網(wǎng)絡(luò)系統(tǒng)安全運行與維護教案15

鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁序號：15授課班級信息安全22A1信息安全22A2授課日期4.295.17出勤情況課程名稱網(wǎng)絡(luò)系統(tǒng)安全運行與維護教學(xué)類型講授復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：Windows系統(tǒng)IIS服務(wù)安裝與配置引入新課：Windows系統(tǒng)DNS服務(wù)安裝與配置教學(xué)目標要求學(xué)生通過該能力模塊的學(xué)習(xí),能夠熟練掌握DNS服務(wù)的安裝與配置能力。講授要點教學(xué)設(shè)計講授要點：1.安裝DNS2.DNS區(qū)域3.DNS子域及子域委派教學(xué)設(shè)計：回顧上節(jié)內(nèi)容采用講授和提問法，復(fù)習(xí)上節(jié)關(guān)于IIS服務(wù)安裝與配置相關(guān)知識點任務(wù)引入DNS的安全信息域名系統(tǒng)(DNS)最初被設(shè)計為開放式協(xié)議，因此，很容易受到攻擊者攻擊，我們需要對DNS特別加強其安全性。知識講授講授本次課程重難點內(nèi)容，演示本節(jié)課中關(guān)鍵實驗和步驟任務(wù)實施分4個實驗步驟，指導(dǎo)學(xué)生進行實驗。課堂總結(jié)重點難點解決方法重點：DNS工作原理安裝并配置DNS服務(wù)安裝輔助DNS服務(wù)，進行區(qū)域復(fù)制難點：DNS工作原理解決方法：角色扮演教學(xué)法、項目教學(xué)法課后作業(yè)總結(jié)DNS攻擊類型課后總結(jié)DNS的安全關(guān)系到其他服務(wù)器的安全，也是我們上網(wǎng)必用的一個服務(wù)，安全設(shè)置的方法種類較多，要求學(xué)生能夠掌握常用的幾種。鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第15-PAGE14頁加強Windows系統(tǒng)DNS服務(wù)的安全防御教學(xué)過程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)IIS服務(wù)器的安全配置回顧上節(jié)內(nèi)容5分鐘任務(wù)引入DNS是域名系統(tǒng)(DomainNameSystem)的縮寫，是一種組織成域?qū)哟谓Y(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。DNS命名用于TCP/IP網(wǎng)絡(luò)，如Internet，用來通過用戶友好的名稱定位計算機和服務(wù)。當用戶在應(yīng)用程序中輸入DNS名稱時，DNS服務(wù)可以將此名稱解析為與此名稱相關(guān)的其他信息，如IP地址。采用問答形式回顧以前關(guān)于所學(xué)DNS的知識，教師講授15分鐘知識講解1DNS查詢的工作原理當DNS客戶端需要查詢程序中使用的名稱時，它會查詢DNS服務(wù)器來解析該名稱。客戶端發(fā)送的每條查詢消息都包括三條信息，指定服務(wù)器回答的問題： 指定的DNS域名，規(guī)定為完全合格的域名(FQDN)。 指定的查詢類型，可根據(jù)類型指定資源記錄，或者指定為查詢操作的專門類型。 DNS域名的指定類別。對于WindowsDNS服務(wù)器，它始終應(yīng)指定為Internet(IN)類別。例如，指定的名稱可以是計算機的FQDN，“”，而指定的查詢類型可以是通過該名稱搜索地址(A)資源記錄。將DNS查詢看作客戶端向服務(wù)器詢問由兩部分組成的問題，例如“是否擁有名為‘’的計算機的A資源記錄？”當客戶端收到來自服務(wù)器的應(yīng)答時，它將讀取并解譯應(yīng)答的A資源記錄，獲取根據(jù)名稱詢問的計算機的IP地址。DNS查詢以各種不同的方式進行解析。有時，客戶端也可使用從先前的查詢獲得的緩存信息就地應(yīng)答查詢。DNS服務(wù)器可使用其自身的資源記錄信息緩存來應(yīng)答查詢。DNS服務(wù)器也可代表請求客戶端查詢或聯(lián)系其他DNS服務(wù)器，以便完全解析該名稱，并隨后將應(yīng)答返回至客戶端。這個過程稱為遞歸。另外，客戶端自己也可嘗試聯(lián)系其他的DNS服務(wù)器來解析名稱。當客戶端這么做的時候，它會根據(jù)來自服務(wù)器的參考答案，使用其他的獨立查詢。該過程稱作迭代。采用講授法和案例法，描述和設(shè)置DNS的工作過程教師講授25分鐘知識講解2。DNS的安全信息域名系統(tǒng)(DNS)最初被設(shè)計為開放式協(xié)議，因此，很容易受到攻擊者攻擊。WindowsServer2003DNS已經(jīng)對該性能做了改進，可通過添加安全功能防止對于DNS結(jié)構(gòu)的攻擊?？紤]要使用哪些安全功能之前，應(yīng)了解對于DNS安全性的常見威脅與您的單位的DNS安全級別。DNS安全威脅下面是攻擊者對于DNS結(jié)構(gòu)進行威脅的常見方式：“跟蹤”是攻擊者通過它獲取DNS區(qū)域數(shù)據(jù)的過程，以便為攻擊者提供敏感網(wǎng)絡(luò)資源的DNS域名、計算機名和IP地址。攻擊者通常使用該DNS數(shù)據(jù)圖解或跟蹤網(wǎng)絡(luò)，開始攻擊。DNS域和計算機名通常指明某個域或計算機的功能或位置，以幫助用戶輕松記住和標識域和計算機。攻擊者利用相同的DNS原則了解網(wǎng)絡(luò)中的域和計算機的功能和位置?！熬芙^服務(wù)攻擊”是當攻擊者試圖使網(wǎng)絡(luò)中的一個或多個DNS服務(wù)器塞滿遞歸查詢而拒絕提供網(wǎng)絡(luò)服務(wù)。當DNS服務(wù)器塞滿查詢時，其CPU使用率將達到其最大值，DNS服務(wù)器服務(wù)將變得不可用。網(wǎng)絡(luò)上沒有能夠運行的DNS服務(wù)器時，使用DNS的網(wǎng)絡(luò)服務(wù)對于網(wǎng)絡(luò)用戶將不可用?！皵?shù)據(jù)修改”是攻擊者（使用DNS跟蹤網(wǎng)絡(luò)的人）進行的一種嘗試，即使用攻擊者創(chuàng)建的IP數(shù)據(jù)包中的有效IP地址，從而使得這些數(shù)據(jù)包看起來來自網(wǎng)絡(luò)的有效IP地址。這通常稱為IP欺騙。通過有效的IP地址（子網(wǎng)的IP地址范圍內(nèi)的一個IP地址），攻擊者可獲取對于網(wǎng)絡(luò)的訪問權(quán)并毀壞數(shù)據(jù)或執(zhí)行其他攻擊。“重定向”是攻擊者能夠?qū)NS名稱查詢重定向到攻擊者控制的服務(wù)器。重定向的一種方法包括嘗試使用使用可能將未來查詢定向到攻擊者控制下的服務(wù)器的錯誤DNS數(shù)據(jù)來污染DNS高速緩存。例如，如果查詢最初是針對進行的，而引用應(yīng)答是為域（例如，）外的名稱記錄提供的，DNS服務(wù)器會將緩存的數(shù)據(jù)用于，以解析該名稱查詢。每當攻擊者對于