UNBOUND 搭建 LDNS服务和使用bind搭建dnssec环境

最新推荐文章于 2024-05-26 09:41:51 发布
最新推荐文章于 2024-05-26 09:41:51 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 计算机网络 文章标签: dns
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanhansheng/article/details/117524648
版权

本文章主要是针对unbound做解释。
1.首先会简单描述一下dns协议和unbound工具的功能。
2.了解如何配置本地域,转发域,RPZ防火墙,了解消息缓存,RRSET缓存,否定缓存,信任锚等功能。
3.使用bind搭建迭代查询的环境
4.搭建dnssec

DNS协议介绍和工具的功能介绍

  1. RFC1035各个记录格式
    https://wenku.baidu.com/view/4f4a197a27284b73f242506f
  2. DNS 报文结构和个人 DNS 解析代码实现——解决 getaddrinfo() 阻塞问题 https://segmentfault.com/a/1190000009369381
  3. local-zone功能介绍
    https://docs.netgate.com/tnsr/en/latest/dns/local-zone.html
  4. 否定缓存
    https://zhangmingkai.cn/2019/09/rfc2308-dns-nxdomain-cache/
  5. RPZ防火墙
    https://tools.ietf.org/id/draft-vixie-dnsop-dns-rpz-00.html#rfc.section.3.5
  6. dns协议记录
    https://www.ietf.org/rfc/rfc1035.txt
  7. zone文件的格式
    https://help.dyn.com/how-to-format-a-zone-file/
  8. bind的使用
    https://docs.oracle.com/cd/E24847_01/html/E22302/dnsref-9.html
  9. 信任锚 dnskey的原理
    信任锚:相当于是一整个信任链的终点。因为对于一个域名而言,需要检验每个域名的DNSKEY和DS记录,最后到了信任锚即可验证结束。
    https://blog.csdn.net/huangzx3/article/details/86526068
  10. ZSK和KSK
    KSK与ZSK的区别
  • Key
    Usage
    Frequency of Use
    ZSK Private
    Used by authoritative server to create RRSIG for zone data
    Used somewhat frequently depending on the zone, whenever authoritative zone data changes or re-signing is needed
    ZSK Public
    Used by recursive server to validate zone data RRset
    Used very frequently, whenever recursive server validates a response
    KSK Private
    Used by authoritative server to create RRSIG for ZSK and KSK Public (DNSKEY)
    Very infrequently, whenever ZSK’s or KSK’s change (every year or every five years in our examples)
    KSK Public
    Used by recursive server to validate DNSKEY RRset
    Used very frequently, whenever recursive server validates a DNSKEY RRset

3.了解dnssec流程

  • https://zhuanlan.zhihu.com/p/355579999

4.搭建迭代查询和DNSSEC的环境

迭代拓扑图

  1. 首先需要3台linux设备 安装bind。 我用的centos,使用systemctl restart named 启动服务。
  2. 查看netstat -tlpn 53端口 named在监听
  3. 修改/etc/named.conf

根服务器配置

(1)生成根服务器的KSK和ZSK

/etc/named.conf

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        recursing-file  "/var/named/data/named.recursing";
        secroots-file   "/var/named/data/named.secroots";
        allow-query     { any; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        //dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.root.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "/var/named/data/named.run";
                severity dynamic;
        };
};



zone "." IN {
        type master;
        //file "root.master";
        file "root.master.signed";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

/etc/root.master

$TTL 1000
$ORIGIN .
@       IN      SOA     @       root(
        12169
        1m
        1m
        1m
        1m
)

.               IN      NS      a.root.net.
a.root.net.     IN      A       10.82.25.77 ; 本机ip,代表本机就是DNS根服务器

com.            IN      NS      ns1.com.
ns1.com.   IN      A       10.82.25.78 ; 顶级域名

;net.            IN      NS      a.net-ns.net.
;a.net-ns.net.   IN      A       10.82.25.78 ; 顶级域名
ltm.             IN      NS      a.ltm-ns.ltm.
a.ltm-ns.ltm.    IN      A       112.122.132.78 ; 顶级域名

www.example.com IN A 123.123.123.123
com. IN DS 13509 7 2 CDA9C9D86A96C3B6D2FDC2338D3BA6664D7AD733338CC15B276666EA7824E57E

$INCLUDE  "K.+005+40566.key"
$INCLUDE  "K.+005+53116.key"

/etc/root.master.signed

根据root.master生成,通过签名工具。dnssec-signzone  -o  . root.master 生成
  1. 生成跟(.)的KSK和ZSK

dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE . (注意最后有点,生成ZSK)
dnssec-keygen -L 3600 -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE . (注意最后有点, 生成KSK)

  • 需要注意生成的算法 也就是-a指定的参数前后必须要一样。
  • 生成K.+005+40566.key(公钥)和K.+005+40566.private(私钥) 后面的40566是ID,公钥和私钥是一对
  1. DS记录来源于顶级域名(com.)的KSK 每一个DS记录都来源于子域,而信任锚可以是DNSKEY或者DS记录,就是为了最后确认可以的保证。

dnssec-dsfromkey -2 K.+005+53116.key
com. IN DS 13509 7 2 CDA9C9D86A96C3B6D2FDC2338D3BA6664D7AD733338CC15B276666EA7824E57E

一级域名配置

/etc/named.conf

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        recursing-file  "/var/named/data/named.recursing";
        secroots-file   "/var/named/data/named.secroots";
        allow-query     { any; };

        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.root.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
/*
zone "." IN {
        type hint;
        file "root.hint";
};
*/
zone "com." IN {
        type master;
        file "com.master.signed";
};

zone "ltm." IN {
        type master;
        file "ltm.master";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

/var/named/com.master

$TTL 10
$ORIGIN com.
@       IN      SOA     @       root(
        100
        1m
        1m
        1m
        1m
)

com.            IN      NS      ns1.com.
ns1.com.   IN      A       10.82.25.78

example.com. 5 IN A 11.15.33.22
example.com. 5 IN ns ns.example.com.
ns.example.com. IN A 10.82.25.79

hongkong.com.   IN      A       10.82.25.79
hongkong.com.   IN      NS       ns.hongkong.com.
ns.hongkong.com.  IN      A       10.82.25.79

hongkong.com. IN DS 17553 7 2 8168F8903A9D7B8C210BE775997DBAA391DD28732A4C287F4968A8BAAF4F72DE

$INCLUDE "Kcom.+007+43280.key"
$INCLUDE "Kcom.+007+13509.key"

主要工作

  1. 秘钥生成 同根域一样使用dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE com (最后改为域的名字)
dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE com
dnssec-keygen -L 3600 -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE com
  1. 签名com.master
dnssec-signzone  -o  com  com.master
  1. 将DS记录放到上一级的域文件中,并重新签名dnssec-signzone
dnssec-dsfromkey -2 Kcom.+007+43280.key
结果:com. IN DS 13509 7 2 CDA9C9D86A96C3B6D2FDC2338D3BA6664D7AD733338CC15B276666EA7824E57E
将这个放到根域的zone文件中,并重新签名
zzuli-dk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络之DNS介绍
sclieshare的博客
08-24 3346
DNS介绍 DNS是什么? DNS就是将域名转换成IP的,因为数字化的IP很难被记住,而且电脑通信都需要用到IP,所以有了域名(比较语义化的),例如www.baidu.com,www.taobao.com,通过DNS将这些域名转换成电脑需要的IP DNS怎么运作的? 每个电脑里面都设置了本地DNS服务器(简称LDNS),需要的时候,就向LDNS发出请求,LDNS在网上问权威域名服务器(简称权威DNS),有时候问一个是不够的,需要问一大圈多个下来,才能得到答案。 权威DNS是什么? 问我一个域名,我告诉你IP
DNS:使用 Unbound 配置 DNS 缓存服务
山河已无恙
07-15 1318
分享一些 DNS 缓存服务搭建的笔记理解不足小伙伴帮忙指正看过的书很少,《生命中不能承受之轻》 是之一,年少时第一次读,是书中情欲的片段吸引了我,那时读到萨宾娜,想到了《月亮与六便士的》中的布兰奇,奇怪那种生理吸引到底是什么?后来陆续看了其他的章节,记忆犹新,扉页上那一句 ‘人们一思索,上帝就发笑 —犹太谚语’,开篇讲的’永劫轮回观’特别适合之后自己,大概是叔本华看多了。特别喜欢书中一句,记得不清楚,大概是 ‘世人的博爱是以媚俗作态作为基础’DNS 缓存服务器将DNS查询结果。
推荐开源项目:LDNS - 强大的DNS库
最新发布
gitblog_00028的博客
05-26 363
推荐开源项目:LDNS - 强大的DNS库 项目地址:https://gitcode.com/NLnetLabs/ldns 项目介绍 LDNS是一个由NLnet Labs开发的开源C语言库,专注于DNS(域名系统)的相关操作。该项目提供了一个全面的功能集,包括解析和构造DNS查询、应答和其他相关记录。不仅如此,它还支持DNSSEC,用于验证DNS数据的完整性和来源真实性。 查看项目主页,你还可以订...
unbound DNSSEC配置与验证
qupeng
12-10 976
实验用的是unbound1.12版本,配置开启DNSSEC并进行验证。 一、生成root.key unbound-anchor -a ./root.key chown root.root ./root.key # 这里根据自己配置的运行用户进行属组设置 二、添加配置项 在unbound.conf 中添加配置项auto-trust-anchor-file: /path/root.key 三、重启服务进行验证 dig sigok....
CentOS8.4 Bind服务配置(DNS解析)
Al_1的博客
12-07 3951
搭建bind服务,实现dns解析日常使用的功能
BIND-DNS配置介绍
有莘不破的博客
01-02 1620
介绍BIND-DNS实操的一些常用配置内容
linux搭建DNS服务器实训报告
05-13
本报告将指导读者如何在 Linux 平台上搭建 DNS 服务器,并进行实训环境的配置和测试。 一、DNS 服务器介绍 DNS(Domain Name System)是 internet 上的一个分布式atabase,用于将域名解析成 IP 地址。DNS 服务器是...
5-DNS服务器-UNBOUND部署详细步骤
10-28
UNBOUND不仅提供了基本的DNS解析功能,还支持DNSSEC(DNS安全扩展)和其他高级特性,以确保网络安全和数据完整性。在实际环境中,根据需求可能还需要配置其他安全措施,如日志记录、缓存策略等。了解和熟练掌握...
Unbound 1.17.1 DNS 服务器 Windows版 支持 Windows11
07-25
这是 Unbound DNS服务器 1.17.1 版的安装程序。Unbound 是一个高效的开源 DNS 服务器,广泛用于提高网络查询速度和提高网络安全性。此版本的安装程序支持最新的 Windows 11 操作系统.
Linux服务器配置与管理:unbound服务器安装配置.pptx
05-02
RHEL7.x自带了BindUnbound两种DNS服务包,Unbound是红帽公司推荐使用的DNS服务器。目前,虽然Bind在全球拥有最多的用户,但这个老牌产品是针对简单网络设计的,随着网络的迅速发展,Bind系统已经越来越不适应在如今复杂...
Linux服务器配置与管理:unbound服务基础.pptx
05-02
在Linux环境中,unbound服务是一个轻量级、安全的DNS解析器,它支持递归和非递归查询,并且提供了丰富的日志和验证功能,便于管理和维护。通过配置unbound,运维人员可以控制DNS解析行为,提高网络性能和安全性。 ...
深入浅出DNS系列(四)-内部根服务器架设实例与详解
jiangsd198的博客
03-09 2547
DNS内部根服务器架设实例与详解,需要详细研究或实践的同学,参考此文档搭建实践环境,可以通过此实验环境了解DNS几乎所有的过程。本系列文档后面的章节多参考此文档实例进行说明,同学在阅读后面的章节时可以回个头来查阅。
DNS 服务 Unbound 部署最佳实践
爱死亡机器人
03-25 1340
通常会导致名称的 NXDOMAIN(在静态区域中),但如果名称已变为空的非终结符(已删除名称下方的域名中仍有数据),则 NOERROR 无数据答案是该名称的结果。条目在该命令的实现中被设置为过期(因此,启用服务过期后,它将提供该信息但安排预取新信息)。用旧的或错误的数据加载缓存可能会导致将旧的或错误的数据返回给客户端。local_zones, local_zones_remove, local_datas, local_datas_remove 这些跟上面的相同,只是批量添加,从标准输入中读取 每行一条。
DNS域名解析
weixin_45645373的博客
03-07 249
DNS DNS是一个域名系统,它提供了将主机名和域名转换为ip地址的服务,因为网络通讯大部分都是基于TCP/IP,计算机在网络通讯中只能识别IP而不能识别域名 DNS解析过程 浏览器中输入url地址 浏览器查看自身缓存有没有与之对应的缓存,有就返回对应的ip地址,没有进行下一步 查看计算机本地的host文件有没有相关的记录,host文件保存了域名和ip地址的映射,没有进行下一步 查找LDNS(本地dns解析服务器),一般距离我们比较近。 查找gTLD(通用顶级域server),里面保存了每个顶级域下面所有
DNS BINDdnssec安全介绍
热门推荐
任何技能都是从模仿开始,逐步升华。
04-16 2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
unbound部署DNS服务
weixin_40951341的博客
04-23 1万+
检查是否安装unbound#rpm -qa unbound *安装unbound#yum install unbound -y 启动服务[root@localhost ~]# systemctl start unbound.service [root@localhost ~]# systemctl enable unbound.service修改配置文件[root@localhost ~]# vi...
一个ldns的例子
金九 的技术博客
01-07 8546
ldns是一个提供DNS解析的开源库,可以实现各种DNS服务器或者客户端的功能,最近项目中有用到,所以就记录一下,需求是这样的:nginx的upstream server中可以配置域名,nginx的upstream模块会解析出域名对应的IP,然后就跟配置IP的server一样了,但这样配置是死的,当域名的A记录改变时(在用DNS来做负载均衡时)就必须重载nginx配置文件才能生效,这样就得重启ng
UNbound DNS -UNbound域名解析
Alkaid__3的博客
03-17 6938
UNbound DNS服务器简介: RHEL7.x自带了BindUnbound两种DNS服务包,Unbound是红帽公司推荐使用的DNS服务器。目前,虽然Bind在全球拥有最多的用户,但这个老牌产品是针对简单网络设计的,随着网络的迅速发展,Bind系统已经越来越不适应在如今复杂的大规模网络环境下提供DNS服务了。Unbound是FreeBSD(类Unix)操作系统下的默认DNS服务器软件,它是...
Linux进阶_DNS服务BIND之详解篇
崔庆贺的博客
06-07 1422
1 名字解析介绍和DNS 当前TCP/IP网络中的设备之间进行通信,是利用和依赖于IP地址实现的。但数字形式的IP地址是很难记忆的。当网络设备众多,想要记住每个设备的IP地址,可以说是“不可能完成的任务”。那么如何解决这一难题呢?我们可以给每个网络设备起一个友好的名称,如:www.magedu.org,这种由文字组成的名称,显而易见要更容易记忆。但是计算机不会理解这种名称的,我们可以利用一种名字解析服务将名称转化成(解析)成IP地址。从而我们就可以利用名称来直接访问网络中设备了。除此之外还有一个重要功能,利
Linux常用命令和常见服务搭建
06-08
5. DNS 服务器:BindUnbound。 6. VPN 服务器:OpenVPN。 7. FTP 服务器:vsftpd、ProFTPD。 8. 监控工具:Nagios、Zabbix、Cacti。 9. 容器技术:Docker、Kubernetes。 10. 缓存服务器:Redis、Memcached。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值