nameserver 8.8.8.8
nameserver 8.8.4.4

root@ptubuntu-laptop:/home/ptubuntu# dig @8.8.8.8 ptubuntu.com

; <<>> DiG 9.6.1-P1 <<>> @8.8.8.8 ptubuntu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23748
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ptubuntu.com.            IN    A

;; ANSWER SECTION:
ptubuntu.com.        1713    IN    A    174.120.9.66

;; Query time: 75 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec  4 10:23:32 2009
;; MSG SIZE  rcvd: 46

• 8.8.8.8
• 8.8.4.4

没想到吧。Google也出了DNS。再看看他的IP地址是多么的牛。大家想不想试一试呢。那就上吧。

下面是一些些语题相关的内容:

工信部：近日断网祸起暴风影音

5月19日，工业和信息化部接到电信运营企业报告，自21时起，江苏、河北、山西、广西、浙江等省陆续出现互联 网网络故障，部分互联网用户的服务受到影响。20日，工业和信息化部组织相关单位和专家召开了研判会，分析故障原因。会议认为，由于 baofeng.com网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成用户不能正常上 网。（5月21日工信部网站）

对于暴风的是非我不想多说，我只是想感谢暴风影音这个“罪魁祸首”，因为是暴风影音检验出我们的网络是多么的脆弱！

一直以来，不管是政府部门、企业还是个人，我们已经完全依附于互联网，已经完全无 法脱离互联网，毫不夸张的说，突然之间没有了互联网的话，我们的社会生活必然会陷于瘫痪状态。这并非是幸事，科学拯救了我们，但同时科学也束缚了我 们，2007年的海底大地震早就向我们预告：互联网在自然灾害面前弱不经风。

除了自然灾害，在人的力量面前，互联网也是一只纸做的老虎。一个小小的暴风影音就能掀起这么大的风浪，那其他软件呢？我不由得想起当年的“诺顿误杀”事件来。仔细想一想，这是多么的可怕。

过度的依赖一件东西必然会产生消极的后果，虽然互联网是进步的象征，但他却越来越 不安全。当然，我们不可能再回到原始的状态，但对互联网的隐患进行未雨绸缪却是很紧迫的一个事情：法律对网络犯罪行为的制裁、技术上对隐形流氓行为的制 约、互联网崩溃后的应急反应，这些都是我们迫切需要解决的难题。

虽然我不会再用暴风影音，但我想我们应该感谢暴风影音，因为暴风影音检验出我们的网络是多么的脆弱！

DNS大规模故障始末：域名服务商遭恶意肉鸡攻击

下面这些是相关的信息.有可能会打不开.因为这些都是台湾的网站.那要看你当地的网络了.
1. 神秘網頁轉址事件 疑為新型態攻擊手法，ZDNet 2009/03/05
2. DNS遭攻陷，多家知名網站慘被攔截轉址，網路資訊 2009/03/05
[教學]遭遇不明網路劫持該如何自救？網路資訊 2009/03/07
追蹤：轉址攻擊仍持續且惡意碼手法日趨成熟，網路資訊 2009/03/08
微軟MSN首頁遭轉址　疑上層DNS被入侵，IThome 2009/03/06

配置动态DNS服务器的核心思想是：在DNS服务器上运行多个BIND，每个BIND为来自不同区

域的用户提供解析，因此每个BIND都应具有不同的配置文件和域文件，并且分别监听在不同

的端口。在接到客户端DNS请求时，根据客户的ip地址将请求重定向不同的BIND服务端口。

BIND响应时，再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的ip地址将

不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关键在于运行

不同的BIND及运用iptables进行ip地址及端口改写操作。

关于iptables更为详细的信息，请参考解决方案中作者的两篇文章——《用iptales实现包

过虑型防火墙》及《用iptables实现NAT》。

二、配置过程

步骤1： 配置内核

netfilter要求内核版本不低于2.3.5，在编译新内核时，要求选择和netfilter相关的项目。这

些项目通常都是位于”Networking options”子项下。以2.4.0内核为例，我们应该选中的项目有：

[*] Kernel/User netlink socket ! ;

[ ] Routing messages

<*> Netlink device emulation

[*] Network packet filtering (replaces ipchains)

…….

然后，在”IP: Netfilter Configuration —->”选中：

Connection tracking (required for masq/NAT)

FTP protocol support

IP tables support (required for filtering/masq/NAT)

limit match support

MAC address match support

Netfilter MARK match support

Multiple port match support

TOS match support

Connection state match support

Packet filtering

&! nbsp; REJECT target support

Fu ll NAT

MASQUERADE target support

REDIRECT target support

Packet mangling

TOS target support

MARK target support

LOG target support

ipchains (2.2-style) support

ipfwadm (2.0-style) support

其中最后两个项目可以不选，但是如果你比较怀念ipchains或者ipfwadm，你也可以将其

选中，以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和

ipchians/ipfwadm相对立的，在使用iptables的同时就不能同时使用ipchains/ipfwadm。

编译成功后，这些模块文件都位于以下目录中

/lib/modules/2.4.0/kernel/net/ipv4/netfilter

编译2.4.0的新内核时还应该注意要在”Processor type and fea! tures”中选择和你的

CPU相对应的正确的CPU选项，否则新内核可能无法正常工作。

步骤二、 配置BIND服务

缺省地，BIND服务监听在53端口，我们可以通过配置让BIND运行在不同的ip及端口上。

实现这一点并不复杂，假设我们的DNS服务器的ip地址是211.163.76.1，并且我们想区分

CERNET及非CERNET的客户，这时我们必须运行两个BIND，使用不同的配置文件。可以在

使用非标准监听端口的BIND的配置文件中用listen-on指定BIND监听的端口，比如：

options {

listen-on port 54 {211.163.76.1;}

directory “/var/named_cernet”;

};

可以用named的-c 选项指定named读入不同的配置文件，比如：

/usr/sbin/named -u named -c /etc/named_cernet.conf

步骤三、配置重定向规则

假设监听在标准端口的BIND服务器为非CERNET客户提供DNS解析，监听在54端口的BIND服务器

为CERNET服务器提供DNS解析，我们可以建立如下的规则脚本：

#!/bin/bash

#打开端口转发

echo 1 >&nb! sp;/proc/sys/net/ipv4/ip_forward

#加载相关的内核模块

/sbi n/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptables_nat

#刷新所有规则

/sbin/iptables -t nat -F

#加入来自CERNET的DNS请求转发规则，将其转发到本地54端口，CERNET地址列表可从www.nic.edu.cn/RS/ipstat/获得

/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 –dport 53 -i eth0 -j REDIRECT 54!

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 –dport 53 -i eth0 -j REDIRECT 54

…

#将返回给CERNET DNS客户数据包的源端口(54端口)伪装成53端口

/sbin/iptables -t nat -A POSTROUTING -p udp –sport 54 -o eth0 -j SNAT –to 211.163.76.1:53

/sbin/iptables -t&n! bsp;nat -A POSTROUTING -p tcp –sport&n bsp;54 -o eth0 -j SNAT –to 211.163.76.1:53

教育网网的朋友可以从这里这里下载该脚本，将脚本中的DNS_IP及CNET_PORT参数改成你自

己的DNS服务器地址及监听端口即可。

步骤四、 运行动态DNS

配置完成后我们启动DNS服务器，并且运行相应的规则脚本，我们的动态DNS服务器就可以正常工作了。

来自:sina.com.cn

       今天看到linuxtoday.com发表一个有关DNS的安全性的说明.
       DNS （定义）是至关重要的运作网络，连接的IP地址与域名服务。由于安全研究人员从上到下的，贯穿在认识DNS和其缺点不断的扩大，在今年,DNSSEC是一个关键的解决方案，以确保DNS缓存中毒攻击， Kaminksy首次警告说不能发生。 

       保罗Vixie领导的权威DNS和创始人互联网系统协会（ ISC ）选用告诉InternetNews.com 。  如何将DNSSEC的开发摆在首位，它是如何的BIND的发展DNSSEC功能的开发,现在很多IT经理们正在等待这个产品，使他们能够放松一些，看看DNSSEC的无争议的，值得投资

       DNSSEC提供某种形式的核查签署的DNS信息，其目的是保证的DNS真实性。 Vixie的BIND的DNS服务器已DNSSEC能力，自2004年以来，尽管全球部署DNSSEC一直在单一数字由于一些执行有关的挑战“ 。

DNSSEC使它保持最新状态。” Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的…

在 *NIX 下有很多 DNS 查詢工具，例如 dig, nslookup, host, whois, telnet, ping 等。

今天找到這個不錯的網站: Ajax DNS，它提供了以下查詢服務:

Live DNS

Whois search

IP Whois

HTTP Headers

RBL search

Ping

DNS Traversal

使用这个.你可以查到很多内容.如下.以ptubuntu.com为例.

blog.ptubuntu.com  - 72.167.105.53
Reverse DNS:	ip-72-167-XX-XX.ip.secureserver.net.

We asked k.gtld-servers.net (192.52.178.30) for a nameserver for blog.ptubuntu.com, and got .
Searching  () for ANY records for blog.ptubuntu.com.

Query
TTL
Class
Type
Answer


blog.ptubuntu.com.
3539
IN
A
72.167.XX.XX

有需要的朋友一定是个好帮手.特别要查以域名的朋友.可是测试自己的DNS的朋友.

参考:http://www.real-blog.com/linux-bsd-notes/300