1. 了解DNS系统的工作过程

2. 掌握在Windows2003上配置DNS的方法

1. DNS服务器工作原理及功能：

DNS通过在网络中创建不同的区域（一个区域代表该网络中要命名的资源的管理集合)，并采用一个分布式数据系统进行主机名和地址的查询。当在客服机的浏览器中键入要访问的主机名时就会触发一个IP地址的查询请求，请求会自动发送到默认的DNS服务器，DNS服务器就会从数据库中查询该主机所对应的IP地址，并将找到IP地址作为查询结果返回。浏览器得到IP地址后，就根据IP地址在Internet中定位所要访问的资源。

计算机、交换机。

v

3、在新建区域对话框中设置区域名称“hbun.edu.cn”，如图所示。有效的区域名称必须到中国互联网络信息中心（CNNIC）授权域名注册服务机构去申请，否则不能在因特网上使用。单击“下一步”。

4、建立区域文件，保存在c:\windows\system32\dns文件夹中，使用默认的文件名“hbun.edu.cn.dns”。单击“下一步”。在动态更新对话框中选择“不允许动态更新”，单击“下一步”。

5、在转发器对话框中选择“否，不向前转发查询”，如图所示。本地DNS服务器负责本区域的域名解析，对于非本区域的域名，可以通过设置“转发器”，由上一级DNS服务器解析。如果通过ISP接入因特网，可以把ISP的DNS服务器地址设置为转发器地址。单击“下一步”，完成DNS服务器的配置。

在“管理您的服务器”窗口，单击“管理此DNS服务器”，打开DNS服务器管理窗口，如图所示。在正向查找区域中打开“hbun.edu.cn”区域，可以看到“域服务管理器”已自动创建起始机构授权、名称服务器记录。除此之外，DNS数据库还包含其他的资源记录，用户可根据需要自行向主区域或域中添加资源纪录。例如添加WWW服务器（域名为：www.hbun.edu.cn，IP地址为：192.168.1.20）的主机记录，步骤如下：

1、在要添加主机记录的区域“hbun.edu.cn”名上单击右键，选择“新建主机”菜单命令，打开“新建主机”对话框。

2、在“新建主机”对话框中，名称文本框输入主机名“www”,IP地址栏输入“192.168.1.20”，单击“添加主机”，如图4-7所示。这样就在区域“hbun.edu.cn”中建立了域名www. hbun.edu.cn到IP地址 192.168.1.20之间的映射关系。

3.应用程序服务器(IIS,ASP.NET)的安装

打开“本地连接属性”对话框，选择“Internet协议（TCP/IP）”，单击“属性”，在“Internet协议（TCP/IP）属性”对话框中，设置“首选DNS服务器”为刚创建的DNS服务器IP地址：192.168.1.10，如图所示。

按如下步骤可以创建新的区域：

3、在出现的对话框中选择要建立的区域类型，这里我们选择“主要区域”，单击“下一步”。

Windows2003的DNS服务器支持以下三种区域类型：

①主要区域

该区域存放此区域内所有主机数据的正本，其区域文件采用标准DNS规格的一般文本文件。当在DNS服务器内创建一个主要区域与区域文件后，这个DNS服务器就是这个区域的主要名称服务器。

②辅助区域

该区域存放区域内所有主机数据的副本，这份数据从其“主要区域”利用区域传送的方式复制过来，区域文件采用标准DNS规格的一般文本文件，只读不可以修改。创建辅助区域的DNS服务器为辅助名称服务器。

③存根区域

存根区域是一个区域副本，只包含标识该区域的权威域名系统（DNS）服务器所需的那些资源记录。存根区域用于使父区域的DNS服务器知道其子区域的权威DNS服务器，从而保持DNS名称解析效率。存根区域由起始授权机构（SOA）资源记录、名称服务器（NS）资源记录和粘附A资源记录组成。

4、在“区域名称”对话框中，输入新建主区域的区域名，例如：jsjwl.edu.cn，然后单击“下一步”，按提示完成区域添加。

新创建的主区域显示在所属DNS服务器的列表中，且在完成创建后，为该区域自动创建一个“起始授权机构记录”，同时也为所属的DNS服务器创建一个“名称服务器记录”，并使用所创建的区域文件保存这些资源记录，如图所示。

反向区域可以让DNS客户端利用IP地址反向查询其主机名称，例如客户端可以查询IP地址为192.168.1.20的主机名称，系统会自动解析为www.hbun.edu.cn。

添加反向区域的步骤如下：

2、选取要创建区域的DNS服务器，在“正向查找区域”选择“新建区域”，如图所示，出现“欢迎使用新建区域向导”对话框时，单击“下一步”按钮。

3、在出现的对话框中选择要建立的区域类型，这里我们选择“主要区域”，单击“下一步”。

4、在打开的“反向查找区域名称”对话框中，直接在“网络ID”处输入此区域支持的网络ID：192.168.1，它会自动在“反向搜索区域名称”处设置反向查找区域名称“1.168.192.in-addr.arpa”，如图所示。单击“下一步”。

5、在打开的区域文件对话框中，创建新文件文本框中会自动显示默认的区域文件名。如果使用默认的文件名，也可以键入不同的名称，如图所示窗口。单击“下一步”，完成反向查找区域的创建。

反向查找区域必须有记录数据以便提供反向查询的服务，添加反向区域的记录的步骤如下：

1、右键单击要添加主机记录的反向查找区域192.168.1.x Subnet，在弹出的快捷菜单中选择“新建指针”命令。

2、在打开的“新建资源记录”对话框中的“主机IP号”文本框中输入主机号20，单击“浏览”按钮，打开“浏览”对话框，查找完全合格主机域名（FQNA），如图所示。单击“确定”。

可重复以上步骤，添加多个指针记录。

注意PC上首选DNS的配置

②nsloolup命令

Nslookup 是一个监测网络中DNS服务器是否能正确实现域名解析的命令行工具。命令格式：

Nslookup 域名/IP地址

使用nslookup命令可以直接测试DNS服务器是否正常，如图所示。

在DNS系统中存在哪些不安全因素？

1、DNS自身的不安全因素：

DNS在早期设计时只考虑到网络的适应性，采用的是面向非连接的UDP协议，而UDP协议本身就是不安全的。而从组成结构来看，为了便于查询，DNS采用了树形结构，这种结构单点故障明显，整个DNS体系并不是很稳固。此外，大部分DNS服务器都是基于BIND软件部署的，BIND虽然能够提供高效的服务，但也存在诸多的安全性漏洞，一种是缓冲区溢出漏洞，如BIND4和BIND8存在一个远程缓冲溢出缺陷，可以使攻击者在DNS上运行各种指令；另一种是拒绝服务漏洞，受攻击后的DNS服务器不能提供正常服务，使得其所管辖的子网无法正常工作。

DNS服务器同web服务器一样也会成为DDoS攻击的对象，而且DNS服务器管辖着众多网站的解析记录，其遭受DDoS攻击后将会导致其所辖域名都无法正常解析，所造成的破坏力比仅针对web服务器发起攻击更为致命。且DNS服务器对DDoS攻击没有足够的防御能力，所以针对DNS发起攻击已成为目前网络攻击的一项重要手段。

为了提高查询效率，DNS体系中的多个环节都采用了缓存机制，缓存数据在没过期之前，会直接将缓存中记录的解析结果返回给客户。这个过程虽然缩短了解析查询的路径，解析和访问速度得到明显提升，但也给了攻击者以可乘之机。DNS缓冲区投毒就是在DNS缓存中存入错误的数据，在客户发起请求时将错误的数据返回给客户，从而将客户重定向到错误的IP地址。且缓冲区中毒的机器还可能将错误的数据传播出去，导致更多的服务器缓存中毒，危害性不可谓不小。

DNS服务器作为公开开放的数据库，通常情况下不会对域名请求查询加以验证，因此很容易导致网络拓扑、子网结构等信息的泄露，为各类攻击提供机会。

域名劫持是通过获取域名所有者的账号名称和密码取得域名管理权，从而将域名的IP地址指向其他主机，严格来说域名劫持并不是DNS安全问题，但它对DNS解析的准确性威胁也是显而易见的。