博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
DNS原理概念详解
阅读量:6678 次
发布时间:2019-06-25

本文共 4759 字,大约阅读时间需要 15 分钟。

【基础概念】

1 不讲dns的历史,只讲现如今已经存在dns,和如何使用dns

dns: domain name server (名称服务器)  常用做域名的翻译器

很多场景要用到名称服务器

如: ssh shop-web01.beta

首先ssh 协议要调用dns解析的库(解析器),然后把解析出来的IP地址,发起ssh连接!

还有ftp软件等等

应用模型如下图:


【 名称服务器中的名词解释有(很难理解)】

名称服务器: nameserver 存储域命名空间信息的程序

域命名空间: 就是那颗倒树(如图)

域名:FQDN 完全限定域名 

域: domain 命令空间中的一颗子树 sjtu.edu.cn 就像linux目录中的目录

子域: 就像linux目录中还有目录一样,即子目录

资源记录: 数据类c(lass) 如A记录,提供查询的条目

授权: 设计域名系统的目录就是分散管理,授权就是实现的手段。 

区域: zone 紧紧是某个一集体的完整信息。也就是一个文件,区域的内容是从文件或者另外一个名称服务器加载而来的。加载过来后,该名称服务器就可对外宣称对该区域具有权威。

master slave 名称服务器

区域传送: master——> slave

区域文件: zone file (zone file 从主 区域传送到slave)

root名称服务器(全球有13个逻辑服务器)

解析器: reslover 就是访问名称服务器的客户端程序(提供发起查询和接受响应的功能)

解析: 从域命名空间中检索数据

递归

迭代

缓存(可定都是存在内存的) window下清理  ipconfig /flushdns命令  查看: ifconfig /displaydns  显示dns的缓存,而在linux下  dns客户端在Unix下,DNS客户端只是几个例程,负责转发和接受查询的功能,并不缓存。

参考:

生存时间TTL: 缓存的时间

地址到名称的映射: 一般都是公司内部DNS用,和以前的域名生效,美国的一些早期域名!

DNS的构造也是向linux的目录一样的树状

root目录 

顶级域(一级域)

二级域(不要说成二级域名)

子域

注意:

1 域名名空间要求,同一个父节点下的兄弟节点不能有相同的标签(和linux统一目录下不能有两个一样文件名)

2 树种每个节点都有一个标签(不超过63 位,且不包括 . 号的), 空标签是为 root保留的!

3 域名是 从节点本身开始,沿着路径一直读到root,并用 “ .” 来分隔

4 www.stju.edu.cn.    其实是(www.stju.edu.cn.“ ”)  最后一个点号后面其实是个空标签

5 向这种绝对域名有时被被称为完全限定域名 FQDN

6 顶级域是root的子域,二级域是顶级域的子域

7 一条资源记录

ftp.stju.edu.cn.  IN  A  202.120.58.157

解释其中的 IN 和 A

 IN表示的是使用Internet(任何基于TCP/IP 的internet),当然还有其他的老式协议网络类,如Chaosnet协议的网络类,使用Hesiod软件的网络类。但我们看到的都将是IN

A是一种记录type类型,A表示名称到地址的映射 还有其他的type 如{SOA| NS | PTR| Other| CNAME}

8 授权: 和DNS查询原理理解在一起比较容易理解。

比如: 交通大学这个域中sjtu.edu.cn 下面的 ftp.sjtu.edu.cn. www.sjtu.edu.cn. bbs.sjtu.edu.cn.  这些该怎么设定,交通大学的这个组织可行管理和上一级edu.cn. 这个域无关!  edu.cn 这个域只关心 我有一个指针到你那里(访问sjtu.edu.cn  这个域的东西, 一律发到我执行的 那台或多台 交通大学组织的DNS名称解析服务器)。

9. 域和区域:

区分迭代和递归的区别

迭代的效果: 就是如向root查询ftp.stju.edu.cn 返回的值第一次是 你去查询cn吧,在发请求到cn时,返回的值有迭代到了 你去请求edu吧。。。。一次迭代下去!

for i in a,b,c,d:

print i

递归: 就是我给你 解析器给本地dns发的递归请求,你本地服务器一定要给我最终答案(能找到或者找不到),不管是何种办法给我返回! 你都要递归出来

地址到名称的映射:

在Internet域命名空间中,就是in-addr.arpa域

如谷歌 nslookup 216.58.221.68

反向解析的结果

68.221.58.216.in-addr.arpaname = hkg08s14-in-f4.1e100.net.

原理图是:

读法也是从叶子节点到根节点!

缓存:

1 linux 下dns客户端 和 window不一样,linux下客户端默认不缓存 除非有 nscd软件安装了。 service nscd {restart,reload}清缓存,缓存只是名称服务器做的事情!名称服务器会进行缓存

2 TTL参数来设置dns默认的缓存时间,但要记住是你解析的域名在别人dns中缓存的时间

比如: 你在学校内部 访问www.baidu.com 那么这个www.baidu.com. 域名的缓存,将是停留在 你学校的DNS名称服务器上的(缓存时间是baidu.com这个域的TTL值决定的)

#####################   ######################################

参考:

http://www.zytrax.com/books/dns/ch7/xfer.html#allow-update

allow-query: 允许哪些IP客户端进行查询使用DNS服务; 一般是是:  allow-query     { any; };

allow-transfer  如果有辅助DNS,是否充许的IP列表(slave DNS)可以同步zone文件,The default behaviour is to allow zone transfers to any host。如: allow-transfer  { 10.10.100.22; 222.73.117.198; 21.32.2.181; 21.32.2.182; 21.32.2.183; 21.32.2.184; 10.10.100.201; };

also-notify   只有master端配置, 修改配置后主动给slave发送NOTIFY消息  also-notify     { 10.10.100.22; 222.73.117.198; 21.32.2.181; 21.32.2.182; 21.32.2.183; 21.32.2.184; 10.10.100.201; };

allow-update  allow-update 只在zone中定义 指定哪些主机允许为主域名服务器提交动态 DNS 更新。默认为拒绝任何主机进行更新。

allow-update {key "update-key";};  或者  allow-update {10.0.1.2;}; // DDNS this host only 

下面一般不需要的配置:

allow-notify: slave端配置, 控制允许发送NOTIFY消息的master, 默认是 master 里配置的ip列表

notify: master和slave都可以配置, 默认是yes, 当配置修改后, 就会发送NOTIFY消息给zone文件里配置的NS和also-notify里的ip列表

notify-source: 默认是*, 表示当前的主机ip, 可以指定某个ip和port, ip必须在slave的master中包含

allow-update { address_match_list };

allow-update { !172.22.0.0/16;};

allow-update defines an address_match_list of hosts that are allowed to submit dynamic updates for master zones, and thus this statement enables Dynamic DNS. The default in BIND 9 is to disallow updates from all hosts, that is, DDNS is disabled by default. This statement is mutually exclusive with update-policy and applies to master zones only. The example shows DDNS for three zones: the first disables DDNS explicitly, the second uses an IP-based list, and the third references a key clause. The allow-update in the first zone clause could have been omitted since it is the default behavior. Many people like to be cautious in case the default mode changes.

// named.conf fragment

// key clause is shown only for illustration and would

// normally be included in the named.conf file

key "update-key" {

    ....

};

....

zone "example.net" in{

    type master;

    allow-update {none;}; // no DDNS by default

    ....

};

....

zone "example.com" in{

....type master;

    allow-update {10.0.1.2;}; // DDNS this host only

    ....

};

zone "example.org" in{

    type master;

    allow-update {key "update-key";};

    ....

};

In the example.org zone, the reference to the key clause "update-key" implies that the application that performs the update, say nsupdate, is using TSIG and must also have the same shared secret with the same key-name. This statement may be used in a zone, view or an options clause.

本文转自残剑博客51CTO博客,原文链接http://blog.51cto.com/cuidehua/1774662如需转载请自行联系原作者

cuizhiliang

你可能感兴趣的文章
python函数
查看>>
eclipse中要运行带参数的程序
查看>>
1.9-selinux介绍
查看>>
1.5-nagios监控客户端-1
查看>>
1.8-virsh常用操作
查看>>
Linux下高并发socket最大连接数所受的各种限制【转】
查看>>
Red Hat 6.2 64如何使用Centos的YUM源更新两种方法
查看>>
vim多行复制
查看>>
HIVE创建HBASE表
查看>>
k3cloud单据插件
查看>>
MaridDB主从复制,双主模型,半同步的配置
查看>>
麒麟开源堡垒机功能版本说明及升级方式说明
查看>>
交换机SPAN功能配置
查看>>
关于ssh的问题
查看>>
作业 rh124
查看>>
Docker创建tomcat镜像
查看>>
Restful学习随笔
查看>>
2018区块链学习路线及大纲附Java,Python,初级高级,深入浅出视频教程
查看>>
[Algorithms] Longest Common Subsequence
查看>>
常见排序算法总结(含C/C++代码)
查看>>