DNS的名字很意思,服务名称叫dns,软件包名叫bind,执行程序叫named。
DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对DNS的动态更新进行说明,RFC 2308对DNS查询的反向缓存进行说明。(百度百科)
DNS是一个互联网基础服务,网络的接入对于它也是关键性问题,需要有光缆连接与全球。海底光缆是国际互联网的骨架。光缆的多少,代表一国与互联网的联系是否紧密。有人利用微软的Bing地图,以及wikipedia的数据,做出了一幅互动式的世界海底光缆分布图。
全世界一共有13台根DNS服务器。1个为主根服务器,放置在美国。其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本。
域名层次结构
域名注册
代理商:万网, 新网,godaddy
域名空间 树的最大深度不得超过127层,每个节点最多可以存储63个字符
FQDN 完全正式域名/完全合格域名,根域、顶级域、二级域、子域 域名采用层次化的方式进行组织,每一个点代表一个层级表示出其相对于DNS根域的位置。
FQDN命名规则 长度不能超过256字节 允许【 a-z A-Z 0-9 - . 】 域名不区分大小写
正向解析 查找域名对应IP的过程。
反向解析 查找IP对应域名的过程。
解析器 即resolver,处于DNS客户端的一套系统,用于实现正向解析或者反向解析。
Linux DNS服务器
Windows DNS服务器
备用DNS服务器
完整的查询请求经过的流程:
Client --> hosts文件 --> DNS Service
Local Cache --> DNS Server recursion--> Server Cache --> iteration -->
建议:
一般我们建议客户端DNS地址写一个,一是因为慢的DNS地址在前面会影响解析效率,不如直接找一个靠谱的,就写一个就可以了。即便写了多个DNS地址,第一个DNS服务器解析不到,绝对不会使用第二个DNS服务器。当第一个DNS服务器不在线的时候或找不到的时候,才会找第二个DNS服务器,不是解析不到是找不到的时候。所以要把最快的DNS服务器放在最前面
递归查询
迭代查询(反复查询)
公共DNS
公共DNS属于递归DNS。其典型特征为对外一个IP,为所有用户提供公共的递归查询服务。
权威DNS
处于DNS服务端的一套系统,该系统保存了相应域名的权威信息。权威DNS即通俗上“这个域名我说了算”的服务器。
DNS主要解决两方面的问题:域名本身的增删改查以及域名到IP如何映射。
程序包:
bind 【主包服务程序】
bind-libs 【通用库文件】
bind-utils 【客户端工具】
DNS服务器的类型:
配置好yum源,用yum安装bind软件包
rpm包安装# yum install -y bind bind-utils
源码安装
# tar
# cd
# groupadd -r -g 53 named
# useradd -r -u 53 -g 53 named
# ./configure --prefix=/usr/local/bind9 --sysconfdir=/etc/named/ --disable-ipv6 --disable-chroot --enable-threads
# make
# make install
资源记录
配置样例:
缓存名称服务器的配置:
监听外部地址即可
缓存服务器应用场景,内外网带宽较低时会用到
主从复制:
1、应该为一台独立的名称服务器
2、主服务器的区域解析库文件中必须有一条NS记录是指向从服务器
3、从服务器只需要定义区域,而无须提供解析库文件;解析库文件应该放置于/var/named/slaves/目录中
4、主服务器得允许从服务器作区域传送; 【区域传送可获得所有记录数据,比较危险注意权限设置】
5、主从服务器时间应该同步,可通过ntp进行
6、bind程序的版本应该保持一致;否则,应该从高,主低
转发服务器:
必须允许递归查询转发列表若为多个,则一次尝试,直到获得信息
被转发的服务器需要能够为请求者做递归,否则,转发请求不予进行
技巧
转发列表配置精简
避免链接转发器
减少转发器负荷
避免转发器配置错误
# /etc/init.d/named start
# chkconfig named on
检查主配置文件:# named-checkconf
检查区域配置文件:# named-checkzone "redone.com" /var/named/redone.com.zone
检查DNS解析命令
nslookup www.xxx.com
dig -t A www.xxx.com
dig www.xxx.com
dig -x 114.114.114.114
dig +trace www.baidu.com
dig -t axfr 区域名称 @server 模拟完全区域传送
host www.xxx.com
安全事件
已有30年的历史,DNS仍然是整个互联网中最脆弱的一环。下面盘点一下近年来比较严重的DNS安全事件。
2009年5月19日南方六省断网事件。一起由于游戏私服私斗打挂dnspod,殃及暴风影音域名解析,然后进一步殃及电信local dns,从而爆发六省大规模断网的事故。事件影响深远。
2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(Iranian Cyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时,是百度成立以来最严重的故障事件,直接经济损失700万人民币。
2013年5月4日DNS劫持事件。由于主流路由器厂商安全漏洞而导致的全网劫持事件,号称影响了800万用户。
2013年8月25日CN域被事件。cn域dns受到DoS而导致所有cn域名无法解析事故。
2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域
域名服务器的安全相关
互联网用到的2个关键协议:route、dns,前者解决了主机的连接问题,后者解决了主机是谁的问题,提供了短小易记的方式。
原文:https://blog.51cto.com/redone/2372168