1.安装DNS 服务组件
对于安装DNS 服务器的计算机,其IP 地址必须是固定的,不能动态分配。在Windows Server 2012 R2 操作系统上配置DNS 服务,按照以下步骤安装DNS 服务组件。
第1 步,打开服务器管理器,单击“仪表板”选项,在右侧窗格中选择“2 添加角色和功能”。然后,单击“下一步”按钮,如图3-1-7 所示。
图3-1-7 Windows 组件向导对话框
第2 步,在“角色”列表框中,选中“DNS 服务器”复选框,如图3-1-8 所示。
图3-1-8 网络服务组件对话框
第3 步,单击“下一步”按钮,确认安装内容,如图3-1-9 所示。然后单击“安装”按钮,计算机将自动安装DNS 服务。至此,DNS 服务器的安装就完成了。
图3-1-9 DNS 服务器的安装
2.启动DNS 服务
第1 步,打开服务器管理器,单击左侧的DNS 服务器,然后选中要操作的服务器,如图3-1-10所示。
图3-1-10 启动DNS 服务操作过程
第2 步,单击右键,在弹出的快捷菜单中选择“DNS 管理器”,进入“DNS 管理器”窗口,如图3-1-11 所示。
图3-1-11 “DNS 管理器”窗口
3.配置DNS 服务
进行以下操作步骤,完成对DNS 服务的基本配置。
第1 步,在“DNS 管理器”窗口中右键单击“正向查找区域”,在弹出的快捷菜单中选择“新建区域”选项,如图3-1-12 所示。
图3-1-12 建立一个正向查找区域
第2 步,在弹出的“区域类型”对话框中选中“主要区域”单选框,如图3-1-13所示。
图3-1-13 “区域类型”对话框
第3 步,单击“下一步”按钮,在弹出的“区域名称”对话框中为所建的主要区域命名。如图3-1-14 所示,输入名称“ZXM.COM”,此时新建的区域名就是ZXM.COM。单击“下一步”按钮,弹出图3-1-15 所示的“区域文件”对话框,在此创建一个新的区域文件,文件名为ZXM.COM.dns。
图3-1-14 “区域名称”对话框
图3-1-15 “区域文件”对话框
第4 步,单击“下一步”按钮,在弹出的“动态更新”对话框中,选择默认项“不允许动态更新”,如图3-1-16 所示。
(www.xing528.com)
图3-1-16 “动态更新”对话框
第5 步,单击“下一步”按钮,弹出“正在完成新建区域向导”对话框,如图3-1-17所示。至此,新建区域工作就完成了。
图3-1-17 “正在完成新建区域向导”对话框
第6 步,单击“完成”按钮。此时,在“正向查找区域”下有一个名为ZXM.COM 的选项,选中该项,然后单击右键,在弹出的快捷菜单中选择“新建主机”选项,如图3-1-18所示。
图3-1-18 “新建主机”快捷菜单
第7 步,选择“新建主机”选项后,出现“新建主机”对话框,在“名称”文本框中输入“WWW”,在“IP 地址”文本框中输入“192.168.10.6”,然后单击“添加主机”按钮,如图3-1-19 所示。
图3-1-19 “新建主机”对话框
至此,DNS 服务器为域名WWW.ZXM.COM 和IP 地址192.168.10.6 建立了映射关系,即能将域名WWW.ZXM.COM 解析为IP 地址192.168.10.6。
完成第7 步后,单击左侧控制树中的域名“ZXM.COM”,右侧窗口就会显示出新建的主机和IP 地址的映射关系,如图3-1-20 所示。
图3-1-20 域名WWW.ZXM.COM 和IP 地址192.168.10.6 建立了映射关系
第7 步可以重复多次,建立多个主机,同时设置相应的IP 地址,可以为更多的域名提供解析,如FTP.ZXM.COM 和IP 地址192.168.10.8 等。
第8 步,配置DNS 服务的转发功能。如图3-1-20 所示,在“DNS 管理器”窗口中,在左侧服务器下方选中“条件转发器”选项,单击右键,在弹出的快捷菜单中选择“新建条件转发器”选项,弹出“新建条件转发器”窗口,如图3-1-21 所示。在“DNS 域”输入一个域名,在“主服务器的IP 地址”输入合法的域名服务器IP 地址(如202.112.80.106),按【Enter】 键,然后单击“确定”按钮即可。当本DNS 服务器遇到无法解析的域名时,可以将DNS 请求包转发给新添加的DNS 服务器(如202.112.80.106)。
图3-1-21 配置DNS 服务的转发功能
在Windows Server 2012 R2 操作系统上安装DNS 服务: 首先安装DNS 服务器;然后安装区域;最后安装主机。一个区域可以同时安装多台主机,每台主机配置不同的IP 地址。
注意:
为了解析更多地址,应在DNS 服务器上安装条件转发器。
4.验证DNS 服务器的功能
启动一台PC,将其配置为刚架设的DNS 服务器的客户端,将图3-1-6 所示对话框中的“首选DNS 服务器”设置为新的DNS 服务器的IP 地址。然后使用ping 命令ping 新建的域名(如ping www.zxm.com),若能ping 通,则说明DNS 服务器的基本功能配置成功了;再ping 外网某网站(如ping www.163.com),若能ping 通,则说明DNS 服务器的转发功能就设置成功了。
5.DNS 欺骗
常见的DNS 欺骗技术分为内应攻击和序列号攻击两种。内应攻击是指,在掌控一台DNS 服务器后,对其域名和IP 的映射关系内容进行更改,将虚假IP 地址指定给特定的域名,当客户端请求查询这个特定域名的IP 地址时,将得到伪造的IP 地址。序列号攻击是指,伪装的DNS 服务器在真实的DNS 服务器动作之前,向客户端发送应答数据报文,该报文中含有的序列号ID 与客户端向真实的DNS 服务器发出请求数据包中含有的ID 地址相同,因此客户端会接收该虚假报文,而丢弃晚到的真实报文,这样客户机得到的虚假报文中提供的域名的IP 地址是攻击者设定的IP 地址,这个IP 地址将把客户带到攻击者指定的站点。
在掌控一台DNS 服务器后,就可以实施DNS 内应攻击了。配置DNS 服务器,新增一条域名和IP 地址的映射记录。如图3-1-22 所示,建立了域名www.baidu.com 和IP 地址211.68.44.169 之间的映射关系。
图3-1-22 域名www.baidu.com 和IP 地址211.68.44.169 建立了映射关系
在DNS 客户端,将该DNS 服务器设置为首选DNS 服务器,然后,执行 “ping www.baidu.com”,结果ping 通了,但是ping 的目的IP 地址是211.68.44.169,不是真实的百度服务器IP 地址,如图3-1-23 所示。
图3-1-23 域名www.baidu.com 的真假IP 地址
如果211.68.44.169 启动了Web 服务,那么用户在DNS 客户端的浏览器地址栏中输入“www.baidu.com”,访问的就不是真实的百度网站,而是虚假网站。如果用户因为遭到DNS欺骗而访问了虚假网站,后果将非常严重。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。