安全之路——Linux上搭建DNS服务器及相关知识

DNS相关知识

描述：将域名和IP地址进行相互映射的一个分布式数据库，其中相互映射的意思就是，解析域名则映射出IP地址，解析IP地址则映射出域名。
运行端口：53 TCP/UDP
功能：
(1)正向解析：根据域名查找对应的IP地址 #dig www.baidu.com
(2)反向解析：根据IP地址查找对应的域名 #dig -x 163.177.151.110，但是反向解析的时候，需要IP是能够被反向解析的，否则就不会被解析出域名。

服务类型
（1）授权DNS：直接提供域名解析服务，并为递归DNS提供最终结果解答的DNS
（2）递归DNS：不直接提供域名解析服务，主要作用是缓存已请求的域名解析结果，提供未解析域名的递归请求。

常见的记录类型
A记录：主机记录，用于记录指定主机（域名）对应的IP地址记录
NS记录：域名服务器记录，用于指定该域名由哪个DNS来进行解析
MX记录：邮件交换记录，其指向邮件服务器，用于发邮件时根据收件人后缀来定位邮件服务器
CNAME记录：别名记录 #将多个名字映射到同一台主机上
TXT记录：一般指的是主机名或域名的说明
PTR记录：常被用于反向地址解析，是电子邮件系统中邮件交换记录的一种
SOA记录（起始授权机构）：表明了DNS服务器之间的关系、表明了谁是这个区域的所有者，比如www.baidu.com 中的baidu.com这个二级区域。一个DNS服务器安装后需要创建一个区域，以后这个区域的查询解析，都是通过DNS服务器来完成的，而刚刚提到的“区域的所有者”，就是谁对这个区域有修改权限。常见的DNS服务器只能创建一个标准区域，然后可以创建很多个辅助区域，其中标准区域是可以进行读写修改的，而辅助区域只能通过标准区域复制来完成，不能直接在辅助区域中进行修改，而创建标准区域的DNS就会有SOA记录，或者准确地说，SOA记录中的主机地址一定是这个标准区域的服务器IP地址

相关示例：



DNS的系统结构呈树状:

域和域名
描述： 点（ . ）是域，是所有其他域的起始点
例如：
com. 、net. 、info. 是域
acl.com. 、tool.net. 、yy.info. 也是域
www.acl.com. 、game.qq.com. 则是域名，从这里可以解析出IP地址，同时它也是一个域，它有自己SOA记录以及NS记录。

注：在DNS中域和域名没有严格区分,其区别在于有没有定义ZONE
Zone：是bind服务中所使用的数据库，其中包含了所有的DNS记录（但是不包括子域的记录，例如www）

DNS解析过程两种方式：（1）权威DNS （2）递归DNS

搭建DNS服务器

预备知识：
DNS服务器的相关配置文件

• 主配置文件：/etc/named.conf
• 解析数据文件保存位置：/var/named

查看主配置文件/etc/named.conf 部分内容：


在解析文件的存放位置/var/named/中，查看根服务器保存地址named.ca的文件内容

搭建步骤：
1、yum install bind* ，安装搭建DNS服务器所使用的bind工具

2、systemctl start named
启动服务，bind所对应的服务名称为named，其端口为53端口

3、hostnamectl set-hostname ns.taobao.com
修改主机名，为后续的区域配置文件做准备，若设置默认的主机名，可能会出现解析失败的情况，hostname是本地用户的名字，会限制dns对所有人都可以解析，通过hostname可以判断当时服务器在做什么工作。

4、关闭网络管理服务
systemctl stop NetworkManager
systemctl disable NetworkManager
要关闭该服务，若不关闭该服务的话，重启电脑之后，一些DNS及网卡的配置信息会被该服务接管，NetworkManager 接管之后，就会篡改我们的一些数据，所以为了避免被 NetworkManager接管，就需要停止以及关闭自启动该服务。

5、查询是否正确关闭 NetworkManager服务
systemctl list-unit-files | grep NetworkManager

6、vim /etc/sysconfig/network-scripts/ifcfg-ens33
关闭NetworkManager服务之后，我们还需要单独给网卡服务启动，即，在该配置文件的末尾添加 NM_CONTROLLED=“no”，拒绝 NetworkManager 接管网络

7、systemctl restart network
修改完成之后需要重启网卡生效

8、vim /etc/named.conf
环境搭建完成之后，就需要配置一个我们的域名，即修改bind服务的配置文件

9、修改完上面的配置文件之后还需要重启及设置自启动named
systemctl restart named
systemctl enable named
PS: 若53端口被打开了，就表明bind服务能够正常地对外进行域名解析了

10、测试是否能够以本机IP地址为DNS服务器,对www.baidu.com解析

11、上面测试结果成功,故表示能够对外提供访问了，但是不能单单只提供对外访问，还需要让外边的主机来访问自己搭建的这个DNS服务器,窃取个人信息，这时候就需要给bind服务的配置文件/etc/named.conf添加欺骗区(zone) ,其中修改及添加内容为下图59行至67行：

12、进入到保存解析文件的文件夹/var/named下查看一些其他的配置文件：

/var/named 文件夹下有个叫 named.localhost 的文件，该文件就是我们生成每一个zone区的模板，需对它修改成我们自己的zone区：
cp -a named.localhost taobao.com.zone
#建立正向区域解析文件
cp -a named.localhost 142.168.192.in-addr.arpa.zone
#建立反向区域解析文件

13、建立正\反向区域解析文件完成后,还需要对这两个文件进行声明配置：
（1）配置正向解析：vim taobao.com.zone

（2）配置反向解析：vim 142.168.192.in-addr.arpa.zone

14、修改完成正\反向解析的区配置文件后，还需要进行语法检查：
named-checkconf
#检查配置文件(/etc/named.conf)是否存在问题
named-checkconf -z
#检查正反向区域的配置文件是否存在问题

15、检查完成确定无报错后，需要重启服务生效并测试正向解析：
systemctl restart named
dig www.taobao.com @192.168.142.148

16、测试反向解析：
由于在反向解析区域配置中，设置177、190两个反向IP所映射的的域名分别是mail.taobao.com与youku.taobao.com
即测试语句为：
dig -x 192.168.142.177 @192.168.142.148
dig -x 192.168.142.190 @192.168.142.148


至此，一个简单的DNS服务器搭建完成.

水平有限，学习小记一番，一起学习，一起成长.