lt;备份gt;10月18日 DNS
一,DNS
DNS:Domain Name Server
UDP/53,TCP/53
DNS:名稱解析
nsswitch.conf
???? hosts: files dns
???????? file:/etc/hosts
???????? dns:DNS services
DNS:FQDN <-->ip
FQDN:Full Qualified Domain Name
DNS:層級結(jié)構(gòu)
????????? .? 根
組織類TLD:
??????????????? com
??????????????? net
??????????????? mil
??????????????? edu
??????????????? gov???
??????????????? org?? TLD:Top Level Domain
國家類TLD:
??????????????? cn
??????????????? jp
??????????????? uk
反向解析TLD:
??? 二級域:可申請
解析類型:
?????? 正向解析:
?????? 反向解析:
查詢類型:
???? query:
???????????? 迭代查詢:發(fā)出多次請求
???????????? 遞歸查詢:客戶端只發(fā)出一次請求
二段式工作:
TTL:存活時間?? 緩存
DNS區(qū)域角色:
?????????? 主:master
?????????? 從:slave
?????????? 轉(zhuǎn)發(fā):forward???
?????????? 根:??? hint
主--->從:從還可以有從
主--從: 完全區(qū)域傳送 axfr??? 從主動同步 pull
??????? 主--從:?? 增量區(qū)域傳送?? ixfr???? 主通知機(jī)制 類似 push? 通過版本號同步
??????? 2H(refresh:刷新), (retry:重試)超過某段時間后從服務(wù)器也停止工作
???????
正向解析:正向庫
反向解析:反向庫
????? magedu.com? domain
????? 正向數(shù)據(jù)區(qū)域? zone
????? 反向數(shù)據(jù)區(qū)域? zone
服務(wù)器角色類型:
????? 主dns服務(wù)器
????? 從dns服務(wù)器
????? 緩存服務(wù)器
????? 轉(zhuǎn)發(fā)服務(wù)器
數(shù)據(jù)庫文件的格式:宏定義,數(shù)據(jù)庫條目
每個條目叫資源記錄:(Resource Record,RR)
???? 資源記錄的格式:
???? name????? [ttl]????????? CLASS??????? RTYPE??????? RDATY
??????????????????????????????????????????????????? 資源類型????? 資源數(shù)據(jù)
???? RType:
????????????? A(address): FQDN? -----IP
????????????? AAAA(ipv6):FQDN? -----IP
????????????? PTR(pointor): IP--------FQDN
?
????????????? NS(name server): -----FQDN
????????????? CNAME:----------------FQDN
????????????? MX:(Mail eXcanger)(優(yōu)先級0-99)-------FQDN
????????????? SOA:(Start Of Authority):起始授權(quán)記錄
???????????????????? 對于任何區(qū)域文件,SOA必須定義第一條
RData:
????????????? A:IP
????????????? AAAA:ipv6
????????????? PTR:FQDN
????????????? NS:FQDN
????????????? MX:FQDN
????????????? CNAME:FQDN
????????????? SOA: FQDN(主DNS的FQDN)?? contact(mailbox,不能用@,用.替換) (
?????????????????????? serial number???
?????????????????????? refresh time?
?????????????????????? retry time?
?????????????????????? expire time?
?????????????????????? negetive answer ttl? )
????????????? 任何FQDN必須以 。結(jié)尾
????????????? 除了soa任何記錄不能換行
????????????? 第一個記錄只能是SOA
name:
????????????? A:FQDN
????????????? AAAA:FQDN
????????????? PTR:IP
????????????? NS:zone
????????????? MX:zone
????????????? CNAME:FQDN
?
宏:變量
????? $TTL???????? 全局TTL
????? $ORIGIN??? 名稱附加后綴
DNS軟件:Bind (Berkeley Information Name Domain)
????????????? PowerDNS
???????? dig? -t? 類型? 域或FQDN
???????? host
???????? nslookup
服務(wù)器端:
???????? /etc/named.conf? 主配置文件
???? rndc:Remote Name Domain Controller 遠(yuǎn)程控制dns
???????? 127.0.0.1:953 只監(jiān)聽了
???????? stop :停止服務(wù)
???????? start:開始服務(wù)
???????? reload:重新加載配置文件與zone
???????? reload zone:重新加載zone文件
???????? reconfig 重新加載config文件
??????? /etc/init.d/named? 啟動腳本
??????? named二進(jìn)制命令
bind的工作目錄 :/var/named
???????????????????? 區(qū)域數(shù)據(jù)文件存儲目錄
緩存DNS服務(wù)器:
????????? 根區(qū)域:表明跟服務(wù)器在哪
????????? 本地正向區(qū)域:localhost----127.0.0.1
????????? 本地反向區(qū)域:127.0.0.1---localhost
主配置文件結(jié)構(gòu):/etc/named.conf (640,owner:root,group:named)
????????? 全局選項(xiàng)段:{
};
????????? 區(qū)域聲明端:
zone “ZONE_NAME” IN {
};?
反向區(qū)域的區(qū)域名稱:network-address(reverse).in-addr.arpa???
?????????? RTR記錄的“Name”是ip地址剩余的部分(主機(jī)地址)反過來寫??????????
當(dāng)前區(qū)域名稱可以用@代替
?
DNS,一個FQDN可以對多個ip地址,實(shí)現(xiàn)輪詢的負(fù)載均衡
www.godaddy.com
rndc-confgen > /etc/rndc.conf
DNS:中從復(fù)制
?? allow-transfer { ip/net; ip/net; };
DNS面臨的安全問題:
??? Host Enumberation:主機(jī)枚舉
????????????? TSIG:事務(wù)簽名
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST ns-ns2.magedu.com
在通信雙方的named.conf中定義密鑰的格式如下:
key "ns-ns2.magedu.com." {
??? algorithm hmac-md5;
??? secret "C6Kai60IwnD9oeIwyyYYhQ==";
};
而后在每個主機(jī)上定義分別定義通信的對方,比如這里在ns.magedu.com上定義:
server 172.16.100.2
??? keys { ns-ns2.magedu.com.; };
};
如果主服務(wù)器僅允許通過認(rèn)證的從服務(wù)器進(jìn)行區(qū)域傳送,則可以使用類似如下格式定義傳送限制:
allow-transfer { key "ns-ns2.magedu.com."; };
??? Cache poisoning:緩存毒化
????????????? DNSSEC
??? Attacking the parent zone:父域***
父域授權(quán):
???????? zone “ZONE” IN {
??????????????? type slave;
???????????????? file “slaves/zone.zone”;
???????????????? masters {??????? };
???????? };
????????
轉(zhuǎn)發(fā)域:
forward first :轉(zhuǎn)發(fā)的目標(biāo)服務(wù)器沒有響應(yīng),就去找根
forward only:轉(zhuǎn)發(fā)的目標(biāo)服務(wù)器沒有響應(yīng),就返回查不到。
zone “ZONE” IN {
?? type forward;
? forward { first|only};
? forwarders {???? iP?? ;};
? forwarders { };
?
?
allow-query {};
??? 查詢方式:
??????? 遞歸:任何客戶均可以此DNS為其DNS服務(wù)器
??????? 迭代:
recursion yes|no;
allow-recursion {};
BIND:ACL
??? acl “ACL_NAME” {
??????? IP;
??????? CIDR網(wǎng)絡(luò)地址;
??????? TSIG密鑰;
};
bind內(nèi)置的acl:
??????? none,any,localhost,localnets
view :將一個區(qū)域切割為多個不同的邏輯視圖,以實(shí)現(xiàn)對不同客戶來源響應(yīng)不同的內(nèi)容
????????? 只要頂一個view,所有的zone都只能定義在view當(dāng)中
view “VIEW_NAME” {
??????? match-clients {172.16.0.0/16; };
???????? zone “magedu.com” IN{
???????? };\\\如果需要所遞歸查詢,根區(qū)域只需要聲明在允許遞歸的客戶端列表所在的vim中
};
view “VIEW_NAME” {
???????? match-clients { any; };
???????? zone “magedu.com” IN {
???????? };
};
只能DNS:分網(wǎng)解析
www.dnspod.cn? 智能解析
dig txt chaos version.bind.
?
?
bind 日志系統(tǒng)
?? channel? 用于記錄產(chǎn)生的日志信息記錄位置
?? category 用于定義記錄什么信息
logging {
??????? channel <string>; {
??????????? file <logfile>;;
??????????? syslog <optional_facility>;;
??????????? null;
??????????? stderr;
??????????? severity <logseverity>;;
??????????? print-time <boolean>;;
??????????? print-severity <boolean>;;
??????????? print-category <boolean>;;
?????? };
?????? category <string>; { <string>;; ... };
};
?
泛域名解析 ; magedu.com www.magedu.com
轉(zhuǎn)載于:https://blog.51cto.com/piaoz/1056165
總結(jié)
以上是生活随笔為你收集整理的lt;备份gt;10月18日 DNS的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: mysql select操作
- 下一篇: lt;备份gt;10.9Sed and