本文主要介绍DNS协议实现基本工作原理.


1.DNS功能

DNS用于实现将Internet中主机的主机名称和IP地址间的转换.

互联网中的主机之间实际是通过IP地址进行彼此之间通信的, 由于IP地址是32位或128为二进制数字, 不便于人们记忆, 因此人们使用了FQDN(Fully Qualified Domain Name)完全合格域名来辅助标识网络中的主机, 便于人们记忆; 实际中不同主机之间仍然使用IP地址进行通信; 通过DNS(Domain Name System)域名系统来实现FQDN与IP地址之间一一映射. 正向DNS解析将FQDN映射为IP地址, 反向DNS解析将IP地址映射为FQDN.(本文中不加特殊说明的都可以看作是正向DNS解析)


2.DNS域名系统架构

早期由于互联网中的主机数量非常少, 可以使用本地主机中的文本文件进行存储指定主机FQDN和IP地址关系数据. 但随着互联网中主机数量的几何级增长, 这些数据已经变得非常庞大, 仍然使用本地主机中的文本文件来存储, 就会是每台主机中的数据过大, 非常不现实.

在这种情况下就产生了DNS域名系统, DNS是公网中存在的倒置树状结构的服务器集群, 用于集中存储FQDN和IP地址之间映射关系数据, 以供互联网中的主机进行查询.


DNS域名系统服务器树状结构如图所示:

wKiom1YSlpLjaQyzAAI6qvgY8So819.jpg

在DNS中, 域名采用分层结构, 包括: 根域, 一级域, 二级域和主机名称. 

在域名层次结构中每一层称作一个域,每个域用一个 . 分开(标识根域的 . 可以省略, 其他级别域的 . 不能省略), 域又可以进一步分成子域,每个域都有一个域名. 

根域: 就是一个“.”号,由Internet名字注册授权机构管理, 全球共有13台根域服务器. 

一级域: 由Internet名字授权机构管理, 一级域中可以按照用途分类: .com商业域, .org组织域, .edu教育域; 也可以按照国家进行分类: .hk香港, .uk英国.

二级域: 注册到个人(www.ok.com), 组织(.x.org)或公司(.ali.com)的名称, 二级域下还可以创建子域, 如上图中的net.ali.com.

子域: 从纯逻辑的角度来说, 在根域以下的所有域都可称为子域. 但在实际中, 子域用于定义二级域以下的域 因此子域可是看作是二级域以下的各个域.

反向域: 这是一个特殊域, 名称为in-addr.arpa, 用于将IP映射到域名. 

如上图结构所示: 

主机www.ok.com是二级域.ok.com中的一台主机, 由于.ok.com这个域中只有一台主机, 因此可以看作是该主机直接向.com这个一级域直接注册的主机, 这种情况非常极端, 基本不会存在;

域.ali.com是一级域.com下的一个二级域, www.ali.com是该二级域其中的一台主机, .net.ali.com是该二级域中的一个子域.


3.DNS工作过程

DNS查询过程如下图所示:

wKioL1YSoJqA_yyNAAH3L4uaK4I209.jpg

DNS递归查询: Host A 对于 www.ibm.com 的查询过程中由Host A设置的Host DNS完成逐级查询, 查询完成后由Host DNS返回给Host A, 并在Host DNS本地将该条记录缓存; 而不是由Host A直接完成逐级查询

DNS迭代查询: Host DNS对于Host A的目标主机域名查询需求, Host DNS需要亲自从root DNS Server逐级查询到目标主机域名所在的DNS Server上, 查询过程中其他各个级别的DNS Server只会提供其子域内的主机地址, 而不会主动去帮你查询剩余路径, 在此过程中Host DNS的执行过程称为迭代查询

规则:

1. Host DNS对于所有Host A的查询过程都是递归查询, 因为Host A不能自己查询主机域名查询, Host A必须通过指定的Host DNS将查询结果返回给自己

2. 不同的Host DNS的查询过程大多都是迭代查询, 因为递归查询过于消耗服务器资源, 一般DNS Server不会提供递归查询服务功能, 所以Host DNS只能亲自去查询目标主机地址


4.DNS服务器配置文件

Linux系统上使用bind应用程序来作为DNS解析服务程序.

bind程序的主要配置文件如下:

[root@www ~]# rpm -ql bind
/etc/NetworkManager/dispatcher.d/13-named
/etc/logrotate.d/named
/etc/named: named配置文件的默认存放目录
/etc/named.conf: 程序主配置文件
/etc/named.iscdlv.key
/etc/named.rfc1912.zones: 默认除根之外的区域配置文件, 用于指定定义的区域
/etc/named.root.key
/etc/portreserve/named
/etc/rc.d/init.d/named: named服务脚本文件
/etc/rndc.conf: 远程辅助工具rndc的配置文件
/etc/rndc.key: 远程辅助工具rndc的密钥文件
/etc/sysconfig/named: named的服务进程参数文件
/usr/lib64/bind
/usr/sbin/arpaname
/usr/sbin/ddns-confgen
/usr/sbin/dnssec-dsfromkey
/usr/sbin/dnssec-keyfromlabel
/usr/sbin/dnssec-keygen
/usr/sbin/dnssec-revoke
/usr/sbin/dnssec-settime
/usr/sbin/dnssec-signzone
/usr/sbin/genrandom
/usr/sbin/isc-hmac-fixup
/usr/sbin/lwresd
/usr/sbin/named: 程序文件
/usr/sbin/named-checkconf: 主配置文件语法检查程序
/usr/sbin/named-checkzone: 区域文件语法检查程序
/usr/sbin/named-compilezone
/usr/sbin/named-journalprint
/usr/sbin/nsec3hash
/usr/sbin/rndc
/usr/sbin/rndc-confgen
......
......
/usr/share/man/man8/rndc.8.gz
/var/log/named.log
/var/named: named数据文件的默认存放目录
/var/named/data
/var/named/dynamic
/var/named/named.ca
/var/named/named.empty
/var/named/named.localhost
/var/named/named.loopback
/var/named/slaves: 从DNS服务器数据文件存放目录
/var/run/named: named服务产生的进程


5.配置文件/etc/named.conf说明

语法格式说明:

1. { } 花括号不能紧跟字符, 需要添加空格隔开;

2. }后和每个语句需要有;表示语句结束

3. //表示对配置语句进行注释, 不起任何作用


常用字段说明:

options { }; 用于在配置文件中定义全局配置选项

options { 

    listen-on port 53 { 127.0.0.1; }; 设定监听套接字, 默认监听在127.0.0.1, 可以监听在多个地址用 ; 隔开, 注释该语句时表示监听在本地全部可用IP地址的53端口上

    directory "/PATH/FILE"; 指定DNS服务器的数据文件默认存放目录

    dump-file "/var/named/data/cache_dump.db"; 指定DNS缓存文件的存放路径

    statistics-file "/var/named/data/named_stats.txt"; 指定DNS统计信息文件的存放路径


    allow-query     { IP/Net; }; 指定允许进行查询的主机地址, 默认只允许本地主机查询, 需要进行修改, 注释表示允许所有主机查询; 该项用于查询供功能开放给本地主机时使用

    allow-transfer { SLAVE_IP; }; 实现DNS区域安全控制, 对指定DNS服务器允许从本机获取DNS区域文件, none字段表示对所有主机都不允许从本机获取DNS区域文件

    recursion no|yes; 是否允许递归, 默认为no关闭, 使用时需要开启, 默认可以对1000台主机进行DNS递归查询

    allow-recursion { IP; }; 定义DNS允许进行递归查询的主机白名单

    allow-update { IP; }; 定义允许动态更新区域数据文件的主机白名单

}; : 


zone " ZONE_NAME" { }; 用于在配置文件中定义区域

zone "ZONE_NAME"{ 

    type {master|slave|hint|forward}; 指定服务器角色: hint:表示根; master表示主服务器; forward表示转发服务器; 

    file "FILENAME"; 指定DNS数据库文件的相对位置, 相对位置的起始目录为/var/named/, 从DNS服务器数据库文件一般要放在/var/named/slaves/目录下, 注意:因为从DNS服务器的数据文件原来不存在, 需要从主DNS服务器同步传送, 因此从DNS服务器的数据文件的存放目录必须要对named用户赋予w权限

    masters { [MASTER1;MASTER;...] } ; 指定主DNS服务器地址, 配置主从DNS服务器时在从服务器端使用

    forward only|first ; 在forward服务器时启用(可以在全局options中定义), 其中first: 表示本服务器先将递归查询请求向本机指定DNS服务器进行转发, 指定服务器没有响应递归查询请求时, 本服务器再向根发起查询请求; only: 表示本服务器先将递归查询请求向本机指定DNS服务器进行转发, 指定服务器没有响应递归查询请求时, 本服务器不会再发起其他请求

    forwarders { IP1;IP2 } 指定查询DNS服务器的地址(可以在全局options中定义)

};


6.数据文件说明

数据书写规则:

1. 在数据库文件中可以不用添加 . root标识符, 没有使用 . 的名称都会被看作是本区域内的相对路径, 会在其后添加默认zone来进行解析;

2. 在name字段中不使用完整的FQDN, 而使用默认zone进行补全时可能不会出现错误, 但尽量书写完整FQDN

3. 在name字段中使用@时, 表示使用该字段为对应的zone; 使用空时, 表示该字段与上一条条目中的字段值相同

4. ttl字段: 表示该记录被其他DNS服务器查询到后会在对方主机中缓存的时间, 该处的ttl字段优先级高于SOA条目中的ttl字段; 全局定义TTL时. 需要使用$来指定宏; 

5. 在value字段中需要使用完整的FQDN: 需要使用 . 标识符作为结尾, 否则会在解析结果中默认添加该文件对应的zone进行扩展; 


常见条目分类说明如下图所示:

wKiom1YSvnHhFWvMAArW1n03xxA802.jpg


以上就是DNS基本工作原理.

本人水平有限, 如有理解不当的地方, 请大家给予指正, 非常感谢!