DNS Watcher监控使用手册
DNS Watcher 监控手册目录DNS Watcher 监控手册 . ...............................................................
DNS Watcher 监控手册
目录
DNS Watcher 监控手册 . .................................................................................................................. 1
一、 快速入门 . .......................................................................................................................... 2
二、主功能界面 . .............................................................................................................................. 3
1、功能按钮 . ............................................................................................................................ 3
2、设置(Settings ) . ............................................................................................................... 4
3、首选项(Preferences ) ..................................................................................................... 5
三、 添加/编辑DNS Watcher域名 . ......................................................................................... 6
四、 攻击侦测 . .......................................................................................................................... 7
1、网址嫁接攻击(Pharming attack ) ................................................................................ 7
2、侦测网址嫁接攻击 . ............................................................................................................ 7
五、 FQA . ................................................................................................................................... 8
1、监控域名的四种运行状态 . ................................................................................................ 8
1.1、新建状态 . ................................................................................................................. 8
1.2、正在运行 . ................................................................................................................. 8
1.3、解析成功 . ................................................................................................................. 8
1.4、解析失败 . ................................................................................................................. 8
2、域名监控的开启、禁止 . .................................................................................................... 9
2.1、开启域名监控 . ......................................................................................................... 9
2.2、禁止域名监控 . ......................................................................................................... 9
3、域名解析异常的处理 . ........................................................................................................ 9
3.1、域名解析异常体现 . ................................................................................................. 9
3.2、故障排查 . ................................................................................................................. 9
4、Query 工具的使用 . ........................................................................................................... 10
5、日志查看 . .......................................................................................................................... 11
1
,目的:
DNS Watcher 是一个用于DNS 域名监控和查询的工具,用于查看DNS 域名是否能够正确的解析响应。该工具,同时具备nslookup 和dig 通用工具的功能,并且提供了GUI 操作界面。
一、 快速入门
打开DNS Watcher窗口:
在该界面,添加期望监控的域名实体。
1、点击
a) 、打开" add dns watcher entry"对话框
2
,b) 、在"dns server address"框中,输入服务名称;通过"Default" ,可以选择默认的服务器地址。
c) 、在"host name"框中,输入需要被监控的主机名称。
d) 、选择"OK" ,完成配置。
2、重复步骤1,添加任意的服务/域名实体。
3、点击
二、主功能界面
1、功能按钮
3
,功能选项说明:
2、设置(Settings )
配置选项说明:
4
,
3、首选项(Preferences )
通过菜单"Setting:Preferences",进入首选项界面:
选项说明:
5
三、 添加/编辑DNS Watcher域名
域名的添加、编辑是系统监控的基础,因此着重说明对应的编辑选项。
添加、编辑域名,都在如下界面完成:
在该界面,主要完成两个关键信息的输入:
● DNS Server Address. (DNS 服务器地址)
在DNS 服务器地址,输入期望监控的DNS 服务器的IP 地址,或者主机名称。通常,输入DNS 服务器的IP 地址。该地址,用于验证解析是否正常。可以使用默认
● Host Name. (主机名称)
该主机名称,是你期望项DNS 服务器提交进行解析的域名名称。通常,是输入类似公司网址信息。
关于allowable addresses(有效的IP 地址)选项
6
如果allowable addresses框为空,DNS Watcher会把任意有效的'A' 记录作为解析成功,这样可以确认DNS 服务器正常工作,并且对请求进行了响应,但是无法保障DNS 服务器返回的是正确的地址。
为了加强对DNS 服务器的监控,你可以在allowable addresses 框中输入对应域名的IP 地址。这样可以保障DNS 服务器返回的是正确的IP 地址,同时,也可以确认是否被攻击,或者配置错误。通常,在allowable address框输入唯一的Ip 地址,除非对应的域名因为负载均衡需要多个IP 地址。
四、 攻击侦测
1、网址嫁接攻击(Pharming attack )
"pharming attack" (网址嫁接攻击)是针对web 网页的新型攻击,攻击者通过劫持DNS 记录,然后修改对应的信息,用自己的页面替代你访问的页面。以下使用支付服务作为例子,对网址嫁接攻击进行说明:
✧ a) 、攻击者通过劫持获取PayPal 的DNS 记录
✧ b) 、攻击者将www.paypal.com 对应的DNS 记录,更改为攻击者的IP ,该IP 服
务的网址与合法的www.paypal.com 非常相像。
✧ c) 、合法的PayPal 客户被攻击者引导到假冒的web 服务上。
✧ d) 、客户输入的账号、密码信息将被攻击者获取,攻击者通过对应的账号密
码盗取客户财务。
网址嫁接攻击的危险性,在于客户相信获取到的web 网址是合法的官方网址。网址嫁接攻击比钓鱼攻击(phishing attacks)更具隐蔽性,因为针对钓鱼攻击,知晓的用户通知容易发现自己访问的网址存在异常,但是,因为网址嫁接攻击是在DNS 层面进行的,用户没有方法识别自己已经访问了错误的web 服务器。
2、侦测网址嫁接攻击
DNS Watcher的"restrict the allowable addresses"选项,可以用于侦测网址嫁接攻击:
7
,在配置列表中,配置web 服务对应的合法Ip 地址列表。如果DNS 解析返回的地址不在配置的合法列表中,DNS Watcher将把该查询视为错误标识出来。
如果攻击者修改了DNS 记录,那么修改后的IP 地址在DNS Watcher 的IP 列表中不存在,就能侦测到是被攻击了。
为了能够防御网址嫁接攻击,通过DNS watcher 对DNS 服务器实施必要的监控显得非常重要,监控的网络服务不仅仅局限于自己公司的服务器。网址嫁接攻击非常是非常诡辩的,例如缓存投毒(cache poisoning ),通过破坏中间DNS 记录,而不一定是你公司的根服务记录。理想的情况是,通过DNS watcher监控关键的DNS 服务,可以包括流行的ISP 提供商,或者自己公司的异地服务。
五、 FQA
1、监控域名的四种运行状态
1.1、新建状态
✧ 最右侧为空白
✧ 正常解析次数<#Good> 、异常解析次数<#Bad>都显示为空
1.2、正在运行
✧ 最右侧为黄色标记
1.3、解析成功
✧ 最右侧为绿色标记
✧ Last Result显示为:Success Ip地址
✧ #Good记录增加
1
1.4、解析失败
✧ 最右侧为红色标记
✧ Last Result显示为:Failure
✧ #Bad记录增加
1
8
,2、域名监控的开启、禁止
2.1、开启域名监控
✧ 通过Enable 按钮,可以开启域名监控
✧ 在Enable 属性中显示为:
Enabled
2.2、禁止域名监控
✧ 通过Disable 按钮,可以禁止域名监控
✧ 在Enable 属性中显示为:
Disabled
3、域名解析异常的处理
3.1、域名解析异常体现
✧ 最右侧为红色标记
✧ Last Result显示为:Failure
✧ #Bad记录增加
1
3.2、故障排查
✧ 确认监控主机,所在网络是否正常。如果网络网络中断,将导致DNS 解析无法返回,解析失败。
✧ 确认网络丢包是否严重,导致解析超时。如果网络丢包严重,将导致DNS 解析无法返回,解析失败。
✧ 确认限制地址是否变更。如果解析返回的IP 与当前配置的域名IP 不一致,可能情况: a) 、对应的域名服务变更了IP 地址;
b) 、域名系统遭受了网址嫁接工具。
9
,3.3、处理流程
a) 、在域名自动拨测失败时,在确认网络正常的情况下,请使用Query 工具,手工执行该域名的拨测,确认是否能够成功返回域名对应的A 记录。如果能够拨测成功,说明域名服务器无异常,如果多次查询失败,请联系DNS 管理员。
b) 、如果发现DNS 遭受网址嫁接攻击,请联系DNS 管理员。
4、Query 工具的使用
通过
首先,在监控列表中,选择需要拨测的域名记录:
展示拨测结果:
10