《DNS Watcher监控使用手册(7页).doc》由会员分享,可在线阅读,更多相关《DNS Watcher监控使用手册(7页).doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-DNS Watcher监控使用手册-第 7 页DNS Watcher 监控手册目录DNS Watcher 监控手册1一、快速入门1二、主功能界面31、功能按钮32、设置(Settings)43、首选项(Preferences)5三、添加/编辑DNS Watcher域名6四、攻击侦测71、网址嫁接攻击(Pharming attack)72、侦测网址嫁接攻击7五、FQA81、监控域名的四种运行状态8、新建状态8、正在运行8、解析成功8、解析失败82、域名监控的开启、禁止9、开启域名监控9、禁止域名监控93、域名解析异常的处理9、域名解析异常体现9、故障排查94、Query工具的使用105、日志查
2、看11目的:DNS Watcher是一个用于DNS域名监控和查询的工具,用于查看DNS域名是否能够正确的解析响应。该工具,同时具备nslookup和dig通用工具的功能,并且提供了GUI操作界面。一、 快速入门打开DNS Watcher窗口:在该界面,添加期望监控的域名实体。1、点击按钮,添加一个域名实体a)、打开add dns watcher entry对话框b)、在dns server address框中,输入服务名称;通过Default,可以选择默认的服务器地址。c)、在host name框中,输入需要被监控的主机名称。d)、选择OK,完成配置。2、重复步骤1,添加任意的服务/域名实体。
3、3、点击按钮,运行主界面的所有域名列表。二、主功能界面1、功能按钮功能选项说明:运行所有的服务/域名(servers / hostnames)列表,在界面上验证运行结果。运行状态包括,空白:表示实体还没有运行;可能是因为实体刚创建,或者因为实体状态为Disable状态。黄色点:表示域名正在解析;红色点:表示域名解析失败失败。可能是因为网络超时,对方服务器故障;绿色点:表示域名解析成功;添加新的域名到监控列表。编辑监控列表中选中的域名。删除监控列表中选中域名。手工请求对选中的域名进行解析,并返回请求结果。 / 开启/禁止对选择域名的解析,开启:在每个周期,都执行对域名解析进行监控;禁止:不对该域
4、名进行监控。2、设置(Settings)配置选项说明:Auto-Run(自动运行)auto-run设置,允许根据指定周期,定期对监控列表自动进行解析请求。理想的请求周期为5分钟。Record Log File(日志文件)指定日志文件路径,可以根据需要,记录成功、或失败的域名信息,包括对应周期、DNS服务器、域名、成功失败结果。Retry Timeouts(重发次数)如果DNS服务器无法再指定时间内对请求做出响应,将导致超时。因为DNS操作使用的是UDP协议,不可避免存在丢包的风险,所以设置超时重发可以减少大量的错误。3、首选项(Preferences)通过菜单Setting:Preferenc
5、es,进入首选项界面:选项说明:Shrink to Taskbar when X Clicked(点击X,缩放到任务兰)在点击主界面右上角的X按钮时,将界面缩放到任务兰,方便监控。如果没有勾选该选项,点击主界面右上角的X按钮时,将导致程序的关闭。Pop-up when error detected(侦测到错误时弹出)当侦测到错误,在系统托盘上弹出气泡提示。Auto-Load on Windows Startup(windows启动时自动加载)在windows系统启动的时候,监控程序自动启动,并且最新化到系统托盘。Auto-Save modifications(自动保存更改)自动保存添加或者编辑
6、的域名信息。三、 添加/编辑DNS Watcher域名域名的添加、编辑是系统监控的基础,因此着重说明对应的编辑选项。添加、编辑域名,都在如下界面完成:在该界面,主要完成两个关键信息的输入:l DNS Server Address.(DNS服务器地址)在DNS服务器地址,输入期望监控的DNS服务器的IP地址,或者主机名称。通常,输入DNS服务器的IP地址。该地址,用于验证解析是否正常。可以使用默认按钮中的服务器地址,也即你的windows机器上使用的服务器地址。l Host Name. (主机名称)该主机名称,是你期望项DNS服务器提交进行解析的域名名称。通常,是输入类似公司网址信息。关于all
7、owable addresses(有效的IP地址)选项如果allowable addresses框为空,DNS Watcher会把任意有效的A记录作为解析成功,这样可以确认DNS服务器正常工作,并且对请求进行了响应,但是无法保障DNS服务器返回的是正确的地址。为了加强对DNS服务器的监控,你可以在allowable addresses框中输入对应域名的IP地址。这样可以保障DNS服务器返回的是正确的IP地址,同时,也可以确认是否被攻击,或者配置错误。通常,在allowable address框输入唯一的Ip地址,除非对应的域名因为负载均衡需要多个IP地址。四、 攻击侦测1、网址嫁接攻击(Pha
8、rming attack)pharming attack(网址嫁接攻击)是针对web网页的新型攻击,攻击者通过劫持DNS记录,然后修改对应的信息,用自己的页面替代你访问的页面。以下使用支付服务作为例子,对网址嫁接攻击进行说明: a)、攻击者通过劫持获取PayPal的DNS记录 b)、攻击者将对应的DNS记录,更改为攻击者的IP,该IP服务的网址与合法的非常相像。 c)、合法的PayPal客户被攻击者引导到假冒的web服务上。 d)、客户输入的账号、密码信息将被攻击者获取,攻击者通过对应的账号密码盗取客户财务。网址嫁接攻击的危险性,在于客户相信获取到的web网址是合法的官方网址。网址嫁接攻击比钓
9、鱼攻击(phishing attacks)更具隐蔽性,因为针对钓鱼攻击,知晓的用户通知容易发现自己访问的网址存在异常,但是,因为网址嫁接攻击是在DNS层面进行的,用户没有方法识别自己已经访问了错误的web服务器。2、侦测网址嫁接攻击DNS Watcher的restrict the allowable addresses选项,可以用于侦测网址嫁接攻击:在配置列表中,配置web服务对应的合法Ip地址列表。如果DNS解析返回的地址不在配置的合法列表中,DNS Watcher将把该查询视为错误标识出来。如果攻击者修改了DNS记录,那么修改后的IP地址在DNS Watcher的IP列表中不存在,就能侦测
10、到是被攻击了。为了能够防御网址嫁接攻击,通过DNS watcher对DNS服务器实施必要的监控显得非常重要,监控的网络服务不仅仅局限于自己公司的服务器。网址嫁接攻击非常是非常诡辩的,例如缓存投毒(cache poisoning),通过破坏中间DNS记录,而不一定是你公司的根服务记录。理想的情况是,通过DNS watcher监控关键的DNS服务,可以包括流行的ISP提供商,或者自己公司的异地服务。五、 FQA1、监控域名的四种运行状态1.1、新建状态 最右侧为空白 正常解析次数 、异常解析次数都显示为空1.2、正在运行 最右侧为黄色标记、解析成功 最右侧为绿色标记 Last Result显示为:
11、Success+Ip地址 #Good记录增加11.4、解析失败 最右侧为红色标记 Last Result显示为:Failure #Bad记录增加12、域名监控的开启、禁止2.1、开启域名监控 通过Enable按钮,可以开启域名监控 在Enable属性中显示为:Enabled2.2、禁止域名监控 通过Disable按钮,可以禁止域名监控 在Enable属性中显示为:Disabled3、域名解析异常的处理3.1、域名解析异常体现 最右侧为红色标记 Last Result显示为:Failure #Bad记录增加13.2、故障排查 确认监控主机,所在网络是否正常。如果网络网络中断,将导致DNS解析无法
12、返回,解析失败。 确认网络丢包是否严重,导致解析超时。如果网络丢包严重,将导致DNS解析无法返回,解析失败。 确认限制地址是否变更。如果解析返回的IP与当前配置的域名IP不一致,可能情况:a)、对应的域名服务变更了IP地址;b)、域名系统遭受了网址嫁接工具。3.3、处理流程a)、在域名自动拨测失败时,在确认网络正常的情况下,请使用Query工具,手工执行该域名的拨测,确认是否能够成功返回域名对应的A记录。如果能够拨测成功,说明域名服务器无异常,如果多次查询失败,请联系DNS管理员。b)、如果发现DNS遭受网址嫁接攻击,请联系DNS管理员。4、Query工具的使用通过按钮,可以实现域名的手工拨测工作。首先,在监控列表中,选择需要拨测的域名记录:展示拨测结果:在拨测中,如果没有配置restrict the allowable addresses选项,那么只要返回为“A”的记录,说明DNS域名服务运行正常。5、日志查看根据需要,设置日志选项:点击,查看日志记录,包含时间、域名服务器、域名、解析结果。通过对比同一域名,不同周期的解析结果,可以获取如下信息 在具体的周期,域名解析是成功、还是失败; 域名是否遭受网址嫁接工具,如果确认个别期间返回的iP与其他周期不一致,说明可能遭受了工具。