建立DNS A紀錄的範例語法:

dnscmd /recordadd ailog.tw web A 168.95.1.1

透過上面的語法可以建立

web.ailog.tw = 168.95.1.1 的A紀錄對應。

1、模擬情境
(1)、domain name：abc.com.tw
(2)、主要的DNS服務(或是AD主機)IP為：192.168.10.1
(3)、異地的DNS主機IP為192.168.30.1
(4)、以上所敘述的主機均為Windows Server

2、先在異地的DNS主機上安裝DNS服務
※以下的語法均為powershell指令，並在192.168.30.1的dns次要主機上執行
(1)、安裝DNS服務

Install-WindowsFeature -Name DNS -IncludeManagementTools

(2)、確認安裝狀態

Get-WindowsFeature -Name DNS

※在Install State欄位顯示「Installed」的話代表有順利安裝成功

3、設定DNS紀錄同步作業
※以下的語法均為command令命，並在192.168.30.1的dns次要主機上執行
(1)、新增Zone並宣告192.168.10.1為DNS紀錄來源

dnscmd /zoneadd abc.com.tw /secondary 192.168.10.1

(2)、指定上游解析來源

dnscmd /resetforwarders 192.168.10.1 168.95.1.1 8.8.8.8

※這裡多了168.95.1.1及8.8.8.8，是為了避免主要DNS失聯時導致完全無法解析的狀況。

(3)、設定不紀錄DNS告警事件

dnscmd /config /eventloglevel 0

※該設定為選項設定，請自行斟酌實際狀況需求

(4)、強制同步紀錄

dnscmd /zonerefresh abc.com.tw

4、補充說明
(1)、清除快取紀錄

dnscmd /clearcache

(2)、重新啟動DNS服務

net stop dns & net start dns

ISC發布多個bind相關漏洞套件：
https://kb.isc.org/docs/cve-2022-2795
https://kb.isc.org/docs/cve-2022-2881
https://kb.isc.org/docs/cve-2022-2906
https://kb.isc.org/docs/cve-2022-3080
https://kb.isc.org/docs/cve-2022-38177
https://kb.isc.org/docs/cve-2022-38178

受影響的bind版本範圍：
BIND 9.0.0 至 9.16.32
BIND 9.18.0 至 9.18.6
BIND 9.19.0 至 9.19.4
BIND 9.9.3-S1 至 9.11.37-S1
BIND 9.16.8-S1 至 9.16.32-S1

官方建議更新版本：
BIND 9.16.33 (Current Stable)
BIND 9.18.7 (Current Stable)
BIND 9.19.5 (Development)
BIND 9.16.33-S1 (Supported Preview Edition)

官方事件說明：
https://status.azure.com/zh-tw/status#

事件起因：
Azure運行Ubuntu 18.04的虛擬機，於2022年8月30日大約17:00~1800左右自動進行了systemd 237-3ubuntu10.54 安全更新，該更新是為了解決CVE-2022-2526漏洞，但是該修補程式會導致Ubuntu 18.04上的DNS設定異常，如果有遇到該狀況則需要重新手動設定DNS。

如何設定Ubuntu 18.04的DNS：
vi /etc/systemd/resolved.conf

弱點掃描影響說明：
https://www.tenable.com/plugins/nessus/12217

[範例情境]
01、作業系統為FreeBSD 12.2-RELEASE-p7
02、BIND版本為9.16.16

[操作步驟]
01、變更BIND設定檔
(1)、編輯設定檔
指令語法：
vi /usr/local/etc/namedb/named.conf

(2)、修改設定參數
在options選項裡面新增下列設定值
options {
allow-query-cache { none; };
};

02、重新啟動BIND服務
指令語法：
/usr/local/etc/rc.d/named restart

被發現的漏洞：
CVE-2021-25214
CVE-2021-25215
CVE-2021-25216

相關風險：
(1)、阻斷服務
(2)、遠端執行程式碼

受影響的BIND版本：
(1)、9.0.0 ~ 9.11.29
(2)、9.12.0 ~ 9.16.13
(3)、BIND 9.17 development branch 的 9.17.0 ~ 9.17.11
(4)、9.9.3-S1 ~ 9.11.29-S1
(5)、BIND Supported Preview Edition 的 9.16.8-S1 ~ 9.16.13-S1

解決方法：
更新至以下版本或更高的版本
(1)、BIND 9.11.31
(2)、BIND 9.16.15
(3)、BIND 9.17.12
(4)、BIND 9.11.31-S1
(5)、BIND 9.16.15-S1

ISC原廠說明：
https://kb.isc.org/docs/cve-2021-25214
https://kb.isc.org/docs/cve-2021-25215
https://kb.isc.org/docs/cve-2021-25216

1、TFTP簡介
TFTP(Trivial File Transfer Protocol)是一種很像FTP服務的協定，但不具有身分認證功能，且採用UDP 69埠為協定通訊埠，可以讓Client端上傳或下載檔案，最常被用來進行設備的設定檔備份或軟體更新等應用。

2、免費版的TFTP Server軟體
tftpd32是一套20多年的opensource 軟體，從4.00版本開始支援IPV6，除了TFTP相關功能外，更包含了DHCP、DNS、SNTP、Syslog等功能，是一套相當出色的軟體。

tftpd32官方網址：
https://tftpd32.jounin.net/

下載頁面：
https://tftpd32.jounin.net/tftpd32_download.html

注意事項：
32位元最新版本為：v4.52
64位元最新版本為：v4.64
portable edition：為免安裝版本
service edition：為安裝成伺服器服務的版本

3、tftpd32使用介紹
(a)、程式檔案列表
小編慣用的是免安裝版本，下圖為v4.64
版本下載解壓縮後的檔案列表，其中tftpd64.exe則為主程式。

(b)、軟體介面
執行 tftpd64.exe 檔案後即可看到下圖的軟體介面。
點選「Settings」進行軟體設定。

Current Directory：為Tftp Server目前提供檔案傳輸的目錄，該目錄位置可以透過可以透過後方的「Browse」進行變更。
Server interface：為目前提供Tftp服務的網路介面卡IP。
點選「Show Dir」可以瀏覽目前目錄下有哪些檔案。

(c)、軟體功能項目設定
在「GLOBAL」全區設定畫面可以挑選要啟用的服務項目，小編通常都作為tftp server來傳輸檔案，因此只勾選TFTP Server。

(d)、TFTP服務目錄設定
接著在TFTP頁面設定「Base Directory」目錄，將路徑設定在想要進行檔案傳輸的目錄。(例如韌體下載、設定檔下載等)

(e)、TFTP目錄確認
回到主畫面後點選「Show Dir」確認一下檔案列表中是否為想要傳輸的檔案，如果沒問題就可以開始透過TFTP Server服務來上傳或下傳檔案，但路徑如有錯誤請重新選擇正確的目錄。

(f)、點選「Log viewer」可以查看傳輸紀錄