DNS Watcher监控使用手册资料.docx
《DNS Watcher监控使用手册资料.docx》由会员分享,可在线阅读,更多相关《DNS Watcher监控使用手册资料.docx(13页珍藏版)》请在冰豆网上搜索。
DNSWatcher监控使用手册资料
DNSWatcher监控手册
目录
DNSWatcher监控手册1
一、快速入门1
二、主功能界面3
1、功能按钮3
2、设置(Settings)4
3、首选项(Preferences)5
三、添加/编辑DNSWatcher域名6
四、攻击侦测7
1、网址嫁接攻击(Pharmingattack)7
2、侦测网址嫁接攻击7
五、FQA8
1、监控域名的四种运行状态8
1.1、新建状态8
1.2、正在运行8
1.3、解析成功8
1.4、解析失败8
2、域名监控的开启、禁止9
2.1、开启域名监控9
2.2、禁止域名监控9
3、域名解析异常的处理9
3.1、域名解析异常体现9
3.2、故障排查9
4、Query工具的使用10
5、日志查看11
目的:
DNSWatcher是一个用于DNS域名监控和查询的工具,用于查看DNS域名是否能够正确的解析响应。
该工具,同时具备nslookup和dig通用工具的功能,并且提供了GUI操作界面。
一、快速入门
打开DNSWatcher窗口:
在该界面,添加期望监控的域名实体。
1、点击按钮,添加一个域名实体
a)、打开"adddnswatcherentry"对话框
b)、在"dnsserveraddress"框中,输入服务名称;通过"Default",可以选择默认的服务器地址。
c)、在"hostname"框中,输入需要被监控的主机名称。
d)、选择"OK",完成配置。
2、重复步骤1,添加任意的服务/域名实体。
3、点击按钮,运行主界面的所有域名列表。
二、主功能界面
1、功能按钮
功能选项说明:
运行所有的服务/域名(servers/hostnames)列表,在界面上验证运行结果。
运行状态包括,
空白:
表示实体还没有运行;可能是因为实体刚创建,或者因为实体状态为Disable状态。
黄色点:
表示域名正在解析;
红色点:
表示域名解析失败失败。
可能是因为网络超时,对方服务器故障;
绿色点:
表示域名解析成功;
添加新的域名到监控列表。
编辑监控列表中选中的域名。
删除监控列表中选中域名。
手工请求对选中的域名进行解析,并返回请求结果。
/
开启/禁止对选择域名的解析,
开启:
在每个周期,都执行对域名解析进行监控;
禁止:
不对该域名进行监控。
2、设置(Settings)
配置选项说明:
Auto-Run
(自动运行)
auto-run设置,允许根据指定周期,定期对监控列表自动进行解析请求。
理想的请求周期为5分钟。
RecordLogFile
(日志文件)
指定日志文件路径,可以根据需要,记录成功、或失败的域名信息,包括对应周期、DNS服务器、域名、成功失败结果。
RetryTimeouts
(重发次数)
如果DNS服务器无法再指定时间内对请求做出响应,将导致超时。
因为DNS操作使用的是UDP协议,不可避免存在丢包的风险,所以设置超时重发可以减少大量的错误。
3、首选项(Preferences)
通过菜单"Setting:
Preferences",进入首选项界面:
选项说明:
ShrinktoTaskbarwhen"X"Clicked
(点击"X",缩放到任务兰)
在点击主界面右上角的"X"按钮时,将界面缩放到任务兰,方便监控。
如果没有勾选该选项,点击主界面右上角的"X"按钮时,将导致程序的关闭。
Pop-upwhenerrordetected
(侦测到错误时弹出)
当侦测到错误,在系统托盘上弹出气泡提示。
Auto-LoadonWindowsStartup
(windows启动时自动加载)
在windows系统启动的时候,监控程序自动启动,并且最新化到系统托盘。
Auto-Savemodifications
(自动保存更改)
自动保存添加或者编辑的域名信息。
三、添加/编辑DNSWatcher域名
域名的添加、编辑是系统监控的基础,因此着重说明对应的编辑选项。
添加、编辑域名,都在如下界面完成:
在该界面,主要完成两个关键信息的输入:
●DNSServerAddress.(DNS服务器地址)
在DNS服务器地址,输入期望监控的DNS服务器的IP地址,或者主机名称。
通常,输入DNS服务器的IP地址。
该地址,用于验证解析是否正常。
可以使用默认按钮中的服务器地址,也即你的windows机器上使用的服务器地址。
●HostName.(主机名称)
该主机名称,是你期望项DNS服务器提交进行解析的域名名称。
通常,是输入类似公司网址信息。
关于allowableaddresses(有效的IP地址)选项
如果allowableaddresses框为空,DNSWatcher会把任意有效的'A'记录作为解析成功,这样可以确认DNS服务器正常工作,并且对请求进行了响应,但是无法保障DNS服务器返回的是正确的地址。
为了加强对DNS服务器的监控,你可以在allowableaddresses框中输入对应域名的IP地址。
这样可以保障DNS服务器返回的是正确的IP地址,同时,也可以确认是否被攻击,或者配置错误。
通常,在allowableaddress框输入唯一的Ip地址,除非对应的域名因为负载均衡需要多个IP地址。
四、攻击侦测
1、网址嫁接攻击(Pharmingattack)
"pharmingattack"(网址嫁接攻击)是针对web网页的新型攻击,攻击者通过劫持DNS记录,然后修改对应的信息,用自己的页面替代你访问的页面。
以下使用支付服务作为例子,对网址嫁接攻击进行说明:
✧a)、攻击者通过劫持获取PayPal的DNS记录
✧b)、攻击者将对应的DNS记录,更改为攻击者的IP,该IP服务的网址与合法的非常相像。
✧c)、合法的PayPal客户被攻击者引导到假冒的web服务上。
✧d)、客户输入的账号、密码信息将被攻击者获取,攻击者通过对应的账号密码盗取客户财务。
网址嫁接攻击的危险性,在于客户相信获取到的web网址是合法的官方网址。
网址嫁接攻击比钓鱼攻击(phishingattacks)更具隐蔽性,因为针对钓鱼攻击,知晓的用户通知容易发现自己访问的网址存在异常,但是,因为网址嫁接攻击是在DNS层面进行的,用户没有方法识别自己已经访问了错误的web服务器。
2、侦测网址嫁接攻击
DNSWatcher的"restricttheallowableaddresses"选项,可以用于侦测网址嫁接攻击:
在配置列表中,配置web服务对应的合法Ip地址列表。
如果DNS解析返回的地址不在配置的合法列表中,DNSWatcher将把该查询视为错误标识出来。
如果攻击者修改了DNS记录,那么修改后的IP地址在DNSWatcher的IP列表中不存在,就能侦测到是被攻击了。
为了能够防御网址嫁接攻击,通过DNSwatcher对DNS服务器实施必要的监控显得非常重要,监控的网络服务不仅仅局限于自己公司的服务器。
网址嫁接攻击非常是非常诡辩的,例如缓存投毒(cachepoisoning),通过破坏中间DNS记录,而不一定是你公司的根服务记录。
理想的情况是,通过DNSwatcher监控关键的DNS服务,可以包括流行的ISP提供商,或者自己公司的异地服务。
五、FQA
1、监控域名的四种运行状态
1.1、新建状态
✧最右侧为空白
✧正常解析次数<#Good>、异常解析次数<#Bad>都显示为空
1.2、正在运行
✧最右侧为黄色标记
1.3、解析成功
✧最右侧为绿色标记
✧LastResult显示为:
Success+Ip地址
✧#Good记录增加1
1.4、解析失败
✧最右侧为红色标记
✧LastResult显示为:
Failure
✧#Bad记录增加1
2、域名监控的开启、禁止
2.1、开启域名监控
✧通过Enable按钮,可以开启域名监控
✧在Enable属性中显示为:
Enabled
2.2、禁止域名监控
✧通过Disable按钮,可以禁止域名监控
✧在Enable属性中显示为:
Disabled
3、域名解析异常的处理
3.1、域名解析异常体现
✧最右侧为红色标记
✧LastResult显示为:
Failure
✧#Bad记录增加1
3.2、故障排查
✧确认监控主机,所在网络是否正常。
如果网络网络中断,将导致DNS解析无法返回,解析失败。
✧确认网络丢包是否严重,导致解析超时。
如果网络丢包严重,将导致DNS解析无法返回,解析失败。
✧确认限制地址是否变更。
如果解析返回的IP与当前配置的域名IP不一致,可能情况:
a)、对应的域名服务变更了IP地址;
b)、域名系统遭受了网址嫁接工具。
3.3、处理流程
a)、在域名自动拨测失败时,在确认网络正常的情况下,请使用Query工具,手工执行该域名的拨测,确认是否能够成功返回域名对应的A记录。
如果能够拨测成功,说明域名服务器无异常,如果多次查询失败,请联系DNS管理员。
b)、如果发现DNS遭受网址嫁接攻击,请联系DNS管理员。
4、Query工具的使用
通过按钮,可以实现域名的手工拨测工作。
首先,在监控列表中,选择需要拨测的域名记录:
展示拨测结果:
在拨测中,如果没有配置"restricttheallowableaddresses"选项,那么只要返回为“A”的记录,说明DNS域名服务运行正常。
5、日志查看
根据需要,设置日志选项:
点击,查看日志记录,包含时间、域名服务器、域名、解析结果。
通过对比同一域名,不同周期的解析结果,可以获取如下信息
✧在具体的周期,域名解析是成功、还是失败;
✧域名是否遭受网址嫁接工具,如果确认个别期间返回的iP与其他周期不一致,说明可能遭受了工具。
升级会员 