Tshoot dns — различия между версиями

Материал из pNp Wiki
Перейти к: навигация, поиск
(Общие советы)
(Общие советы)
 
(не показаны 4 промежуточные версии этого же участника)
Строка 6: Строка 6:
 
==== Предварительные требования ====
 
==== Предварительные требования ====
 
* Виртуальная машина с двумя сетевыми интерфейсами
 
* Виртуальная машина с двумя сетевыми интерфейсами
* Установленные пакеты: <code>bash-completion</code>, <code>bind</code>, <code>bind-utils</code>
+
* Установленные пакеты: <code>bash-completion</code>, <code>bind</code>, <code>bind-utils</code>, <code>nmap</code>, <code>nmap-ncat</code>
 +
 
 
== Общие советы ==
 
== Общие советы ==
 
Следует убедиться в какой последовательности происходит резолвинг хостов. Для этого достаточно поглядеть директиву <code>hosts</code>,  
 
Следует убедиться в какой последовательности происходит резолвинг хостов. Для этого достаточно поглядеть директиву <code>hosts</code>,  
Строка 22: Строка 23:
 
nameserver 192.168.1.1
 
nameserver 192.168.1.1
 
[root@vm-02 ~]#
 
[root@vm-02 ~]#
 +
</syntaxhighlight>
 +
Теперь следует проверить, слушает ли какое-либо ПО порт <code>53</code>:
 +
<syntaxhighlight lang="bash">
 +
[root@vm-02 ~]# nmap -v -sS 192.168.1.1
 +
 +
Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-05 09:31 MSK
 +
Initiating ARP Ping Scan at 09:31
 +
Scanning 192.168.1.1 [1 port]
 +
Completed ARP Ping Scan at 09:31, 0.20s elapsed (1 total hosts)
 +
Initiating SYN Stealth Scan at 09:31
 +
Scanning vm-01.example.com (192.168.1.1) [1000 ports]
 +
Discovered open port 22/tcp on 192.168.1.1
 +
Discovered open port 445/tcp on 192.168.1.1
 +
Discovered open port 25/tcp on 192.168.1.1
 +
Discovered open port 80/tcp on 192.168.1.1
 +
Discovered open port 139/tcp on 192.168.1.1
 +
Discovered open port 53/tcp on 192.168.1.1
 +
Discovered open port 3306/tcp on 192.168.1.1
 +
Completed SYN Stealth Scan at 09:31, 5.06s elapsed (1000 total ports)
 +
Nmap scan report for vm-01.example.com (192.168.1.1)
 +
Host is up (0.00057s latency).
 +
Not shown: 989 filtered ports
 +
PORT    STATE  SERVICE
 +
22/tcp  open  ssh
 +
25/tcp  open  smtp
 +
53/tcp  open  domain
 +
80/tcp  open  http
 +
139/tcp  open  netbios-ssn
 +
443/tcp  closed https
 +
445/tcp  open  microsoft-ds
 +
3260/tcp closed iscsi
 +
3306/tcp open  mysql
 +
8081/tcp closed blackice-icecap
 +
8888/tcp closed sun-answerbook
 +
MAC Address: 52:54:00:92:B1:55 (QEMU Virtual NIC)
 +
 +
Read data files from: /usr/bin/../share/nmap
 +
Nmap done: 1 IP address (1 host up) scanned in 5.30 seconds
 +
          Raw packets sent: 1983 (87.236KB) | Rcvd: 22 (1.216KB)
 +
[root@vm-02 ~]#
 +
</syntaxhighlight>
 +
Можно происоединиться к порту <code>53</code> по протоколам <code>udp</code> и <code>tcp</code> соответственно,
 +
при помощи утилиты <code>ncat</code>:
 +
<syntaxhighlight lang="bash">
 +
[root@vm-02 ~]# ncat -v -i 3 -w 3 -u 192.168.1.1 53
 +
Ncat: Version 6.40 ( http://nmap.org/ncat )
 +
Ncat: Connected to 192.168.1.1:53.
 +
Ncat: Idle timeout expired (3000 ms).
 +
[root@vm-02 ~]# ncat -v -i 3 -w 3 192.168.1.1 53
 +
Ncat: Version 6.40 ( http://nmap.org/ncat )
 +
Ncat: Connected to 192.168.1.1:53.
 +
Ncat: Idle timeout expired (3000 ms).
 +
[root@vm-02 ~]#
 +
</syntaxhighlight>
 +
Далее, можно сделать запрос на разрешение имени у конкретного сервера при помощи утилиты <code>dig</code>:
 +
<syntaxhighlight lang="bash">
 +
[root@vm-02 ~]# dig @192.168.1.1 gog.com +noall +answer
 +
 +
; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> @192.168.1.1 gog.com +noall +answer
 +
; (1 server found)
 +
;; global options: +cmd
 +
gog.com. 227 IN A 107.162.138.152
 +
[root@vm-02 ~]#
 +
</syntaxhighlight>
 +
Полный просмотр всех записей в зоне при помощи утилиты <code>dig</code>:
 +
<syntaxhighlight lang="bash">
 +
[root@vm-03 ~]# dig @192.168.10.10 virtual.lab axfr
 +
 +
; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> @192.168.10.10 virtual.lab axfr
 +
; (1 server found)
 +
;; global options: +cmd
 +
virtual.lab. 3600 IN SOA kdc1.virtual.lab. admin.virtual.lab. 2018060904 604800 86400 2419200 3600
 +
virtual.lab. 3600 IN NS kdc1.virtual.lab.
 +
_kerberos._tcp.virtual.lab. 3600 IN SRV 0 0 88 kdc1.virtual.lab.
 +
_kerberos-adm._tcp.virtual.lab. 3600 IN SRV 0 0 749 kdc1.virtual.lab.
 +
_kerberos_master._tcp.virtual.lab. 3600 IN SRV 0 0 751 kdc1.virtual.lab.
 +
_kpasswd._tcp.virtual.lab. 3600 IN SRV 0 0 464 kdc1.virtual.lab.
 +
_ldap._tcp.virtual.lab. 3600 IN SRV 0 0 389 kdc1.virtual.lab.
 +
_kerberos._udp.virtual.lab. 3600 IN SRV 0 0 88 kdc1.virtual.lab.
 +
_kerberos-adm._udp.virtual.lab. 3600 IN SRV 0 0 749 kdc1.virtual.lab.
 +
_kerberos_master._udp.virtual.lab. 3600 IN SRV 0 0 751 kdc1.virtual.lab.
 +
_kpasswd._udp.virtual.lab. 3600 IN SRV 0 0 464 kdc1.virtual.lab.
 +
_ldap._udp.virtual.lab. 3600 IN SRV 0 0 389 kdc1.virtual.lab.
 +
kdc1.virtual.lab. 3600 IN A 192.168.10.10
 +
ns1.virtual.lab. 3600 IN CNAME kdc1.virtual.lab.
 +
vm-03.virtual.lab. 3600 IN CNAME kdc1.virtual.lab.
 +
virtual.lab. 3600 IN SOA kdc1.virtual.lab. admin.virtual.lab. 2018060904 604800 86400 2419200 3600
 +
;; Query time: 2 msec
 +
;; SERVER: 192.168.10.10#53(192.168.10.10)
 +
;; WHEN: Sat Jun 09 13:05:37 MSK 2018
 +
;; XFR size: 16 records (messages 1, bytes 662)
 +
[root@vm-03 ~]#
 
</syntaxhighlight>
 
</syntaxhighlight>
  
 
== Ссылки ==
 
== Ссылки ==

Текущая версия на 12:09, 9 июня 2018

Общие положения по устранению проблем с резолвингом имен

В RHEL7.X стала возможным установка и использование двух рекурсивных кэширующих серверов на выбор - либо bind, либо unbound.

Предварительные требования

  • Виртуальная машина с двумя сетевыми интерфейсами
  • Установленные пакеты: bash-completion, bind, bind-utils, nmap, nmap-ncat

Общие советы

Следует убедиться в какой последовательности происходит резолвинг хостов. Для этого достаточно поглядеть директиву hosts, в файле /etc/nsswitch.conf: 

[root@vm-02 ~]# grep "hosts" /etc/nsswitch.conf
#hosts:     db files nisplus nis dns
hosts:      files dns
[root@vm-02 ~]#

Сначала имена берутся из файла /etc/hosts, затем происходит обращение к dns серверам, указанным в /etc/resolv.conf: 

[root@vm-02 ~]# cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 192.168.1.1
[root@vm-02 ~]#

Теперь следует проверить, слушает ли какое-либо ПО порт 53: 

[root@vm-02 ~]# nmap -v -sS 192.168.1.1

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-05 09:31 MSK
Initiating ARP Ping Scan at 09:31
Scanning 192.168.1.1 [1 port]
Completed ARP Ping Scan at 09:31, 0.20s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 09:31
Scanning vm-01.example.com (192.168.1.1) [1000 ports]
Discovered open port 22/tcp on 192.168.1.1
Discovered open port 445/tcp on 192.168.1.1
Discovered open port 25/tcp on 192.168.1.1
Discovered open port 80/tcp on 192.168.1.1
Discovered open port 139/tcp on 192.168.1.1
Discovered open port 53/tcp on 192.168.1.1
Discovered open port 3306/tcp on 192.168.1.1
Completed SYN Stealth Scan at 09:31, 5.06s elapsed (1000 total ports)
Nmap scan report for vm-01.example.com (192.168.1.1)
Host is up (0.00057s latency).
Not shown: 989 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
53/tcp   open   domain
80/tcp   open   http
139/tcp  open   netbios-ssn
443/tcp  closed https
445/tcp  open   microsoft-ds
3260/tcp closed iscsi
3306/tcp open   mysql
8081/tcp closed blackice-icecap
8888/tcp closed sun-answerbook
MAC Address: 52:54:00:92:B1:55 (QEMU Virtual NIC)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 5.30 seconds
           Raw packets sent: 1983 (87.236KB) | Rcvd: 22 (1.216KB)
[root@vm-02 ~]#

Можно происоединиться к порту 53 по протоколам udp и tcp соответственно, при помощи утилиты ncat: 

[root@vm-02 ~]# ncat -v -i 3 -w 3 -u 192.168.1.1 53
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Connected to 192.168.1.1:53.
Ncat: Idle timeout expired (3000 ms).
[root@vm-02 ~]# ncat -v -i 3 -w 3 192.168.1.1 53
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Connected to 192.168.1.1:53.
Ncat: Idle timeout expired (3000 ms).
[root@vm-02 ~]#

Далее, можно сделать запрос на разрешение имени у конкретного сервера при помощи утилиты dig: 

[root@vm-02 ~]# dig @192.168.1.1 gog.com +noall +answer

; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> @192.168.1.1 gog.com +noall +answer
; (1 server found)
;; global options: +cmd
gog.com.		227	IN	A	107.162.138.152
[root@vm-02 ~]#

Полный просмотр всех записей в зоне при помощи утилиты dig: 

[root@vm-03 ~]# dig @192.168.10.10 virtual.lab axfr

; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> @192.168.10.10 virtual.lab axfr
; (1 server found)
;; global options: +cmd
virtual.lab.		3600	IN	SOA	kdc1.virtual.lab. admin.virtual.lab. 2018060904 604800 86400 2419200 3600
virtual.lab.		3600	IN	NS	kdc1.virtual.lab.
_kerberos._tcp.virtual.lab. 3600 IN	SRV	0 0 88 kdc1.virtual.lab.
_kerberos-adm._tcp.virtual.lab.	3600 IN	SRV	0 0 749 kdc1.virtual.lab.
_kerberos_master._tcp.virtual.lab. 3600	IN SRV	0 0 751 kdc1.virtual.lab.
_kpasswd._tcp.virtual.lab. 3600	IN	SRV	0 0 464 kdc1.virtual.lab.
_ldap._tcp.virtual.lab.	3600	IN	SRV	0 0 389 kdc1.virtual.lab.
_kerberos._udp.virtual.lab. 3600 IN	SRV	0 0 88 kdc1.virtual.lab.
_kerberos-adm._udp.virtual.lab.	3600 IN	SRV	0 0 749 kdc1.virtual.lab.
_kerberos_master._udp.virtual.lab. 3600	IN SRV	0 0 751 kdc1.virtual.lab.
_kpasswd._udp.virtual.lab. 3600	IN	SRV	0 0 464 kdc1.virtual.lab.
_ldap._udp.virtual.lab.	3600	IN	SRV	0 0 389 kdc1.virtual.lab.
kdc1.virtual.lab.	3600	IN	A	192.168.10.10
ns1.virtual.lab.	3600	IN	CNAME	kdc1.virtual.lab.
vm-03.virtual.lab.	3600	IN	CNAME	kdc1.virtual.lab.
virtual.lab.		3600	IN	SOA	kdc1.virtual.lab. admin.virtual.lab. 2018060904 604800 86400 2419200 3600
;; Query time: 2 msec
;; SERVER: 192.168.10.10#53(192.168.10.10)
;; WHEN: Sat Jun 09 13:05:37 MSK 2018
;; XFR size: 16 records (messages 1, bytes 662)
[root@vm-03 ~]#

Ссылки

Источник — «http://wiki.ipnp.su/index.php?title=Tshoot_dns&oldid=2334»