一文详解DNS！

DNS&＃xff08;Domain Name System&＃xff09;&＃xff0c; 也叫网域名称系统&＃xff0c;是互联网的一项服务。它实质上是一个 域名 和 IP 相互映射的分布式数据库&＃xff0c;有了它&＃xff0c;我们就可以通过域名更方便的访问互联网。

DNS 有以下特点&＃xff1a;

• 分布式的

• 协议支持 TCP 和 UDP&＃xff0c;常用端口是 53

• 每一级域名的长度限制是 63

• 域名总长度限制是 253

那么&＃xff0c;什么情况下使用 TCP&＃xff0c;什么情况下使用 UDP 呢?

最早的时候&＃xff0c;DNS 的 UDP 报文上限大小是 512 字节&＃xff0c; 所以当某个 response 大小超过512 (返回信息太多)&＃xff0c;DNS 服务就会使用 TCP 协议来传输。后来 DNS 协议扩展了自己的UDP 协议&＃xff0c;DNS client 发出查询请求时&＃xff0c;可以指定自己能接收超过512字节的 UDP 包&＃xff0c; 这种情况下&＃xff0c;DNS 还是会使用 UDP 协议。

分层的数据库结构

DNS 的结构跟 Linux 文件系统很相似&＃xff0c;像一棵倒立的树。下面用站长之家的域名举例&＃xff1a;

最上面的.是根域名&＃xff0c;接着是顶级域名com&＃xff0c;再下来是站长之家域名 chinaz 依次类推。使用域名时&＃xff0c;从下而上。s.tool.chinaz.com. 就是一个完整的域名&＃xff0c;www.chinaz.com. 也是。

之所以设计这样复杂的树形结构&＃xff0c; 是为了防止名称冲突。这样一棵树结构&＃xff0c;当然可以存储在一台机器上&＃xff0c;但现实世界中完整的域名非常多&＃xff0c;并且每天都在新增、删除大量的域名&＃xff0c;存在一台机器上&＃xff0c;对单机器的存储性能就是不小的挑战。另外&＃xff0c;集中管理还有一个缺点就是管理不够灵活。可以想象一下&＃xff0c;每次新增、删除域名都需要向中央数据库申请是多么麻烦。所以现实中的 DNS 都是分布式存储的。

根域名服务器只管理顶级域&＃xff0c;同时把每个顶级域的管理委派给各个顶级域&＃xff0c;所以当你想要申请com下的二级域名时&＃xff0c;找 com 域名注册中心就好了。例如你申请了上图的 chinaz.com 二级域名&＃xff0c;chinaz.com 再向下的域名就归你管理了。当你管理 chinaz.com 的子域名时&＃xff0c;你可以搭建自己的 nameserver&＃xff0c;在 .com 注册中心把 chinaz.com 的管理权委派给自己搭建的nameserver。自建nameserver 和不自建的结构图如下:

一般情况下&＃xff0c;能不自建就不要自建&＃xff0c;因为维护一个高可用的 DNS 也并非容易。据我所知&＃xff0c;有两种情况需要搭建自己的 nameserver&＃xff1a;

1. 搭建对内的 DNS。公司内部机器众多&＃xff0c;通过 IP 相互访问太过凌乱&＃xff0c;这时可以搭建对内的 nameserver&＃xff0c;允许内部服务器通过域名互通

2. 公司对域名厂商提供的 nameserver 性能不满意。虽然顶级域名注册商都有自己的nameserver&＃xff0c;但注册商提供的 nameserver 并不专业&＃xff0c;在性能和稳定性上无法满足企业需求&＃xff0c;这时就需要企业搭建自己的高性能 nameserver&＃xff0c;比如增加智能解析功能&＃xff0c;让不同地域的用户访问最近的 IP&＃xff0c;以此来提高服务质量

概括一下 DNS 的分布式管理&＃xff0c; 当把一个域委派给一个nameserver后&＃xff0c;这个域下的管理权都交由此nameserver处理。这种设计一方面解决了存储压力&＃xff0c;另一方面提高了域名管理的灵活性 (这种结构像极了Linux File System, 可以把任何一个子目录挂载到另一个磁盘&＃xff0c;还可以把它下面的子目录继续挂载出去)

顶级域名

像 com 这样的顶级域名&＃xff0c;由 ICANN 严格控制&＃xff0c;是不允许随便创建的。顶级域名分两类:

• 通用顶级域名

• 国家顶级域名

通用顶级域名常见的如.com、.org、.edu等&＃xff0c; 国家顶级域名如我国的.cn&＃xff0c; 美国的.us。一般公司申请公网域名时&＃xff0c;如果是跨国产品&＃xff0c;应该选择通用顶级域名&＃xff1b;如果没有跨国业务&＃xff0c;看自己喜好&＃xff08;可以对比各家顶级域的服务、稳定性等再做选择&＃xff09;。这里说一下几个比较热的顶级域&＃xff0c;完整的顶级域参见维基百科。

me
me顶级域其实是国家域名&＃xff0c; 是黑山共和国的国家域名&＃xff0c;只不过它对个人开发申请&＃xff0c;所以很多个人博主就用它作为自己的博客域名&＃xff08;本博客也是这么来的~)

io
很多开源项目常用io做顶级域名&＃xff0c;它也是国家域名。因为io 与计算机中的 input/output 缩写相同&＃xff0c;和计算机的二机制10也很像&＃xff0c;给人一种geek的感觉。相较于.com域名&＃xff0c;.io下的资源很多&＃xff0c;更多选择。

DNS 解析流程

聊完了 DNS 的基本概念&＃xff0c;我们再来聊一聊 DNS 的解析流程。当我们通过浏览器或者应用程序访问互联网时&＃xff0c;都会先执行一遍 DNS 解析流程。标准 glibc 提供了 libresolv.so.2 动态库&＃xff0c;我们的应用程序就是用它进行域名解析&＃xff08;也叫 resolving&＃xff09;的&＃xff0c; 它还提供了一个配置文件/etc/nsswitch.conf 来控制 resolving 行为&＃xff0c;配置文件中最关键的是这行&＃xff1a;

hosts: files dns myhostname

它决定了 resolving 的顺序&＃xff0c;默认是先查找 hosts 文件&＃xff0c;如果没有匹配到&＃xff0c;再进行 DNS 解析。默认的解析流程如下图&＃xff1a;

上图主要描述了 client 端的解析流程&＃xff0c;我们可以看到最主要的是第四步请求本地 DNS 服务器去执行 resolving&＃xff0c;它会根据本地 DNS 服务器配置&＃xff0c;发送解析请求到递归解析服务器&＃xff08;稍后介绍什么是递归解析服务器)&＃xff0c; 本地 DNS 服务器在 /etc/resolv.conf 中配置。下面我们再来看看服务端的 resolving 流程&＃xff1a;

我们分析一下解析流程&＃xff1a;

1. 客户端向本地DNS服务器(递归解析服务器) 发出解析tool.chinaz.com域名的请求

2. 本地dns服务器查看缓存&＃xff0c;是否有缓存过tool.chinaz.com域名&＃xff0c;如果有直接返回给客户端&＃xff1b;

   如果没有执行下一步

3. 本地dns服务器向根域名服务器发送请求&＃xff0c;查询com顶级域的nameserver 地址

4. 拿到com域名的IP后&＃xff0c;再向com nameserver发送请求&＃xff0c;获取chinaz域名的nameserver地址

5. 继续请求 chinaz 的nameserver&＃xff0c;获取 tool 域名的地址&＃xff0c;最终得到了tool.chinaz.com 的 IP&＃xff0c;本地 dns 服务器把这个结果缓存起来&＃xff0c;以供下次查询快速返回

6. 本地dns服务器把把结果返回给客户端

递归解析服务器 vs 权威域名服务器

我们在解析流程中发现两类 DNS 服务器&＃xff0c;客户端直接访问的是 递归解析服务器&＃xff0c; 它在整个解析过程中也最忙。它的查询步骤是递归的&＃xff0c;从根域名服务器开始&＃xff0c;一直询问到目标域名。

递归解析服务器通过请求一级一级的权威域名服务器&＃xff0c;获得下一目标的地址&＃xff0c;直到找到目标域名的权威域名服务器

简单来说&＃xff1a;递归解析服务器是负责解析域名的&＃xff0c;权威域名服务器是负责存储域名记录的

递归解析服务器一般由 ISP 提供&＃xff0c;除此之外也有一些比较出名的公共递归解析服务器&＃xff0c; 如谷歌的 8.8.8.8&＃xff0c;联通的 114&＃xff0c;BAT 也都有推出公共递归解析服务器&＃xff0c;但性能最好的应该还是你的ISP提供的&＃xff0c;只是可能会有 DNS劫持的问题

缓存

由于整个解析过程非常复杂&＃xff0c;所以 DNS 通过缓存技术来实现服务的鲁棒性。当递归nameserver 解析过 tool.chianaz.com 域名后&＃xff0c;再次收到 tool.chinaz.com 查询时&＃xff0c;它不会再走一遍递归解析流程&＃xff0c;而是把上一次解析结果的缓存直接返回。并且它是分级缓存的&＃xff0c;也就是说&＃xff0c;当下次收到的是 www.chinaz.com 的查询时&＃xff0c; 由于这台递归解析服务器已经知道 chinaz.com 的权威 nameserver&＃xff0c;所以它只需要再向 chinaz.com nameserver 发送一个查询 www 的请求就可以了。

根域名服务器递归解析服务器是怎么知道根域名服务器的地址的呢&＃xff1f;根域名服务器的地址是固定的&＃xff0c;目前全球有13个根域名解析服务器&＃xff0c;这13条记录持久化在递归解析服务器中&＃xff1a;

为什么只有 13 个根域名服务器呢&＃xff0c;不是应该越多越好来做负载均衡吗&＃xff1f;之前说过 DNS 协议使用了 UDP 查询&＃xff0c; 由于 UDP 查询中能保证性能的最大长度是 512 字节&＃xff0c;要让所有根域名服务器数据能包含在512字节的UDP包中&＃xff0c; 根服务器只能限制在13个&＃xff0c; 而且每个服务器要使用字母表中单字母名

智能解析

智能解析&＃xff0c;就是当一个域名对应多个 IP 时&＃xff0c;当你查询这个域名的 IP&＃xff0c;会返回离你最近的 IP。

由于国内不同运营商之间的带宽很低&＃xff0c;所以电信用户访问联通的IP就是一个灾难&＃xff0c;而智能 DNS 解析就能解决这个问题。

智能解析依赖 EDNS 协议&＃xff0c;这是 google 起草的 DNS 扩展协议&＃xff0c; 修改比较简单&＃xff0c;就是在 DNS 包里面添加 origin client IP, 这样 nameserver 就能根据 client IP 返回距离 client 比较近的 server IP 了

国内最新支持 EDNS 的就是 DNSPod 了&＃xff0c;DNSPod 是国内比较流行的域名解析厂商&＃xff0c;很多公司会把域名利用DNSPod 加速&＃xff0c; 它已经被鹅厂收购

域名注册商

一般我们要注册域名&＃xff0c;都要需要找域名注册商&＃xff0c;比如说我想注册 hello.com&＃xff0c;那么我需要找com域名注册商注册hello域名。com的域名注册商不止一家&＃xff0c; 这些域名注册商也是从ICANN 拿到的注册权&＃xff0c; 参见如何申请成为.com域名注册商

那么&＃xff0c;域名注册商 和 权威域名解析服务器  有什么关系呢&＃xff1f;

域名注册商都会自建权威域名解析服务器&＃xff0c;比如你在狗爹上申请一个.com下的二级域名&＃xff0c;你并不需要搭建nameserver&＃xff0c; 直接在godaddy控制中心里管理你的域名指向就可以了&＃xff0c; 原因就是你新域名的权威域名服务器默认由域名注册商提供。当然你也可以更换&＃xff0c;比如从godaddy申请的境外域名&＃xff0c;把权威域名服务器改成DNSPod&＃xff0c;一方面加快国内解析速度&＃xff0c;另一方面还能享受DNSPod 提供的智能解析功能

用 bind 搭建域名解析服务器

由于网上介绍bind搭建的文章实在太多了&＃xff0c;我就不再赘述了&＃xff0c; 喜欢动手的朋友可以网上搜一搜搭建教程&＃xff0c;一步步搭建一个本地的nameserver 玩一玩。这里主要介绍一下bind 的配置文件吧

bind 的配置文件分两部分: bind配置文件 和 zone配置文件

bind 配置文件

bind 配置文件位于 /etc/named.conf&＃xff0c;它主要负责 bind 功能配置&＃xff0c;如 zone 路径、日志、安全、主从等配置

其中最主要的是添加zone的配置以及指定zone配置文件。recursion 开启递归解析功能&＃xff0c; 这个如果是no&＃xff0c; 那么此bind服务只能做权威解析服务&＃xff0c;当你的bind服务对外时&＃xff0c;打开它会有安全风险&＃xff0c;如何防御不当&＃xff0c;会让你的nameserver 被hacker 用来做肉鸡

zone 配置文件

zone 的配置文件在 bind 配置文件中指定&＃xff0c;下图是一份简单的 zone 配置&＃xff1a;

zone的配置是 nameserver 的核心配置&＃xff0c; 它指定了 DNS 资源记录&＃xff0c;如 SOA、A、CNAME、AAAA 等记录&＃xff0c;各种记录的概念网上资料太多&＃xff0c;我这里就不重复了。其中主要讲一下 SOA 和 CNAME 的作用。

SOA记录

SOA 记录表示此域名的权威解析服务器地址。上文讲了权威解析服务器和递归解析服务器的差别&＃xff0c; 当所有递归解析服务器中有没你域名解析的缓存时&＃xff0c;它们就会回源来请求此域名的SOA记录&＃xff0c;也叫权威解析记录

CNAME

CNAME 的概念很像别名&＃xff0c;它的处理逻辑也如此。一个server 执行resloving 时&＃xff0c;发现 name 是一个 CNAME&＃xff0c; 它会转而查询这个 CNAME 的A记录。一般来说&＃xff0c;能使用CNAME的地方都可以用A记录代替&＃xff0c; 那么为什么还要发明 CNAME 这样一个东西呢&＃xff1f;它是让多个域名指向同一个 IP 的一种快捷手段&＃xff0c; 这样当最低层的 CNAME 对应的IP换了之后&＃xff0c;上层的 CNAME 不用做任何改动。就像我们代码中的硬编码&＃xff0c;我们总会去掉这些硬编码&＃xff0c;用一个变量来表示&＃xff0c;这样当这个变量变化时&＃xff0c;我们只需要修改一处

配置完之后可以用 named-checkconf 和 named-checkzone 两个命令来check我们的配置文件有没有问题&＃xff0c; 之后就可以启动 bind 服务了&＃xff1a;

$> service named startRedirecting to /bin/systemctl restart named.service

我们用 netstat -ntlp 来检查一下服务是否启动:

53 端口已启动&＃xff0c;那么我们测试一下效果&＃xff0c; 用 dig 解析一下 www.hello.com 域名&＃xff0c;使用127.0.0.1 作为递归解析服务器

我们看到 dig 的结果跟我们配置文件中配置的一样是 1.2.3.4&＃xff0c;DNS 完成了它的使命&＃xff0c;根据域名获取到 IP&＃xff0c;但我们这里用来做示范的IP明显是个假IP:)

用 DNS 实现负载均衡

一个域名添加多条A记录&＃xff0c;解析时使用轮询的方式返回随机一条&＃xff0c;流量将会均匀分类到多个A记录。

www IN A 1.2.3.4www IN A 1.2.3.5

上面的配置中&＃xff0c;我们给 www 域添加了两条A记录&＃xff0c; 这种做法叫 multi-homed hosts&＃xff0c; 它的效果是&＃xff1a;当我们请求 nameserver 解析 www.hello.com 域名时&＃xff0c;返回的IP会在两个IP中轮转&＃xff08;默认行为&＃xff0c;有些智能解析 DNS 会根据 IP 判断&＃xff0c;返回一个离client近的IP&＃xff0c;距离 请搜索 DNS 智能解析&＃xff09;。

其实每次DNS解析请求时&＃xff0c;nameserver都会返回全部IP&＃xff0c;如上面配置&＃xff0c;它会把1.2.3.4 和1.2.3.5 都返回给client端。那么它是怎么实现RR的呢&＃xff1f;nameserver 只是每次返回的IP排序不同&＃xff0c;客户端会把response里的第一个IP用来发请求。

DNS负载均衡 vs LVS专业负载均衡

和 LVS 这种专业负载均衡工具相比&＃xff0c;在DNS层做负载均衡有以下特点:

1. 实现非常简单

2. 默认只能通过RR方式调度

3. DNS 对后端服务不具备健康检查

4. DNS 故障恢复时间比较长&＃xff08;DNS 服务之间有缓存&＃xff09;

5. 可负载的 rs 数量有限&＃xff08;受 DNS response 包大小限制)

真实场景中&＃xff0c;还需要根据需求选择相应的负载均衡策略

子域授权

我们从 .com 域下申请一个二级域名 hello.com 后&＃xff0c; 发展到某一天我们的公司扩大了&＃xff0c;需要拆分两个事业部A和B&＃xff0c; 并且公司给他们都分配了三级域名  a.hello.com 和 b.hello.com&＃xff0c; 域名结构如下图&＃xff1a;

再发展一段时间&＃xff0c;A部门和B部门内部业务太多&＃xff0c;需要频繁的为新产品申请域名&＃xff0c; 这个时候他们就想搭建自己的 namserver&＃xff0c;并且需要上一级把相应的域名管理权交给自己&＃xff0c;他们期望的结构如下&＃xff1a;

注意第一阶段和第二阶段的区别&＃xff1a;第一阶段&＃xff0c;A 部门想申请 a.hello.com 下的子域名&＃xff0c;需要向上级申请&＃xff0c;整个 a.hello.com 域的管理都在总公司&＃xff1b;第二阶段&＃xff0c;A 部门先自己搭建 nameserver&＃xff0c;然后总公司把 a.hello.com 域管理权转交给自建的 nameserver&＃xff0c; 这个转交管理权的行为&＃xff0c;就叫子域授权

子域授权分两部操作:

1. A部门自建 nameserver&＃xff0c;并且在 zone 配置文件中指定 a.hello.com 的权威解析服务器为自己的 nameserver 地址

2. 总公司在 nameserver 上增加一条 NS 记录&＃xff0c; 把 a.hello.com 域授权给 A 部门的 nameserver

第一步我们在用 bind 搭建域名解析服务器里讲过&＃xff0c; 只要在 zone 配置文件里指定SOA记录就好:

&＃64; IN SOA ns.a.hello.com admin.a.hello.com. (……)

第二步&＃xff0c;在 hello.com 域的 nameserver 上添加一条NS记录:

a.hello.com IN NS ns.a.hello.comns.a.hello.com IN A xx.xx.xx.xx (自建nameserver的IP)

这样当解析 xx.a.hello.com 域名时&＃xff0c;hello.com nameserver 发现配置中有 NS 记录&＃xff0c;就会继续递归向下解析

DNS 调试工具

OPS 常用的 DNS 调试工具有&＃xff1a;host&＃xff0c;nslookup&＃xff0c;dig

这三个命令都属于 bind-utils 包&＃xff0c; 也就是 bind 工具集&＃xff0c;它们的使用复杂度、功能 依次递增。关于它们的使用&＃xff0c; man 手册和网上有太多教程&＃xff0c;这里简单分析一下dig命令的输出吧&＃xff1a;

dig 的参数非常多&＃xff0c; 功能也很多&＃xff0c;详细使用方法大家自行man吧

其他

DNS 放大攻击

DNS 放大攻击属于DoS攻击的一种&＃xff0c;是通过大量流量占满目标机带宽&＃xff0c; 使得目标机对正常用户的请求拒绝连接从而挂掉。

思路

正常的流量攻击&＃xff0c;hack 机向目标机建立大量 request-response&＃xff0c;但这样存在的问题是需要大量的 hack 机器。因为服务器一般的带宽远大于家用网络&＃xff0c; 如果我们自己的家用机用来做 hack 机器&＃xff0c;还没等目标机的带宽占满&＃xff0c;我们的带宽早超载了。

原理

DNS 递归解析的流程比较特殊&＃xff0c; 我们可以通过几个字节的 query 请求&＃xff0c;换来几百甚至几千字节的 resolving 应答&＃xff08;流量放大&＃xff09;&＃xff0c; 并且大部分服务器不会对DNS服务器做防御。那么 hacker 们只要可以伪装 DNS query 包的 source IP&＃xff0c; 从而让 DNS 服务器发送大量的 response 到目标机&＃xff0c;就可以实现 DoS 攻击。

但一般常用的 DNS 服务器都会对攻击请求做过滤&＃xff0c;所以找 DNS 服务器漏洞也是一个问题。详细的放大攻击方法大家有兴趣自行 google 吧&＃xff0c;这里只做一个简单介绍 :)

作者&＃xff1a;多米诺
链接&＃xff1a;https://juejin.cn/post/6844903497494855687

更多推荐

100 道 Linux 常见面试题&＃xff0c;建议收藏&＃xff0c;慢慢读~

7个步骤&＃xff0c;教你搞懂 K8S 网络之 Flannel 工作原理

6 张图带你搞懂 TCP 为什么是三次握手&＃xff0c;而不是两次或四次&＃xff1f;

5分钟详解什么是Redis&＃xff1f;

15款免费的Wi-Fi安全测试工具

7款最好用的网络监控工具

二十八种未授权访问漏洞合集