MCSE笔记DNSSEC-创新互联
DNSSEC技术可以为DNS服务器之间的通信提供安全性,当DNS服务器从其他DNS服务器收到资源记录消息时,DNS服务器会检查此消息内的记录是否遭到篡改,是否是由真的授权DNS服务器发出的消息,而不是假冒的DNS服务器传送来的。换句话说。DNSSEC技术让DNS客户端所得到的IP地址等资源记录是真实无误的。如下图所示:
专注于为中小企业提供网站建设、成都网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业铁东免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了成百上千企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。DNSSEC通过数字签名与加密密钥来验证DNS服务器的响应是否为真实的,要让DNS服务器具备DNSSEC安全功能,需要针对授权DNS服务器的区域来执行对区域进行签名的动作,之后便可让非授权DNS服务器拥有验证的功能。授权DNS服务器的区域经过签名后,系统会为区域内的每一条资源记录各新建一条RRSIG(资源记录数字签名)记录,授权DNS服务器会将该记录与其RRSIG记录一并传给非授权DNS服务器,非授权DNS服务器利用授权DNS服务器的公钥来验证该条记录是否遭到篡改。
DNSSEC实例演练:实验环境和过程照搬戴有炜老师windows server 2012网络管理与架站书中的内容
实验说明:首先配置好各台主机的IP等参数、将DNS1配置成缓存服务器并设置转发器、在DNS2上建立区域sec.com,添加一条主机记录(www.sec.com----192.168.8.254)以便测试。
DNSSEC实验步骤:
1.到区域sec.com的授权服务器DNS2上对此区域签名(开启该区域的DNSSEC功能),签名后会产生很多DNSSEC相关的记录,其中就有RRSIG、DNSKEY(密钥)、等
2.到DNS1上导入DNSKEY(DNS2的公钥)
3.到DNS客户端上建立策略来让客户端计算机强制请求DNS1验证从DNS2收到的消息记录(在组策略里面配置)
取证数据:对DNS1验证DNS2的数据取证,抓取数据包,如下图:
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网站栏目:MCSE笔记DNSSEC-创新互联
文章网址:http://cdiso.cn/article/dihjjc.html