DNS部署与安全

DNS部署与安全

域名

1.在www.example.com. 中

• 末尾的点为根域，通常不在浏览器或网络中显示，根域在DNS查询过程中非常重要，是所有完全限定域名的最高层级。
  
• .com是顶级域，通常表明网站的性质或地域。（.com代表商业构造，.org代表非盈利构造，.edu代表教诲部门，.gov代表政府部门，.net代表网络服务机构，.mil代表军事部门，还有各种代表各个国家的）
  
• .example是二级域名，通常是代表公司或构造的名称。
  
• www是子域，常用于指向网站的主服务器或特定服务器。
  

域名服务器

• 所有的根域名服务器都知道所有的顶级域名服务器的IP地址。
  

无论哪个本地域名服务器，若要对因特网上任何一个域名进行解析，只要自己无法解析，就要首先求助根域名服务器，但根域名服务器不会直接解析，而是告诉本地服务器下一步应该找谁去查询。

• 顶级域名服务器管理在该域名服务器注册的所有二级域名，收到DNS请求时，就给出相应的回答，有可能是效果，也可能是下一步应该查找的域名服务器的IP。
  
• 每台主机都要在授权域名服务器中登记（一台主机最好至少有两个域名授权服务器），许多域名服务器都同时充当本地域名服务器和授权域名服务器。他能够将他管辖的主机名转化为该主机的IP地址。
  
• 本地域名服务器也很重要，当一台主机发送DNS查询申请时，这个查询报文就发给该主机的本地域名服务器，本地连接中的DNS地址就是本地DNS的地址。
  

权威服务器

负责管理并提供特定域名的最终解析信息的服务器。对于域名有权威解释权，能返回域名正确的信息。

• 权威性：权威服务器拥有特定域名的权威数据，它存储了域名的所有资源记录。客户端发起查询时，他提供的是最终的、权威的解析效果。
  
• 响应查询：当递归DNS服务器无法解析域名时，会向权威服务器发送请求，他会查找本地存贮的数据，返回相干的解析效果。
  
• 维护域名记录：权威服务器是由域名持有者（如网站管理员或服务提供商）进行配置和维护的。存储的是域名所有者指定的资源记录。
  

类型

主权威服务器和从权威服务器：从会同步主的数据，提供与主相同的解析效果，但一般作为备份利用。
域名解析过程

• 客户端请求：客户端向服务器发送解析请求
  
• 查看host文件：操作体系先查看host文件是否有网址映射，如有，则返回IP地址映射。
  
• 本地DNS缓存：若没有，则查找本地DNS解析器缓存，是否有网址映射，如有，则返回IP地址映射。
  
• 本地DNS服务器：若没有，则找本地DNS服务器，若要查询的域名在本地配置区域资源中，则返回解析效果给客户机，此解析具有权威性。若域名不再本地区域解析，但服务器缓存了此网址映射关系，就调用，返回IP，该解析不具权威性。
  
• DNS服务器解析：上述失败，则继续
  未用转发模式：本地DNS就把请求发至“根DNS服务器”，“根DNS服务器”收到请求后会判断这个域名(.com)是谁来授权管理，并会返回⼀个负责该顶级域名服务器的⼀个IP。    DNS服务器收到消息后，将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后，如果自己无法解析， 它就会找⼀个管理.com域的下⼀级DNS服务器地址(example.com)给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找example.com域服务器，重复上面的动作，进行查询，直至找到www.example.com主机。
  用转发模式，此DNS服务器就会把请求转发至上⼀级DNS服务器，由上⼀级服务器进行解析，上⼀级服务器如果不能解析，或找根DNS或把转请求转至上上级，以此循环。
  不管是本地DNS服务器是否转发，还是根提示，最后都是把效果返回给本地DNS服务器，由此DNS服务器再返回给客户机。
  

主机向本地域名服务器的查询采用的是递归查询
本地域名服务器向根域名服务器的查询采用迭代查询
工具和下令

nslookup

1. nslookup example.com  \\查找域名的IP地址
2. nslookup example.com 8.8.8.8   \\指定服务器来查询域名的IP
3. nslookup 192.168.8.8   \\反向查找
5. ipconfig /flushdns      \\清除DNS解析缓存

复制代码

DNS端口号

通常利用UDP进行通信，DNS查询利用UDP端口53进行。
当响应的数据包大于512字节和区域传输时，用TCP来进行
资源记录类型有A记录（IPv4地址）AAAA记录（IPV6地址）、MX记录（邮件服务器）、NS记录（指定DNS服务器对特定区域负责）、CNAME记录（创建别名）、PTR记录（反向DNS查询）、SRV记录（界说服务的特定端口和协议）、TXT记录（答应管理员向域名中添加特定文本）、SOA记录（标识该DNS区域的权威信息，包括主名称服务器、负责人电子邮件、序列号、刷新时间、重试时间、过期时间、最小TTL）
区域类型

• 主要区域：这种类型的区域包含了完整的DNS记录，而且所有的更改（如添加、删除、修改DNS记录）都在这个区域进行，在主要区域中，DNS服务器被称为“主服务器”
  
• 辅助区域：作为主要区域的备份，提供冗余和提高可用性，不可直接修改数据。
  
• 存根区域：只包含关键的权威服务器信息，用于资助解析外部域的查询，提高DNS解析的服从和管理跨构造的DNS操作。
  

主要特性和组件

• 数字签名：DNSSEC 利用公钥加密技术来签名DNS区域中的数据。当DNS数据传输时，接收方可以验证这些签名，确保数据的完整性和真实性。
  
• RRSIG记录：资源记录签名，与其他记录一起发送，提供对这些记录的验证。
  
• DNSKEY记录：包含用于签名的公钥。
  
• DS记录：在父区域和子区域之间建立信托链，确保差别级别可以安全传递验证信息。
  
• NSEC和NSEC3记录：提供了域中存在的所有记类型录的证明，并资助处理DNS查找的否定响应。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。