DNS部署与安全

DNS部署与安全

域名

1.在www.example.com. 中

  • 末尾的点为根域,通常不在浏览器或网络中显示,根域在DNS查询过程中非常重要,是所有完全限定域名的最高层级。

  • .com是顶级域,通常表明网站的性质或地域。(.com代表商业组织,.org代表非盈利组织,.edu代表教育部门,.gov代表政府部门,.net代表网络服务机构,.mil代表军事部门,还有各种代表各个国家的)

  • .example是二级域名,通常是代表公司或组织的名称。

  • www是子域,常用于指向网站的主服务器或特定服务器。

域名服务器

  • 所有的根域名服务器都知道所有的顶级域名服务器的IP地址。

无论哪个本地域名服务器,若要对因特网上任何一个域名进行解析,只要自己无法解析,就要首先求助根域名服务器,但根域名服务器不会直接解析,而是告诉本地服务器下一步应该找谁去查询。

  • 顶级域名服务器管理在该域名服务器注册的所有二级域名,收到DNS请求时,就给出相应的回答,有可能是结果,也可能是下一步应该查找的域名服务器的IP。

  • 每台主机都要在授权域名服务器中登记(一台主机最好至少有两个域名授权服务器),许多域名服务器都同时充当本地域名服务器和授权域名服务器。他能够将他管辖的主机名转化为该主机的IP地址。

  • 本地域名服务器也很重要,当一台主机发送DNS查询申请时,这个查询报文就发给该主机的本地域名服务器,本地连接中的DNS地址就是本地DNS的地址。

权威服务器

负责管理并提供特定域名的最终解析信息的服务器。对于域名有权威解释权,能返回域名准确的信息。

  1. 权威性:权威服务器拥有特定域名的权威数据,它存储了域名的所有资源记录。客户端发起查询时,他提供的是最终的、权威的解析结果。
  2. 响应查询:当递归DNS服务器无法解析域名时,会向权威服务器发送请求,他会查找本地存贮的数据,返回相关的解析结果。
  3. 维护域名记录:权威服务器是由域名持有者(如网站管理员或服务提供商)进行配置和维护的。存储的是域名所有者指定的资源记录。
类型

主权威服务器和从权威服务器:从会同步主的数据,提供与主相同的解析结果,但一般作为备份使用。

域名解析过程

  1. 客户端请求:客户端向服务器发送解析请求

  2. 查看host文件:操作系统先查看host文件是否有网址映射,若有,则返回IP地址映射。

  3. 本地DNS缓存:若没有,则查找本地DNS解析器缓存,是否有网址映射,若有,则返回IP地址映射。

  4. 本地DNS服务器:若没有,则找本地DNS服务器,若要查询的域名在本地配置区域资源中,则返回解析结果给客户机,此解析具有权威性。若域名不再本地区域解析,但服务器缓存了此网址映射关系,就调用,返回IP,该解析不具权威性。

  5. DNS服务器解析:上述失败,则继续

    未用转发模式:本地DNS就把请求发至“根DNS服务器”,“根DNS服务器”收到请求后会判断这个域名(.com)是谁来授权管理,并会返回⼀个负责该顶级域名服务器的⼀个IP。 DNS服务器收到消息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析, 它就会找⼀个管理.com域的下⼀级DNS服务器地址(example.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找example.com域服务器,重复上面的动作,进行查询,直至找到www.example.com主机。

    用转发模式,此DNS服务器就会把请求转发至上⼀级DNS服务器,由上⼀级服务器进行解析,上⼀级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。

    不管是本地DNS服务器是否转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。

主机向本地域名服务器的查询采用的是递归查询

本地域名服务器向根域名服务器的查询采用迭代查询

工具和命令

nslookup
nslookup example.com  \\查找域名的IP地址
nslookup example.com 8.8.8.8   \\指定服务器来查询域名的IP
nslookup 192.168.8.8   \\反向查找

ipconfig /flushdns      \\清除DNS解析缓存

DNS端口号

通常使用UDP进行通信,DNS查询使用UDP端口53进行。

当响应的数据包大于512字节区域传输时,用TCP来进行

资源记录类型有A记录(IPv4地址)AAAA记录(IPV6地址)、MX记录(邮件服务器)、NS记录(指定DNS服务器对特定区域负责)、CNAME记录(创建别名)、PTR记录(反向DNS查询)、SRV记录(定义服务的特定端口和协议)、TXT记录(允许管理员向域名中添加特定文本)、SOA记录(标识该DNS区域的权威信息,包括主名称服务器、负责人电子邮件、序列号、刷新时间、重试时间、过期时间、最小TTL)

区域类型

  • 主要区域:这种类型的区域包含了完整的DNS记录,并且所有的更改(如添加、删除、修改DNS记录)都在这个区域进行,在主要区域中,DNS服务器被称为“主服务器”
  • 辅助区域:作为主要区域的备份,提供冗余和提高可用性,不可直接修改数据。
  • 存根区域:只包含关键的权威服务器信息,用于帮助解析外部域的查询,提高DNS解析的效率和管理跨组织的DNS操作。

主要特征和组件

  1. 数字签名:DNSSEC 使用公钥加密技术来签名DNS区域中的数据。当DNS数据传输时,接收方可以验证这些签名,确保数据的完整性和真实性。
  2. RRSIG记录:资源记录签名,与其他记录一起发送,提供对这些记录的验证。
  3. DNSKEY记录:包含用于签名的公钥。
  4. DS记录:在父区域和子区域之间建立信任链,确保不同级别可以安全传递验证信息。
  5. NSEC和NSEC3记录:提供了域中存在的所有记类型录的证明,并帮助处理DNS查找的否定响应。