服务器无污染dns

第8章DNS任课教师卢豫开第8章DNSDNS体系域名空间DNS区域DNS资源记录DNS解析原理(重点)DNS报文(重点)DNS部署学习要点DNS由于用数字表示的IP地址难以记忆,不够形象,产生了便于理解和记忆的域名,由域名系统(DomainNameSystem,DNS)将域名转换为IP地址.
RFC1034"DOMAINNAMES-CONCEPTSANDFACILITIES"1987,规定了域名的概念与机制.
RFC1035"DOMAINNAMES-IMPLEMENTATIONANDSPECIFICATION"1987,规定了域名的实现与规范.
RFC1591"DomainNameSystemStructureandDelegation"1994,定义域名系统的树形结构与委派机制.
RFC1886"DNSExtensionstosupportIPversion6"1995,用于IPv6网络.
8.
1DNS体系(P170)8.
1.
1层次名称空间在名称空间中引入层次结构.
将名称空间分成若干子空间,每个机构负责一个子空间的管理.
授权管理机构可以将其管理的子名称空间进一步划分,授权给下一级机构管理,而下一级又可以继续划分它所管理的名称空间.
整个名称空间呈一种树形层次结构.

8.
1.
2hosts文件(P171)早期的TCP/IP网络用一个名为hosts的文本文件对网内的所有主机提供名称解析该文件是一个纯文本文件,又称主机表,可用文本编辑器软件来处理,这个文件以静态映射的方式提供IP地址与主机名的对照表127.
0.
0.
1linuxsrv1localhost.
localdomainlocalhost8.
13域名空间(P171)1.
DNS结构域名空间2.
域名空间这个树形结构又称为域名空间(domainnamespace)DNS树的每个节点代表一个域,通过这些节点,对整个域名空间进行划分,成为一个层次结构,最大深度不得超过127层.
3.

域名标识每个域都可用相对名称或绝对名称来标识.
相对于父域表示一个域,可用相对域名;绝对域名指完整的域名,称为FQDN(FullyQualifiedDomainName,全程域名),采用从节点到DNS树根的完整标识方式,并将每个节点用符号".
"分隔.
FQDN有严格的命名限制,长度不能超过256字节,只能用字符、数字及减号表示.

8.
1.
4区域(zone)(P172)区域通常表示管理界限的划分,是DNS名称空间的一个连续部分.
它开始于一个顶级域,一直到一个子域或是其他域的开始.
区域管辖特定的域名空间,它也是DNS树形结构上的一个节点,包含该节点下的所有域名,但不包括由其他区域管辖的域名.

8.
1.
5域名系统(P172)域名系统由4个部分组成名称空间:指定用于组织名称的域的层次结构.
资源记录:将域名映射到特定类型地址的资源信息,解析名称时使用.
DNS服务器:存储资源记录并提供名称查询服务的程序.
DNS客户端:也称解析程序,用来查询服务器获取名称解析信息8.
1.
6DNS服务器(P173)1.
DNS服务器的解析数据DNS服务器以区域文件(或数据库)存储域名解析数据.
一台DNS服务器可以安装多个区域文件,管理多个区域的资源记录.
DNS服务器可以有一个区域文件的原始版本(主区域文件),或者是从其他DNS服务器复制过来的区域文件(辅助区域文件).
DNS服务器可以通过以下途径获取域名解析数据.
由管理员编辑或更新原始区域文件.
从其他域名服务器复制区域文件.
通过向其他DNS服务器查询来获取具有一定时效的缓存信息.

2.
DNS服务器的类型主名称服务器(primarynameserver):拥有一个区域文件的原始版本.
从名称服务器(secondnameserver):又称辅助名称服务器,名称空间信息来自主域名服务器,从其他主域名服务器那里复制一个区域文件.
惟高速缓存服务器(cachingonlyserver):没有任何区域文件,它将收到的解析信息存储下来,并再将其提供给其他用户进行查询,直到这些信息过期为止.
转发服务器(forwardingserver):向其他DNS服务器转发不能满足的查询请求.
8.
1.
7DNS资源记录(P174)组成部分域名(ownername):用于确定资源记录的位置,即拥有该资源记录的DNS域名.
生存时间(TTL):指定一个资源记录在其被丢弃前可以被缓存多长时间.
类(classic):说明网络类型,一般使用IN类,表示Internet类.
类型(type):一个编码的16位数值指定资源记录的类型.
记录数据(RDATA):说明域中该资源记录有关的信息,通常就是解析结果.

DNS资源记录常用的资源记录类型类型名称说明SOAStartofAuthority(起始授权机构)设置区域主域名服务器(保存该区域数据正本的DNS服务器)NSNameServer(名称服务器)设置管辖区域的权威服务器(包括主域名服务器和辅助域名服务器)AAddress(主机地址)定义主机名到IP地址的映射CNAMECanonicalName(规范别名)为主机名定义别名MXMailExchanger(邮件交换器)指定某个主机负责邮件交换PTRPointer(指针)定义反向的IP地址到主机名的映射SRVService(服务)记录提供特殊服务的服务器的相关数据8.
1.
8DNS动态更新(DDNS)(P174)DNS动态更新将DNS服务器与DHCP服务器结合起来,允许客户端动态地更新其DNS资源记录,从而减轻手动管理工作.
RFC2136(1998)对DNS动态更新作了规定.
在DDNS中,当域名和地址的绑定确定后,通常DHCP就给主名称服务器发送这个信息.
主名称服务器更新相应区域.
主名称服务器可以主动向从服务器发送关于区域的变化的报文,从服务器也可以定期联系主服务器检查是否有任何变化,获知区域数据变化后,从服务器就请求关于整个区域的数据(区域传输).
为安全起见,防止在DNS记录中的未授权的改变,DDNS可以使用认证机制.

8.
2DNS解析原理(P175)8.
2.
1正向解析与反向解析正向解析:根据计算机的DNS名称(即域名)解析出相应的IP地址.
反向解析:根据计算机的IP地址解析其DNS名称,多用来为服务器进行身份验证.

8.
2.
2区域管辖与权威服务器(P175)区域是授权管辖的,区域在权威服务器上定义,负责管理一个区域的DNS服务器就是该区域的权威服务器每台DNS服务器只对域名体系中的一部分进行管辖.
不同的DNS服务器有不同的管辖范围.

8.
2.
3区域委派(P176)DNS基于委派授权原则自上而下解析域名,根DNS服务器仅知道顶级域服务器的位置,顶级域服务器仅知道二级域服务器的位置,依此类推,直到在目标域名的授权DNS服务器上找到相应记录.
将DNS名称空间分割成一个或多个区域进行管辖.
一种是将父域的权威服务器作为子域的权威服务器,它所有的数据都存在于父域的权威服务器上另一种是将子域委派给其他DNS服务器,它所有的数据存在于受委派的服务器上.

区域委派委派(Delegation,又译为"委托")是DNS成为分布式名称空间的主要机制.
它允许将DNS名称空间的一部分划出来,交由其他服务器负责.
区域委派的三个作用(1)减少了DNS服务器的潜在负载(2)减轻管理负担,分散管理使得分支机构也能够管理它自己的域(3)负载平衡和容错.

8.
2.
4高速缓存为减少DNS查询时间以提高效率,DNS使用高速缓存机制如果DNS服务器收到查询的名称不在它的域中,则转向另一个服务器请求查询,收到应答时,在将它发送给客户端之前把这个解析记录(名称地址映射信息)存储在它的高速缓存中.
如果同一客户端或另一个客户端请求同样的名称查询,它就检查高速缓存并回答这个问题.
如果服务器存储在高速缓存的解析记录时间过长,可能会将过时的解析记录发送给客户端.
这可以采用两种方案.
(1)权威服务器为资源记录附上生存时间(TTL)字段(2)DNS要求每一台服务器对每一条进行高速缓存的记录保留一个TTL计数器.
高速缓存定期地查询核查并清除TTL到期的那些记录.

8.
2.
5权威性应答与非权威性应答(P176)权威性应答所谓权威的查询结果是从该区域的权威DNS服务器的区域文件(本地解析库)查询而来的,一般是正确的.
非权威性应答所谓非权威的查询结果来源于非权威DNS服务器,是该DNS服务器通过查询其他DNS服务器而不是本地解析库而得来的.
非权威性应答类型(1)查询其他DNS服务器直到获得结果,然后返回给客户端.
(2)指引客户端到上一级DNS服务器查找.
(3)如果缓存有该记录,直接用缓存中的结果回答.

8.
2.
6递归查询与迭代查询(P177)1.
递归查询递归查询要求DNS服务器在任何情况下都要返回结果.
一般DNS客户端向DNS服务器提出的查询请求属递归查询.
标准的递归查询过程(根DNS服务器需要经过逐层查询才能获得查询结果)递归查询与迭代查询2.
迭代查询将对DNS服务器进行查询的任务交给DNS客户端,DNS服务器只是给客户端返回一个提示,告诉它到另一台DNS服务器继续查询,直到查到所需结果为止.
一般DNS服务器之间的查询请求属于迭代查询.
递归与迭代相结合的DNS查询8.
2.
7域名解析过程(P177)8.
3DNS报文(P178)DNS报文封装在UDP或TCP数据报中,然后封装在IP数据报中,最后封装成数据链路层的帧.
8.
3.
1DNS报文结构DNS报文分为查询和应答两种类型.
DNS顶层报文的格式分成5个部分:8.
3.
2DNS报文首部格式(P179)1.
标识符(ID)16bitsID字段由产生查询的程序自动分配的标识符,用于将DNS查询与其应答关联起来.
DNS客户端在每次发送查询请求时使用不同的ID,服务器在相应的应答中再重复这个ID.

DNS报文首部格式2.
标志和代码QR:查询/应答标志,1bit,用来区别查询和应答,0查询,1应答.
Opcode:操作码,4bits,用来定义包含在该报文中的查询类型.
0正向解析,1反向解析,2服务器状态请求.
AA:(AuthorityAnswer)权威性应答标志,1bit,在应答报文中有效,1表示应答的是该域的权威服务器.
TC:截断(Truncation)标志,1bit,1表示该报文由于长度大于准许的长度而被截断,通常是256字节.
RD:期望递归(RecursionDesired)标志,1bit,1表示递归查询,0表示迭代查询.
RA:递归可用(RecursionAvailable)标志,1bit.
Z:保留将来使用,3bits.
RCODE:应答代码(Responsecode),4bits,用来表示应答报文中的差错状态.
见P180表8-2,列出了RCODE值.
DNS报文首部格式3.
计数器此类字段均为无正负号16位整数,用于表示条目或资源记录的数量.
QDCOUNT:指定问题部分中条目的数量,即查询数.
ANCOUNT:指定应答部分中资源记录的数量.
NSCOUNT:指定权威记录部分中名称服务器资源记录的数量.
ARCOUNT:指定附加记录部分中资源记录的数量.

8.
3.
3问题部分格式(P180)问题部分用于表达具体的查询问题,定义要查什么,有3个字段.
QNAME:查询名称,可变长,由标签序列构成.
例如:QTYPE:查询类型,两个八位位组代码,长度16位,它指定查询的类型.
见P181表8-3.
QCLASS:查询类,两个八位位组代码,指定查询的类.

8.
3.
4资源记录格式(P182)NAME:名称,可变长字段,指该资源记录匹配的域名.
TYPE:类型,两个八位位组代码,长度16位,指定资源记录的类型CLASS:类,两个八位位组,指定RDATA字段中数据的类TTL:生存时间,32位无正负号整数,指定资源记可以被缓存的时间RDLENGTH:资源数据长度,无符号16位整数,指定RDATA字段的长度RDATA:资源数据,可变长度字段,是资源记录的具体内容.

资源数据格式(P182)种类说明数字用八位位组表示数,例如IPv4地址是4个八位组整数,而IPv6地址是一个16个八位组整数域名可用标签序列来表示.
每一个标签前面有1字节长度字段,它定义标签中的字符数.
长度字段的两个高位永远是0(00),标签的长度不能超过63偏移指针域名可以用偏移指针来替换.
偏移指针是2字节字段,它的两个高位置为1(11)字符串用1字节的长度字段后面跟着长度字段中定义的字符数.
长度字段并不像域名长度字段那样受限.
字符串可以多达256个字符(包括长度字段)8.
3.
5报文压缩(P183)为减小报文大小,DNS使用去除报文中域名重复的压缩方案.
为避免重复,DNS定义了两个八位位组(字节)的偏移指针,指向前一次出现的该名称,格式如下.
最前面的两个高位是两个1,这就可以使得指针能够与表示域名的标签区分开来.
这种压缩方案使得DNS报文中的域名能够用以下几种形式表示:用0八位位组结束的标签序列指针用指针结束的标签序列8.
3.
6报文传输(P183)1.
使用UDP在向服务器的特定地址重复查询前,客户端应当尝试其他服务器和服务器其他地址.
如果可能,重传间隔应当基于前面的统计量.
过于频繁的重传一般会导致响应速度减慢.
根据客户端连接到它期盼的服务器的畅通情况,最小重传间隔应当为2~5秒.

报文传输2.
使用TCP服务器不应当阻止等待TCP数据的其他活动.
服务器应当支持多连接.
服务器应当假设客户端将发起连接关闭,应当推迟关闭它的连接,直到所有未解决的客户端请求都被满足.
如果需要关闭休眠的连接以回收资源,服务器应当等待,直到连接空闲大约两分钟.

8.
3.
7验证分析DNS报文(P184)1.
使用nslookup工具进行DNS查询非交互模式的语法格式nslookup[-选项][要查询的域名|-][DNS服务器地址]交互模式常用子命令server:改变要查询的默认DNS服务器,使用当前默认服务器查找域信息.
lserver:改变要查询的默认DNS服务器,使用初始服务器查找域信息.
set:设置查询参数,包括查询类型、搜索域名、重试次数等.

验证分析DNS报文2.
捕获DNS流量验证报文格式DNS数据包列表DNS数据包列表DNS数据包列表DNS数据包列表DNS数据包列表DNS数据包列表用Wireshark获取DNS两个数据包注意:DNS查询与DNS应答这一对数据包的IP号必须相同.
客户端发出的查询数据包DNS服务器回答的数据包DNS服务器回答的数据包展开answers8.
4DNS部署(P187)主要是DNS服务器的部署UNIX、Linux、Windows等服务器都支持DNS服务器软件.
DNS服务器并不是必须的,当网络主机数量少,可以直接请求上层DNS主机解决域名解析问题,就不需要建立DNS服务器.

8.
4.
1DNS规划(P187)1.
域名空间规划仅在内网中使用内部DNS名称空间仅在Internet使用外部DNS名称空间在与Internet相连的内网中引用外部DNS名称空间DNS规划2.
DNS服务器规划DNS服务器规划决定网络中需要的DNS服务器的数量及其角色(配置类型).
主DNS服务器负责基本的域名解析服务,对于需要管理域名空间的环境来说,至少部署一台主DNS服务器,负责管理区域,以解析域名或IP地址.
规模较大的网络,要提供可靠的域名解析服务,通常会在部署主DNS服务器的基础上,再部署一台从DNS服务器.
为减轻网络和系统负担,可以将本地DNS服务器设置为高速缓存DNS服务器.
转发服务器一般用于用户不希望内部服务器直接和外部服务器通信的情况下.

8.
4.
2DNS服务器配置(P188)(1)安装DNS服务器软件.
(2)编辑DNS主配置文件.
主配置文件用于实现DNS服务器级的配置.
(3)编辑区域文件.
一个区域内的所有数据必须存放在DNS服务器内,而用来存放这些数据的文件就称为区域文件.
(4)配置根区域.
采用递归方式工作的DNS服务器,必须指定根服务器信息文件.
(5)配置DNS转发服务器,将非本地域的域名解析请求转发到ISP提供的DNS服务器.