web学习笔记1——虚拟机布置,ip地址,win2003部署DNS,DHCP服务器
- 一、虚拟机概述
- 两种架构
- 二、ip地址相关
- 简介
- 1 ip地址
- 2 子网掩码
- 3 网关
- 4 DNS
- win2003 部署DNS服务器
- DNS攻击
- 5 DHCP
- win2003部署DHCP服务器
- DHCP攻击
一、虚拟机概述
两种架构
寄居架构
原生架构
虚拟机产品:
VMware Workstation(寄居架构)
VMware vSphere(原生架构)
Hyper-V(寄居架构)
下载地址:VMware 1.5.1 提取码:56s5,解压密码:-0daydown
设置虚拟机:
1,需要 iso光盘文件,下载地址 2,在VM中新建虚拟机,windows的虚拟机选择典型,linux选择手动还是什么来着——稍后设置光盘等等操作,记得下载iso的时候选择比较高的版本,比如peofessional,enterprise什么的,然后要带有sp服务的,因为需要安装vmtools。
虚拟机准备好了记得要拍摄快照,及时还原设置,不然把虚拟机搞坏了还要重新部署。还有克隆,最好一个系统弄两台出来玩玩。
优化虚拟机
1 调出桌面图标
2 安装vmware tools
3 磁盘管理(创建D盘分区)
4 关闭系统自动更新、关闭防火墙
5 然后拍摄快照
二、ip地址相关
简介
1 ip地址
IP地址就是一个唯一标识,是一段网络编码,由32位组成。
ISO组织规定:
其中127开头的是回环地址,比如127.0.0.1是指本机地址。D类的组播地址是和单播相对应的。
目前可以使用的只有ABC三类,但是子网掩码是可以修改的,一般取24(255.255.255.0)就可以。
还有169.254.x.x是全球统一无效地址,是在自动向DHCP服务器申请IP地址失败后,系统自动赋予本机的,这样可以保证当一个局域网断线时,同一个局域网内的电脑位于同一个网段,可以互相通信。
2 子网掩码
ip地址=网段+主机,
子网掩码就是用来指示网段的,
示例:
IP地址: 10.1.1.2
子网掩码:255.255.255.0
对应网段是
把x记为0用来指示网段,即网段为10.1.1.0
对应主机位是 2
对应广播地址是 10.1.1.255,向广播地址发送的消息,会发送给该网段内所有活动主机。
所以该网段内可用ip地址范围是10.1.1.1——10.1.1.254共254个。
3 网关
GW(Gateway)链接内外网的IP地址,一般就是指路由器地址。网关是一个局域网的出口。
具体通信时,pc机会先判断目标ip是否在同一个网段,如果在同一个网段可以通过交换机直接发送,如果不在则发包给网关。
4 DNS
domain name service 域名服务
我们访问网页时,根本上是在访问ip地址,但是IP地址太复杂,我们记不住那么多ip,但是可以记住部分域名,比如www.baidu.com,而DNS就是对我们发送出的域名访问清求进行解析,找到对应的ip地址。
如"www.sina.com.cn"是一个域名,从严格意义上讲,"sina.com.cn"才被称为域名(全球唯一),而"www"是主机
名。
域名构成:
“主机名.域名” 称为完全限定域名(FQDN)。
域名全球唯一,一个域名下可以有多个主机,那么"主机名.域名"肯定也是全球唯一的。
以域名"sina.com.cn"为例,
该域名对应的一个网站服务器命名为www,那么它的FQDN就是www.sina.com.cn
博客的是blog,论坛的是bbs等等。
这么多个FQDN,然而我们只需要申请一个域名即"sina.com.cn"即可。
DNS查询
DNS服务器
1:分类:
主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器
(打开dns服务之后,啥也不设置,直接从根域服务器开始访问,然后积累的多了,用缓存来解析。)
2:解析顺序:
客户机域名请求解析顺序
1.DNS缓存----2.本地hosts文件–3.找本地DNS服务器
服务器对域名请求的处理顺序
1.DNS高速缓存–2.本地区域解析文件–3.转发器–4.根
3:记录类型
A记录: 正向解析记录
CNAME记录:别名
PTR记录:反向解析记录
MX:邮件交换记录
NS:域名服务器解析,负责该区域的某dns的解析
win2003 部署DNS服务器
**前提:**服务器和客户机需要使用同一个交换机。
1:DNS服务端口:53
2:从光驱–网络服务–DNS服务,注意光驱所在盘符,下载dns服务后,53端口打开,啥也不用做即可成为一台缓存dns服务器。
3:SOA记录(起始授权机构):显示谁是权威解析
4:NS记录:记录辅助dns服务器
5:新建主机(A记录):记录主机和IP地址的映射
7:两台dns服务器,可以通过主机属性里的转发器设置来减少当前主机工作量
8:辅助区域:
先在主服务器的区域上,属性–区域复制增加目标区域服务器的ip地址。然后在辅助区域服务器上创建辅助区域。
9:因为创建主域时可以随便取名,所以公司内部的服务器可以用自己的DNS服务器,不花钱搞一个内部的域名用。
10:建立反向解析
先在正向解析区域里建指向自己的A记录,
然后在反向解析区域建立PTR
DNS攻击
1:DDOS攻击,攻击者如果获知了被攻击者的IP,可以控制肉鸡群不停向DNS服务器发送IP请求,然后服务器会向被攻击者的响应信息,形成DDOS攻击。
2:如果攻击者拥有着足够多的肉鸡群,那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是,攻击者由于没有直接与被攻击主机进行通讯,隐匿了自己行踪,让受害者难以追查原始的攻击来。相对比较好的解决办法就是可取消DNS服务器中允许人人查询网址的递回(recursive)功能。
详细见:DNS 攻击方式及攻击案例
部分dos命令:
ipconfig
ipconfig -all
ipconfig -release
ipconfig -renew
ipconfig -flushdns (清除DNS缓存)
ipconfig -displaydns(显示DNS缓存)
nslookup www.baidu.com (查看DNS解析)
5 DHCP
Dynamic Host Configure Protocol 动态主机配置协议
DHCP传递的内容包括 ip,子网掩码,网关,DNS,租期,
主机发送请求消息到DHCP服务器的68号端口,DHCP服务器回应应答消息给主机的67号端口。
过程
1:客户机发送DHCP Discovery 广播
2:服务器发送DHCP offer 广播
3:客户机发送DHCP Requst 广播请求包
(requst是指向收到的第一个offer,申请子网掩码,网关,DNS,租期)
4:服务器发送DHCP ACK广播包(确认包)
续约
在50%的时候,发送DHCP request包,(此时的ack会刷新租约时间)
如无回应在87.5%,再次发送request,此时若未续约,则释放ip地址,则发送discovery包,如果都没收到反应,则分配 169.254.x.x(全球统一无效地址),可以保证局域网内部可以通信。
win2003部署DHCP服务器
前提:服务器和客户机需要使用同一个交换机。
1:下载DHCP服务软件(我的电脑->驱动光盘->安装可选组件->网络服务->动态主机配置协议DHCP)nestat -an检查确实打开了67,68端口
2:在开始菜单-管理工具-DHCP-新建作用域…
3:网段,子网掩码,保留,地址池保留,等等
DHCP攻击
1 可以不停伪造MAC地址,并向DHCP服务器发送discovery包,耗尽服务器的地址池,对应的防御方式也很简单,就是服务器拥有MAC和IP地址绑定功能。
2 伪造成DHCP服务器发送offer包,来欺骗客户机,导致客户机无法联网。
详见:DHCP攻击
tips:
1 保留:ipconfig -all查看mac地址(物理地址)
2 地址池/作用域记得备份
3 删除作用域可以用备份还原
4 删除服务器只是不可见了,不影响服务。可以再还原。
5 服务器IP地址和地址池的网段要一致
