其中大部的网站、邮件服务等服务器都使用了域名形式的地址,它提供该树形结构的名字空间中的部分信息

图片 85

DNS是计算机域名(Domain
NameSystem)的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址(网际协议地址),并具有将域名转换为IP地址功能的服务器。维克西则是这方面的专家。他设计、开发了多款DNS软件并沿用至今。维克西是一名软件工程师。1988-1993年,在为美国数字设备公司服务的这5年里,他开始参与维护BIND4(伯克利互联网域名)的工作。BIND是一款开放源码的DNS服务器软件,最初是由美国加州大学伯克利分校开发和维护的,是目前世界上使用最为广泛的DNS服务器软件,支持各种UNIX(分时操作系统)平台和Windows平台。后来,维克西组织自己的团队对BIND软件进行升级,写出了BIND9和BIND
10。维克西不仅完善了BIND软件的设计,还大大增强了其安全性能。维克西在互联网安全方面颇有建树。他创办了一所反垃圾邮件团体“MAPS(邮件滥用保护系统)”,这家创立于美国加利福尼亚州的非营利机构,旨在防止邮件的滥用。2005年—2013年,维克西就职于美国注册互联网数字董事会,并于2008年和2009年连续两年担任主席。维克西对于当代互联网发展中的安全问题甚为关切。2017年大规模爆发的勒索病毒曾震惊了全球。在他看来,人们即便从现在开始做起,真正和大规模病毒攻击“说再见”仍然需要很长的时间。但是,维克西也表示:“在互联网最初诞生时,它主要在科学家之间使用,影响范围很小,科学家出于对彼此的信任,并没有专门设置防护手段。但今天互联网使用范围扩展至全球,因此必须要想办法对互联网进行防护。”(海外网崔玉玉)

TXT记录

您可以将任何信息存储到TXT记录中,例如你的联系方式或者你希望人们在查询DNS服务器时可获得的任意其他信息。

你可以这样保存TXT记录:example.com. IN TXT ” YOUR INFO GOES HERE”.

此外,RP记录被创建为对host联系信息的显式容器:example.com. IN RP
mail.example.com. example.com。

  由于DNS系统本身的复杂性和全球化分布的特点,以及与DNS相关的各种新技术的研究和逐步部署,DNS系统的管理问题正面临着越来越大的挑战。

Linux网络服务05——DNS域名解析服务(一)

保罗·维克西是当今最负盛名的互联网先驱之一,也是鼎鼎大名的“互联网名人堂入选者”。因其在互联网域名软件领域做出的贡献,维克西更被尊称为“域名软件之父”。

  由于DNS系统本身的复杂性和全球化分布的特点,以及与DNS相关的各种新技术的研究和逐步部署,DNS系统的管理问题正面临着越来越大的挑战。如何应对这些挑战,是摆在我们面前的重要问题。(来源:《数据通信》)

四、模拟误删除配置文件内容,进行排错

模拟删除主配置文件中第14行的分号

 图片 1

排错方法一:语法检查

 图片 2

排错方法二:观察日志

再开一个ssh端口,观察/var/log/messages日志文件

 图片 3

重启服务

 图片 4

 

日志文件中新增内容:

 图片 5

 

A和AAAA: Address Records(地址记录)

A记录用于提供从主机名到IP地址的映射support IN A 192.168.1.5。

如果你在地址为192.168.1.5上的support.example.com上有一个主机,你可以像上面的例子那样输入。

请注意,我们所写的主机并没有句号。

  第一,由配置错误造成的DNS可用性(availability)对DNS管理带来很大挑战。大量的DNS配置错误没有得到及时纠正和有效管理。一些研究表明,全球商业站点(例如.COM站点)中70%的DNS服务器中有配置错误。有学者通过测量一个根DNS服务器和3个普通DNS服务器,发现DNS软件实现中存在大量缺陷(Bug),这些缺陷和错误配置占据了DNS流量的主要部分。Brownlee等收集并分析了13个根DNS服务器中的F根服务器(f.root-
servers.net),发现这些缺陷仍然存在,并且60%~85%的查询来自同一主机。超过14%的查询不符合DNS规范。Broido等通过观察顶级DNS服务器中大量的异常DNS更新报文,发现绝大多数是由微软的DHCP/DNS服务器的缺省配置造成的。按照日本互联网信息中心JPNIC在文献发布的报告,在JP
zones(日本国家域名区域)
内没有正确配置的DNS服务器占总数的37.9%。目前,使用带缺陷的DNS软件版本,不正确的动态更新和DNS转发、“跛脚”服务器(即Lame
server,指不能确信其是否具有某域名区域授权的DNS服务器)
的大量存在等一系列问题已经对Internet的稳定运行造成了严重威胁。

四、构建智能DNS域名解析服务器

1、智能DNS域名解析服务器概述

智能DNS是域名服务在业界首创的智能解析服务。能自动判断访问者的IP地址并解析出对应的IP地址,使网通用户会访问到网通服务器,电信用户会访问到电信服务器。

智能DNS就是根据用户的来路,自动智能化判断来路IP返回给用户,而不需要用户进行选择。

比方一个企业的站点三个运营商的带宽都有:电信、网通、移动,同样有三个来自不同运营商网络的访问用户,那电信访问企业网址的时候,智能DNS会自动根据IP判断,再从电信返回给电信用户;其他的也同理。

但也会遇到一个问题,就是三个用户所使用的网络运营商的DNS同步了解析企业站点所用的智能DNS,不然用户有可能无法访问到企业站点,一般会出现在智能DNS刚生效的时候,这种情况下一般可以请求网络运营商主动同步智能DNS的解析表;或者等待最多72小时,DNS会自动同步。

(引用自百度百科

 

2、构建智能DNS域名解析服务器的步骤及示例

实验环境:

图片 6

 

IP地址分配表

设备名称

网卡名称

IP地址

 

GateWay

eth0(vmnet-1)

192.168.1.1/24

eth1(vmnet-2)

203.18.17.1/24

eth2(vmnet-3)

78.19.25.1/24

DNS-Master

eth1(vmnet-1)

192.168.1.108/24

LAN-Client

192.168.1.52/24

CNC-Client

203.18.17.52/24

DX-Client

78.19.25.52/24

CNC-Svr

203.18.17.6/24

DX-Svr

78.19.25.6/24

    备注:本实验中,将203.18.17.0/24网段模拟为网通的网段,另将78.19.25.0/24网段模拟为电信的网段,并将192.168.1.0/24网段作为内网网段。

 

拓扑图、与实验设计,参考:

 

(1)确认本机的网络地址、保证网络连通性

 图片 7

(2)修改/etc/named.conf配置文件

 

 图片 8

图片 9

图片 10

图片 11

图片 12

图片 13

 

(3)建立各线路的配置文件

 图片 14

图片 15

 

(4)建立区域数据文件

 图片 16

图片 17

图片 18

 

 

(5)重启named服务

 图片 19

(6)配置网关

 

 图片 20

图片 21

图片 22

(7)客户机测试

1>网卡连接方式 vmnet-1 模拟内网测试

图片 23

 图片 24

 图片 25

 

2>网卡连接方式 vmnet-2 模拟网通线路测试

 

 图片 26

图片 27

图片 28

 

 

3>网卡连接方式 vmnet-3 模拟电信线路测试

 图片 29

图片 30

图片 31

子域名

当你访问一个类似 mail.google.com 这样的网站,
这里的mail 就是 google.com的子域名.

只有mail.google.com 的名称服务器知道他下面存在的所有主机,所以Google会回复是否有一个叫mail 的子域名。根名称服务器对此并不知情。

  对DNS系统的有效管理是建立稳定高效的DNS系统的前提和基础。然而,DNS现有的管理、配置和规划机制,以及保护自己免受各种攻击的安全机制都非常有限,甚至还很初级。例如目前,全球DNS系统主要依赖多点镜像、负载均衡等方法来应对流量突发访问,以及遭受DDOS攻击时保持正常运行。对DNS的管理、配置和规划则主要依赖管理者的实际经验,缺乏统一的模型与科学方法,另一方面,随着各种新技术如IPv6、多语种域名和DNSSEC等在DNS系统中的逐步部署,对DNS系统的管理、配置和规划提出了更高的要求。

二、BIND的安装和控制

1、RPM包的主要作用

bind:提供了域名服务器的主要程序及相关文件

bind-utils:提供了对DNS服务器的测试工具程序,如nslookup等

bind-libs:提供了bind、bind-utils需要使用的库函数

bind-chroot:为BIND服务提供一个伪装的根目录(将/var/named/chroot文件夹作为BIND的跟目录)以提高安全性。也称为jail(监牢)机制。

BIND安装以后,会自动增加一个名为named的系统服务

 

安装示例:

 图片 32

图片 33

 ……

 

 

2、主配置文件  /etc/named.conf

 

 图片 34

图片 35

图片 36

 

保存退出,检查语法

 

 图片 37

图片 38

 

3、区域数据文件

(1)区域数据文件的作用:

用于存放某个DNS区域的地址解析记录(正向或反向记录)

 图片 39

图片 40

 

 

(2)区域数据文件修改后检查跟新:

[root@crushlinux ~]# named-checkzone 域名 区域数据文件的路径

 图片 41

(3)、区域数据配置文件的特殊应用

1>基于域名解析的负载均衡

 

同一个域名对应到多个IP地址

           

2>泛域名解析

找不到精确对应的A记录时,使用“*”进行匹配

 

PTR: Pointer Records(指针记录)

PTR记录用于执行反向名称解析,允许某人指定IP地址然后找出对应的主机名。

这与A记录的功能相反:192.168.1.5 IN PTR support.example.com.

在这里,我们键入具有点号的完整主机名。

  相关研究人员已经做了不少探索,例如,DNS技术创始人、美国计算机学会ACM终身成就奖获得者Paul
Mockapetris领导的Nominum公司研发了一种新的DNS系统“Foundation”。但该系统主要是为了解决目前普遍使用的开放源码的DNS服务器软件BIND在处理查询能力和安全性能不高方面的问题,并没有提供专业化的管理帮助系统。其他类似的研究还包括利用本地DNS和远程DNS协同提高解析效率的CoDNS、基于P2P结构的DDNS等,这些研究主要围绕DNS系统本身的不足进行的,不涉及现有DNS系统的管理规划问题。Pappas等人则针对DNS全球分布式的特点,提出了一种分布式的解决方案,用以识别DNS配置错误。另外的多数DNS帮助软件包主要用于帮助域名空间中的区域管理、进行区域文件扫描(zonefile
scanning),找出区域配置错误等,在提供一定的用户使用接口的同时,提供一些简单的网络故障诊断工具,如检查网络联通性的Ping、Traceroute,检查DNS服务器解析功能的dig、nslookup等。在惠普公司和IBM公司开发的网管系统OpenView、Tivoli中也附带了一些诊断DNS错误的功能,但都十分有限。

三、构建缓存域名服务器

缓存域名服务器通常架设在公司的局域网内,主要目的是提高域名解析的速度,减少对互联网访问的出口流量。

在一个小型企业的内部网络中,可单独建立一台(或集成在网关主机中)缓存域名服务器,为各部门的员工计算机提供DNS解析服务。

图片 42 

构建示例:

缓存域名服务器IP地址为192.168.1.108,并能够正常访问互联网

缓存域名服务器代为处理客户端的DNS解析请求,并缓存查询结果

局域网内的各PC将首选DNS服务器设为192.168.1.108,访问外网页面进行测试。

方法一:指向北京网通DNS服务器

[root@crushlinux ~]# vim /etc/named.conf

 图片 43

图片 44

图片 45

 

 

 

将客户机DNS服务器设置为192.168.1.108

 

 图片 46

客户机测试:

 

 图片 47

方法二,根域解析

[root@crushlinux ~]# vim /etc/named.conf

 

 

 图片 48

图片 49

图片 50

 

客户机测试:

 

 图片 51

图片 52

 

 

/etc/hosts文件

在没有DNS服务器的情况下,每个系统在本地网络上保留其主机名和相应IP地址列表的副本是合理的——特别是在没有互联网连接的小型站点上。

在Linux系统中,这个列表就是/etc/hosts文件。
即使你没有DNS服务器或DNS服务器不可用,该文件也可以使用/etc/hosts文件将IP地址转换为名称。

也许你已经有DNS服务器了,但你也会因为其它原因而想保留这个文件。例如,系统可能需要在向外部查询之前在本地查找DNS服务器的IP地址;这意味着系统在查询DNS服务器之前先检索该文件,如果查找到对应的域则无须查询任何DNS服务器直接将其转换为IP地址。

试试编辑下/etc/hosts文件,并添加以下信息:127.0.0.1 google.com.

然后,返回你的浏览器,输入google.com,看看结果如何。如果你的系统上安装了Apache并且本地主机正在运行,浏览器会显示localhost的索引页,而不是Google页面。

作为确认,你可以将google.com映射到任何网站的任何其他IP地址并查看结果。

因此这个文件所做的是将IP地址转换成名字,但这仅仅是在同一互相连接的网络下。
那么外部网络和众多系统的所有记录是如何维护的呢?

每个人都需要维护自己的/etc/hosts文件并自己更新吗?

更为稳健的域名服务是DNS服务器。

  与此同时,不少研究人员对DNS的运行性能进行了大量的测量与分析研究,试图为有效管理DNS系统提供有价值的参考数据。例如,有人分析了本地和授权DNS服务器的负载分布、可用性和部署模式。Pappas通过长达半年时间的测量,详细研究了DNS运行错误对其鲁棒性的负面影响。Jung等在美国麻省理工学院和韩国KAIST
(Korea Advanced Institute of Science and
Technology)的本地DNS服务器测量了DNS性能,并评价了DNS缓存的有效性。通过详细分析收集到的DNS跟踪文件(trace
file),测量了客户端观察到的DNS性能。基于跟踪文件的仿真,发现降低类型A纪录的TTL值到几百秒对缓存命中率影响很小,而缓存NS纪录和保护单个服务器不过载,对于DNS的可扩展性至关重要。与收集客户端数据不同的是,Liston比较了不同站点的DNS测量数据,调查了不同站点间DNS性能的差异,发现测量结果在整个研究过程中相对一致,并且与站点高度相关。Wessles基于实验室测试和实际Internet测量,发现已存DNS缓存在负载均衡方面采用了不同的解决方案,并建议对流行的站点加大TTL值,以减少全球DNS的查询负担。还有的研究者则通过扩展DNS动态更新协议,提出了新的缓存更新机制,增强了DNS缓存的一致性。

三、构建分离解析的DNS域名解析服务器

1、分离解析的域名解析服务器概述

分离解析的域名解析服务器实际也是主域名服务器,这里所说的分离解析(Split
DNS),主要是指根据不同的客户端提供不同的域名解析记录。来自不同地址的客户机请求解析同一域名时,为其提供不同的解析结果。

图片 53 

 

2、构建分离解析的域名服务器步骤及示例

实验环境:

·域名服务器架设在企业网关服务器中,网卡eth0的IP地址为192.168.1.108/24;网卡eth1的IP地址为173.16.16.1/24(vmnet-2)模拟外网

·在Internet中的公共域名crushlinux.amber.com和mail.amber.com均解析为173.16.16.1

·在内网中crushlinux.amber.com和mail.amber.com分别解析为192.168.1.10和192.168.1.11

·分别用两台客户机模拟内网与外网进行测试

 

(1)在/etc/named.conf主配置文件中为不同的客户机地址启用不同的zone区域设置,各自使用独立的数据文件

 图片 54、、

图片 55

图片 56

图片 57

图片 58

(2)分别建立不同的区域数据文件

 

 图片 59

 

图片 60

图片 61

 

(3)启动或重新加载named服务程序

 图片 62

(4)内网及模拟外网的两台客户机进行测试

 

1>内网测试

 

 图片 63

图片 64

图片 65

 

2>外网测试

 

 图片 66

图片 67

 

 

定义一个辅助域服务器

同定义一个主域服务器一样,辅助域服务器的定义稍微有些变化:

zone     class=”crayon-s”>”likegeeks.com”  class=”crayon-sy”>{

type  class=”crayon-v”>slave;

masters  class=”crayon-i”>IP Address  class=”crayon-v”>list;  class=”crayon-sy”>;

file  class=”crayon-v”>likegeeks. class=”crayon-v”>com. class=”crayon-i”>db

};

对于辅助域服务器来说,它的域名和主域服务器是一样的。上述语法里的的slave类型表示这是一个辅助域服务器,“masters IP Address list”表示辅助域服务器中区域文件内的信息都是通过主域服务器中区域文件内的信息复制过来的。

  第四,DNS功能的可扩展性(scalability)对DNS管理提出了新的挑战。近年来,围绕DNS的各种新技术和新应用的研究发展迅速,DNS功能得到不断扩展。一些新技术,如下一代互联网核心协议IPv6、支持中文、日文等非英语国家语言的多语种域名、IETF的DNS安全协议DNSSEC等在DNS系统中开始逐步部署。为了支持这些新技术,DNS功能在原来基础上进行了扩充。为了支持IPv6,需要增加新的资源记录RR(Resource
Record)类型“AAAA”。目前,主流的DNS服务器系统软件已经支持IPv6,越来越多的IPv6地址被部署到实际运行的DNS服务器中。2008年2月,管理Internet地址与号码分配机构ICANN宣布,负责整个Internet根域名系统的13个根DNS(root
DNS)中有6个开始正式部署IPv6。同时,DNS应用范围也得到了新的拓展,例如,利用DNS中域名与多个IP地址的映射关系实现服务器的负载均衡、利用DNS动态更新技术及其增强版实现主机与用户的移动性,利用DNS区域文件(zone
file)中注册信息应对垃圾邮件、利用DNS中TXT资源记录实施发送方策略框架SPF(Sender
Policy Framework)
验证发送电子邮件地址真实性等。这些新技术和新应用的不断发展,对DNS系统的管理提出了重要而迫切的新问题。例如在IPv4和IPv6共存及多语种域名环境下的DNS管理配置问题、由标准规范定义的DNS核心功能与本地自定义的DNS扩展功能的互操作管理等问题。

一、构建主DNS域名解析服务器

1、主域名服务器概述

主域名服务器通常架设在Internet环境中,提供某一个域或几个域内的主机名与IP地址的查询服务。为了分担域名查询的压力、提供区域数据的备份,有时还会另外架设一台从域名服务器,与主域名服务器同时提供服务。

 

 图片 68

 

2、构建主域名服务器步骤及示例

实验环境:

·主、从域名服务器均位于Internet中,所负责的DNS区域为“amber.com”

·主服务器IP地址192.168.1.108/24,主机名为ns1.amber.com

·从服务器IP地址192.168.1.51/24,主机名为ns2.amber.com

·在amber.com区域中,除了NS记录以外提供的解析记录包括如下内容:

网站服务器:crushlinux.amber.com, IP地址192.168.1.10/24

邮件服务器:mail.amber.com,IP地址192.168.11/24

新闻服务器:news.amber.com,IP地址192.168.12/24

论坛服务器:bbs.amber.com,IP地址192.168.1.12/24

·参考上述各服务器的地址映射关系,为192.168.1.0/24网段提供反向解析

·设置amber.com域的泛域名解析,对应IP地址192.168.1.10/24

·客户机将首选、备用DNS服务器分别设为192.168.1.108和192.168.1.51

 

(1)确认本机的网络地址、主机映射、默认DNS服务器地址 

图片 69

图片 70

图片 71 

(2)修改主配置文件 /etc/named.conf

 图片 72

图片 73

图片 74

图片 75

 

图片 76

 

(3)建立正、反向区域数据文件

1>建立正向区域数据文件

 

 图片 77

图片 78

2>建立反向区域数据文件

 

 图片 79

图片 80

 

3>测试配置文件

 图片 81

(4)启动named服务或重载配置

 图片 82

(5)客户机测试

 图片 83

图片 84

图片 85

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注