這個 zone 負責的 name server version number 等資料以及當 slave server 要備份這個 zone 時的一些參數緊接在 SOA 後面指定了這個區域的授權主機和管理者的信箱這裡分別是 "school.edu.tw" 和 " root.school.edu.tw" 也就是 school.edu.tw 主機和 root 的信箱這裡要注意的是我們以 "root.school.edu.tw" 代表 37

38 SOA IN SOA school.edu.tw. root.school.edu.tw. ( ; Serial 3600 ; Refresh 300 ; Retry ) ; Expire ; TTL 38

39 實習五查詢 SOA record dig xxx.kh.edu.tw -t soa ; <<>> DiG P1 <<>> hmps.kh.edu.tw -t soa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;hmps.kh.edu.tw. INSOA ;; AUTHORITY SECTION: kh.edu.tw. 0 INSOA dns.kh.edu.tw. netadm.mail.kh.edu.tw ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 16:14: ;; MSG SIZE rcvd: 85 39

40 SOA 設定內容 SOA record 以之前例子來看這個符號是縮寫代表 named.conf 中這個 zone file 所對應的 zone SOA 後面的兩個參數是指這個 zone file 是在哪部主機 (xxx.kh.edu.tw) 定義的以及這個 zone file 的負責人 ( 注意是寫成 yyy.xxx.kh.edu.tw) 然後是用括號括起來的 5 個參數分別說明如後 40

41 SOA 設定內容 - serial 代表這個 zone file 的版本每當 zone file 內容有變動 name server 管理者就應該增加這個號碼因為 slave 會將這個號碼與其 copy 的那份比對以便決定是否要再 copy 一次 ( 即進行 zone transfer) 41

42 SOA 設定內容 - refresh slave server 每隔這段時間 ( 秒 ) 就會檢查 master server 上的 serial number 不過這裡會發生一個問題就是在 master server 在 update data 完成到 slave server 來檢查時再 update 可能還有好一段時間因此這段期間 master/slave DNS server 間 zone files 就可能出現不一致所以在 Bind 較新的版本中便加入 "notify" 功能使用者在 "named.conf" 設定中在需要的 zone 中加入 "notify" 的設定則 master server 在 update 完成某個 zone file 的 data 後便會主動發個訊息 (NOTIFY) 藉以通知該其它的 slave servers 因此如果 slave servers 也有支援這個 "notify" 功能時接下來 slave servers 馬上就可以做 zone transfer 來 update data 例 zone "twnic.com.tw" { type master; file "twnic.hosts"; notify yes; also-notify { ; }; // 指定 slave server 的 IP 位址 }; 42

43 SOA 設定內容 - retry 當 slave server 無法和 master 進行 serial check 時要每隔幾秒 retry 一次 43

44 SOA 設定內容 - expire 當時間超過 Expire 所定的秒數而 slave server 都無法和 master 取得連絡那麼 slave 會刪除自己的這份 copy 44

45 SOA 設定內容 - Minimum 代表這個 zone file 中所有 record 的內定的 TTL 值也就是其它的 DNS server cache 這筆 record 時最長不應該超過這個時間 45

46 NS 紀錄 name server 用來指定操作的 DNS 伺服器主機名稱需注意的是不可以 IP 位址表示 IN NS dns.twnic.net.tw. 46

47 實習六觀察 ns 紀錄 ; <<>> DiG P2 <<>> kh.edu.tw -t ns dig xxx.kh.edu.tw -t ns ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 7 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;kh.edu.tw. INNS ;; ANSWER SECTION: kh.edu.tw. 7200INNS dns2.kh.edu.tw. kh.edu.tw. 7200INNS dns1.kh.edu.tw. kh.edu.tw. 7200INNS dns.kh.edu.tw. ;; ADDITIONAL SECTION: dns.kh.edu.tw. 7200INA dns.kh.edu.tw. 7200INAAAA 2001:288:8201:1::14 dns1.kh.edu.tw. 7200INA dns1.kh.edu.tw. 7200INAAAA 2001:288:8201:1::2 dns2.kh.edu.tw. 7200INA dns2.kh.edu.tw. 7200INAAAA 2001:288:8201:1::10 ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Mon Nov 3 12:42: ;; MSG SIZE rcvd:

48 A 紀錄 address 將 DNS 網域名稱對應到 IPv4 的 32 位元位址例 server.xxx.kh.edu.tw. IN A 小小練習請用 dig 指令查 A 紀錄 48

49 AAAA 紀錄可將 DNS 網域名稱對應到 IPv6 的 128 位元位址例 twnic.net.tw IN AAAA 3ffe: :bbb:93:5 49

50 實習七觀察 aaaa 紀錄 ; <<>> DiG P1 <<>> proxy2.rssh.tw -t aaaa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: dig server. xxx.kh.edu.tw -t aaaa ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 ;; QUESTION SECTION: ;proxy2.rssh.tw. INAAAA ;; ANSWER SECTION: proxy2.rssh.tw INAAAA 2001:288:8212:1::3 ;; AUTHORITY SECTION: rssh.tw INNS mars.rssh.tw. rssh.tw INNS earth.rssh.tw. ;; ADDITIONAL SECTION: mars.rssh.tw INA mars.rssh.tw INAAAA 2001:288:8212:4::1 earth.rssh.tw INA earth.rssh.tw INAAAA 2001:288:8212:1::1 ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 17:28: ;; MSG SIZE rcvd:

51 PTR 紀錄 pointer 定義某個 IP 對應的 domain name 即將 IP 位址轉換成主機的 FQDN 例 in-addr.arpa. 300 IN PTR mail.kh.edu.tw f ip6.arpa IN PTR spammer01.kh.edu.tw. 51

52 實習八觀察 PTR 紀錄 dig xxx.xxx.xxx.xxx.inaddr.arpa -t ptr dig -x yyy.yyy.yyy.yyy ; <<>> DiG P1 <<>> -x ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7883 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6 ;; QUESTION SECTION: ; in-addr.arpa. IN PTR ;; ANSWER SECTION: in-addr.arpa. 300IN PTR mail.kh.edu.tw. ;; AUTHORITY SECTION: in-addr.arpa. 300 INNS dns.kh.edu.tw in-addr.arpa. 300 INNS dns2.kh.edu.tw in-addr.arpa. 300 INNS dns1.kh.edu.tw. ;; ADDITIONAL SECTION: dns.kh.edu.tw INA dns.kh.edu.tw INAAAA 2001:288:8201:1::14 dns1.kh.edu.tw INA dns1.kh.edu.tw INAAAA 2001:288:8201:1::2 dns2.kh.edu.tw INA dns2.kh.edu.tw INAAAA 2001:288:8201:1::10 ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 17:37: ;; MSG SIZE rcvd:

53 CNAME 紀錄 canonical name 可為同一部主機設定許多別名例如 mix.twnic.net.tw 的別名可為和 ftp.twnic.net.tw 因此所設定的別名都會連至同一部伺服器例 IN CNAME mixtwnic.net.tw. 53

54 實習九觀察 CNAME 紀錄 dig xxx.xxx.kh.edu.tw -t cname ; <<>> DiG P1 <<>> -t cname ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ; IN CNAME ;; ANSWER SECTION: IN CNAME web-server.twnic.net.tw. ;; AUTHORITY SECTION: twnic.net.tw. 3021INNS dns.nic.net.tw. twnic.net.tw. 3021INNS dns2.twnic.net.tw. ;; ADDITIONAL SECTION: dns.nic.net.tw. 3021INA dns2.twnic.net.tw. 3021INA ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 17:44: ;; MSG SIZE rcvd:

55 MX 紀錄 mail exchanger 設定區域中擔任郵件伺服器的主機所有要送往那部機器的 mail 都要經過 mail exchanger 轉送而數字則是該主機郵件傳遞時的優先次序此值越低表示有越高的郵件處理優先權例 mail.kh.edu.tw IN MX 20 mail.kh.edu.tw. 55

56 實習十觀察 MX 紀錄 ; <<>> DiG P1 <<>> mail.kh.edu.tw -t mx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9265 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 10 dig xxx.xxx.kh.edu.tw -t mx ;; QUESTION SECTION: ;mail.kh.edu.tw. IN MX ;; ANSWER SECTION: mail.kh.edu.tw. 7200INMX 20 mail.kh.edu.tw. ;; AUTHORITY SECTION: kh.edu.tw. 7200INNS dns.kh.edu.tw. kh.edu.tw. 7200INNS kpprcdns.kh.edu.tw. kh.edu.tw. 7200INNS dns1.kh.edu.tw. kh.edu.tw. 7200INNS dns2.kh.edu.tw. ;; ADDITIONAL SECTION: mail.kh.edu.tw. 7200INA mail.kh.edu.tw. 7200INAAAA 2001:288:8201:2::21 dns.kh.edu.tw. 7200INA dns.kh.edu.tw. 7200INAAAA 2001:288:8201:1::14 dns1.kh.edu.tw. 7200INA dns1.kh.edu.tw. 7200INAAAA 2001:288:8201:1::2 dns2.kh.edu.tw. 7200INA dns2.kh.edu.tw. 7200INAAAA 2001:288:8201:1::10 kpprcdns.kh.edu.tw. 7200INA kpprcdns.kh.edu.tw. 7200INA ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Tue Apr 9 17:45: ;; MSG SIZE rcvd:

57 57

58 事情有點複雜有了 MX record 還要去設定 Mail server Relay? Receiver? 58

59 Mail Server 的部份 Postfix 為例 (main.cf) 當 Mail Relay # 使用 mynetworks # 可允許 relay 的範圍可用 ip/netmask 表示法也可 include file mynetworks= /24, /32, /8 mynetworks= hash:/etc/postfix/accessrelay 當 Mail Receiver mydestination = xxx.edu.tw # Postfix 會收下四種特定網域的信件除了 main.cf 中的設定外也應該被正確的設置在 DNS 中的 MX 紀錄中 # (1) 本地網域 local domain => 由 mydestination 參數設定 # (2) 代轉網域 relay domains => 由 relay_domains 參數設定 # (3) 虛擬網域 virtual domains 之虛擬別名 virtual aliases # => 由 virtual_alias_domains 參數設定 # 使用 relay_domains # (4) 虛擬網域之虛擬信箱 virtual mailboxes # 可指定 domain 允許 relay # => 由 virtual_mailbox_domains 參數設定 relay_domains = xxx.edu.tw # 上列四種設定不應重複網域已設為本地網域就不應該出現在代轉網域 59

60 TXT 紀錄本來是用來放一些註解文字但到了 1990 年代早期, 這個欄位用來做一些和主機相關可供機器閱讀的資料 TXT 紀錄可用來驗證網域擁有權及實作安全性措施例如 DKIM DMARC 和 SPF Google 及 MS 都用這個欄位來做虛擬網址的驗證 60

61 實習十一觀察 txt 紀錄 dig _spf.google.com t txt ; <<>> DiG P1 <<>> _spf.google.com -t txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;_spf.google.com. INTXT ;; ANSWER SECTION: _spf.google.com. 300 INTXT "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all" Google Apps 郵件伺服器會使用大量的 IP 位址而且位址經常變動如要尋找最新的 Google IP 位址範圍最有效率的做法是查詢 Google 的 SPF 紀錄 ;; AUTHORITY SECTION: google.com INNS ns3.google.com. google.com INNS ns1.google.com. google.com INNS ns2.google.com. google.com INNS ns4.google.com. ;; ADDITIONAL SECTION: ns3.google.com INA ns4.google.com INA ns2.google.com INA ns1.google.com INA ;; Query time: 19 msec ;; SERVER: #53( ) ;; WHEN: Tue Oct 22 13:45: ;; MSG SIZE rcvd:

62 SPF record Sender Policy Framework 防止冒用網域名稱可以防止垃圾內容發佈者利用您的網域發送未經授權的郵件 mail 7200 IN TXT "v=spf1 ip4: /24 ip4: a -all" 參考資料 62

63 SRV 紀錄廣義為服務定位紀錄 (Service record) 被新式協議使用而避免產生特定協議的紀錄 _service._proto.name. TTL class SRV priority weight port target. 例 _http._tcp.example.com. IN SRV _sip._udp.example.com. IN SRV hostname.example.com. 63

64 使用 SRV 例子提供高可用性服務 _sip._tcp.example.com IN SRV bigbox.example.com. _sip._tcp.example.com IN SRV smallbox1.example.com. _sip._tcp.example.com IN SRV smallbox2.example.com. _sip._tcp.example.com IN SRV smallbox2.example.com. _sip._tcp.example.com IN SRV backupbox.example.com. 64

65 實習十二觀察 SRV 紀錄 dig _vlmcs._tcp.kh.edu.tw -t srv ; <<>> DiG 9.8.2rc1-RedHat rc1.el6_4.4 <<>> _vlmcs._tcp.kh.edu.tw -t srv ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9998 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;_vlmcs._tcp.kh.edu.tw. 這筆資料是用在 MS KMS 自動認證用 IN SRV ;; ANSWER SECTION: _vlmcs._tcp.kh.edu.tw. ap24.kh.edu.tw IN SRV ;; Query time: 13 msec ;; SERVER: #53( ) ;; WHEN: Wed Apr 10 09:36: ;; MSG SIZE rcvd: 73 65

66 DNS 安全考量 DNS 是網路服務的基礎要破壞 Internet 的正常使用攻擊 DNS 會非常有效如何攻擊呢找 DNS 弱點 66

67 DNS 弱點僅用 ID 作為交易認證 ( ) DNS cache poisoning 新版的 DNS 只是將 ID 亂數化假的 DNS server Men in the middle attack Domain hijacking DNS 指向被竄改 67

68 DNS cache poisoning 68

69 Men in the middle attack 69

70 DNS Hijacking 70

71 DNS Amplication Attacks 71

72 嘗試解決 DNS 潛在安全問題引入 DNSSEC 機制原本 DNS 的協定就沒有注重在安全上的問題, 僅有簡單的安全機制, 例如 DNS 攻擊是很容易的事 DNS 協定因先天存在缺失, 導致 DNS 資料正確性受到嚴重威脅 2001 年起 IETF 開始制定 DNSSEC 標準來解決這個問題 72

73 DNS 與 DNSSEC DNSSEC( DNS Security Extensions ) DNS 的資料安全認證機制並非不同的軟體, 更應該說是一起運作的 DNSSEC 是透過一種延伸的方法來達成目的, 並非修改現有 DNS 的運作模式任何 DNS 的查詢 / 回覆 / 錯誤 / 流程沒有任何改變, 只是在每一種模式下額外提供資料驗證機制 73

74 實習十三觀察有無 dnssec 的機制 ; <<>> DiG P1 <<>> +dnssec +multiline -t a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 16 dig -t a ;; OPT PSEUDOSECTION: dig +dnssec -t a ;; ANSWER SECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ; IN A IN A IN RRSIG A ( kh.edu.tw. bmjvhmvaadykiaxcki9yb5pal+w4xh13hfxnxmgn5ulw B8/CrWNLRFgsqqSZUaBMNEaDBpLF8X23wbA0EZZuS2iU usqxaqge5sjfu6jpkvk5vk1ffjajvkraze8klsydzyrc KBkOtLT2oX9K/CU6TjeuwR7ofkw+m94xEw6/D8JH7rGg mhpnjiq7arphhoodwckxpvv6ajzymflojcsexu+llu1f 2+/6JDzAOZyUTAew+7m4zmLJB7rE1iiHrmkVQ8AjfMWd Tf6HQlYsFkizkREbnF2tCf0bqtpQnUNRLAWpxEWmJx6w xbc+eg9x7+drwsedpfg1b9wzdvsvmcym+g== ) 74

75 非對稱金鑰 DNSSEC 使用非對稱金鑰及雜湊函數 (Hash) 機制來做電子簽章透過數學程式產生 2 把有相關的密鑰, 稱為公開 (public key)/ 私有 (private key) 密鑰用私有密鑰加密, 只有公有密鑰可以打開, 亦反之用電腦 A 的公開密鑰解密文件, 若順利解密, 表示資料來源是正確的由電腦 A( 的私有密鑰 ) 發出 75

76 非對稱金鑰 76

77 雜湊函數 (Hash) 雜湊值常用來做為數位資料的特徵值特性雜湊具有獨一無二的特性, 適合用在資料編碼, 編碼後的資料具有獨一無二的特性即使變動一個位元, 也會有完全不同的雜湊值產生若有兩筆資料經過雜湊後有相同的雜湊值, 稱為碰撞, 雜湊演算法應盡量避免碰撞的情況發生 77

78 DNSSEC 簡介 78

79 DNSSEC 的運作 79

80 實習十四觀察 dnskey RR dig +dnssec +multiline -t dnskey kh.edu.tw ; <<>> DiG P1 <<>> +dnssec -t dnskey +multiline kh.edu.tw ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;kh.edu.tw. IN DNSKEY ;; ANSWER SECTION: kh.edu.tw IN DNSKEY ( AwEAAbksU7xB63hMvNekV3Ccdgd2Rlpoj053uz2WTDV0 M3J0ItT7bI5Ocs72mATSGBzsYrq/a89vQC5prWC1JL2S 276JAcSRiyIXId3sw9mAxUPdCJl5g20iDdS6q6gp4ERQ YDqZKqCsQVx6vF+R7lGpBnFlgil2VH3JDwV0/7aDturp 0OYrgoW6gVbo5MiUD9VX53aAcQC+G3Veh1uWJh3pmR6K ukuh0azbs278a6lqzta5xkkdd+hnbg7w+7dtud6ohenh rlrk6gmgpstake/ckwbvnbfv271djlcjhcm3orulyz89 QYXjEZpDcLS1dCfkON2fk0ZrwyKg0Zaw7qyRFSE= ) ; key id = 註請試一試有無 +multiline 有什麼不同 kh.edu.tw IN RRSIG DNSKEY ( kh.edu.tw. rsh9ybqht5qwusybvszyrxxnmsjb5frger8d5iltzklq Th00WerVYUarY4zFqcaZuSShScsXF+FUPBxoUAQCkaAl XdIlWLwommxHt7OkcsTl3DoX+nvng86We4FfxCevNNaQ fz+yl4qcmdowevxaqk/goeapbganchdghz9xzzlexxx5 ROBvEi0rnyGP3FnjjMIG4JS3Hof6cQph3FB4QMTIpd+n axcwen0jd0gd2tcsbsaumi+m1kzbi5er1dxyeuhng880 An5ecErte+OHHnHK6VMB+/aaYaGUNbdOykWLOIwQWJQJ 0np0EAiK6NrfTKelvSqYs/xP9c0Z+0iBJg== ) ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Wed Apr 10 11:57: ;; MSG SIZE rcvd:

81 DNSSEC 新增的 DNS 紀錄 (RRs) Public Key DNSKEY Public key, 用來驗證 RRSIG Private Key 非公開鑰匙, 用來簽署網域資料 Digital signature RRSIG 使用 Private key 對現有 RRs 所作的電子簽章 DS Delegation Signer; 上層與下層的電子簽章負面回應 NSEC/NSEC3 在 zone 中的下一個域名 81

82 RRs 82

83 再看一眼 DNSSEC 運作 83

84 實習十五觀察 ds RR dig +dnssec -t ds kh.edu.tw ; <<>> DiG P1 <<>> +dnssec +multiline -t ds kh.edu.tw ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;kh.edu.tw. IN DS ;; ANSWER SECTION: kh.edu.tw. 283 IN DS ( 5CD2F51EEDE6B2DA081A78FBC1D406F6DE2F2BF21A62 練習如何找出 ds RR 是那一 DNS server 回應的呢 6770A3FAF89FA ) kh.edu.tw. 283 IN DS ( 68A443B4BAC85A56A6B3950A410806D224E5E4A9 ) kh.edu.tw. 283 IN RRSIG DS ( edu.tw. bldw2melavkh7gu9utzjftsifcm3jxcribdajteg+g48 15Tx8CkqoY7aO9PYouE8eiWwNf3gB5GrM+JjiNgE47sS aqfqql3eevca8jlsncg9h1qakbgqpweucffjvmehzmf0 tilyawoeamcm9klpjacxdhz3fj2fymqaytw6vza= ) ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Wed Apr 10 12:07: ;; MSG SIZE rcvd:

85 DNS over TLS(1/2) 目的 Android 將支援加強隱私保護請參考防止中間人攻擊 Oct. 22, 2017 著名的免費 DNS 供應商 Cloudflare Quad9 CleanBrowsing 85

86 DNS over TLS(2/2) 供應商封禁 IP CleanBrowsing 2a0d:2a00:1:: 2a0d:2a00:2:: CloudFlare :4700:4700:: :4700:4700::1001 Quad :fe::fe 2620:fe::9 特性成人內容埠 853 上的 DNS over TLS DNSSEC 認證無埠 853 上的 DNS over TLS DNSSEC 認證惡意域名埠 853 上的 DNS over TLS DNSSEC 認證資料來源 86

87 一般的 DNS 查詢 87

88 DNS over TLS 88

89 DNSCrypt 89

90 DNS over TLS Client Linux Stubby e.com/ubuntu/ubunt u-stubby-dns-over-tls Unbound om/unbound/ configure-unbounddns-over-tls-on-linux/ Windows 10 Stubby 實驗性質 g/wiki/display/dp/wi ndows+installer+for+ Stubby 90

91 Stubby 為例 91

92 DNS over https (Doh) 保護隱私 FireFox 62 ed. 加入需手動開啟耗時頻寬 Chrome (Chromium) 67 ed. 以後? Firefox 使用 Doh 為例在瀏覽器網址列輸入 about:config 然後開啟並同意警告資訊搜尋 network.trr 設定 network.trr.mode 值為 2 在 network.trr.uri 中填入伺服器 udflare-dns.com/dnsquery 92

93 DNS over https 供應商協定 IPs CleanBrowsing a0d:2a00:1:: 2a0d:2a00:2:: Cloudflare :4700:4700::1111 IETF 草案 2606:4700:4700::1001 不適用 Google Public DNS 2001:4860:4860::8888 Google 實驗室 2001:4860:4860::8844 屏蔽功能成人內容 Doh 無 Doh 無 Doh 資料來源 93

94 再問一次 DNS 的作用是什麼 94

95 參考資料 ( 一 ) DNS and BIND 管理第五版作者蔣大偉出版社歐萊禮出版日期 2007 年 12 月 01 日 95

96 參考資料 ( 二 ) 鳥哥的 Linux 私房菜伺服器架設篇 ( 第三版 )( 附光碟 ) 作者鳥哥出版社碁峰出版日期 2011 年 09 月 20 日 96

97 參考資料 ( 三 ) 97

untitled

untitled Parent zone named.conf.options ( Root) shell script shell script 2 Child zone named.conf.options ( ) ( ) ( ) ( ) ( ) ( parent zone) 3 Parent zone named.conf.options $ vi /etc/bind/named.conf.options options

視其所以 觀其所由 察其所安 - 論語 為政第二 2

視其所以觀其所由察其所安 - 論語為政第二 2