Ubuntu 並沒有像 Windows 7 一樣的把 DNS Cache 納入預設的功能,所以,Ubuntu 預設是沒有 DNS Cache 的功能的,如果想要讓 Ubuntu 有 DNS Cache 的功能,那得就要自己安裝才行哩 ! 阿舍找了一下,好像大家都用 dnsmasq 這一套比較多,不然,就是 nscd daemon 這一套,後來,還找到 Unbound 這一套哩 !
阿舍比較了一下,第一套的 dnsmasq 除了 DNS Cache 的功能外,也有 DNS Server 的功能,而第二套和第三套都是單純的 DNS Cache,但是,第三套的 Unbound 還多了一個 Recursive DNS Server,所以,阿舍就選這個 Ubound 來用用囉 !
首先,要先安裝 Unbound 這套軟體,請用下面的指令來安裝。 Continue reading »
一般的 DNS Server ( Authoritative DNS Server ) 是要用來回答該 DNS Server 所負責或擁有的一個或多個網域的主機名稱和IP位址的查詢,而 Recursive DNS Server 則是相反,Recursive DNS Server 也算是一個 Cache (快取) 的 DNS Server,它會在電腦上儲存多個網域的資料,但電腦上的應用程式 (像是瀏覽器) 需要用主機名稱查詢IP位址是,Recursive DNS Server 就可以提供它所儲存的網域資料給該應用程式。
但是,為什麼叫做 Recursive 呢 ? 這是因為 Recursive DNS Server 可以經由 Recursive (遞迴) 方式,從網域名稱的樹狀結構的根 ( Root ) 來進行遞迴式的查詢以找到需要的網址,這和實際的連結到 Authoritative DNS Server 進行的方式是類似的,不過,並不是所有的 DNS Server 內建都有支援 Recursive DNS Server 的,如果有要用 Recursive DNS Server 的功能的話,在選擇 DNS 時,就要注意一下哩 !
你可以在自己的電腦上加一台 Recursive DNS Server 給自己用,可以稍微的加快瀏覽網站的速度,尤其是在低頻寛的連線或是沒有吃到飽的 3G 連結,透過 Recursive DNS Server 的使用者,都可以減少一些封包的傳送,另外,也是可以裝一台在公司內部給大家一起用的,這樣可以降低一些網路的流量的哩 ! Continue reading »
DNS安全扩展(DNSSEC),是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。引入DNS SEC技术是为了防范在 DNS 中发现的一些无法避免的漏洞,攻击者可以利用这些漏洞劫持这一使用名称在 互联网 上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密码。
本文描述的如何在你的Linux(Ubuntu)和Mac系统上启用DNSSec支持,防止域名劫持。通过安装和配置开源 DNS服务软件unbound,就可以在本地启用DNSSec的支持。 Continue reading »
Posted on May 11, 2010 by Duan Haixin
5月5日ICANN已经成功的将DNSSEC部署到13个跟域名服务器了,没有出现人们担心的千年虫问题,7月份将使用正式的Key。
那些山寨版的Root Server仍然可以继续“行骗”,只要ISP仍然控制着路由。如果Resolver 也配置了DNSSec,这些山寨版的root server可能要露出马脚了。
当然,国内可以控制域名服务器,让国内的resolver不使用 DNSSec。然而,他们控制不了国外的resolver。
这样的环境下,DNSSec能够防范域名劫持吗?我还在怀疑和观察中……
=====PS:不知原作者的观察结果如何?
Posted on May 16, 2011 by Duan Haixin
作者:段海新,清华大学信息网络工程研究中心
摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。
域名系统(Domain Name System,DNS)是一些“Too simple, Too Naive”的互联网先驱者设计的,它象互联网的其他协议或系统一样,在一个可信的、纯净的环境里运行得很好。但是今天的互联网环境异常复杂,充斥着各种 欺诈、攻击,DNS协议的脆弱性也就浮出水面。对DNS的攻击可能导致互联网大面积的瘫痪,这种事件在国内外都屡见不鲜。
尽管DNS的安全问题一直被互联网研究和工程领域广为关注,但是有一种普遍存在的攻击却始终没有解决,即DNS的欺骗和缓存污染问题。DNS安全扩 展(DNS Security Extension, 即DNSSEC)主要是为了解决这一问题而提出的(尽管它还有其他用途)。因此,在介绍DNSSEC的原理之前有必要简单介绍DNS欺骗和缓存污染攻击的 原理。
用户在用域名(www.example.com)访问某一个网站时,用户的计算机一般会通过一个域名解析服务器(Resolver Server,也称递归服务器(Recursive Server))把域名转换成IP地址。解析服务器一般需要通过查询根域名服务器(root)、顶级域名服务器(TLD)、 权威域名服务器(Authoritative Name Server),通过递归查询的方式最终获得目标服务器的IP地址,然后交给用户的计算机。如图1所示。
图1 DNS域名欺骗和缓存污染攻击
对于上述任何一个请求(1,2,3,4)过程,攻击者都可以假冒应答方(根、顶级域、权威域、或解析服务器)给请求方发送一个伪造的响应,其中包含 一个错误的IP地址。发送请求的用户计算机或者解析服务器很傻、很天真地接受了伪造的应答,导致用户无法访问正常网站,甚至可以把重定向到一个伪造的网站 上去。由于正常的DNS解析使用UDP协议而不是TCP协议,伪造DNS的响应报文比较容易;如果攻击者可以监听上述过程中的任何一个通信链路,这种攻击 就易如反掌。 Continue reading »
查询域名反向解析是否生效可以使用nslookup命令
命令格式: nslookup -qa=ptr xxx.xxx.xxx.xxx
-qa=ptr说明查询类型是PTR也就是反向查询 后面请跟上你要做反向解析的IP地址 (反向解析是从IP查主机名的解析,所以不用与域名的解析混淆)
如下为一个正确PTR解析的输出结果
nslookup -qt=ptr 203.86.5.67
服务器: ns.szptt.net.cn
Address: 202.96.134.133:53
非权威应答:
67.5.86.203.in-addr.arpa name = mail.idcsea.net
如果看到类型最后一行的红色部分说明反向解析已经成功。 Continue reading »
狗爹目前支持.org, .eu, .biz 和 .us域名的DNSSEC安全扩展. com 和 net域名估计还要再等等啊,至少是2011年下半年了.
by GoDaddy Employee JacqueM on August 17th, 2010
We currently support DNSSEC for .org, .eu, .biz., and .us domain name extensions. The registry for .com and .net, VeriSign (R), doesn’t support DNSSEC for these extensions yet, but they’re working on it. As soon as they make DNSSEC possible for .com and .net, we plan to be right there with them to support it!
评论:有了根域名镜像服务器不能免除美国监控
http://tech.tom.com 2006年12月21日 第一财经日报
根域名镜像服务器能给我们带来什么?
马晓芳
昨天,网通与美国威瑞信(VeriSign)合作开通根域名中国镜像服务器的息一传开,立即引起业界的高度关注。
按照比较广泛的理解,由于中国网民访问.com和.net网站时,域名解析将不再经由境外域名服务器提供服务,中国访问.com和.net网站的安全性得到提高。而在此之前,互联网域名根服务器(roo
tserver)的监控权一直要受到美国商务部的监管。
把根域名服务器设在中国就能帮助中国摆脱美国的监管和控制吗? Continue reading »