MCSE筆記 DNSSEC

DNSSEC技術(shù)可以為DNS服務(wù)器之間的通信提供安全性，當(dāng)DNS服務(wù)器從其他DNS服務(wù)器收到資源記錄消息時(shí)，DNS服務(wù)器會(huì)檢查此消息內(nèi)的記錄是否遭到篡改，是否是由真的授權(quán)DNS服務(wù)器發(fā)出的消息，而不是假冒的DNS服務(wù)器傳送來(lái)的。換句話說(shuō)。DNSSEC技術(shù)讓DNS客戶端所得到的IP地址等資源記錄是真實(shí)無(wú)誤的。如下圖所示：

DNSSEC通過(guò)數(shù)字簽名與加密密鑰來(lái)驗(yàn)證DNS服務(wù)器的響應(yīng)是否為真實(shí)的，要讓DNS服務(wù)器具備DNSSEC安全功能，需要針對(duì)授權(quán)DNS服務(wù)器的區(qū)域來(lái)執(zhí)行對(duì)區(qū)域進(jìn)行簽名的動(dòng)作，之后便可讓非授權(quán)DNS服務(wù)器擁有驗(yàn)證的功能。授權(quán)DNS服務(wù)器的區(qū)域經(jīng)過(guò)簽名后，系統(tǒng)會(huì)為區(qū)域內(nèi)的每一條資源記錄各新建一條RRSIG（資源記錄數(shù)字簽名）記錄，授權(quán)DNS服務(wù)器會(huì)將該記錄與其RRSIG記錄一并傳給非授權(quán)DNS服務(wù)器，非授權(quán)DNS服務(wù)器利用授權(quán)DNS服務(wù)器的公鑰來(lái)驗(yàn)證該條記錄是否遭到篡改。

DNSSEC實(shí)例演練：實(shí)驗(yàn)環(huán)境和過(guò)程照搬戴有煒老師windows server 2012網(wǎng)絡(luò)管理與架站書中的內(nèi)容

實(shí)驗(yàn)說(shuō)明：首先配置好各臺(tái)主機(jī)的IP等參數(shù)、將DNS1配置成緩存服務(wù)器并設(shè)置轉(zhuǎn)發(fā)器、在DNS2上建立區(qū)域sec.com,添加一條主機(jī)記錄（www.sec.com----192.168.8.254）以便測(cè)試。

DNSSEC實(shí)驗(yàn)步驟：
1.到區(qū)域sec.com的授權(quán)服務(wù)器DNS2上對(duì)此區(qū)域簽名（開啟該區(qū)域的DNSSEC功能），簽名后會(huì)產(chǎn)生很多DNSSEC相關(guān)的記錄，其中就有RRSIG、DNSKEY(密鑰）、等
2.到DNS1上導(dǎo)入DNSKEY（DNS2的公鑰）
3.到DNS客戶端上建立策略來(lái)讓客戶端計(jì)算機(jī)強(qiáng)制請(qǐng)求DNS1驗(yàn)證從DNS2收到的消息記錄（在組策略里面配置）

取證數(shù)據(jù)：對(duì)DNS1驗(yàn)證DNS2的數(shù)據(jù)取證，抓取數(shù)據(jù)包，如下圖：