DNS Watcher監(jiān)控使用手冊

2017-03-27

15542

DNS Watcher 監(jiān)控手冊目錄DNS Watcher 監(jiān)控手冊 . ...............................................................

DNS Watcher 監(jiān)控手冊

DNS Watcher 監(jiān)控手冊 . .................................................................................................................. 1

一、快速入門 . .......................................................................................................................... 2

二、主功能界面 . .............................................................................................................................. 3

1、功能按鈕 . ............................................................................................................................ 3

2、設(shè)置（Settings ） . ............................................................................................................... 4

3、首選項（Preferences ） ..................................................................................................... 5

三、添加/編輯DNS Watcher域名 . ......................................................................................... 6

四、攻擊偵測 . .......................................................................................................................... 7

1、網(wǎng)址嫁接攻擊（Pharming attack ） ................................................................................ 7

2、偵測網(wǎng)址嫁接攻擊 . ............................................................................................................ 7

五、 FQA . ................................................................................................................................... 8

1、監(jiān)控域名的四種運行狀態(tài) . ................................................................................................ 8

1.1、新建狀態(tài) . ................................................................................................................. 8

1.2、正在運行 . ................................................................................................................. 8

1.3、解析成功 . ................................................................................................................. 8

1.4、解析失敗 . ................................................................................................................. 8

2、域名監(jiān)控的開啟、禁止 . .................................................................................................... 9

2.1、開啟域名監(jiān)控 . ......................................................................................................... 9

2.2、禁止域名監(jiān)控 . ......................................................................................................... 9

3、域名解析異常的處理 . ........................................................................................................ 9

3.1、域名解析異常體現(xiàn) . ................................................................................................. 9

3.2、故障排查 . ................................................................................................................. 9

4、Query 工具的使用 . ........................................................................................................... 10

5、日志查看 . .......................................................................................................................... 11

目的：

DNS Watcher 是一個用于DNS 域名監(jiān)控和查詢的工具，用于查看DNS 域名是否能夠正確的解析響應(yīng)。該工具，同時具備nslookup 和dig 通用工具的功能，并且提供了GUI 操作界面。

一、快速入門

打開DNS Watcher窗口：

在該界面，添加期望監(jiān)控的域名實體。

1、點擊按鈕，添加一個域名實體

a) 、打開" add dns watcher entry"對話框

b) 、在"dns server address"框中，輸入服務(wù)名稱；通過"Default" ，可以選擇默認的服務(wù)器地址。

c) 、在"host name"框中，輸入需要被監(jiān)控的主機名稱。

d) 、選擇"OK" ，完成配置。

2、重復(fù)步驟1，添加任意的服務(wù)/域名實體。

3、點擊按鈕，運行主界面的所有域名列表。

二、主功能界面

1、功能按鈕

功能選項說明：

2、設(shè)置（Settings ）

配置選項說明：

3、首選項（Preferences ）

通過菜單"Setting:Preferences"，進入首選項界面：

選項說明：

三、添加/編輯DNS Watcher域名

域名的添加、編輯是系統(tǒng)監(jiān)控的基礎(chǔ)，因此著重說明對應(yīng)的編輯選項。

添加、編輯域名，都在如下界面完成：

在該界面，主要完成兩個關(guān)鍵信息的輸入：

● DNS Server Address. （DNS 服務(wù)器地址）

在DNS 服務(wù)器地址，輸入期望監(jiān)控的DNS 服務(wù)器的IP 地址，或者主機名稱。通常，輸入DNS 服務(wù)器的IP 地址。該地址，用于驗證解析是否正常?？梢允褂媚J按鈕中的服務(wù)器地址，也即你的windows 機器上使用的服務(wù)器地址。

● Host Name. （主機名稱）

該主機名稱，是你期望項DNS 服務(wù)器提交進行解析的域名名稱。通常，是輸入類似公司網(wǎng)址信息。

關(guān)于allowable addresses（有效的IP 地址）選項

如果allowable addresses框為空，DNS Watcher會把任意有效的'A' 記錄作為解析成功，這樣可以確認DNS 服務(wù)器正常工作，并且對請求進行了響應(yīng)，但是無法保障DNS 服務(wù)器返回的是正確的地址。

為了加強對DNS 服務(wù)器的監(jiān)控，你可以在allowable addresses 框中輸入對應(yīng)域名的IP 地址。這樣可以保障DNS 服務(wù)器返回的是正確的IP 地址，同時，也可以確認是否被攻擊，或者配置錯誤。通常，在allowable address框輸入唯一的Ip 地址，除非對應(yīng)的域名因為負載均衡需要多個IP 地址。

四、攻擊偵測

1、網(wǎng)址嫁接攻擊（Pharming attack ）

"pharming attack" （網(wǎng)址嫁接攻擊）是針對web 網(wǎng)頁的新型攻擊，攻擊者通過劫持DNS 記錄，然后修改對應(yīng)的信息，用自己的頁面替代你訪問的頁面。以下使用支付服務(wù)作為例子，對網(wǎng)址嫁接攻擊進行說明：

? a) 、攻擊者通過劫持獲取PayPal 的DNS 記錄

? b) 、攻擊者將www.paypal.com 對應(yīng)的DNS 記錄，更改為攻擊者的IP ，該IP 服

務(wù)的網(wǎng)址與合法的www.paypal.com 非常相像。

? c) 、合法的PayPal 客戶被攻擊者引導(dǎo)到假冒的web 服務(wù)上。

? d) 、客戶輸入的賬號、密碼信息將被攻擊者獲取，攻擊者通過對應(yīng)的賬號密

碼盜取客戶財務(wù)。

網(wǎng)址嫁接攻擊的危險性，在于客戶相信獲取到的web 網(wǎng)址是合法的官方網(wǎng)址。網(wǎng)址嫁接攻擊比釣魚攻擊（phishing attacks）更具隱蔽性，因為針對釣魚攻擊，知曉的用戶通知容易發(fā)現(xiàn)自己訪問的網(wǎng)址存在異常，但是，因為網(wǎng)址嫁接攻擊是在DNS 層面進行的，用戶沒有方法識別自己已經(jīng)訪問了錯誤的web 服務(wù)器。

2、偵測網(wǎng)址嫁接攻擊

DNS Watcher的"restrict the allowable addresses"選項，可以用于偵測網(wǎng)址嫁接攻擊：

在配置列表中，配置web 服務(wù)對應(yīng)的合法Ip 地址列表。如果DNS 解析返回的地址不在配置的合法列表中，DNS Watcher將把該查詢視為錯誤標(biāo)識出來。

如果攻擊者修改了DNS 記錄，那么修改后的IP 地址在DNS Watcher 的IP 列表中不存在，就能偵測到是被攻擊了。

為了能夠防御網(wǎng)址嫁接攻擊，通過DNS watcher 對DNS 服務(wù)器實施必要的監(jiān)控顯得非常重要，監(jiān)控的網(wǎng)絡(luò)服務(wù)不僅僅局限于自己公司的服務(wù)器。網(wǎng)址嫁接攻擊非常是非常詭辯的，例如緩存投毒（cache poisoning ），通過破壞中間DNS 記錄，而不一定是你公司的根服務(wù)記錄。理想的情況是，通過DNS watcher監(jiān)控關(guān)鍵的DNS 服務(wù)，可以包括流行的ISP 提供商，或者自己公司的異地服務(wù)。

五、 FQA

1、監(jiān)控域名的四種運行狀態(tài)

1.1、新建狀態(tài)

? 最右側(cè)為空白

? 正常解析次數(shù)<#Good> 、異常解析次數(shù)<#Bad>都顯示為空