Winteacher.com  (Farsi User Guide)  
Resource: Windows 2000 Server Resource kit TCP/IP Core Networking Guide  

PART2 > DNS Master Page

DNS Master Page
 

قبل از هرچيز بايد با مراحل Name Resolution يك Client آشنا شد تا بعد

ازآن موقعيت يك DNS Server  در شبكه بيشتر براي شما مشخص شود
اين مراحل به ترتيب زير مي باشد يعني يك Host در شبكه براي بدست آوردن يك IP و به دنبال
 آن بدست آوردن MAC Address آن سيستم بدين گونه عمل مي كند

  Name Resolution

  • Local Host name

  • Host File

  • DNS

  • Wins

  • Broadcast

  • LMhost File

در شكل بالا ديديد كه DNS سومين راه براي يك HOST مي باشد از بين شش راه  براي بدست آوردن IP يك Host

وظيفه اين سرويس در شبكه تبديل كردن FQDN به IP مي باشد يا  در واقع تبديل نام يك Host به IP

در شكل زير مشاهده مي كنيد كه يك سرور DNS در برخورد با يك Request از يك Dns Client چگونه عمل مي كند

 

  FQDN : fully qualified domain name 

  Example : S-NET.StandardEditions.NET.

  Example : Host-a.example.microsoft.com.

اين سرويس بگونه ديگر نيز مي تواند عمل كند يعني تبديل IP به FQDN كه برعكس عمل در شكل بالا مي شود
اين كه يك سرور DNS  چگونه عمل مي كند در جواب به چند عامل بستگي دارد

هر Request از طرف يك Dns Client داراي موارد زير مي باشد و يك DNS Server بايد اين موارد را جواب بدهد البته جواب سرور بستگي به شرايطي نيزدارد

  • A specified DNS domain name, stated as a fully qualified domain name (FQDN)

  • A specified query type, which can either specify a resource record by type or a specialized type of query operation

  • A specified class for the DNS domain name. For Windows DNS servers, this should always be specified as the Internet (IN) class.

DNS query process
The local resolver

در بالا شما مراحل DNS query را در يك شبكه مشاهده مي كنيد اول سيستم در Host fileخود به دنبال نام وIP مي گردد اگر جواب گرفت در همان مرحله جستجو

به پايان مي رسد در غيره اين صورت همانند بالا به دنبال يك DNS Server ميگردد و در Zone هاي آن سرور جستجو مي كند و بعد به Cache
موجود در سرور DNS مي رود و اگر باز جواب نگرفت به دنبال سرورهاي ديگر DNS مي رود
Caching and Time to Live
سرور DNS بعد از جواب دادن به هر query آن را در Cache خود نگهداري مي كند تا زمان مشخصي كه همان TTL يك ركورد درون Cache
گفته مي شود
براي بالا بردن سرعت Name resolution از اين روش استفاده مي كند تا از اين به بعد براي دادن جواب به Client ها از Cache استفاده كند
از دستور IPconfig  /displaydns مي توان براي ديدن اطلاعات كامل  cache يك DNS server استفاده كرد
براي پاك كردن يك Cache مي توان از دستور IPconfig /flushdns استفاده كرد
Querying a DNS server
اما يك DNS CLIENT براي رسيدن به IP يك FQDN چه مراحلي را سپري مي كند در شكل زير شما يك مثال براي FQDN=Example.microsoft.com
را مشاهده مي كنيد در اينجا Dns client براي رسيدن به سيستم Example بايد از سه DNS SERVER عبور كند تا به IP اين Host دسترسي داشته باشد
به Query ميان Zone هاي سرورهاي DNS كه از مرحله 2به بعد ديده مي شود Interactive queries گفته مي شود و به Query ميان سرور
DNS و Client ديده مي شود  Recursive Queries گفته مي شود

 ROOT DNS "."

در FQDN هر سيستمي در آخر نام آن يك  "."  وجود دارد در شكل بالا  .Example.microsoft.com  نيز همين گونه مي باشد پس ROOT DNS هميشه
در يك شبكه بايد وجود داشته باشد شما بعد از نصب يك DNS به صورت Automatic آن سرويس در خود يك Zone Root ايجاد مي كند
Zone در هر سرور DNS نمايان كنند قسمتي از يك FQDN مي باشد
در شكل بالا زماني كه DNS Client به سرور DNS خود رجوع مي كند اين سرور به دنبال FQDN مورد نظر در خود به صورت Locally مي گردد اگر اين نام را
پيدا نكرد به سرورهاي DNS ديگر كه برايش معرفي شده مي رود تا اين Request را كه از طرف client خود آمده را جواب دهد
زماني كه اين Request  از سرور DNS به Root DNS مي رسد سرور در جواب به آن آدرس سرور DNS COM را مي دهد تا Request به

آنجا فرستاده شود وقتي Request به سرور DNS COM رسيد آن در  جواب  آدرس سرور DNS MICROSOFT  را مي دهد و در آخر

Packet به سرور DNS مي رسد كه ادرس HOST=Example.microsoft.com درآن وجود دارد و در مرحله آخر .FQDN:Example.microsoft.com
به DNS CLIENT برگردانده مي شود البته IP Address آن منظور مي باشد
در شكل زير شما مي توانيد كاملا نقش ROOT SERVER را مشاهده كنيد در Internet

FQDN : www.microsoft.com.

FQDN : host-a.example.microsoft.com.

WINS LOOKUP AND Querying a DNS server
اما از Wins مي توان در Name Resolution استفاده كرد در شكل زير مي بينيد كه سرور DNS با سرور Wins رابطه برقرار كرده است در واقع DNS از
سرور Wins براي جواب به DNS Client  كمك گرفته
  • The DNS server separates the host part of the name (host-a) from the fully qualified domain name contained in the DNS query. The host part of the name is the first label in the queried DNS domain name before a period is used in the name.

  • The server then sends a NetBIOS name request to the WINS server using the host name, host-a.

  • If the WINS server can resolve the name, it returns the IP address to the DNS server.

  • The DNS server then compiles an A resource record using the IP address resolved through the WINS server and returns this record to the original preferred DNS server that was queried by the requesting client, host-b.

  • The preferred DNS server then passes the query answer back to the requesting client.

لازم بذكر مي باشد اگر FQDN  در خواست شده در هيچ كدام يك از DNS بالا نباشد سرور DNS آخر يك NETBIOS NAME را از
سرور Wins در خواست مي كند اگر در Database سرور Wins اين ركورد وجود داشته باشد اين ركورد توسط DNS آخر در يافت مي شود
و به DNS Client  داده مي شود در واقع IP Address موجود در ركورد را DNS گرفته و تبديل يه يك ركورد از نوع DNS مي كند و به DNS Client
برمي گرداند

Securing DNS deployment

When designing your DNS server deployment, use the following DNS security guidelines:

  • If your network hosts are not required to resolve names on the Internet, eliminate DNS communication with the Internet. In this DNS design, you can use a private DNS namespace that is hosted entirely in your network. The private DNS namespace is distributed just as the Internet DNS namespace, with your internal DNS servers hosting zones for the root domain and top-level domains.

  • Split the DNS namespace for your organization between internal DNS servers behind the firewall and external DNS servers in front of the firewall. In this DNS design, your internal DNS namespace is a subdomain of your external DNS namespace. For example, if the Internet DNS namespace for your organization is adatum.com, then the internal DNS namespace for your network is corp.adatum.com.

  • Host your internal DNS namespace on internal DNS servers and host your external DNS namespace on external DNS servers exposed to the Internet. To resolves queries for external names made by internal hosts, the internal DNS servers forward queries for external names to the external DNS servers. External hosts use only the external DNS servers for Internet name resolution.

  • Configure your packet-filtering firewall to only allow UDP and TCP port 53 communication between your external DNS server and a single internal DNS server. This will facilitate communication between internal and external DNS servers and prevent any other external computer from gaining access to your internal DNS namespace.

در DNS مواردي را كه در بالا  گفته شده براي امنيت شبكه لازم مي باشد كه توجه شود
************************************************
اولين مورد در شبكه  دو نوع query بنام Public  ,Private  وجود دارد اگر شما ارتباطي با Internet نداشته باشيد Public query وجود ندارد
در نتيجه بهترين كار اين مي باشد كه در قسمت Root Domain نام سرورهاي Private Network را فقط اضافه كنيد در واقع ارتباطي با سرور هاي DNS در
Internet نداشته باشيد
دوم جدا كردن سرورهاي DNS در  Private Network از شبكه Internet توسط  يك Firewall البته امكان دارد در اين حالت شما Subdomain  يكي
از Internet Domain باشيد به عنوان مثال يك Domain با نام adatum.com اگر سرور Host-1 شما يكي از DNS هاي شبكه باشد در Internet اين
سرور را بانام Host-1.adatum.com مي توان شناسايي كرد البته وجود Firewall لازم مي باشد براي امنيت LAN شما
در سومين حالت ميان Private Network شما با Internet يك ارتباط يك طرفه وجود دارد بدين صورت كه  شبكه شما مي توانند Public query داشته باشد
يعني سرور هاي DNS شما هر query را كه نتوانند جواب دهند را به Internet ارسال مي كنند تا يك سرور DNS موجود در Internet به آن جواب دهد در اين
حالت افراد درون Internet نمي توانند query خود را به LAN شما ارسال كنند
در حالت چهارم بهترين كار براي داشتن امنيت بالا و نيز امكان ارتباط با سرور هاي DNS در Internet استفاده از Filtering در Firewall مي باشد براي
بالا بردن امنيت يك Firewall مي توان كليه Port هاي سيستم را بست و فقط Port هاي مورد نياز مانند Port : 80 , 53 را باز نگه داريد

DNS security threats

The following are the typical ways in which your DNS infrastructure can be threatened by attackers:

  • Footprinting is the process by which DNS zone data is obtained by an attacker to provide the attacker with the DNS domain names, computer names, and IP addresses for sensitive network resources. An attacker commonly begins an attack by using this DNS data to diagram, or footprint, a network. DNS domain and computer names usually indicate the function or location of a domain or computer in order to help users remember and identify domains and computers more easily. An attacker takes advantage of the same DNS principle to learn the function or location of domains and computers in the network.

امكان دارد يك فرد يا افرادي با بدست آوردن يك سري اطلاعات در مورد يك Zone در داخل شبكه شما با درست كردن يك نام و IP Address براي خود به شبكه
شما به صورت Remote وارد شوند هكرها مي توانند با در دست  داشتن اين اطلاعات خيلي كم  وارد شبكه شما شوند البته اين كار از روشهاي معمولي حمله به يك
شبكه مي باشد در نتيجه دانستن آن مهم مي باشد زماني كه اين افراد بتوانند از طريق سرويس DNS و از طريق اطلاعات يك Zone خود را در شبكه قانوني جلوه
دهدند مي توانند به كليه Resource هاي شبكه بعد از مدت زمان كوتاهي دسترسي پيدا كنند اين افراد با قوانين DNS كاملا آشنا مي باشند
  • Denial-of-service attack is when an attacker attempts to deny the availability of network services by flooding one or more DNS servers in the network with recursive queries. As a DNS server is flooded with queries, its CPU usage will eventually reach its maximum and the DNS Server service will become unavailable. Without a fully operating DNS server on the network, network services that use DNS will become unavailable to network users.

يكي ديگر مواردي كه يك سرور DNS  را مي تواند از كار بي اندازد حمله بيش از حد در يك لحظه به سرور از طريق QUERY مي باشد
اين عمل باعث مي شود سرويس DNS از كار بي افتد اين اتفاق را ممكن است هكرها تدارك ببينند يا يك ويروس يا يك مشكل در سيستم عامل
  • Data modification is an attempt by an attacker (that has footprinted a network using DNS) to use valid IP addresses in IP packets the attacker has created, thereby giving these packets the appearance of coming from a valid IP address in the network. This is commonly called IP spoofing. With a valid IP address (an IP address within the IP address range of a subnet), the attacker can gain access to the network and destroy data or conduct other attacks.

يكي از معروفترين حمله هاي Internet توسط هكرها IP spoofing نام دارد در اين حمله فرد بعد شناسايي يا پيدا كردن IP Address شما يك Packet براي
شما ارسال مي كند معمولا اين Packet ارسال شده غيره منتظره مي باشد و شما را وادار به جواب مي كند مي تواند اين اتفاق يك Message باشد شما بعد ديدن اين
پيغام يا Spam و جواب دادن به آن يك سري Port سيستم را براي آن فرد باز كرده ايد تا از طريق آنها  به سيستم شما حمله كند اين حمله مي تواند بدتر از اين

هم باشد به طوري كه كليه Packet هاي ارسالي به سيستم شما يك نسخه براي هكر هم ارسال مي شود و از اين نوع موارد ... لازم بذكر مي باشد Firewall

و Router ها نمي توانند از اين نوع حمله به شما جلوگيري كنند چون سيستم شما آلوده شده بهترين راه جلوگيري استفاده از Anti Virus مي باشد

  • Redirection is when an attacker is able to redirect queries for DNS names to servers under the control of the attacker. One method of redirection involves the attempt to pollute the DNS cache of a DNS server with erroneous DNS data that may direct future queries to servers under the control of the attacker. For example, if a query were originally made for example.microsoft.com and a referral answer provided a record for a name outside of the microsoft.com domain, such as malicious-user.com, then the DNS server would use the cached data for malicious-user.com to resolve a query for that name. Redirection can be accomplished whenever an attacker has writable access to DNS data, such as with insecure dynamic updates.

يك روش براي از بين بردن كارايي يك DNS Server آلوده كردن Cache موجود در DNS مي باشد براي مثال يك query را مي توان در زمان جواب دادن
آدرس نادرست داد براي اين كار بايد cache يك سرور DNS را دستكاري كرد

Three levels of DNS security

The following three levels of DNS security will help you understand your current DNS configuration and enable you to increase the DNS security of your organization.

سه حالت زير براي امنيت يك سرور DNS  مي تواند وجود داشته باشد

Low-level security

Low-level security is a standard DNS deployment without any security precautions configured. Only deploy this level of DNS security in network environments where there is no concern for the integrity of your DNS data or in a private network where there is no threat of external connectivity.

  • The DNS infrastructure of your organization is fully exposed to the Internet.

  • Standard DNS resolution is performed by all DNS servers in your network.

  • All DNS servers are configured with root hints pointing to the root servers for the Internet.

  • All DNS servers permit zone transfers to any server.

  • All DNS servers are configured to listen on all of their IP addresses.

  • Cache pollution prevention is disabled on all DNS servers.

  • Dynamic update is allowed for all DNS zones.

  • User Datagram Protocol (UDP) and Transmission Control Protocol/Internet Protocol (TCP/IP) port 53 is open on the firewall for your network for both source and destination addresses.

در حالت اول كه حالت Low-level مي باشد سرور DNS داراي اين تنظيمات مي باشد

Medium-level security

Medium-level security uses the DNS security features available without running DNS servers on domain controllers and storing DNS zones in Active Directory.

  • The DNS infrastructure of your organization has limited exposure to the Internet.

  • All DNS servers are configured to use forwarders to point to a specific list of internal DNS servers when they cannot resolve names locally.

  • All DNS servers limit zone transfers to servers listed in the name server (NS) resource records in their zones.

  • DNS servers are configured to listen on specified IP addresses.

  • Cache pollution prevention is enabled on all DNS servers.

  • Dynamic update is not allowed for any DNS zones.

  • Internal DNS servers communicate with external DNS servers through the firewall with a limited list of source and destination addresses allowed.

  • External DNS servers in front of your firewall are configured with root hints pointing to the root servers for the Internet.

  • All Internet name resolution is performed using proxy servers and gateways.

حالت دوم  Medium-level حالتي با امنيت تقريبا بالا و مناسب البته حالت دوم در مواردي مي باشد كه DNS بر روي ADS وجود ندارد و
اطلاعات Zone هاي  سرور DNS بر روي ADS ذخيره نشده باشد

High-level security

High-level security uses the same configuration as medium-level security and also uses the security features available when the DNS Server service is running on a domain controller and DNS zones are stored in Active Directory. In addition, high-level security completely eliminates DNS communication with the Internet. This is not a typical configuration, but it is recommended whenever Internet connectivity is not required.

  • The DNS infrastructure of your organization has no Internet communication by internal DNS servers.

  • Your network uses an internal DNS root and namespace, where all authority for DNS zones is internal.

  • DNS servers that are configured with forwarders use internal DNS server IP addresses only.

  • All DNS servers limit zone transfers to specified IP addresses.

  • DNS servers are configured to listen on specified IP addresses.

  • Cache pollution prevention is enabled on all DNS servers.

  • Internal DNS servers are configured with root hints pointing to the internal DNS servers hosting the root zone for your internal namespace.

  • All DNS servers are running on domain controllers. A discretionary access control list (DACL) is configured on the DNS Server service to only allow specific individuals to perform administrative tasks on the DNS server.

  • All DNS zones are stored in Active Directory. A DACL is configured to only allow specific individuals to create, delete, or modify DNS zones.

  • DACLs are configured on DNS resource records to only allow specific individuals to create, delete, or modify DNS data.

  • Secure dynamic update is configured for DNS zones, except the top-level and root zones, which do not allow dynamic updates at all.

در حالت High-level شما اطلاعات DNS را بروي يك DC و در يك ADS ذخيره كرده ايد كه داراي امنيت بالاتري مي باشد

در DNS چند نوع ركورد وجود دارد در زير مي توانيد شرح كامل آنها را مشاهده كنيد

DNS Records

Resource records reference
 

Start of Authority (SOA) Resource Records

در اين ركورد يك سري اطلاعات مورد نظر يك سرور وجود دارد كه در زير مشخصات آنها را مشاهده مي كنيد

Owner, TTL, Class, and Type fields

در اين قسمت كليه پيكر بندي يك ركورد مشخص شده از جمله سازنده و نوع و زمان زيستن يك ركورد در DataBase و..
authoritative server field
نشان دهنده سرور Primary DNS  يك ركورد
responsible person field
نمايان كننده آدرس Mail فرد Admin يك Zone مي باشد
serial number field
در اين قسمت يك عدد وجود دارد كه نشان دهنده يك آخرين زمان Update شدن يك Zone را نشان مي دهد رماني كه Secondary DNS با
سرور Primary DNS ارتباط برقرار مي كند به عدد حساس مي باشد و از اين طريق مي فهمد كه Zone تغييري كرده يا خير در واقع آن را با
Serial خود چك مي كند
refresh field
در اين قسمت تعداد مراجعت Secondary DNS به يك Zone را نمايش مي دهد كه براي Check  كردن Update شدن يك Zone رخ مي دهد
retry field
در اين قسمت تعداد درخواست Transferيك Secondary DNS را براي يك Zone را نمايش مي دهد
expire field
تعداد دفعاتي كه  Transfer بين Scondary DNS و يك Zone ناتمام مانده و يا Error داشته
minimum TTL field
زماني كه يك ركود TTL آن مشخص نباشد اين زمان تعريف شده به آن داده مي شود كه وقتي Client آن را درخواست كرد چود مدت زمان TTL
ندارد اين زمان را به آن بدهد تا مشكلي رخ ندهد
The following example shows the SOA resource record:

noam.reskit.com.  IN  SOA (

                noamdc1.noam.reskit.com.     ; authoritative  server

                                                   for the zone

                administrator.noam.reskit.com.   ; zone admin e-mail

                                                 ; (responsible person)

                5099                             ; serial number

                3600                             ; refresh (1 hour)

                600                              ; retry (10 mins)

                86400                            ; expire (1 day)

                60        )                      ; minimum TTL (1 min)

Name Server (NS) Resource Records

براي مشخص شدن Primary ,Secondary DNS سرور هر Zone بايد حداقل يك NS record در Zone Root وجود داشته باشد
براي مشخص شدن Delegated Zone و نيز SOA record هر سرور نيز به اين ركورد نياز مي باشد
درزماني كه Admin درreskit.com يك Delegate Authority ايجادكندبرايnoam.reskit.com subdomain to noamdc1.noam.reskit.com
ركورد زير در هر دو Zone مورد نظر ايجاد مي شود

noam.reskit.com.     IN     NS      noamdc1.noam.reskit.com

Delegation and Glue Records
اين ركورد تركيبي ار NS record وA record مي باشد كه در زير مشاهده مي كنيد در واقع دو ركورد مي باشد
زماني كه در سرور DNS در Zone با نام reskit.com مربوط به سرور  noam.reskit.com به سرور noamNS.reskit.com
عمل Delegate Authority را انجام مي دهيد ركوردهاي زير ساخته مي شود

noam.reskit.com.                IN     NS   noamNS.noam.reskit.com

noamNS.noam.reskit.com.         IN     A    172.16.54.1

در شکل زیر Property  یک Zone را مشاهده می کنید  که برخی از Tab های مهم آن شرح داده خواهد شد . برای تغییر دادن پیکربندی یک Zone  باید

مراحل زیر را انجام دهید

To modify Property  for a directory-integrated zone.(Forward Lookup Zones)

  1. Open DNS.
  2. In the console tree, click the applicable zone.
  3. On the Action menu, click Properties.

 

در شکل زیر Property  یک DNS Serv را مشاهده می کنید  که برخی از Tab های مهم آن شرح داده خواهد شد . برای تغییر دادن پیکربندی یک Server

 باید مراحل زیر را انجام دهید

To configure a DNS server to use  (InterfacesTab  forwardersTab  AdvancedTab Root HintsTab  ..)

  1. Open DNS.
  2. In the console tree, click the applicable DNS server.
  3. On the Action menu, click Properties.

 

To modify Property  for a directory-integrated zone.(Reverse Lookup Zones)

  1. Open DNS.

  2. In the console tree, click the applicable zone.

  3. On the Action menu, click Properties.

 

 

Last Updated: October 01, 2006

Winteacher.com
DNS Master Page

 © 2003-2006 Winteacher.com . All rights reserved