防火墙 Internet的基础设施安全DNSIPSec.pptVIP

教学内容安排 教学内容安排 DNS的基本概念 域名解析：把目标计算机的域名翻译成目标计算机的IP地址的过程。 域名解析服务：提供“域名解析”功能，例如，DNS和WINS。 域名与地址的对应关系 建立简单文件hosts，记录域名与地址的映射关系 网络上每台主机都可获得完整的、一致的映射表 域名系统DNS的概念 网络规模庞大时hosts的问题 占用信道和系统资源太多，查询效率低 集中式的统一维护管理异常困难 域名系统DNS RFC1034和 RFC1035定义 具有层次结构的域名命名机制，分布式数据库系统实现 DNS常用软件：BIND—Berkeley Internet Name Domain BIND BIND（Berkeley Internet Name Domain）是现今互联网上最常使用的DNS服务器软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会（Internet Systems Consortium）负责开发与维护。 20世纪80年代，柏克萊加州大學计算机系统研究小组的四个研究生Douglas B Terry、Mark Painter、David W. Riggle和周松年（Songnian Zhou）一同编写了BIND的第一个版本，并随4.3BSD发布。 DNS的基本概念 本地解析程序缓存 * 临时存放以前解析过的计算机的完全合格域名到IP地址的映射记录。 * 显示缓存命令：ipconfig /displaydns * 清空缓存命令：ipconfig /flushdns HOSTS文件 * HOSTS文件的名称中没有扩展名，它存放在： %systemroot%\system32\drivers\etc\文件夹中。 * 计算机在开机时，本地HOSTS文件中的映射记录会自动被加载到DNS缓存中，不能清除。 * 如果希望清除某条记录，则可以在HOSTS文件中将其删除即可。 域名空间与完全合格域名 在Internet上，“完全合格域名（FQDN）”用于标识网络中的计算机。 这种对完全合格域名进行组织的框架结构，称为“域名空间”。 在域名空间中，为了便于对计算机的完全合格域名进行组织，引进了“域”（Domain）的概念。 所谓“域”，是指包含了一系列计算机名字的空间。例如，“com”就是一个域的名字，它代表了一个空间，里面包含了大量的计算机名字。 FQDN由主机名和域名后缀组合而成。例如：“”的主机名为“www”，域名后缀为“”。 查看FQDN的方法： （1）图形化的方法 （2）命令行的方法：ipconfig /all 常见的顶级域名 中国的二级域名系统 命名机制 主机的域名 主机名.最低级域名. ?? .最高级域名 主机 路径 /connectivity_table/ 域名的限制 不区分大小写 各组成部分的名字最长为63个字符 路径全名不得超过255字符 域名解析 域名解析方式： 递归解析（Recursive resolution） 一次域名服务请求即可自动完成域名—地址转换 由DNS服务器软件连锁完成 不适于需要频繁域名解析的应用 反复解析（iterative resolution） 需要向不同DNS服务器依次发出请求 加重本地DNS服务器的负担 DNS的工作过程 DNS欺骗（DNS Spoofing） 域名欺骗（DNS Spoofing） 劫持域名查询请求，假冒DNS 的响应 污染DNS的缓冲区（DNS cache poisoning ） 侵入操作系统，修改DNS数据文件 DNS信息查看工具nslookup DNS安全技术措施 版本更新和补丁 防止单点故障 专用DNS服务器 限制使用递规查询 反欺骗措施：ID Pool 不以Root 运行named, chroot 教学内容安排 版本（4bit）：版本号，值为4 首部长度（4bit）：以32bit为单位的首部长度 服务类型（8bit）：指明相对优先级，如最小延迟、最大吞吐量、最高可靠性和最小费用等 总长度（16bit）：以字节为单位的整个IP包长度 标识符（16bit） ：IP包的序号 标志（3bit）：指明是否可分片 分片偏移量（13bit） 寿命（TTL，8bit）：数据包可以经过的最多路由器数目，说明允许包在网络上存在多久 协议（8bit） ：指出更高一层的协议，如TCP 报头校验和（16bit） 源地址（32bit） 目的地址（32bit） 选项（可变长度）：设置一些选项 填充（可变长度）：保证包头的长度是32bit的整数倍 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及缺乏基于源IP地址的鉴