DNS服务器的作用和设置方法

1.安装DNS 服务组件

对于安装DNS 服务器的计算机，其IP 地址必须是固定的，不能动态分配。在Windows Server 2012 R2 操作系统上配置DNS 服务，按照以下步骤安装DNS 服务组件。

第1 步，打开服务器管理器，单击“仪表板”选项，在右侧窗格中选择“2　添加角色和功能”。然后，单击“下一步”按钮，如图3-1-7 所示。

图3-1-7　Windows 组件向导对话框

第2 步，在“角色”列表框中，选中“DNS 服务器”复选框，如图3-1-8 所示。

图3-1-8　网络服务组件对话框

第3 步，单击“下一步”按钮，确认安装内容，如图3-1-9 所示。然后单击“安装”按钮，计算机将自动安装DNS 服务。至此，DNS 服务器的安装就完成了。

图3-1-9　DNS 服务器的安装

2.启动DNS 服务

第1 步，打开服务器管理器，单击左侧的DNS 服务器，然后选中要操作的服务器，如图3-1-10所示。

图3-1-10　启动DNS 服务操作过程

第2 步，单击右键，在弹出的快捷菜单中选择“DNS 管理器”，进入“DNS 管理器”窗口，如图3-1-11 所示。

图3-1-11　“DNS 管理器”窗口

3.配置DNS 服务

进行以下操作步骤，完成对DNS 服务的基本配置。

第1 步，在“DNS 管理器”窗口中右键单击“正向查找区域”，在弹出的快捷菜单中选择“新建区域”选项，如图3-1-12 所示。

图3-1-12　建立一个正向查找区域

第2 步，在弹出的“区域类型”对话框中选中“主要区域”单选框，如图3-1-13所示。

图3-1-13　“区域类型”对话框

第3 步，单击“下一步”按钮，在弹出的“区域名称”对话框中为所建的主要区域命名。如图3-1-14 所示，输入名称“ZXM.COM”，此时新建的区域名就是ZXM.COM。单击“下一步”按钮，弹出图3-1-15 所示的“区域文件”对话框，在此创建一个新的区域文件，文件名为ZXM.COM.dns。

图3-1-14　“区域名称”对话框

图3-1-15　“区域文件”对话框

第4 步，单击“下一步”按钮，在弹出的“动态更新”对话框中，选择默认项“不允许动态更新”，如图3-1-16 所示。

(www.xing528.com)

图3-1-16　“动态更新”对话框

第5 步，单击“下一步”按钮，弹出“正在完成新建区域向导”对话框，如图3-1-17所示。至此，新建区域工作就完成了。

图3-1-17　“正在完成新建区域向导”对话框

第6 步，单击“完成”按钮。此时，在“正向查找区域”下有一个名为ZXM.COM 的选项，选中该项，然后单击右键，在弹出的快捷菜单中选择“新建主机”选项，如图3-1-18所示。

图3-1-18　“新建主机”快捷菜单

第7 步，选择“新建主机”选项后，出现“新建主机”对话框，在“名称”文本框中输入“WWW”，在“IP 地址”文本框中输入“192.168.10.6”，然后单击“添加主机”按钮，如图3-1-19 所示。

图3-1-19　“新建主机”对话框

至此，DNS 服务器为域名WWW.ZXM.COM 和IP 地址192.168.10.6 建立了映射关系，即能将域名WWW.ZXM.COM 解析为IP 地址192.168.10.6。

完成第7 步后，单击左侧控制树中的域名“ZXM.COM”，右侧窗口就会显示出新建的主机和IP 地址的映射关系，如图3-1-20 所示。

图3-1-20　域名WWW.ZXM.COM 和IP 地址192.168.10.6 建立了映射关系

第7 步可以重复多次，建立多个主机，同时设置相应的IP 地址，可以为更多的域名提供解析，如FTP.ZXM.COM 和IP 地址192.168.10.8 等。

第8 步，配置DNS 服务的转发功能。如图3-1-20 所示，在“DNS 管理器”窗口中，在左侧服务器下方选中“条件转发器”选项，单击右键，在弹出的快捷菜单中选择“新建条件转发器”选项，弹出“新建条件转发器”窗口，如图3-1-21 所示。在“DNS 域”输入一个域名，在“主服务器的IP 地址”输入合法的域名服务器IP 地址(如202.112.80.106)，按【Enter】 键，然后单击“确定”按钮即可。当本DNS 服务器遇到无法解析的域名时，可以将DNS 请求包转发给新添加的DNS 服务器(如202.112.80.106)。

图3-1-21　配置DNS 服务的转发功能

在Windows Server 2012 R2 操作系统上安装DNS 服务: 首先安装DNS 服务器；然后安装区域；最后安装主机。一个区域可以同时安装多台主机，每台主机配置不同的IP 地址。

注意:

为了解析更多地址，应在DNS 服务器上安装条件转发器。

4.验证DNS 服务器的功能

启动一台PC，将其配置为刚架设的DNS 服务器的客户端，将图3-1-6 所示对话框中的“首选DNS 服务器”设置为新的DNS 服务器的IP 地址。然后使用ping 命令ping 新建的域名(如ping www.zxm.com)，若能ping 通，则说明DNS 服务器的基本功能配置成功了；再ping 外网某网站(如ping www.163.com)，若能ping 通，则说明DNS 服务器的转发功能就设置成功了。

5.DNS 欺骗

常见的DNS 欺骗技术分为内应攻击和序列号攻击两种。内应攻击是指，在掌控一台DNS 服务器后，对其域名和IP 的映射关系内容进行更改，将虚假IP 地址指定给特定的域名，当客户端请求查询这个特定域名的IP 地址时，将得到伪造的IP 地址。序列号攻击是指，伪装的DNS 服务器在真实的DNS 服务器动作之前，向客户端发送应答数据报文，该报文中含有的序列号ID 与客户端向真实的DNS 服务器发出请求数据包中含有的ID 地址相同，因此客户端会接收该虚假报文，而丢弃晚到的真实报文，这样客户机得到的虚假报文中提供的域名的IP 地址是攻击者设定的IP 地址，这个IP 地址将把客户带到攻击者指定的站点。

在掌控一台DNS 服务器后，就可以实施DNS 内应攻击了。配置DNS 服务器，新增一条域名和IP 地址的映射记录。如图3-1-22 所示，建立了域名www.baidu.com 和IP 地址211.68.44.169 之间的映射关系。

图3-1-22　域名www.baidu.com 和IP 地址211.68.44.169 建立了映射关系

在DNS 客户端，将该DNS 服务器设置为首选DNS 服务器，然后，执行 “ping www.baidu.com”，结果ping 通了，但是ping 的目的IP 地址是211.68.44.169，不是真实的百度服务器IP 地址，如图3-1-23 所示。

图3-1-23　域名www.baidu.com 的真假IP 地址

如果211.68.44.169 启动了Web 服务，那么用户在DNS 客户端的浏览器地址栏中输入“www.baidu.com”，访问的就不是真实的百度网站，而是虚假网站。如果用户因为遭到DNS欺骗而访问了虚假网站，后果将非常严重。