第四章:DNS服務(wù)全攻略(一基礎(chǔ))內(nèi)容簡(jiǎn)介 DNS 的概述 DNS 服務(wù)的安裝DNS 常見(jiàn)名詞DNS 配置文件詳解配置主要DNS 服務(wù)案例詳解DNS 域名系統(tǒng)的簡(jiǎn)介網(wǎng)絡(luò)中為了區(qū)別各個(gè)主機(jī)，必須為每

第四章:DNS服務(wù)全攻略(一基礎(chǔ))

內(nèi)容簡(jiǎn)介 DNS 的概述 DNS 服務(wù)的安裝

DNS 常見(jiàn)名詞

DNS 配置文件詳解

配置主要DNS 服務(wù)

案例詳解

DNS 域名系統(tǒng)的簡(jiǎn)介

網(wǎng)絡(luò)中為了區(qū)別各個(gè)主機(jī)，必須為每臺(tái)主機(jī)分配一個(gè)惟一的地址，這個(gè)地址即稱為"IP 地址" 。但這些數(shù)字難以記憶，所以就采用" 域名" 的方式來(lái)取代這些數(shù)字了。

當(dāng)某臺(tái)主機(jī)要與其他主機(jī)通信時(shí)，就可以利用主機(jī)名稱向DNS 服務(wù)器查詢?cè)撝鳈C(jī)的IP 地址。整個(gè)DNS 域名系統(tǒng)由以下4個(gè)部分組成。

1．DNS 域名空間

2．資源記錄

3．DNS 服務(wù)器

4．DNS 客戶端

如圖1

DNS 查詢的工作原理

DNS 查詢過(guò)程按兩部分進(jìn)行

名稱查詢從客戶端計(jì)算機(jī)開(kāi)始，并傳送給本機(jī)的DNS 客戶服務(wù)程序進(jìn)行解析； 如果不能在本機(jī)解析查詢，可根據(jù)設(shè)定的查詢DNS 服務(wù)器來(lái)解析名稱。 以上兩種查詢方式的具體工作過(guò)程如下。

1．本地解析（圖2）

2．查詢DNS 服務(wù)器（圖3）

遞歸查詢流程（圖4）

迭代查詢流程 （圖5）

hosts 文件

hosts 文件是Linux 系統(tǒng)中一個(gè)負(fù)責(zé)IP 地址與域名快速解析的文件，/etc/hosts Hosts 文件包含了IP 地址和主機(jī)名之間的映射，還包括主機(jī)名的別名。 hosts 文件的格式如下：

IP 地址 主機(jī)名/域名

DNS 服務(wù)bind 及chroot 的安裝

rpm -q bind

rpm -ivh bind-libs-9.3.4-10.P1.el5.i386.rpm

rpm -ivh bind-utils-9.3.4-10.P1.el5.i386.rpm

rpm -ivh bind-9.3.4-10.P1.el5.i386.rpm

rpm -ivh bind-chroot-9.3.4-10.P1.el5.i386.rpm

rpm -ivh caching-nameserver-9.3.4-10.P1.el5.i386.rpm

安裝chroot 軟件包 Linux 服 務(wù)都是以root 權(quán)限啟動(dòng)和運(yùn)行的，隨著技術(shù)的發(fā)展，各種服務(wù)變得越來(lái)越復(fù)雜，導(dǎo)致BUG 和漏洞越來(lái)越多。黑客利用服務(wù)的漏洞入侵系統(tǒng)，能獲得root 級(jí) 別的權(quán)限，從而控制整個(gè)系統(tǒng)。為了減緩這種攻擊所帶來(lái)的負(fù)面影響，現(xiàn)在服務(wù)器軟件通常設(shè)計(jì)為以root 權(quán)限啟動(dòng)，然后服務(wù)器進(jìn)程自行放棄root ，再以某 個(gè)低權(quán)限的系統(tǒng)賬號(hào)來(lái)運(yùn)行進(jìn)程。這種方式的好處在于該服務(wù)被攻擊者利用漏洞入侵時(shí)，由于進(jìn)程權(quán)限很低，攻擊者得到的訪問(wèn)權(quán)限又是基于這個(gè)較低權(quán)限的，因此 對(duì)系統(tǒng)造成的危害比以前減輕了許多。

啟動(dòng)和停止DNS 服務(wù)

1．啟動(dòng)DNS 服務(wù)

/etc/init.d/named start

2．停止DNS 服務(wù)

/etc/init.d/named stop

3．重新啟動(dòng)DNS 服務(wù)

/etc/init.d/named restart

4．自動(dòng)啟動(dòng)DNS 服務(wù)

如果需要讓DNS 服務(wù)隨系統(tǒng)啟動(dòng)而自動(dòng)加載，可以執(zhí)行"ntsysv" 命令啟動(dòng)服務(wù)配置程序，找到"named" 服務(wù)，其前面加上星號(hào)"*，然后選擇" 確定" 即可 。 DNS 常見(jiàn)名詞

區(qū)(Zone)： 區(qū)是DNS 名稱空間的一個(gè)連續(xù)部分，其包含了一組存儲(chǔ)在DNS 服務(wù)器上的資源記錄。

資源記錄：DNS 服務(wù)器的信息數(shù)據(jù)，按照分類進(jìn)行存儲(chǔ)，能夠解析客戶端的DNS 請(qǐng)求。

區(qū)文件：包含區(qū)資源記錄的文件，選擇DNS 服務(wù)器為授權(quán)服務(wù)器，管理該區(qū)域。 DNS 緩存：DNS 服務(wù)器在解析客戶機(jī)請(qǐng)求時(shí)，如果本地沒(méi)有該DNS 信息，則可以會(huì)詢問(wèn)其他DNS 服務(wù)器，當(dāng)其他域名服務(wù)器返回查詢結(jié)果時(shí)，該DNS 服務(wù)器會(huì)將結(jié)果記錄在本地的緩存中，成為DNS 緩存。

正向解析：域名到IP 地址的解析過(guò)程。

反向解析：從IP 地址到域名的解析過(guò)程。

全域名：（FQDN ，F(xiàn)ully Qualified Domain Name）是指主機(jī)名加上全路徑，全路徑中列出了序列中所有域成員。

DNS 配置文件詳解（圖6）

資源記錄

SOA 資源記錄：起始授權(quán)記錄（Start of Authority Record）, 簡(jiǎn)稱SOA 記錄。SOA 定義了域的全局參數(shù)，進(jìn)行整個(gè)域的管理設(shè)置。一個(gè)區(qū)域文件只允許存在唯一的SOA 記錄。

區(qū)域名（當(dāng)前） 記錄類型 SOA 主域名服務(wù)器（FQDN ） 管理員郵件地址 （序列號(hào) 刷新間隔 重試間隔 過(guò)期間隔 TTL）

NS 資源記錄：名稱服務(wù)器（NS ）資源記錄表示該區(qū)的授權(quán)服務(wù)器，它們表示SOA 資源記錄中指定的該區(qū)的主和輔助服務(wù)器，也表示了任何授權(quán)區(qū)的服務(wù)器。每個(gè)區(qū)在區(qū)根處至少包含一個(gè)NS 記錄。

區(qū)域名 IN NS 完整主機(jī)名（FQDN ）

A 資源記錄：地址（A ）資源記錄把FQDN 映射到IP 地址，因而解析器能查詢FQDN 對(duì)應(yīng)的IP 地址。

完整主機(jī)名（FQDN ） IN A IP地址

PTR 資源記錄：相對(duì)于A 資源記錄，指針（PTR ）記錄把IP 地址映射到FQDN 。 IP 地址 IN PTR 主機(jī)名（FQDN ）

CNAME 資源記錄：規(guī)范名字（CNAME ）資源記錄創(chuàng)建特定FQDN 的別名。 別名 IN CNAME 主機(jī)名

MX 資源記錄：郵件交換（MX ）資源記錄為DNS 域名指定郵件交換服務(wù)器。 區(qū)域名 IN MX 優(yōu)先級(jí)（數(shù)字） 郵件服務(wù)器名稱（FQDN ）

主配置文件named.conf

options {

direcrory "/var/named"; #指定工作目錄

forwards { 192.168.31.2 ; } ; #指定查詢的目標(biāo)DNS 服務(wù)器

allow-query { 192.168.32/24 ; } ; #只允許某個(gè)網(wǎng)段的用戶來(lái)查詢 allow-transfer { 192.168.32/24; } ; #只允許某個(gè)網(wǎng)段的DNS 來(lái)同步 } ;

zone "." {

Type hint;

file "named.ca";

};

zone "example.com" {

type master;

file "example.com.zone;

};

zone "31.168.192.in-addr.arpa" {

type slave;

masters {192.168.31.3;};

file "salves/192.168.31.zone";

};

type 字段指定區(qū)域的類型

master ：表示定義的是主域名服務(wù)器 。擁有區(qū)域數(shù)據(jù)文件，并對(duì)此區(qū)域提供管理數(shù)據(jù)

slave ：表示定義的是輔助域名服務(wù)器。擁有主DNS 服務(wù)器的區(qū)域數(shù)據(jù)文件的副本，輔助DNS 服務(wù)器會(huì)從主DNS 服務(wù)器同步所有區(qū)域數(shù)據(jù)

hint ：表示是互聯(lián)網(wǎng)中根域名服務(wù)器。當(dāng)服務(wù)器啟動(dòng)時(shí)，它使用根線索來(lái)查找根域名服務(wù)器，并找到最近的根域名服務(wù)器列表

forward ：一個(gè)forward zone是每個(gè)域的配置轉(zhuǎn)發(fā)的主要部分

stub ：和slave 類似，但其只復(fù)制主DNS 服務(wù)器上的NS 記錄而不像輔助DNS 服務(wù)器會(huì)復(fù)制所有區(qū)域數(shù)據(jù)

delegation-only ：用于強(qiáng)制區(qū)域的delegation .ly狀態(tài)

DNS 服務(wù)器設(shè)置流程

1）建立主配置文件named.conf ，該文件的最主要目的是設(shè)置DNS 服務(wù)器能夠管理哪些區(qū)域（Zone ）以及這些區(qū)域所對(duì)應(yīng)的區(qū)域文件名和存放路徑。

2）建立區(qū)域文件，按照named.conf 文件中指定的路徑建立區(qū)域文件，該文件主要記錄該區(qū)域內(nèi)的資源記錄。

3）重新加載配置文件或重新啟動(dòng)named 服務(wù)使用配置生效。

配置主要名稱服務(wù)器概述

主配置文件

設(shè)置根區(qū)域

設(shè)置主區(qū)域

設(shè)置反向解析區(qū)域

根服務(wù)器信息文件named.ca

區(qū)域文件

反向解析區(qū)域文件

實(shí)現(xiàn)負(fù)載均衡功能

主要名稱服務(wù)器的測(cè)試

主配置文件

Bind 的主配置文件是/etc/named.conf，該文件只包括Bind 的基本配置，并不包含任何DNS 區(qū)域數(shù)據(jù)。

options {

directory "/var/named";

forwarders {192.168.31.2 ; };

allow-query {192.168.31/24 ; };

allow-transfer {192.168.31/24 ; };

};

設(shè)置根區(qū)域

當(dāng)DNS 服務(wù)器處理遞歸查詢時(shí)，如果本地區(qū)域文件不能進(jìn)行查詢的解析，就會(huì)轉(zhuǎn)到根DNS 服務(wù)器查詢，所以在主配置文件named.conf 文件中還要定義根區(qū)域。 zone "." {

type hint;

file "named.ca";

};

設(shè)置主區(qū)域

主區(qū)域用來(lái)保存DNS 服務(wù)器某個(gè)區(qū)域（如：example.com ）的數(shù)據(jù)信息。 zone "example.com" {

type master;

file "example.com.zone";

};

設(shè)置反向解析區(qū)域

在大部分的DNS 查詢中，DNS 客戶端一般執(zhí)行正向查找，即根據(jù)計(jì)算機(jī)的DNS 域名查詢對(duì)應(yīng)的IP 地址。但在某些特殊的應(yīng)用場(chǎng)合中（如判斷IP 地址所對(duì)應(yīng)的域名是否合法），也會(huì)使用到通過(guò)IP 地址查詢對(duì)應(yīng)DNS 域名的情況（也稱為反向查找）。

zone "16.168.192.in-addr.arpa" {

type master;

file "192.168.16.arpa";

};

根服務(wù)器信息文件named.ca

/var/named/named.ca是一個(gè)非常重要的文件，該文件包含了Internet 的根服務(wù)器名字和地址，Bind 接到客戶端主機(jī)的查詢請(qǐng)求時(shí)，如果在Cache 中找不到相應(yīng)的數(shù)據(jù)，就會(huì)通過(guò)根服務(wù)器進(jìn)行逐級(jí)查詢。

由 于named.ca 文件經(jīng)常會(huì)隨著根服務(wù)器的變化而發(fā)生變化，因此建議最好從國(guó)際互聯(lián)網(wǎng)絡(luò)信息中心（InterNIC ）的FTP 服務(wù)器下載最新的版本，下 載地址為ftp://ftp.rs.internic.net/domain/named.root。下載完后，應(yīng)將該文件改名為named.ca ，并復(fù) 制到"/var/named/chroot/var/named/"目錄下。 正向區(qū)域文件

一個(gè)區(qū)域內(nèi)的所有數(shù)據(jù)（包括主機(jī)名和對(duì)應(yīng)IP 地址、刷新間隔和過(guò)期時(shí)間等）必須存放在DNS 服務(wù)器內(nèi)，而用來(lái)存放這些數(shù)據(jù)的文件就稱為區(qū)域文件（區(qū)域數(shù)據(jù)文件使用";" 符號(hào)注釋）。DNS 服務(wù)器的區(qū)域數(shù)據(jù)文件一般存放在/var/named/目錄下。

/var/named/chroot/var/named/example.com.zone文件的完整例子。 $TTL 38400

example.com.IN SOA dns.example.com. root.example.com. (

2009070700 ; serial

10800 ; refresh

3600 ; retry

604800 ; expiry

38400 ) ; minimum

example.com. IN NS dns.example.com.

dns IN A 192.168.16.177

www.example.com. IN A 192.168.16.9

mail1.example.com.IN A 192.168.16.178

mail2.example.com.IN A 192.168.16.179

mail3.example.com.IN A 192.168.16.180

rhel4 IN CNAME dns

bbs IN CNAME www

samba IN CNAME www

example.com.IN MX 10 mail1.example.com.

example.com. IN MX 11 mail2.example.com.

example.com. IN MX 12 mail3.example.com.

反向解析區(qū)域文件

反向解析區(qū)域文件的結(jié)構(gòu)和格式與正向區(qū)域文件類似，只不過(guò)它的主要內(nèi)容是建立IP 地址映射到DNS 域名的指針PTR 資源記錄。

在/var/named/chroot/var/named/192.168.16.arpa文件中定義反向解析區(qū)域。 $TTL 36000

16.168.192.in-addr.arpa.IN SOA dns.example.com. root.example.com. ( 2009070703

10800

3600

604800

36000 )

16.168.192.in-addr.arpa. IN NS dns.example.com.

177.16.168.192.in-addr.arpa. IN PTR dns.example.com.

9 IN PTR www.example.com.

178 IN PTR mail1.example.com.

179 IN PTR mail2.example.com.

180 IN PTR mail3.example.com.

實(shí)現(xiàn)負(fù)載均衡功能

DNS 負(fù)載均衡的優(yōu)點(diǎn)是經(jīng)濟(jì)簡(jiǎn)單易行，它在DNS 服務(wù)器中為同一個(gè)域名配置多個(gè)IP 地址（即為一個(gè)主機(jī)名設(shè)置多條A 資源 記錄），在應(yīng)答DNS 查詢時(shí)，DNS 服務(wù)器對(duì)每個(gè)查詢將以DNS 文件中主機(jī)記錄的IP 地址按順序返回不同的解析結(jié)果，將客戶端的訪問(wèn)引導(dǎo)到不同的計(jì)算機(jī)上 去，使得不同的客戶端訪問(wèn)不同的服務(wù)器，從而達(dá)到負(fù)載均衡的目的。

例如，在企業(yè)網(wǎng)中需要使用3臺(tái)內(nèi)容相同的FTP 服務(wù)器共同承擔(dān)客戶對(duì)網(wǎng)站的訪 問(wèn)，它們的IP 地址分別對(duì)應(yīng)192.168.16.11、192.168.16.12和192.168.16.13?，F(xiàn)只要在DNS 服務(wù)器的區(qū)域文件中加 入以下3條A 資源記錄，就可以實(shí)現(xiàn)3臺(tái)FTP 服務(wù)器網(wǎng)絡(luò)負(fù)載均衡功能。

ftp IN A 192.168.16.11

ftp IN A 192.168.16.12

ftp IN A 192.168.16.13

主要名稱服務(wù)器的測(cè)試

1．測(cè)試前的準(zhǔn)備

（1）啟動(dòng)DNS 服務(wù)

/etc/rc.d/init.d/named start

（2）配置/etc/resolv.conf

2．使用nslookup 程序測(cè)試

非交互式通常用于返回單塊數(shù)據(jù)的情況，其命令格式為：

nslookup [-選項(xiàng)] 需查詢的域名 [DNS服務(wù)器地址]

交互式通常用于返回多塊數(shù)據(jù)的情況，其命令格式為：

nslookup [- DNS服務(wù)器地址]

3. host [-t type] hostname [server] [ip]

4. dig [-t type] hostname [server] [ip]

配置輔助名稱服務(wù)器

輔助名稱服務(wù)器也可以向客戶機(jī)提供域名解析功能，但它與主要名稱服務(wù)器不同的是，它的數(shù)據(jù)不是直接輸入的，而是從其他服務(wù)器（主要名稱服務(wù)器或其他的輔助名稱服務(wù)器）中復(fù)制過(guò)來(lái)的，只是一份副本，所以輔助名稱服務(wù)器中的數(shù)據(jù)無(wú)法被修改。

在一個(gè)區(qū)域中設(shè)置多臺(tái)輔助名稱服務(wù)器具有以下優(yōu)點(diǎn)。

1、提供容錯(cuò)能力。當(dāng)主要名稱服務(wù)器發(fā)生故障時(shí)，由輔助名稱服務(wù)器提供服務(wù)。

2、分擔(dān)主要名稱服務(wù)器的負(fù)擔(dān)。在DNS 客戶端較多的情況下，通過(guò)架設(shè)輔助名稱服務(wù)器完成對(duì)客戶端的查詢服務(wù)，可以有效地減輕主要名稱服務(wù)器的負(fù)擔(dān)。

3、 加快查詢的速度。例如，一個(gè)公司在遠(yuǎn)地有一個(gè)與總公司網(wǎng)絡(luò)相連的分公司網(wǎng)絡(luò)，這時(shí)可以在該處設(shè)置一臺(tái)輔助名稱服務(wù)器，讓該分公司的DNS 客戶端直接向此輔 助名稱服務(wù)器進(jìn)行查詢，而不需要通過(guò)速度較慢的廣域網(wǎng)向總公司的DNS 服務(wù)器查詢，減少用于DNS 查詢的外網(wǎng)通信量。

輔助名稱服務(wù)器的主配置文件是/etc/named.conf，也需要設(shè)置服務(wù)器的選項(xiàng)和根區(qū)域，方法與配置主要名稱服務(wù)器的方法相同

options {

directory "/var/named";

};

zone "." {

type hint;

file "named.ca";

};

zone "example.com" {

type slave;

file "slaves/example.com.zone";

masters {192.168.16.177;};

};

zone "16.168.192.in-addr.arpa" {

type slave;

file "slaves/192.168.16.arpa";

masters {192.168.16.177;};

};

配置緩存Cache-only 服務(wù)器

Cache-only 服務(wù)器是很特殊的DNS 服務(wù)器，它本身并不管理任何區(qū)域，但是DNS 客戶端仍然 可以向它請(qǐng)求查詢。Cache-only 服務(wù)器類似于代理服務(wù)器，它沒(méi)有自己的域名數(shù)據(jù)庫(kù)，而是將所有查詢轉(zhuǎn)發(fā)到其他DNS 服務(wù)器處理。當(dāng)Cache- only

服務(wù)器收到查詢結(jié)果后，除了返回給客戶機(jī)外，還會(huì)將結(jié)果保存在緩存中。 當(dāng)下一個(gè)DNS 客戶端再查詢相同的域名數(shù)據(jù)時(shí)，就可以從高速緩存里查出答案，加快DNS 客戶端的查詢速度。

Cache-only 服務(wù)器/etc/named.conf文件，具體的代碼如下。

options {

directory "/var/named";

forward only;

forwarders {

61.144.56.101;

202.96.128.68;

};

};

DNS 客戶端的配置 Linux 中DNS 客戶端的配置

在Linux 中配置DNS 客戶端的方法很簡(jiǎn)單，可直接編輯文件/etc/resolv.conf，然后使用nameserver 選項(xiàng)來(lái)指定DNS 服務(wù)器的IP 地址 。

Windows 中DNS 客戶端的配置

① 在桌面上的" 網(wǎng)上鄰居" 圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇" 屬性" 命令，系統(tǒng)會(huì)打開(kāi)" 網(wǎng)絡(luò)連接" 窗口。

② 在" 本地連接" 圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇" 屬性" 命令，系統(tǒng)會(huì)打開(kāi)" 本地連接 屬性" 對(duì)話框。

③ 選中"Internet 協(xié)議（TCP/IP）" 復(fù)選框，然后單擊" 屬性" 按鈕，系統(tǒng)會(huì)打開(kāi)"Internet 協(xié)議（TCP/IP）屬性" 對(duì)話框，如圖6-33所示。

④ 選中" 使用下面的DNS 服務(wù)器地址" 單選按鈕，在" 首選DNS 服務(wù)器" 和" 備用DNS 服務(wù)器" 中輸入DNS 服務(wù)器的IP 地址，然后單擊" 確定" 按鈕即可完成Windows XP 下的DNS 客戶端的配置。

★★★★★★★★★★★★★★★★★視頻觀看地址

★★★★★★★★★★★★★★★★★★ http://www.boobooke.com/v/bbk3231 http://www.boobooke.com/v/bbk3232 http://www.boobooke.com/v/bbk3233 http://www.boobooke.com/v/bbk3234