1使用路由器提供的DNS服务器地址:如果您使用的是路由器来连接互联网,那么您可以通过查看路由器的设置来获取DNS服务器地址。通常情况下,路由器会自动分配DNS服务器地址,您只需要在路由器的设置界面中查看即可。
2使用ISP提供的DNS服务器地址:如果您使用的是ISP提供的互联网服务,那么您可以通过查询ISP的官方网站或拨打客服电话获取DNS服务器地址。
3使用公共DNS服务器地址:如果您无法获取ISP提供的DNS服务器地址,或者想要更加快速地访问互联网,那么您可以使用公共DNS服务器地址。目前比较常用的公共DNS服务器包括Google DNS(8888和8844)、OpenDNS(20867222222和20867220220)、阿里云DNS(223555和223666)等。您可以在电视的设置界面中手动输入这些地址来设置DNS服务器。
总之,获取DNS服务器地址的方式主要取决于您所使用的互联网服务提供商和网络设备,您可以通过查看相关的设置界面或咨询客服来获取正确的DNS服务器地址。解决方法第一步:重启路由器、光猫等网络设备。将路由器、光猫等网络设备的电源拔掉,等待2分钟后,重新插上电源,网络设备即可自动重启。第二步:重启电脑。在电脑桌面上,鼠标点击开始,然后依次选择电源、重启选项,确定后电脑重启。第三步:设置DNS服务器地址为自动获取。电脑重新启动进入桌面后,在鼠标右键单击桌面网络图标,选择属性,进入网络共享中心。点击页面中更改适配器设置,然后右键单击以太网,选择属性,打开以太网属性对话框。在对话框中找到Internet 协议版本4 TCP/IP v4,鼠标双击它,进入其属性对话框。在常规选项卡中,勾选自动获取IP地址和自动获取DNS服务器地址前的单选框,然后单击确定即可。域名DNS认证:您需要先将该域名的DNS设置为我们的域名服务器 ns1ejeecom 和 ns2ejeecom。 管理员邮箱认证:系统将自动查询WHOIS服务器获取管理人邮箱,并发送一封确认邮件到该邮箱。但有些时候系统并不能正确的获取到管理人邮箱,这也将导致认证失败。 CNAME认证:请先将您的二级域名ejeeYourDomain的cname解析到我们的服务器地址 auctionejeecom,系统将自动判断解析设置,进行认证。纠错:提问应该是DNS协议才对。下面是针对DNS协议的具体介绍:
DNS是域名系统(DomainNameSystem)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。
技术问题:
描述一个区的数据有四部分:区中所有结点的认证数据定义区内顶结点的数据(此数据可被认为是认证数据的一部分)描述代表子区的数据访问服务器子区的数据(我们也称为#30456;关#65288;glue)数据)所有这些数据以RR的形式表示,所有区可以被RR集的形式描述。通过传输RR,可以传输整个区,具体的方法可以是通过FTP传输相应的文本文件,或是通过网络消息的形式传输。一个区的认证数据是所有的RR,这些RR和树中所有的结点是关联的,要么就是切分后的结点关联。描述顶结点的RR对于区的管理特别重要,这些RR有两种类型,名字服务器RR,它描述了区中的服务器列表;另一种是SOARR,它描述的区的管理参数。
描述切分的RR是NSRR,因为切分是在结点间进行的,所有RR不是区认证数据的一部分,它应该和相应的在子区内的顶结点一致。因为名字服务器通常和区边界相关,NSRR只在一些区的顶结点上有。在组成一个区的数据中,NSRR在顶层结点和在边界底的切分处出现,不在其它地方。
区结构所要实现的一个目标是任何区都有足够的数据可以和任何子区建立通信。也就是说,父区有足够的信息可以访问子区中的任何一台名字服务器。NSRR命名了子区服务器,它不足以完成上面的要求,因此有了名字但仍然不知道地址。特别地,如果名字服务器的名字在子区内是它自己,我们就无法知道通过它的任何信息了。为了解决这一问题,区中包括了一个关联RR,它不是认证权威数据的一部分,但它表示了服务器的地址。如果名字服务器名在切分下,就需要这些RR了。
管理问题:
当有些组织希望掌握自己的域时,第一步是标记合适的父区,然后取得父区中管理结点的许可来管理。管理的时候没有什么具体的技术问题,可是还是有一些规则的,对中型的区可以没有这些规定,但是小型的就不行了。本文不具体讨论这一问题了,有兴趣可参阅相关的资料。
一旦选择了子区的名字,此区的新管理结点要冗余的名字服务器来支持。注意:没有要求一个区的服务器必须在此域中有名字的主机上。在许多种情况下,一个区要想被更容易地访问到最好把内容放得分散一点,不要集中在一起。现在许多国家的名字服务器是放置在别国的,这样在取得名字解析的时候不用把请求千里迢迢送到远程主机上去了。作为配置的最后一步,就是要选择NSRR和关联RR。
深入名字服务器 1查询和响应
深入名字服务器
名字服务器的主要内容就是响应标准查询。查询和响应有专用的格式,查询包括QTYPE,QCLASS和QNAME,它描述了需要数据的类型,类(class)和名字。服务器的响应取决于它支持不支持循环查询:
最简单的是不支持循环查询,它返回的要么是本地信息,要么是一个错误码,告诉用户你要的信息这里没有,然后再返回一个邻近服务器的地址,让用户到那里去查一查。
如果支持循环查询,那名字服务器如果未能在本地找到相应的信息,就代替用户向其它服务器进行查询,这时它是代替用户扮演了resolver的角色,直到最后把结果找到(也可能根本没有结果,那就返回错误),并返回给用户为止。
使用循环查询要客户和服务器双方都支持才行。这个信息通过查询和响应中的两位来交换:
如果允许循环查询则设置RA位,服务器方可以不管客户是否进行请求而直接设置此位
查询中如果请求循环查询则设置RD位,客户只有在知道服务器方支持循环查询后才能够进行循环查询请求
客户可以在响应中同时设置RA和RD位来确认是否支持循环查询请求。请注意:服务器在客户未指明RD位时不会自己进行循环查询。
如果请求了循环查询,同时也支持循环查询,对查询的响应会是以下之一:
查询指定的CNAMERR有多个别名
指定的名字服务器不存在
临时错误
如果未请求循环查询或不支持循环查询,则响应可以可能是:
-认证权威服务器指出名字不存在
-临时错误
另外还会提供一些信息,指出所查询的RR是否从一个区来,或者是不是被缓存;另一种信息指明名字服务器指出还有一个服务器拥有相同的记录,这个服务器更靠近要查询的名字的祖先。
2算法
名字服务器使用的算法和本地 *** 作系统和数据结构相关,下面的算法假设RR以几个树型结构组织,一个树就是区。
3使用协议格式
DNS在进行区域传输的时候使用TCP协议,其它时候则使用UDP协议;
DNS的规范规定了2种类型的DNS服务器,一个叫主DNS服务器,一个叫辅助DNS服务器。在一个区中主DNS服务器从自己本机的数据文件中读取该区的DNS数据信息,而辅助DNS服务器则从区的主DNS服务器中读取该区的DNS数据信息。当一个辅助DNS服务器启动时,它需要与主DNS服务器通信,并加载数据信息,这就叫做区传送(zone transfer)。
为什么既使用TCP又使用UDP?
首先了解一下TCP与UDP传送字节的长度限制:
UDP报文的最大长度为512字节,而TCP则允许报文长度超过512字节。当DNS查询超过512字节时,协议的TC标志出现删除标志,这时则使用TCP发送。通常传统的UDP报文一般不会大于512字节。dns攻击主要有以下这几种方式:
DNS缓存感染
攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。
DNS信息劫持
TCP/IP体系通过序列号等多种方式避免仿冒数据的插入,但入侵者如果通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问,这样他就被欺骗到了别处而无妨连接想要访问的那个域名。
DNS重定向
攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。
ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP病毒,则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中,造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后,则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器,以使访问导向错误指向的情况。
本机劫持
本机的计算机系统被木马或流氓软件感染后,也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。
防范Arp攻击、采用UDP随机端口、建立静态IP映射、运行最新版本的BIND、限制查询、利用防火墙进行保护、利用交叉检验、使用TSIG机制、利用DNSSEC机制。
下面分别做出说明。
防范Arp攻击
主要是针对局域网的DNS ID欺骗攻击。如上所述,DNS ID欺骗是基于Arp欺骗的,防范了Arp欺骗攻击,DNS ID欺骗攻击是无法成功实施的。
采用UDP随机端口
不再使用默认的53端口查询,而是在UDP端口范围内随机选择,可使对ID与端口组合的猜解难度增加6万倍,从而降低使DNS缓存攻击的成功率。
建立静态IP映射
主要是指DNS服务器对少部分重要网站或经常访问的网站做静态映射表,使对这些网站的访问不再需要经过缓存或者向上一级的迭代查询,从而在机制上杜绝DNS欺骗攻击。
运行最新版本的BIND
使用最新版本的BIND,可以防止已知的针对DNS软件的攻击(如DoS攻击、缓冲区溢出漏洞攻击等)。应密切关注BIND安全公告,及时打好补丁。
限制查询
在BIND8和BIND9之后,BIND的allow-query子句允许管理员对到来的查询请求使用基于IP地址的控制策略,访问控制列表可以对特定的区甚至是对该域名服务器受到的任何查询请求使用限制策略。如限制所有查询、限制特定区的查询、防止未授权的区的查询、以最少权限运行BIND等。
利用防火墙进行保护
这种保护方式可以使受保护的DNS服务器不致遭受分布式拒绝服务攻击、软件漏洞攻击。原理是在DNS服务器主机上建立一个伪DNS服务器共外部查询,而在内部系统上建立一个真实的DNS服务器专供内部使用。配置用户的内部DNS客户机,用于对内部服务器的所有查询,当内部主机访问某个网站时,仅当内部DNS服务器上没有缓存记录时,内部DNS才将查询请求发送到外部DNS服务器上,以保护内部服务器免受攻击。
利用交叉检验
这种保护方式可以从一定程度上防范DNS欺骗攻击。原理是反向查询已得到的IP地址对应的主机名,用该主机名查询DNS服务器对应于该主机名的IP地址,如果一致,则请求合法,否则非法。
使用TSIG机制
TSIF(事物签名)机制(RFC2845)通过使用共享密钥(Secret Key)及单向散列函数(One-way hash function)提供信息的验证以及数据的完整性。当配置了TSIG后,DNS消息会增加一个TSIF记录选项,该选项对DNS消息进行签名,为消息发送者和接受者提供共享密钥,从而保证了传输数据不被窃取和篡改。TSIP机制的部署步骤不做赘述,相关RFC文档有详细说明。
利用DNSSEC机制
为保证客户机发送的解析请求的完整性,保护DNS服务器及其中的信息,防止入侵者冒充合法用户向他人提供虚假DNS信息,IETF(网络工程任务组)提出了DNS安全扩展(DNSSEC)的安全防范思想。
1、 DNSSEC工作原理
为提高DNS访问数据包的安全性,DNSSEC在兼容现有协议的基础上引入加密和认证体系,在每个区域都有一对区域级的密钥对,密钥对中的公钥对域名记录信息进行数字签名,从而使支持DNSSEC的接收者可以校验应答信息的可靠性。
BIND90支持DNS的安全扩展功能。DNSSEC引入两个全新的资源记录类型:KEY和SIG,允许客户端和域名服务器对任何DNS数据来源进行密钥验证。DNSSEC主要依靠公钥技术对于包含在DNS中的信息创建密钥签名,密钥签名通过计算出一个密钥Hash数来提供DNS中数据的完整性,并将该Hash数封装进行保护。私/公钥对中的私钥用来封装Hash数,然后可以用公钥把Hash数翻译出来。如果这个翻译出的Hash值匹配接收者计算出来的Hash数,那么表明数据是完整的、没有被篡改的。
2、 DNSSEC的实施
1)、创建一组密钥对
#cd/vat/named
#dnssec -keygen -a RSA -b 512 -n ZONE qfnueduKqfnuedu+002+27782
2)、生成密钥记录
#dnssec –makekeyset -t 172802 I
3)、发送密钥文件到上一级域管理员,以供签名使用
#dnssec -signkey keyset -qfnuedu Kedu+002+65396private
然后将返回qfnuedusignedkey文件
4)、在进行区域签名之前,必须先将密钥记录添加到区域数据文件之中
#cat“$include Kqfnnedu+002+27782key”>>dbqfnuedu
5)、对区域进行签名
#dnssec –signzone -O qfnuedu dbqfnuedu
6)、修改namedconf里的zone语句,系统将会载新的区域数据文件
3、 DNSSEC的不足
一方面,DNSSEC安全性虽然有所提高,但是标记和校验必然产生额外的开销,从而影响网络和服务器的性能,签名的数据量很大,家中了域名服务器对骨干网以及非骨干网连接的负担,同时简明校验也对CPU造成了很大的负担,同时签名和密钥也占用了占用的磁盘空间以及RAM容量。
另一方面,安全性能方面的考虑。绝大多数的DNS软件是美国出口的,它们为了通过美国政府的安全规定而被迫降低加密算法和过程的安全强度。
第三方面,RSA算法的使用。RSA拥有美国专利,与某些厂商和组织倡导的“免费/开放”目标有所冲突,但是同时又别无选择。在成本方面也是部署中的一个问题。1、首先要确保服务器以及客户端的软件的安装没有应用错误。即服务器那要能够创建账套,以及开启账套的模块的功能。同时要能够登录软件进行业务 *** 作。
2、查看服务器的IP地址。win7电脑右下角找到运行,输入cmd然后按回车键。
3、可以看到一个黑色的对话框。在里面输入IPconfig,然后再回车就可以看到服务器的IP地址。一般为1921680数字,或者1921681数字。
4、查看电脑的名字,我的电脑——右击属性——高级系统设置——计算机名字。
5、同时要把电脑的防火墙给关闭了,要允许其他电脑访问你的电脑上面的数据。开始——控制面板——windows防火墙——打开或者关闭window防火墙——把防火墙给关闭了即可。
6、在客户端的电脑上,在C盘——windows——system32——drivers——etc-hosts,用记事本打开,在最先面输入服务器的IP地址以及电脑名字
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)