DNS伺服器原理簡述
1. TLD:Top Level Domain 頂級域名
組織域:.com, .net, .org, .gov, .edu, .mil
國家域:.iq, .tw, .hk, .jp, .cn, ...
2. 域名分級
根域名: .
頂級域名:.com .edu .gov .int .net .cn .us .jp ........
二級域名:baidu.com microsoft.com jd.com qq.com aliyun.com edu.cn
三級域名:map.baidu.com nankai.edu.cn
四級域名:www.nankai.edu.cn cs.nankai.edu.cn
3. DNS查詢型別
DNS查詢型別分為遞迴查詢和迭代查詢;
遞迴查詢的意思是找了誰誰就一定要給出答案。那麼允許遞迴的意思就是幫忙去找位置,如A對B允許遞迴,那麼B詢問A時,A就去幫忙找答案;
迭代查詢的意思是如果A不允許對B遞迴,那麼A就會告訴B的下一層域的地址讓B自己去找,如果迭代查詢最終得出了答案,那一定是權威答案;
4. DNS名稱解析方式
正向解析: hostname ---> IP
訪問示例:
A客戶端請求www.jzbg.com --> 由DNS伺服器完成(1、查詢本地快取記錄和hosts檔案,如果有直接返回,2、向root"."發起查詢查詢,查詢.com的NS記錄返回其.com的NS伺服器))--->再向.com的NS伺服器查詢"jzbg.com"域的NS伺服器,並返回其結果值---->根據jzbg的NS伺服器記錄地址,---> NS伺服器查詢其所對應的www主機所對應的IP地址,並返回給伺服器。 正向解析的層級如下: . com jzbg www 由於快取是多層次快取的,所以真正的查詢可能並沒有那麼多步驟,上圖的步驟是完全沒有所需快取的查詢情況。假如某主機曾經向DNS伺服器提交了www.jzbg.com的查詢,那麼在DNS伺服器上除了快取了www.jzbg.com的記錄,還快取了".com"和"jzbg.com"的記錄,如果再有主機向該DNS伺服器提交ftp.jzbg.com的查詢,那麼將跳過"."和".com"的查詢過程直接向jzbg.com發出查詢請求。
反向解析: IP ---> hostname
訪問示例:
A客戶端想查詢IP地址4.2.3.1反解記錄 ---> 由DNS發起請求查詢"."域,由"."返回其ip-addr.arpa的NS記錄,--> 伺服器查詢ip-addr.arpa的NS伺服器,由NS伺服器返回"1"區域的NS伺服器地址,並將結果返回到伺服器--->伺服器查詢"1"區域中的記錄,由"1"區域返回"2"區域中的NS記錄--->伺服器向"2"區域查詢"3"區域,由2區域返回3區域中的NS記錄--->伺服器再讓3區域中的NS記錄,3區域查詢並返回4的主機所對應的主機地址。 反向解析的層級如下: . ip-addr.arpa 1 2 3 4
5. 反向解析的作用
DNS伺服器裡面有兩個區域,即“正向查詢區域”和“反向查詢區域”,正向查詢區域就是通常所說的域名解析,反向查詢區域即是IP反向解析,它得到作用是通過查詢IP地址的PTR記錄來得到該IP地址指向的域名。要成功得到域名就必須有該IP地址的PTR記錄。PTR及記錄是郵件交換記錄的一種,郵件交換記錄中有A記錄和PTR記錄,A記錄解析名字到地址,PTR記錄解析地址到名字。
反向域名解析系統(Reverse DNS)的功能確保適當的郵件交換記錄是生效的。反向域名解析與通常的正向域名解析相反,提供IP地址到域名的對應。IP反向解析主要應用到郵件伺服器中來阻攔垃圾郵件。多數垃圾郵件傳送者使用動態分配或者沒有註冊域名的IP地址來發送垃圾郵件,以避免追蹤,使用域名反向解析後,就可以大大降低垃圾郵件的數量。
比如用[email protected]這個郵箱給[email protected]發一封信,lwork郵件伺服器接到這封信會檢視這封信的信標頭檔案,這封信的信標頭檔案會顯示這封信是由哪個IP地址發出來的。然後根據這個IP地址進行反向解析,如果反向解析到這個IP對應的域名是name.com就接收這封郵件,如果反向解析這個IP沒有對應到name.com,那麼就拒絕這封郵件。
由於在域名系統中,一個IP地址可以對應多個域名,因此從IP出發去找域名,理論上應該遍歷整個域名樹,但是這在internet上是不現實的。為了完成逆向域名解析,系統提供一個特別域,該特別域稱為逆向解析域in-addr.arpa.這樣欲解析的IP地址就會被表達城一種像域名一樣的可顯示串形式,字尾以逆向解析域域名“in-addr.arpa”結尾。
測試反解(Windows方法)
C:\Users\Administrator>nslookup -qt=ptr 111.204.53.64
伺服器: xd-cache-1.bjtelecom.net
Address: 219.141.136.10
非權威應答:
64.53.204.111.in-addr.arpa name = mail.ybjt.net
[c:\~]$ nslookup -qt=ptr 123.59.246.200
非權威應答:
伺服器: xd-cache-1.bjtelecom.net
Address: 219.141.136.10
200.246.59.123.in-addr.arpa name = mail.ehousechina.com測試反解(Linux方法)
[[email protected] ~]$ dig -x 123.59.246.200 | grep -A1 "ANSWER SECTION"
;; ANSWER SECTION:
200.246.59.123.in-addr.arpa. 21599 IN PTR mail.ehousechina.com.
[[email protected] ~]$ dig -x 111.204.53.64 | grep -A1 "ANSWER SECTION"
;; ANSWER SECTION:
64.53.204.111.in-addr.arpa. 37 IN PTR mail.ybjt.net.6. 權威答案與非權威答案
- 權威答案:直接負責這個域的NS伺服器返回的答案;
- 非權威答案:伺服器不負責這個域,只是因為之前解析過,所以快取中有,返回快取中的答案;將這種答案叫做非權威答案是因為,上級DNS可能隨時會更新,而所查詢的DNS伺服器本地快取不一定及時更新了,所以這時客戶端得到的答案可能是無效的;