澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站:防止恶意攻击,服务器基

2019-07-21 作者:服务器运维   |   浏览(64)

DNS全称DomainNameSystem域名解析系统,通俗地说,DNS就是帮助用户在Internet上寻找名称与IP对应的解析服务。为了更方便使用网络资源,DNS服务提供一种将电脑或服务名称对应到关联该名称IP位址的方法。名称一定比枯燥的IP地址更容易了解和记忆。大多数使用者喜欢使用易记的名称例如www.51cto.com)来寻找网络中像是邮件服务器或网页服务器,而不是使用IP地址。当使用者在应用程式中输入易记的DNS名称时,DNS服务会将此名称解析成它的数值位址。
 
DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
 
然而重要的资源就可能引起有心人士的关心,随着Internet上DNS攻击事件的发生,DNS的安全问题也成为大家关心的焦点,常见的方式为:
 
1、针对DNS系统的恶意攻击:发动DNS DDOS攻击造成DNS名称解析瘫痪。
 
2、DNS名称劫持:修改注册讯息、劫持解析的结果。
 
当DNS服务器遭遇DNSSpoofing恶意攻击时,不管是正常DNS查询封包或非正常的封包都经由UDPPort53进到内部的DNS服务器,DNS服务器除了要处理正常封包外,还要处理这些垃圾封包,当每秒的封包数大到一定的量时,DNS服务器肯定无法处理了,此时正常的封包请求,也一定无法得到正常的回应,当查询网站的IP无法被回应时,用户当然连接不到网站看不见网页,如果是查询邮件服务器时,那邮件也无法被寄出,重要的资料也无法被顺利的传递了,因此,维护DNS服务的正常运作就是一件非常重要的工作。
 
针对以上的问题AX有一个解决方式,就是DNS应用服务防火墙,AX在这问题有三个有力的方法,可以有效的缓解这些攻击所造成的影响,
 
1、首先将非DNS协定的封包过滤Malformed Query Filter)
 
2、再来将经由DNS服务器查询到的讯息做缓存DNS Cache)
 
3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制Connection Rate Limit)
 
Malformed Query Filter:  
这种非正常的封包通常都是用来将对外网络的频宽给撑爆,当然也会造成DNS服务器的忙碌,所以AX在第一线就将这类的封包过滤,正确的封包传递到后方的服务器,不正常的封包自动过滤掉避免服务器的负担。
 
DNS Cache:  
当DNS查询的回应回到AX时,AX可以预先设定好哪些Domain要Cache哪些不需要Cache,如果有Cache,当下一个同样的查询来到AX时,AX就能从Cache中直接回应,不需要再去DNS服务器查询,一方面减轻了DNS服务器的负担,另一方面也加快了回应的速度。
 
再者,当企业选用此功能时更能仅设定公司的Domain做Cache,而非关此Domain的查询一律不Cache或者拒绝回应,这样更能有效的保护企业的DNS服务器。
 
而ISP之类需提供大量查询的服务,更适合使用此功能,为DNS服务提供更好更快的回应。
 
Connection RateLimit:  
当查询的流量大到一定的程度时,例如同一个Domain每秒超过1000个请求,此时在AX上可以启动每秒的连线控制,控制进入到后端DNS服务器的查询量,超过的部分直接丢弃,更严格的保护DSN服务器的资源。
 
相信许多人期待在日新月异的网际网络中看到创新的网络技术,并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的,这也是一切网络应用服务的基础。
 
本文提及DNS防火墙应用服务功能,除了希望提醒读者DNS服务的重要外,亦希望读者对DNS的安全性上有所认知,进而知道如何保护DNS服务器,并在防止被恶意攻击上提供一些有效的帮助。

DNS bind 介绍

DNS 服务器基础

 

DNS 服务器基础

 

背景

目前的流行网络协议是 TCP/IP 协议,其中的 IP 为第四版的 IPv4。这个IPv4的字长32位,为了方便人脑记忆已经转成四组十进制的数字了。例如 172.18.16.20 这样的格式。当我们利用Internet传输资料的时候,需要用到这个IP,否则资料封包怎么知道要被送到哪里去?然而对于IP的这种数字的玩意儿,记忆力实在是不怎么样。但是要上Internet一定需要IP,怎么办?
为了解决这个问题,早期的做法是利用某些特定的档案将主机名称与IP做一个对应,如此一来,我们就可以通过主机名称来取得该主机的IP了。人脑对于名字的记忆力可就好多了,那就是 /etc/hosts 这个档案的用途了。
可惜的是,这个方法还是有缺憾。那就是主机名称与IP的对应修改无法实时同步所有主机,所以用户端电脑每次都要重新下载一次档案才能顺利联网。随着电脑普及数量增多,这个问题日益严重。
为了解决这个问题,伯克莱大学发展处一套阶层式管理主机名称对应IP的系统,我们称它为 Berkeley Internet Name Domain,BIND。也就是目前全世界使用广泛的域名系统(Domain Name System,DNS)。

...

1,DNS:

Domain Name Service,协议(C/S, 53/udp, 53/tcp);应用层协议
客户端与服务器之间是UDP协议,服务器与服务器之间是TCP协议

一、DNS简介

DNS(Domain Name System,域名系统)是因特网的一项服务;

DNS 是将域名和IP地址相互映射的一个分布式数据库;

DNS 是一种应用层协议,使用UDP和TCP的53端口;

一、DNS简介

DNS(Domain Name System,域名系统)是因特网的一项服务;

DNS 是将域名和IP地址相互映射的一个分布式数据库;

DNS 是一种应用层协议,使用UDP和TCP的53端口;

什么是DNS ?

Domain Name System.

2,BIND:

Bekerley Internat Name Domain, ISC (www.isc.org)
实现DNS协议的软件

1、DNS域命名空间

DNS域命名空间是一种层次结构,一般可分为根域、顶级域、二级域、子域以及主机名;

澳门新萄京官方网站 1

 

1)根域
使用“.”表示,位于域命名空间层次结构的最高层;
目前分布于全世界的根服务器只有13台,全部由Internet网络信息中心(InterNIC)管理,在根域服务器中只保存了其下层的顶级域的DNS服务器名称和IP地址对应关系;
2)顶级域(TLD,Top Level Domain)
顶级域位于根域下层,可以分为两类:组织域(.com,.net,.org,.gov,.edu,.mil等)和国家域(.iq,.tw,.hk,.jp,.cn等);
3)二级域
二级域位于顶级域下层,是指为了在Internet上使用而注册到个人或企事业单位的域名;
4)子域
子域是根据具体情况从二级域中按部门或地理位置创建;
5)主机名
位于DNS域命名空间的最低层,主要指计算机的主机名;
注意:FQDN(Full Qualified Domain Name,完全合格域名)包括域名和主机名;

1、DNS域命名空间

DNS域命名空间是一种层次结构,一般可分为根域、顶级域、二级域、子域以及主机名;

澳门新萄京官方网站 2

 

1)根域
使用“.”表示,位于域命名空间层次结构的最高层;
目前分布于全世界的根服务器只有13台,全部由Internet网络信息中心(InterNIC)管理,在根域服务器中只保存了其下层的顶级域的DNS服务器名称和IP地址对应关系;
2)顶级域(TLD,Top Level Domain)
顶级域位于根域下层,可以分为两类:组织域(.com,.net,.org,.gov,.edu,.mil等)和国家域(.iq,.tw,.hk,.jp,.cn等);
3)二级域
二级域位于顶级域下层,是指为了在Internet上使用而注册到个人或企事业单位的域名;
4)子域
子域是根据具体情况从二级域中按部门或地理位置创建;
5)主机名
位于DNS域命名空间的最低层,主要指计算机的主机名;
注意:FQDN(Full Qualified Domain Name,完全合格域名)包括域名和主机名;

为什么会有DNS ?

IP 难记,域名好记。

3,本地名称解析配置文件:
etc/hosts

注意:本地host解析优先于DNS服务器解析

%WINDOWS%/system32/drivers/etc/hosts (window host 文件位置)

1.1.1.1 www.magedu.com (window host 文件格式)
1.2.2.2 www.apple.com

2、DNS名称解析方式

1)正向解析:由域名查找IP地址;
2)反向解析:由IP地址查找域名;
注意:二者的命名空间不在同一个空间,不是同一棵树,因此也不是同一个解析库;

2、DNS名称解析方式

1)正向解析:由域名查找IP地址;
2)反向解析:由IP地址查找域名;
注意:二者的命名空间不在同一个空间,不是同一棵树,因此也不是同一个解析库;

工作原理

当你在浏览器网址框输入 http://www.ksu.edu.tw 时,先去查询本地的 /etc/hosts 这个档案,未找到对应IP就会依据相关设定(在Linux下就是利用 /etc/resolv.conf 这个档案)所提供的 DNS 的 IP 去进行连线查询了。这个服务器(A表示)就会这样工作:

  1. 收到用户的查询请求,先查看本身有没有记录,无则向 . 查询
    澳门新萄京官方网站:防止恶意攻击,服务器基础。由于DNS是阶层式架构,每部主机只负责管理自己下一级主机。

  2. 向最顶层的 .(root)服务器 查询
    A 会主动向 .(root)服务器 询问 http://www.ksu.edu.tw 在哪里呢?但是 .服务器 只记录了 .tw 的资讯(因为台湾只有.tw向.注册而已)。此时会告知:“我不知 这部主机的ip啦,你应该去问 .tw服务器,我这里不管!我跟你说.tw在哪里吧”

  3. 向第二层的 .tw服务器 查询
    A 接着向.tw询问 http://www.ksu.edu.tw 在哪里呢?而.tw管理的又仅有 .edu.tw、.com.tw、.gov.tw ... 这几部主机,经过查询比较找到了.edu.tw的网域。所以这时候.tw又告诉A说:“你要去管理.edu.tw这个网域的主机那里去查询,我有它的IP!”。

  4. 向第三层的 .edu.tw服务器 查询
    同理可证,.edu.tw又告诉A应该要去.ksu.edu.tw进行查询,这里只能告知.ksu.edu.tw的IP而已。

  5. 向第四层的 .ksu.edu.tw服务器 查询
    等A找到.ksu.edu.tw之后,BINGO!.ksu.edu.tw说:“没错,这部主机就是我管理的,我给你说它的IP吧”。所以,A就能够查到 www.ksu.edu.tw的IP喽。

  6. 缓存查询结果并返回
    记录了正确的IP后,A的DNS机器不会在下次有人查询http://www.ksu.edu.tw 的时候再走一次查询流程。它会很聪明的先把查询结果缓存,以方便回应下一次的相同要求。最后将结果回报给client端。当然,那个缓存的查询结果是时间性的,当过了DNS 设定的时间(通常是24小时),那缓存就会被释放。

可用 dig trace http://www.ksu.edu.tw 来追踪查询细节。
在Mac上如何清理DNS cache ?

参考:DNS服务器

4,DNS查询类型:

递归查询:主机向DNS服务器请求的时候使用递归查询 迭代查询:DNS服务器向根服务器请求的时候是迭代查询,根服务器——顶级域名服务器——名称服务器

名称服务器:域内负责解析本域内的名称的主机;
根服务器:13组服务器

3、DNS查询

1)递归查询
当DNS服务器接收到查询请求时,不论成功或失败,都会做出对应的响应(发生在DNS客户端与DNS服务器之间);
2)迭代查询
DNS服务器根据自己的高速缓存或区域的数据,以最佳结果响应;如果服务器无法解析,它可能返回一个指针;指针指向下级域名的DNS服务器,继续该过程,直到找到拥有所查询名字的DNS服务器,或知道出错、超时为止(发生在DNS服务器之间);

3、DNS查询

1)递归查询
当DNS服务器接收到查询请求时,不论成功或失败,都会做出对应的响应(发生在DNS客户端与DNS服务器之间);
2)迭代查询
DNS服务器根据自己的高速缓存或区域的数据,以最佳结果响应;如果服务器无法解析,它可能返回一个指针;指针指向下级域名的DNS服务器,继续该过程,直到找到拥有所查询名字的DNS服务器,或知道出错、超时为止(发生在DNS服务器之间);

5,解析类型:

正向解析:FQDA --> IP
反向解析:IP --> FQDA
注意:正反向解析是两个不同的名称空间,是两棵不同的解析树,互不影响。
FQDN: Full Qualified Domain Name
例如:www.magedu.com.

4、一次完整的DNS查询过程

 

澳门新萄京官方网站 3
Client----->hosts文件----->DNS Local Cache----->DNS Server (recursion,递归)----->

  • 若为自己负责解析的域:直接查询数据库并返回答案;
  • 若不是自己负责解析的域:Server Cache----->iteration(迭代)

4、一次完整的DNS查询过程

 

澳门新萄京官方网站 4
Client----->hosts文件----->DNS Local Cache----->DNS Server (recursion,递归)----->

  • 若为自己负责解析的域:直接查询数据库并返回答案;
  • 若不是自己负责解析的域:Server Cache----->iteration(迭代)
6,DNS服务器的类型:

主DNS服务器:
维护所负责解析的域内解析库服务器;解析库由管理维护;

辅助DNS服务器:
从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库;

缓存DNS服务器:

转发器:

5、解析答案

  • 肯定答案
  • 否定答案:不存在查询的键,因此,不存在与之对应的值;

 

  • 权威答案:由直接负责的DNS服务器返回的答案;
  • 非权威答案

5、解析答案

  • 肯定答案
  • 否定答案:不存在查询的键,因此,不存在与之对应的值;

 

  • 权威答案:由直接负责的DNS服务器返回的答案;
  • 非权威答案
7,一次完整的查询请求经过的流程:

Client --> hosts文件 --> DNS Service
Local Cache --> DNS Server (recursion) --> Server Cache --> iteration(迭代) --> 根服务器 --> 顶级域名服务器 --> 名称服务器

解析答案:
肯定答案 否定答案:请求的条目不存在等原因导致无法返回结果;
权威答案
非权威答案

 

 

8,DNS服务器之间数据同步:

区域传送
全量传送:传送整个解析库,只在第一次从服务器向主服务器请求数据时
增量传送:传递解析库变化的那部分内容,主服务器数据更新时

二、DNS服务器的类型

负责解析至少一个域:

  • 主DNS服务器
  • 辅助DNS服务器

不负责域解析:

  • 缓存DNS服务器

1)主-辅DNS服务器

  • 主DNS服务器:维护所负责解析的域数据库的那台服务器,读写操作均可进行;
  • 辅助DNS服务器:从主DNS服务器或其他的从DNS服务器那里“复制”一份解析库,但只能进行读操作;

2)“复制”操作的实现方式

  • 序列号:serial,也即是数据库的版本号;主服务器数据库内容发生变化时,其版本号递增;
  • 刷新时间间隔:refresh,从服务器每次到主服务器检查序列号更新状况;
  • 重试时间间隔:retry,从服务器从主服务器请求同步解析库失败时,再次发起尝试请求的时间间隔;
  • 过期时长:expire,从服务器始终联系不到主服务时,多久之后放弃从主服务器同步数据,并停止提供服务;
  • 否定答案的缓存时长:negative answer ttl;

注意:主服务器数据库发生变化时,主服务器会“通知”从服务器随时更新数据;

3)区域传送

  • 全量传送:axfr,传送整个数据库;
  • 增量传送:ixfr,仅传送变化的数据;

注意:区域(zone)和域(domain)的区别:
区域为物理概念,域为逻辑概念;
如bruce.com域包括正向解析库(FQDN--->IP)和反向解析(IP--->FQDN),每个解析库即为一个解析区域;

 

二、DNS服务器的类型

负责解析至少一个域:

  • 主DNS服务器
  • 辅助DNS服务器

不负责域解析:

  • 缓存DNS服务器

1)主-辅DNS服务器

  • 主DNS服务器:维护所负责解析的域数据库的那台服务器,读写操作均可进行;
  • 辅助DNS服务器:从主DNS服务器或其他的从DNS服务器那里“复制”一份解析库,但只能进行读操作;

2)“复制”操作的实现方式

  • 序列号:serial,也即是数据库的版本号;主服务器数据库内容发生变化时,其版本号递增;
  • 刷新时间间隔:refresh,从服务器每次到主服务器检查序列号更新状况;
  • 重试时间间隔:retry,从服务器从主服务器请求同步解析库失败时,再次发起尝试请求的时间间隔;
  • 过期时长:expire,从服务器始终联系不到主服务时,多久之后放弃从主服务器同步数据,并停止提供服务;
  • 否定答案的缓存时长:negative answer ttl;

注意:主服务器数据库发生变化时,主服务器会“通知”从服务器随时更新数据;

3)区域传送

  • 全量传送:axfr,传送整个数据库;
  • 增量传送:ixfr,仅传送变化的数据;

注意:区域(zone)和域(domain)的区别:
区域为物理概念,域为逻辑概念;
如bruce.com域包括正向解析库(FQDN--->IP)和反向解析(IP--->FQDN),每个解析库即为一个解析区域;

 

9,区域解析库:由众多RR组成:

资源记录:Resource Record, RR
记录类型:A, AAAA, PTR, SOA, NS, CNAME, MX

SOA:Start Of Authority,起始授权记录;一个区域解析库有且仅能有一个SOA记录,而必须为解析库的第一条记录;
A:internet Address,作用,FQDN --> IP
AAAA: FQDN --> IPv6
PTR: 反向解析 :PoinTeR,IP --> FQDN
NS: Name Server,专用于标明当前区域的DNS服务器
CNAME:Canonical Name,别名记录
MX: Mail eXchanger,邮件交换器

三、BIND 简介

BIND(Berkeley Internet Name Domain)是由伯克利大学研发的,是当前互联网上最长使用的DNS服务器软件,现在由ISC(Internet Systems Consortium)负责开发与维护;

三、BIND 简介

BIND(Berkeley Internet Name Domain)是由伯克利大学研发的,是当前互联网上最长使用的DNS服务器软件,现在由ISC(Internet Systems Consortium)负责开发与维护;

10,资源记录定义的格式:

语法:

name   [TTL]   IN  rr_type     value

注意:
(1) TTL可从全局继承;
(2) @可用于引用当前区域的名字;
(3) 同一个名字可以通过多条记录定义多个不同的值;此时DNS服务器会以轮询方式响应;
(4) 同一个值也可能有多个不同的定义名字;通过多个不同的名字指向同一个值进行定义;此仅表示通过多个不同的名字可以找到同一个主机而已;

1、bind 程序包

  • bind:提供dns server程序以及几个常用的测试程序;
  • bind-utils:bind客户端程序集,例如dig,host,nslookup等;
  • bind-libs:被bind和bind-utils包中的程序共同用到的库文件;
  • bind-chroot:选装,让named运行于jail模式下;

 注意: 

  • dns:协议;
  • bind:dns协议的一种软件实现 ;
  • named:bind程序运行的进程名;

bind 程序安装完成后,默认即可作为缓存名称服务器使用;

 

1、bind 程序包

  • bind:提供dns server程序以及几个常用的测试程序;
  • bind-utils:bind客户端程序集,例如dig,host,nslookup等;
  • bind-libs:被bind和bind-utils包中的程序共同用到的库文件;
  • bind-chroot:选装,让named运行于jail模式下;

 注意: 

  • dns:协议;
  • bind:dns协议的一种软件实现 ;
  • named:bind程序运行的进程名;

bind 程序安装完成后,默认即可作为缓存名称服务器使用;

 

2、bind 配置文件

2、bind 配置文件

1)bind 的主配置文件 /etc/named.conf

主配置文件格式:

  • 全局配置段 options {...} 
  • 日志配置段 logging {...}
  • 区域配置段 zone {...}:配置那些由本机负责解析的区域或转发的区域;

注意:每个配置语句必须以分号结尾;

1)bind 的主配置文件 /etc/named.conf

主配置文件格式:

  • 全局配置段 options {...} 
  • 日志配置段 logging {...}
  • 区域配置段 zone {...}:配置那些由本机负责解析的区域或转发的区域;

注意:每个配置语句必须以分号结尾;

2)bind 的区域解析库文件

bind 的解析库文件在 /var/named/ 目录下,一般文件名 ZONE_NAME.zone

注意:

a. 一台DNS服务器可以同时为多个区域提供解析;

b. 必须要有根区域解析库文件 named.ca
c. 还应该有localhost和127.0.0.1两个区域解析库文件,正向的为named.localhost,反向的为named.loopback

 

2)bind 的区域解析库文件

bind 的解析库文件在 /var/named/ 目录下,一般文件名 ZONE_NAME.zone

注意:

a. 一台DNS服务器可以同时为多个区域提供解析;

b. 必须要有根区域解析库文件 named.ca
c. 还应该有localhost和127.0.0.1两个区域解析库文件,正向的为named.localhost,反向的为named.loopback

 

3)资源记录(Resource Record,简称RR)

资源记录类型有:A、AAAA、PTR、SOA、NS、CNAME、MX;

  • SOA:Start Of Authority,起始授权记录;一个区域解析库有且只有一个SOA记录,且必须放在第一条;
  • NS:Name Service,域名服务记录;一个区域解析库可以有多个NS记录,其中一个为主记录;
  • A:Address,地址记录;FQDN--->IPv4;
  • AAAA:地址记录;FQDN--->IPv6;
  • CNAME:Canonical Name,别名记录;
  • PTR:Pointer;IP--->FQDN;
  • MX:Mail eXchanger,邮件交换器;有优先级,为0~99,数字越小优先级越高;

 

资源记录的定义格式:

name [TTL] IN RR_TYPE value

a. SOA

name:当前区域名称,例如“bruce.com.”或“2.3.4.in-addr.arpa.”;
value:有多部分组成:

  • 当前区域的区域名称,也可以使用主DNS服务器名称;
  • 当前区域管理员的邮箱地址,但地址中不能使用@符号,一般用.代替;
  • 主从服务协调属性的定义以及否定答案的TTL;

示例:

1 bruce.com.  86400  IN  SOA  bruce.com. admin.bruce.com.(
2             2017010801    ;seial
3             2H                  ;refresh
4             10M                ;retry
5             1W                 ;expire
6             1D                  ;negative answer ttl
7 )    

 

b. NS

name:当前区域的区域名称;
value:当前区域的某DNS服务器的名称,如ns.bruce.com.;

示例:

1 bruce.com. 86400 IN NS ns1.bruce.com.
2 bruce.com. 86400 IN NS ns2.bruce.com.

注意:一个区域可以有多个ns记录;

 

c. MX

name:当前区域的区域名称;
value:当前区域某邮件交换器的主机名;

示例:

1 bruce.com. IN MX 10 mx1.bruce.com.
2 bruce.com. IN MX 20 mx2.bruce.com.

注意:MX记录可以有多个,但每个记录的value之前应该有一个数字表示其优先级;

 

d. A

name:某FQDN,如www.bruce.com.;
value:某IPv4地址;

示例:

1 www.bruce.com. IN A 1.1.1.1
2 www.bruce.com. IN A 1.1.1.2
3 bbs.bruce.com. IN A 1.1.1.1

 

e. AAAA

name:FQDN;
value:IPv6;

 

f. PTR

name:IP地址,有特定格式,即IP地址反过来写,而且需加特定后缀;如1.2.3.4的记录应该写为4.3.2.1.in-addr.arpa.;
value:FQDN;

示例:

1 4.3.2.1.in-addr.arpa. IN PTR www.bruce.com.

 

g. CNAME

name:FQDN格式的别名;
value:FQDN格式的正式名称;
示例:

1 web.bruce.com. IN CNAME www.bruce.com.

 

注意:

  • TTL可以从全局继承;
  • @表示当前区域的名称;
  • 相邻的两条记录其name相同时,后面的可以省略;
  • 对于正向区域来说,各MX、NX等类型记录的value为FQDN,此FQDN应该有一个A记录;

 

3)资源记录(Resource Record,简称RR)

资源记录类型有:A、AAAA、PTR、SOA、NS、CNAME、MX;

  • SOA:Start Of Authority,起始授权记录;一个区域解析库有且只有一个SOA记录,且必须放在第一条;
  • NS:Name Service,域名服务记录;一个区域解析库可以有多个NS记录,其中一个为主记录;
  • A:Address,地址记录;FQDN--->IPv4;
  • AAAA:地址记录;FQDN--->IPv6;
  • CNAME:Canonical Name,别名记录;
  • PTR:Pointer;IP--->FQDN;
  • MX:Mail eXchanger,邮件交换器;有优先级,为0~99,数字越小优先级越高;

 

资源记录的定义格式:

name [TTL] IN RR_TYPE value

a. SOA

name:当前区域名称,例如“bruce.com.”或“2.3.4.in-addr.arpa.”;
value:有多部分组成:

  • 当前区域的区域名称,也可以使用主DNS服务器名称;
  • 当前区域管理员的邮箱地址,但地址中不能使用@符号,一般用.代替;
  • 主从服务协调属性的定义以及否定答案的TTL;

示例:

1 bruce.com.  86400  IN  SOA  bruce.com. admin.bruce.com.(
2             2017010801    ;seial
3             2H                  ;refresh
4             10M                ;retry
5             1W                 ;expire
6             1D                  ;negative answer ttl
7 )    

 

b. NS

name:当前区域的区域名称;
value:当前区域的某DNS服务器的名称,如ns.bruce.com.;

示例:

1 bruce.com. 86400 IN NS ns1.bruce.com.
2 bruce.com. 86400 IN NS ns2.bruce.com.

注意:一个区域可以有多个ns记录;

 

c. MX

name:当前区域的区域名称;
value:当前区域某邮件交换器的主机名;

示例:

1 bruce.com. IN MX 10 mx1.bruce.com.
2 bruce.com. IN MX 20 mx2.bruce.com.

注意:MX记录可以有多个,但每个记录的value之前应该有一个数字表示其优先级;

 

d. A

name:某FQDN,如www.bruce.com.;
value:某IPv4地址;

示例:

1 www.bruce.com. IN A 1.1.1.1
2 www.bruce.com. IN A 1.1.1.2
3 bbs.bruce.com. IN A 1.1.1.1

 

e. AAAA

name:FQDN;
value:IPv6;

 

f. PTR

name:IP地址,有特定格式,即IP地址反过来写,而且需加特定后缀;如1.2.3.4的记录应该写为4.3.2.1.in-addr.arpa.;
value:FQDN;

示例:

1 4.3.2.1.in-addr.arpa. IN PTR www.bruce.com.

 

g. CNAME

name:FQDN格式的别名;
value:FQDN格式的正式名称;
示例:

1 web.bruce.com. IN CNAME www.bruce.com.

 

注意:

  • TTL可以从全局继承;
  • @表示当前区域的名称;
  • 相邻的两条记录其name相同时,后面的可以省略;
  • 对于正向区域来说,各MX、NX等类型记录的value为FQDN,此FQDN应该有一个A记录;

 

四、DNS 工具

四、DNS 工具

1、DNS 排错工具

1)rndc
rndc工作在TCP的953端口,默认监听于127.0.0.1地址,因此仅允许本地使用;

1 rndc status
2 rndc flush
3 rndc reload

 

2)named-checkconf

1 named-checkconf [/etc/named.conf]

 

3)named-checkzone

1 named-checkzone [ZONE_NAME] [ZONE_FILE]

 

1、DNS 排错工具

1)rndc
rndc工作在TCP的953端口,默认监听于127.0.0.1地址,因此仅允许本地使用;

1 rndc status
2 rndc flush
3 rndc reload

 

2)named-checkconf

1 named-checkconf [/etc/named.conf]

 

3)named-checkzone

1 named-checkzone [ZONE_NAME] [ZONE_FILE]

 

2、DNS 测试工具

1)dig

注意:dig用于测试DNS系统,因此不会查询hosts文件;

 1 dig [query options] [-t RR_TYPE] name [@SERVER]
 2   query options:
 3          [no]trace:跟踪解析过程;
 4          [no]recurse:进行递归解析;
 5 
 6 dig -x IP
 7     反向解析测试
 8 
 9 dig -t axfr DOMAIN [@server]
10     模拟完全区域传送    

 

2)host

1 host [-t RR_TYPE] name [server]

 

3)nslookup

1 nslookup [options] [name] [server]
2 
3 交互模式
4 nslookup>
5     server IP:以指定IP为DNS服务器进行查询;
6     set q=RR_TYPE:要查询的资源记录类型;
7     name:要查询的名称;

 

澳门新萄京官方网站,2、DNS 测试工具

1)dig

注意:dig用于测试DNS系统,因此不会查询hosts文件;

 1 dig [query options] [-t RR_TYPE] name [@SERVER]
 2   query options:
 3          [no]trace:跟踪解析过程;
 4          [no]recurse:进行递归解析;
 5 
 6 dig -x IP
 7     反向解析测试
 8 
 9 dig -t axfr DOMAIN [@server]
10     模拟完全区域传送    

 

2)host

1 host [-t RR_TYPE] name [server]

 

3)nslookup

1 nslookup [options] [name] [server]
2 
3 交互模式
4 nslookup>
5     server IP:以指定IP为DNS服务器进行查询;
6     set q=RR_TYPE:要查询的资源记录类型;
7     name:要查询的名称;

 

本文由澳门新萄京官方网站发布于服务器运维,转载请注明出处:澳门新萄京官方网站:防止恶意攻击,服务器基

关键词: