5分钟教你搞懂 DNS
DNS也叫网域名称系统,是互联网的一项服务。它实质上是一个域名和IP相互映射的分布式数据库,有了它,我们就可以通过域名更方便的访问互联网。
DNS特点有分布式的,协议支持TCP和UDP,常用端口是53,每一级域名的长度限制是63,域名总长度限制是253。
最早的时候,DNS的UDP报文上限大小是512字节,所以当某个response大小超过512(返回信息太多),DNS服务就会使用TCP协议来传输。后来DNS协议扩展了自己的UDP协议,DNS client发出查询请求时,可以指定自己能接收超过512字节的UDP包,这种情况下,DNS还是会使用UDP协议。
分层的数据库结构:
DNS的结构跟Linux文件系统很相似,像一棵倒立的树。下面用站长之家的域名举例:最上面的是根域名,接着是顶级域名,再下来是站长之家域名chinaz依次类推。使用域名时,从下而上。stoolchinaz就是一个完整的域名,wwwchinaz也是。
之所以设计这样复杂的树形结构,是为了防止名称冲突。这样一棵树结构,当然可以存储在一台机器上,但现实世界中完整的域名非常多,并且每天都在新增、删除大量的域名,存在一台机器上,对单机器的存储性能就是不小的挑战。
另外,集中管理还有一个缺点就是管理不够灵活。可以想象一下,每次新增、删除域名都需要向中央数据库申请是多么麻烦。所以现实中的DNS都是分布式存储的。
根域名服务器只管理顶级域,同时把每个顶级域的管理委派给各个顶级域,所以当你想要申请下的二级域名时,找域名注册中心就好了。二级域名,再向下的域名就归你管理了。
当你管理http://chinaz的子域名时,你可以搭建自己的nameserver,在注册中心把//chinaz的管理权委派给自己搭建的nameserver。自建nameserver和不自建的结构图如下:
一般情况下,能不自建就不要自建,因为维护一个高可用的DNS也并非容易。据我所知,有两种情况需要搭建自己的nameserver:
搭建对内的DNS。公司内部机器众多,通过ip相互访问太过凌乱,这时可以搭建对内的nameserver,允许内部服务器通过域名互通。公司对域名厂商提供的nameserver性能不满意。
虽然顶级域名注册商都有自己的nameserver,但注册商提供的nameserver并不专业,在性能和稳定性上无法满足企业需求,这时就需要企业搭建自己的高性能nameserver,比如增加智能解析功能,让不同地域的用户访问最近的IP,以此来提高服务质量。
概括一下DNS的分布式管理,当把一个域委派给一个nameserver后,这个域下的管理权都交由此nameserver处理。这种设计一方面解决了存储压力,另一方面提高了域名管理的灵活性。
顶级域名像这样的顶级域名,由ICANN严格控制,是不允许随便创建的。顶级域名分两类:通用顶级域名,国家顶级域名。
通用顶级域名常见的如、org、edu等,国家顶级域名如我国的cn,美国的us。一般公司申请公网域名时,如果是跨国产品,应该选择通用顶级域名。
如果没有跨国业务,看自己喜好(可以对比各家顶级域的服务、稳定性等再做选择)。这里说一下几个比较热的顶级域,完整的顶级域参见维基百科。
meme顶级域其实是国家域名,是黑山共和国的国家域名,只不过它对个人开发申请,所以很多个人博主就用它作为自己的博客域名。
io很多开源项目常用io做顶级域名,它也是国家域名。因为io与计算机中的input/output缩写相同,和计算机的二机制10也很像,给人一种geek的感觉。相较于域名,io下的资源很多,更多选择。
DNS解析流程:
聊完了DNS的基本概念,我们再来聊一聊DNS的解析流程。当我们通过浏览器或者应用程序访问互联网时,都会先执行一遍DNS解析流程。
标准glibc提供了libresolvso2动态库,我们的应用程序就是用它进行域名解析(也叫resolving)的,它还提供了一个配置文件/etc/nsswitchconf来控制resolving行为,配置文件中最关键的是这行:
hosts:files dns myhostname。
它决定了resolving的顺序,默认是先查找hosts文件,如果没有匹配到,再进行DNS解析。默认的解析流程如下图:
上图主要描述了client端的解析流程,我们可以看到最主要的是第四步请求本地DNS服务器去执行resolving,它会根据本地DNS服务器配置,发送解析请求到递归解析服务器(稍后介绍什么是递归解析服务器),本地DNS服务器在/etc/resolvconf中配置。下面我们再来看看服务端的resolving流程:
我们分析一下解析流程:
客户端向本地DNS服务器(递归解析服务器)发出解析//toolchinaz域名的请求,本地dns服务器查看缓存,是否有缓存过//toolchinaz域名,如果有直接返回给客户端;如果没有执行下一步。
本地dns服务器向根域名服务器发送请求,查询顶级域的nameserver地址,拿到域名的IP后,再向 nameserver发送请求,获取chinaz域名的nameserver地址。
继续请求chinaz的nameserver,获取tool域名的地址,最终得到了//toolchinaz的IP,本地dns服务器把这个结果缓存起来,以供下次查询快速返回。
本地dns服务器把把结果返回给客户端,递归解析服务器vs权威域名服务器,我们在解析流程中发现两类DNS服务器,客户端直接访问的是递归解析服务器,它在整个解析过程中也最忙。它的查询步骤是递归的,从根域名服务器开始,一直询问到目标域名。
递归解析服务器通过请求一级一级的权威域名服务器,获得下一目标的地址,直到找到目标域名的权威域名服务器,简单来说:递归解析服务器是负责解析域名的,权威域名服务器,是负责存储域名记录的。
递归解析服务器一般由ISP提供,除此之外也有一些比较出名的公共递归解析服务器,如谷歌的8888,联通的114,BAT也都有推出公共递归解析服务器,但性能最好的应该还是你的ISP提供的,只是可能会有DNS劫持的问题。
缓存,由于整个解析过程非常复杂,所以DNS通过缓存技术来实现服务的鲁棒性。当递归nameserver解析过//toolchianaz域名后,再次收到//toolchinaz查询时,它不会再走一遍递归解析流程,而是把上一次解析结果的缓存直接返回。
并且它是分级缓存的,也就是说,当下次收到的是//wwwchinaz的查询时,由于这台递归解析服务器已经知道//chinaz的权威nameserver,所以它只需要再向//chinaz nameserver发送一个查询www的请求就可以了。
根域名服务器的地址是固定的,目前全球有13个根域名解析服务器,这13条记录持久化在递归解析服务器中:
为什么只有13个根域名服务器呢,不是应该越多越好来做负载均衡吗?之前说过DNS协议使用了UDP查询,由于UDP查询中能保证性能的最大长度是512字节,要让所有根域名服务器数据能包含在512字节的UDP包中,根服务器只能限制在13个,而且每个服务器要使用字母表中单字母名。
智能解析,就是当一个域名对应多个IP时,当你查询这个域名的IP,会返回离你最近的IP。由于国内不同运营商之间的带宽很低,所以电信用户访问联通的IP就是一个灾难,而智能DNS解析就能解决这个问题。
智能解析依赖EDNS协议,这是google起草的DNS扩展协议,修改比较简单,就是在DNS包里面添加origin client IP,这样nameserver就能根据client IP返回距离client比较近的server IP了。
国内最新支持EDNS的就是DNSPod了,DNSPod是国内比较流行的域名解析厂商,很多公司会把域名利用DNSPod加速。
一般我们要注册域名,都要需要找域名注册商,比如说我想注册//hello,那么我需要找域名注册商注册hello域名。的域名注册商不止一家,这些域名注册商也是从ICANN拿到的注册权,参见如何申请成为域名注册商。
域名注册商都会自建权威域名解析服务器,比如你在狗爹上申请一个下的二级域名,你并不需要搭建nameserver,直接在godaddy控制中心里管理你的域名指向就可以了,原因就是你新域名的权威域名服务器默认由域名注册商提供。
当然你也可以更换,比如从godaddy申请的境外域名,把权威域名服务器改成DNSPod,一方面加快国内解析速度,另一方面还能享受DNSPod提供的智能解析功能。
用bind搭建域名解析服务器,由于网上介绍bind搭建的文章实在太多了,我就不再赘述了,喜欢动手的朋友可以网上搜一搜搭建教程,一步步搭建一个本地的nameserver玩一玩。这里主要介绍一下bind的配置文件吧。
bind的配置文件分两部分,bind配置文件和zone配置文件,bind配置文件位于/etc/namedconf,它主要负责bind功能配置,如zone路径、日志、安全、主从等配置其中最主要的是添加zone的配置以及指定zone配置文件。
开启递归解析功能,这个如果是no,那么此bind服务只能做权威解析服务,当你的bind服务对外时,打开它会有安全风险,如何防御不当,会让你的nameserver被hacker用来做肉鸡zone的配置文件在bind配置文件中指定,下图是一份简单的zone配置:
zone的配置是nameserver的核心配置,它指定了DNS资源记录,如SOA、A、CNAME、AAAA等记录,各种记录的概念网上资料太多,我这里就不重复了。其中主要讲一下SOA和CNAME的作用。
SOA记录表示此域名的权威解析服务器地址。上文讲了权威解析服务器和递归解析服务器的差别,当所有递归解析服务器中有没你域名解析的缓存时,它们就会回源来请求此域名的SOA记录,也叫权威解析记录。
CNAME的概念很像别名,它的处理逻辑也如此。一个server执行resloving时,发现name是一个CNAME,它会转而查询这个CNAME的A记录。一般来说,能使用CNAME的地方都可以用A记录代替,它是让多个域名指向同一个IP的一种快捷手段。
这样当最低层的CNAME对应的IP换了之后,上层的CNAME不用做任何改动。就像我们代码中的硬编码,我们总会去掉这些硬编码,用一个变量来表示,这样当这个变量变化时,我们只需要修改一处。
配置完之后可以用named-checkconf和named-checkzone。两个命令来check我们的配置文件有没有问题,之后就可以启动bind服务了:$>service named start,Redirecting to/bin/systemctl restart namedservice。
我们用netstat-ntlp,来检查一下服务是否启动,53端口已启动,那么我们测试一下效果,用dig解析一下域名,使用127001作为递归解析服务器。
我们看到dig的结果跟我们配置文件中配置的一样是1234,DNS完成了它的使命,根据域名获取到IP。用DNS实现负载均衡,一个域名添加多条A记录,解析时使用轮询的方式返回随机一条,流量将会均匀分类到多个A记录。www IN A1234,www IN A1235。
其实每次DNS解析请求时,nameserver都会返回全部IP,如上面配置,它会把1234和1235都返回给client端。那么它是怎么实现RR的呢?nameserver只是每次返回的IP排序不同,客户端会把response里的第一个IP用来发请求。DNS负载均衡vs LVS专业负载均衡。
和LVS这种专业负载均衡工具相比,在DNS层做负载均衡有以下特点:实现非常简单,默认只能通过RR方式调度,DNS对后端服务不具备健康检查。
DNS故障恢复时间比较长(DNS服务之间有缓存),可负载的rs数量有限(受DNS response包大小限制),真实场景中,还需要根据需求选择相应的负载均衡策略子域授权。
我们从域下申请一个二级域名http://hello后,发展到某一天我们的公司扩大了,需要拆分两个事业部A和B,并且公司给他们都分配了三级域名ahello和bhello,域名结构如下图:
再发展一段时间,A部门和B部门内部业务太多,需要频繁的为新产品申请域名,这个时候他们就想搭建自己的namserver,并且需要上一级把相应的域名管理权交给自己,他们期望的结构如下:
注意第一阶段和第二阶段的区别:第一阶段,A部门想申请//ahello下的子域名,需要向上级申请,整个//ahello域的管理都在总公司;第二阶段,A部门先自己搭建nameserver,然后总公司把http://ahello域管理权转交给自建的nameserver。
A部门自建nameserver,并且在zone配置文件中指定//ahello的权威解析服务器为自己的nameserver地址,总公司在nameserver上增加一条NS记录,把//ahello域授权给A部门的nameserver。
我们在用bind搭建域名解析服务器里讲过,只要在zone配置文件里指定SOA记录就好:@IN SOA nsahello adminahello(……)。
在http://hello域的nameserver上添加一条NS记录:ahello IN NS nsahellonsahello IN A xxxxxxxx(自建nameserver的IP)。
这样当解析http://xxahello域名时,//hello nameserver发现配置中有NS记录,就会继续递归向下解析,DNS调试工具,OPS常用的DNS调试工具有:host,nslookup,dig。
这三个命令都属于bind-utils包,也就是bind工具集,它们的使用复杂度、功能依次递增。关于它们的使用,man手册和网上有太多教程。DNS放大攻击属于DoS攻击的一种,是通过大量流量占满目标机带宽,使得目标机对正常用户的请求拒绝连接从而挂掉。
思路正常的流量攻击,hack机向目标机建立大量request-response,但这样存在的问题是需要大量的hack机器。因为服务器一般的带宽远大于家用网络,如果我们自己的家用机用来做hack机器,还没等目标机的带宽占满,我们的带宽早超载了。
原理DNS递归解析的流程比较特殊,我们可以通过几个字节的query请求,换来几百甚至几千字节的resolving应答(流量放大),并且大部分服务器不会对DNS服务器做防御。
那么hacker们只要可以伪装DNS query包的source IP,从而让DNS服务器发送大量的response到目标机,就可以实现DoS攻击。
但一般常用的DNS服务器都会对攻击请求做过滤,所以找DNS服务器漏洞也是一个问题。详细的放大攻击方法自行google。
lnternet的地址是用数字来表示的,称为IP地址。连到internet上的每台计算机都有一个唯一的IP地址。IP地址含4个字节,32个二进制位。在书写时,通常每个字节用十进制表示,而每个字节之间用小黑点“”来分开。例如:IP地址可以是128510或351748。IP地址共分为5类:A类,B类,C类,D类和E类。大量使用的仅为A,B,C3类。A类地址中第一个字节表示网络地址,而后3个字节表示网络内计算机的地址;B类地址中的前两位地址表示网络地址,后2位表示网络内计算机的地址;C类地址中的前三位地址表示网络地址,后1位表示网络内计算机的地址;A类地址用于非常巨大的计算机网络,B类地址次之,C类地址则用于小网络。现在已经在考虑新的IP协议,包括新的编址方法(如IPV6协议)。因为接入INTERNET的某台计算机要和另位一台计算机通芯就必须确切的知道对方的IP地址。人们要记住这么多枯燥的数字不是容易的事,所以人们习惯用字母来表示计算机名字。INTERNET上的每台计算机都必须具有唯一的名字才能区分开来,因此,INTERNET上的计算机名通常由许多域构成,域间也用小黑点“”分隔。例如,例如:vacuumwebcceuede可能表示美国电子大学计算机中心的一台名叫vacuumweb的计算机,而中国清华大学电子工程系可能也有名叫vacuumweb的计算机,但它的全字则为vacuumwebeetsinghuaeducn。这种名字也称为域名(domainname)域名中的最后一个域有约定,可以区分组织或机构的性质。常用的有:edu教育机构com商业机构mil军事部门gov政府机关org其他机构在美国,通常就同它们作为最后一个域。而在美国以外的其他国家和地区,则用标准化的两个字母的代码来作为最后一个域,如cn表示中国,hk表示中国的香港地区等。名字仅是为了帮助人们便于记主和输入网址使用的,在IP分组中使用的还是IP地址。在INTERNET中的许多称为域名服务器(DNS,dimainnameserver)的系统可以帮助用户自动地从域名来找到其相应地址。当某个本地域名服务器找不到相应地址时还会与其他的域名服务器联系来进行查找,而这个操作对用户是透明的。通常采用TCP/IP协议组中ARP协议和RARP协议进一步进行IP地址与主机(网卡)物理地址的转换。
当然不能。第一方面,美国国内的10个DNS服务器虽然对于13各DNS服务器来说所占的比例很大,但是脱离在美国的10台DNS后,另外的3台DNS服务器也是可以工作的,这三台也同样可以将世界各国网络连接起来,并不可以切断任意国家的互联网。
第二方面,DNS是将各个IP地址解析成名字然后在世界网络连接。如果美国可以切断所有的DNS,这只会让各国的网络系统成为独立的部分,使世界各国不能相互联系,并不会影响各国内部的互联网运行连接。虽然美国境内有10台DNS,也完全不会影响到各国内部的互联网。
第三方面,虽然美国有大部分的DNS服务器,可以说是对DNS这个行业垄断了。但是每个国家都不会完全依赖于美国的DNS,不会将自己国家的一个十分重要的部分交给一个狡猾的国家,每个国家都会自主研发自己的互联网连接系统,保护自己国家的机密和互联网安全。
第四方面,互联网时代是各个国家的经济发展都变得迅速,互联网加强了国际间的合作,使世界各国的经济紧密联系。如果互联网被切断,世界经济就会遭受重创,美国也不会例外,他们没有办法承受和承担这个后果,所以于美国于世界各国,他都不会切断DNS服务器。
第五方面,美国内的10台DNS服务器虽然说是处于美国,听上去像是被美国操控的,但是事实上这个项目并没有被美国掌控。而是美国签订了协议让国际上的机构进行管理,这个庞大重要的项目早就不属于美国掌控了。因此,美国根本不能够切断任意国家的互联网。
0条评论