DNS服務

DNS服務

DNS:Domain Name Service 應用層協議

C/S,??? 53/udp, ???53/tcp? ?開兩個53端口

BIND：Bekerley Internat Name Domain

ISC （www.isc.org）

本地名稱解析配置文件：hosts

/etc/hosts?? 分布式

%WINDIR%/system32/drivers/etc/hosts?? windows的路徑

122.10.117.2 www.magedu.com

93.46.8.89 www.google.com

DNS域名

根域

一級域名：Top Level Domain: tld

com, edu, mil, gov, net, org, int,arpa

三類：組織域、國家域(.cn, .ca, .hk, .tw)、反向域

二級域名

三級域名

最多127級域名

ICANN（The Internet Corporation for Assigned Names and Numbers）

互聯網名稱與數字地址分配機構，負責在全球范圍內對互聯網通用頂級域名

（gTLD）以及國家和地區頂級域名（ccTLD）系統的管理、以及根服務器系統

的管理

跟域 點 .

一般不加，如

www.baidu.com .

但是百度加這個點訪問出錯，不知道是什么鬼

 

 

DNS解析

DNS查詢類型：

遞歸查詢 ???負責到底

迭代查詢 ???不負責到底

名稱服務器：域內負責解析本域內的名稱的主機

根服務器：13組服務器(全球只有13臺根服務器)

解析類型：

FQDN –> IP?? 域名àip

IP –> FQDN?? ipà域名

FQDN 全稱域名

注意：正反向解析是兩個不同的名稱空間，是兩棵不同的解析樹

DNS服務器類型

DNS服務器的類型：

1. 主DNS服務器
2. 從DNS服務器
3. 緩存DNS服務器（轉發器）（在小區里的那種）

主DNS服務器：管理和維護所負責解析的域內解析庫的服務器

從DNS服務器：從主服務器或從服務器“復制”（區域傳輸）解析庫副本

序列號：解析庫版本號，主服務器解析庫變化時，其序列遞增? 刷新時間間隔：

從服務器從主服務器請求同步解析的時間間隔

重試時間間隔：從服務器請求同步失敗時，再次嘗試時間間隔

過期時長：從服務器聯系不到主服務器時，多久后停止服務

“通知”機制：主服務器解析庫發生變化時，會主動通知從服務器

區域傳輸

區域傳輸：

完全傳輸：傳送整個解析庫

增量傳輸：傳遞解析庫變化的那部分內容

Domain: Fully Qualified Domain Name

正向：FQDN –> IP

反向: IP –> FQDN

負責本地域名的正向和反向解析庫

正向區域

反向區域

DNS解析

一次完整的查詢請求經過的流程：

Client –>hosts文件 –>DNS Service Local Cache –> DNS Server

(recursion) –> Server Cache –> iteration(迭代) –> 根–> 頂級域名DNS–>

二級域名DNS…

解析答案：

肯定答案：

否定答案：請求的條目不存在等原因導致無法返回結果

權威答案：

非權威答案：

資源記錄

??

區域解析庫：由眾多RR組成：

資源記錄：Resource Record, RR

記錄類型：A, AAAA, PTR, SOA, NS, CNAME, MX

SOA：Start Of Authority，起始授權記錄；一個區域解析庫有且僅能有一個SOA記錄，

必須位于解析庫的第一條記錄

記錄誰是主服務器 ??

同步從服務器的拉的是時間間隔

重試同步時間間隔

過期時長

A：internet Address，作用，FQDN –> IP? 域名解析為ip? 正向解析

AAAA: FQDN –> IPv6?????????????? ipv6 正向解析

PTR: PoinTeR，IP –> FQDN????????? ip解析為域名 ?反向解析

NS: Name Server，專用于標明當前區域的DNS服務器 ??記錄當前域的dns服務器 ?有主有從

CNAME：Canonical Name，別名記錄 www一般都是別名，小部分用作主機名 例如www.magedu.com

MX: Mail eXchanger，郵件交換器

記錄本域郵件服務器

@? MX? 10? malisrv1

@? MX? 20? malisrv2

malisrv1?? A?? 192.168.37.33

malisrv2?? A?? 192.168.37.66

注意：@指定是那個域的郵件服務器

10 20 表示優先級 ?數越小優先級越高，只有10的down機了才會用到20的

資源記錄定義的格式：

語法：name [TTL] ??IN ??rr_type ??value

TTL? 緩存時長

注意：

(1) TTL可從全局繼承

(2) @可用于引用當前區域的名字

(3) 同一個名字可以通過多條記錄定義多個不同的值；此時DNS服務器會以輪詢

方式響應

(4) 同一個值也可能有多個不同的定義名字；通過多個不同的名字指向同一個值

進行定義；此僅表示通過多個不同的名字可以找到同一個主機

SOA記錄

name: 當前區域的名字，例如“magedu.com.”

value: 有多部分組成

(1) 當前區域的主DNS服務器的FQDN，也可以使用當前區域的名字；

(2) 當前區域管理員的郵箱地址；但地址中不能使用@符號，一般用.替換，例如

linuxedu.magedu.com

(3) 主從服務區域傳輸相關定義以及否定的答案的統一的TTL

例如：

magedu.com. 86400 IN SOA ns.magedu.com. nsadmin.magedu.com.

(

2015042201 ;序列號

2H ;刷新時間

10M? ;重試時間

1W? ;過期時間

1D? ;否定答案的TTL值

)

NS記錄

name: 當前區域的名字

value: 當前區域的某DNS服務器的名字，例如ns.magedu.com.

注意：一個區域可以有多個NS記錄

例如：

magedu.com.? IN? NS ns1.magedu.com.

magedu.com.? IN? NS ns2.magedu.com.

注意：

(1) 相鄰的兩個資源記錄的name相同時，后續的可省略? (2) 對NS記錄

而言，任何一個ns記錄后面的服務器名字，都應該在后續有一個A記錄

A記錄

name: 某主機的FQDN，例如www.magedu.com.

value: 主機名對應主機的IP地址

例如：

www.magedu.com.? IN A 1.1.1.1

www.magedu.com.? IN A? 2.2.2.2

mx1.magedu.com. IN A 3.3.3.3

mx2.magedu.com. IN A? 4.4.4.4

$GENERATE 1-254 HOST$ A 1.2.3.$

*.magedu.com. IN A 5.5.5.5

magedu.com.? IN A? 6.6.6.6

避免用戶寫錯名稱時給錯誤答案，可通過泛域名解析進行解析至某特定地址

其它記錄

AAAA:

name: FQDN

value: IPv6

PTR:

name: IP，有特定格式，把IP地址反過來寫，1.2.3.4，要寫作4.3.2.1；而

有特定后綴：in-addr.arpa.，所以完整寫法為：4.3.2.1.in-addr.arpa.

value: FQDN

例如：

4.3.2.1.in-addr.arpa. IN PTR www.magedu.com.

如1.2.3為網絡地址，可簡寫成：

4 IN PTR www.magedu.com.

注意：網絡地址及后綴可省略；主機地址依然需要反著寫

?

————————————————————————-

反向解析示例：

1.寫如配置

 

2.創建庫文件

3.查詢

———————————————————————-

 

別名記錄

CNAME：

name: 別名的FQDN

value: 真正名字的FQDN

例如：

www.magedu.com. IN CNAME websrv.magedu.com.

子域

子域授權：每個域的名稱服務器，都是通過其上級名稱服務器在解析庫進行授權

類似根域授權tld：

.com. IN NS ns1.com.

.com. IN NS? ns2.com.

ns1.com. IN A 2.2.2.1

ns2.com. IN A 2.2.2.2

magedu.com. 在.com的名稱服務器上，解析庫中添加資源記錄

magedu.com. IN NS ns1.magedu.com.

magedu.com. IN NS ns2.magedu.com.

magedu.com. IN NS ns3.magedu.com.

ns1.magedu.com. IN A 3.3.3.1

ns2.magedu.com. IN A 3.3.3.2

ns3.magedu.com. IN A 3.3.3.3

互聯網域名

域名注冊：

代理商：萬網, 新網, godaddy

注冊完成以后，想自己用專用服務來解析

管理后臺：把NS記錄指向的服務器名稱，和A記錄指向的服務器地址

 

BIND安裝

BIND的安裝配置：

dns服務程序包:bind，unbound

程序名：named，unbound

程序包：yum list all bind*

bind：服務器

bind-libs：相關庫

bind-utils:客戶端

bind-chroot: /var/named/chroot/

bind服務器

服務腳本和名稱：/etc/rc.d/init.d/named /usr/lib/systemd/system/named.service

主配置文件：/etc/named.conf, /etc/named.rfc1912.zones, /etc/rndc.key

解析庫文件：/var/named/ ZONE_NAME.ZONE

/var/named/named.ca?? 存放了或聯網上13個根的地址

big -t nx? .? @a.root-servers.net? (查看根信息記錄)

注意：

(1) 一臺物理服務器可同時為多個區域提供解析

(2) 必須要有根區域文件；named.ca

(3) 應該有兩個（如果包括ipv6的，應該更多）實現localhost和本地回環地址的解

析庫

rndc: remote name domain controller，

默認與bind安裝在同一主機，且只能通過127.0.0.1連接named進程

提供輔助性的管理功能；953/tcp

配置文件

主配置文件：

全局配置：options {};

日志子系統配置：logging {};

區域定義：本機能夠為哪些zone進行解析，就要定義哪些zone

zone “ZONE_NAME” IN {};?? 保存域

注意：任何服務程序如果期望其能夠通過網絡被其它主機訪問，至少應該監聽

在一個能與外部主機通信的IP地址上

緩存名稱服務器的配置：

監聽外部地址即可

dnssec: 建議關閉dnssec，設為no

配置主DNS服務器

主DNS名稱服務器：

(1) 在主配置文件中定義區域

zone “ZONE_NAME” IN {

type? {master|slave|hint|forward};

file “ZONE_NAME.zone”;

};

注意：

type? dns服務器類型 ?master主服務器

file? 數據庫文件地址 ?放在/var/named/文件夾下

權限有嚴格限制 ?有個模板可以借鑒 ?/var/named/named.localhost

cp 一份就好

語法：name [TTL] ??IN ??rr_type ??value

$TTL 1D 表示一天 默認秒為單位

@ ???代表域名也可寫為magedu.com . 后面必須加點，不加會默認加成magedu.com.magedu.com

注意：域名不加www

master.magedu.com. ?表示主服務器 ，在下面需要加一條A記錄

rname.invalid. ?表示管理員郵箱 因為@有特殊含義，用 . 替代

serial ?版本號，用此數值表示服務器更新，進而 從 服務器拉取新的更新，進行同步

refresh??? 同步間隔時間

retry????? 同步失敗重試時間

expire? ???如果從服務器一直不能同步，多長時間后 從 服務器內容失效

minimum??? 否定結果時間，查找失敗緩存，多長時間后可以重新查找。

(2) 定義區域解析庫文件

出現的內容

宏定義

資源記錄

主配置文件語法檢查：

named-checkconf

解析庫文件語法檢查：

named-checkzone “magedu.com（域名）” /var/named/magedu.com.zone（數據庫名）

rndc status|reload?? ?或?? service named reload??? 重新加載配置文件

7的話 用 systemctl? reload? named

/etc/name.conf 配置修改

———————————————————————

dns排錯方法：

1.查看日志信息 tail -f /var/log/messages

2.查看dns日志 ?cat /var/log/named.log?? 新的會沒有生成

3.數據庫權限屬組問題 ?chgrp? named? magedu.com.zone

4.查看防火墻或selinux

5.服務連接問題 ?端口綁定在本機ip上

vim? /etc/named.conf

listan-on port 53 {localhost}

allow-query? {localhost; any}? (也可是一個的地址段192.168.37.0/24；)

6.客戶機網卡上要設置dns服務器地址

7.查看服務問題 ?systemctl status named

———————————————————————

測試命令dig

dig命令?

dig [-t type] name [@SERVER] [query options]

dig只用于測試dns系統，不會查詢hosts文件進行解析

查詢選項：

+[no]trace：跟蹤解析過程 : dig +trace magedu.com

+[no]recurse：進行遞歸解析

測試反向解析：

dig -x IP = dig –t ptr reverseip.in-addr.arpa

模擬區域傳送：

dig -t axfr ZONE_NAME @SERVER

dig -t axfr magedu.com @10.10.10.11

dig –t axfr 100.1.10.in-addr.arpa @172.16.1.1

dig -t NS . @114.114.114.114

dig -t NS . @a.root-servers.net

dig -t mx souhu.com @114.114.114.114?? (查看搜狐的郵件服務器)

host命令

host [-t type] name [SERVER]

host –t NS magedu.com 172.16.0.1

host –t soa magedu.com

host –t mx magedu.com

host –t axfr magedu.com

host 1.2.3.4

nslookup命令：

nslookup [-option] [name | -] [server]

• 交互式模式：

nslookup>

server IP: 指明使用哪個DNS server進行查詢

set q=RR_TYPE: 指明查詢的資源記錄類型

NAME: 要查詢的名稱

 

 

 

 

 

——————————————————————–

泛域名解析：

* ???A??? 192.168.37.22

$GENERATE 1-254 HOST$ A 192.168.37.$? host表示主機名

結果如：

host1?? A??? 192.169.37.1

host2?? A??? 192.169.37.2

host3?? A??? 192.169.37.3

…………

———————————————————————

反向區域：

區域名稱：網絡地址反寫.in-addr.arpa.

172.16.100. –> 100.16.172.in-addr.arpa.

(1) 定義區域

zone “ZONE_NAME” IN {

type {master|slave|forward}；

file “網絡地址.zone”

};

(2) 定義區域解析庫文件

注意：不需要MX,以PTR記錄為主

反向區域示例

$TTL 86400

$ORIGIN 100.16.172.in-addr.arpa.

@? IN? SOA? ns1.magedu.com. admin.magedu.com. (

2015042201

1H

5M

7D

1D )

IN? NS? ns1.magedu.com.

IN? NS? ns2.magedu.com.

11? IN? PTR? ns1.magedu.com.

11? IN? PTR? www.magedu.com.

12? IN? PTR? mx1.magedu.com.

12? IN? PTR? www.magedu.com.

13? IN? PTR? mx2.magedu.com.

允許動態更新

1.指定的zone語句塊中：Allow-update {any;};

2.chmod 770 /var/named

3.chmod 660 /var/named/ningmeng.zone 或setsebool -P named_write_master_zones on

4.nsupdate

• >server 192.168.37.22
• >zone magedu.com
• >update add ftp.magedu.com 88888 IN A 8.8.8.8
• >send
• >update delete www.magedu.com A
• >send

5.測試：dig ftp.magedu.com @127.0.0.1

ll /var/named/magedu.com.zone.jnl

cat /var/named/magedu.com.zone

 

 

從服務器

? 1、應該為一臺獨立的名稱服務器

? 2、主服務器的區域解析庫文件中必須有一條NS記錄指向從服務器

? 3、從服務器只需要定義區域，而無須提供解析庫文件；解析庫文件應該放置于

/var/named/slaves/目錄中

? 4、主服務器得允許從服務器作區域傳送

? 5、主從服務器時間應該同步，可通過ntp進行；

? 6、bind程序的版本應該保持一致；否則，應該從高，主低

定義從區域的方法：

zone “ZONE_NAME” IN {

type slave;

masters { MASTER_IP; };

file “slaves/ZONE_NAME.zone”;

};

rndc命令

rndc：

rndc –> rndc (953/tcp)

rndc COMMAND

COMMAND:

reload: 重載主配置文件和區域解析庫文件

reload zonename: 重載區域解析庫文件

retransfer zonename: 手動啟動區域傳送，而不管序列號是否增加

notify zonename: 重新對區域傳送發通知

reconfig: 重載主配置文件

querylog: 開啟或關閉查詢日志文件/var/log/message

trace: 遞增debug一個級別

trace LEVEL: 指定使用的級別

notrace：將調試級別設置為 0

flush：清空DNS服務器的所有緩存記錄

子域

子域授權：分布式數據庫

正向解析區域子域方法

定義一個子區域：

ops.magedu.com. IN NS ns1.ops.magedu.com.

ops.magedu.com. IN NS? ns2.ops.magedu.com.

ns1.ops.magedu.com. IN A 1.1.1.1

ns2.ops.magedu.com. IN A 1.1.1.2

fin.magedu.com. IN NS ns1.fin.magedu.com.

fin.magedu.com. IN NS ns2.fin.magedu.com.

ns1.fin.magedu.com. IN A 3.1.1.1

ns2.fin.magedu.com. IN A 3.1.1.2

注意：關閉dnssec功能：

dnssec-enable no;

dnssec-validation no;

轉發服務器

? 注意：被轉發的服務器需要能夠為請求者做遞歸，否則轉發請求不予進行

? (1) 全局轉發: 對非本機所負責解析區域的請求，全轉發給指定的服務器

Options {

forward first|only;

forwarders { ip;};

};

? (2) 特定區域轉發：僅轉發對特定的區域的請求，比全局轉發優先級高

zone “ZONE_NAME” IN {

type forward;

forward first|only;

forwarders { ip;};

};

? 注意：關閉dnssec功能：

dnssec-enable no;

dnssec-validation no

bind中ACL

bind中基礎的安全相關的配置：

acl: 把一個或多個地址歸并為一個集合，并通過一個統一的名稱調用

格式：

acl acl_name {

ip;

net/prelen;

……

};

示例：

acl mynet {

172.16.0.0/16;

10.10.10.10;

};

bind中ACL

bind有四個內置的acl:

none: 沒有一個主機

any: 任意主機

localhost: 本機

localnet: 本機的IP同掩碼運算后得到的網絡地址

注意：只能先定義，后使用；因此一般定義在配置文件中，處于options的前面

訪問控制

訪問控制的指令：

allow-query {}： 允許查詢的主機；白名單

allow-transfer {}：允許區域傳送的主機；白名單

allow-recursion {}: 允許遞歸的主機,建議全局使用

allow-update {}: 允許更新區域數據庫中的內容

智能DNS

bind view

CDN: Content Delivery Network內容分發網絡

服務商：藍汛，網宿，帝聯等

智能DNS:

dnspod

dns.la

view:視圖：實現智能DNS：

?1.一個bind服務器可定義多個view，每個view中可定義一個或多個zone

?2.每個view用來匹配一組客戶端

?3.多個view內可能需要對同一個區域進行解析，但使用不同的區域解析庫文件

注意：

(1) 一旦啟用了view，所有的zone都只能定義在view中

(2) 僅在允許遞歸請求的客戶端所在view中定義根區域

(3) 客戶端請求到達時，是自上而下檢查每個view所服務的客戶端列表

格式：

view VIEW_NAME {

match-clients { testacl; };

zone “magedu.com” {

type master;

file “magedu.com.zone”;? };

include “/etc/named.rfc1912.zones”;

};

編譯安裝bind

下載bind:

isc.org:

bind-9.10

bind-9.11

bind-10

編譯安裝bind

1.tar xvf bind-9.11.0a3.tar.gz

2.cd bind-9.11.0a3/

3.groupadd -r -g 53 named

4.useradd -r -u 53 -g 53 named

5../configure –prefix=/usr/local/bind9

–sysconfdir=/etc/named/ –without-openssl

–disable-ipv6 –disable-chroot –enable-threads

6.make

7.make install

環境變量：

• vim /etc/profile.d/named.sh

export PATH=/usr/local/bind9/bin:

/usr/local/bind9/sbin/:$PATH

庫和頭文件

• vim /etc/ld.so.conf.d/named.conf

/usr/local/bind9/lib

• ldconfig –v
• ls -sv /usr/local/bind9/include /usr/include/named

man幫助

• vim /etc/man.config | /etc/man_db.conf

MANPATH /usr/local/bind9/share/man

• man named.conf

vim /etc/named/named.conf

options {

directory “/var/named/”

};

zone “.” IN {

type hint;

file “named.ca”;

};

zone “localhost” IN {

type master;

file “named.localhost”;

allow-update {none;};

};

zone “1.0.0.127.in-addr.arpa” IN {

type master;

file “named.loopback”;

allow-update {none;};

};

區域數據庫

• mkdir /var/named
• named-checkconf
• dig +norec @a.root-servers.net > /var/named/named.ca
• vim /var/named/named.localhost

$TTL 1d

@ IN SOA localhost. admin.localhost. (

2016061801

1h

5m

7d

1d)

IN NS localhost.

localhost. IN A 127.0.0.1

vim /var/named/named.loopback

$TTL 1d

@ IN SOA localhost. admin.localhost. (

2016061801

1h

5m

7d

1d)

NS @

A 127.0.0.1

PTR localhost.

設置權限

• chmod 640 /var/named/*
• chmod 640 /etc/named/named.conf
• chgrp -R named /var/named/
• chgrp named /etc/named/named.conf

啟動服務和測試

• man named
• named -u named -f -g -d 3 前端級別3方式運行
• named -u named 后臺運行
• killall named
• ss -tuln
• tail /var/log/message
• named -u named

支持rndc

• rndc reload 觀察錯誤提示
• rndc-confgen -r /dev/urandom > /etc/named/rndc.conf 生成key
• tail /etc/named/rndc.conf >> /etc/named/named.conf
• killall -SIGHUP named
• rndc status

壓力測試

/root/bind-xxx/contrib/scripts

編譯壓力測試工具

• cd /root/bind-xxx/contrib/queryperf
• ./configure
• make
• cp queryperf /usr/local/bind9/bin
• queryperf -h

壓力測試

• vim test.txt

www.magedu.com A

magedu.com NS

magedu.com MX

pop3.magedu.com A

web.magedu.com A

• queryperf -d test.txt -s 127.0.0.1

打開日志功能

• rndc querylog
• rndc status
• queryperf -d test.txt -s 127.0.0.1
• wc -l /var/log/message

DNS排錯

#dig A example.com

• ; <<>> DiG 9.9.4-RedHat-9.9.4-14.el7 <<>> A example.com
• ;; global options: +cmd
• ;; Got answer:
• ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30523
• …
• SERVFAIL:The nameserver encountered a problem while processing the query.
• 可使用dig +trace排錯，可能是網絡和防火墻導致

NXDOMAIN：The queried name does not exist in the zone.

• 可能是CNAME對應的A記錄不存在導致

REFUSED：The nameserver refused the client’s DNS request due to

policy restrictions.

• 可能是DNS策略導致

DNS排錯

?NOERROR不代表沒有問題，也可以是過時的記錄

?查看是否為權威記錄，flags:aa標記判斷

?被刪除的記錄仍能返回結果，可能是因為*記錄存在

?如：*.example.com． IN A 172.25.254.254

?注意“.”的使用

?避免CNAME指向CNAME記錄，可能產生回環

? ???test.example.com. IN CNAME lab.example.com.

???? lab.example.com. IN CNAME test.example.com.

?正確配置PTR記錄，許多服務依賴PTR，如sshd,MTA

?正確配置輪詢round-robin記錄