DNS(一)之禁用权威域名服务器递归解析
DNS
dns是互聯(lián)網(wǎng)中最核心的帶層級(jí)的分布式系統(tǒng),負(fù)責(zé)把域名解析成ip,把IP解析出域名,以及宣告郵件路由信息等等,使得使用域名訪問(wèn)網(wǎng)站,收發(fā)郵件成了可能。
bind(berkeley Internet Name Domain) 是流行與linux上的域名解析服務(wù)。
禁用權(quán)威域名服務(wù)器遞歸解析
首先解析下什么是遞歸解析和迭代解析,本人也經(jīng)常搞混,但是還得記下來(lái),在了解遞歸和迭代之前,先聊下下DNS的組成部分。
1 DNS的組成
共兩部分
域名服務(wù)器:提供域名解析的軟件,默認(rèn)監(jiān)聽(tīng)udp,tcp 53端口。
解析器(resolver) 訪問(wèn)域名服務(wù)器的客戶端,它負(fù)責(zé)獲取域名服務(wù)器的響應(yīng)后解析出結(jié)果,或者說(shuō)顯示結(jié)果,把這個(gè)結(jié)果返回給調(diào)用它 的調(diào)用者。
2 域名服務(wù)器的分類(lèi):
根據(jù)類(lèi)別不同,分成如下幾類(lèi):
2.1. 權(quán)威域名解析器(Autoritatvie Name Server )
負(fù)責(zé)授權(quán)域下的域名解析服務(wù),由上級(jí)權(quán)威域名服務(wù)器使用NS記錄進(jìn)行授權(quán)。
有以下3級(jí)權(quán)威域名服務(wù)器
根域名服務(wù)器(Root Name Server)
的權(quán)威域名服務(wù)器,負(fù)責(zé)對(duì).com,.cn,.org等頂級(jí)域名向下授權(quán),共13組根域服務(wù)器,這里簡(jiǎn)單羅列幾個(gè):
| 主機(jī)名 | ip | 管理方 |
|---|---|---|
| a.root-servres.net | 198.41.0.4 | VeriSign.Inc |
| b.root-servers.net | 192.228.79 | California(ISI)| |
| c.boot-servers.net | 192.33.4.12 | Cogent Communications |
注意
這里是13組根域服務(wù)器,不是13臺(tái)。其中大多數(shù)采用了anycast技術(shù),因?yàn)榉植嫉讲煌牡貐^(qū)。
頂級(jí)域名服務(wù)器(top level name server)
頂級(jí)域名服務(wù)器分為兩類(lèi):
通用頂級(jí)域名服務(wù)器(Generic Top Level Domains,GTLD) 服務(wù)器,服務(wù)于.org,.com,.info等授權(quán)的域名服務(wù)器
國(guó)家代碼服務(wù)器(Country code top level Domains,CCTLD),服務(wù)于UK,CN.Us等授權(quán)的域名 服務(wù)器
二級(jí)域名服務(wù)器( second Level Name Server)
這類(lèi)域名服務(wù)器服務(wù)于具體的域名,如解baidu.com等。
以上三類(lèi)權(quán)威域名解析器的授權(quán)結(jié)構(gòu)圖如下所示
2.2. 緩存域名服務(wù)器(caching Name Server)
這類(lèi)的域名服務(wù)器負(fù)責(zé)接受解析器發(fā)過(guò)來(lái)的DNS請(qǐng)求,通過(guò)依次查詢(xún)根域名服務(wù)器->頂級(jí)域名服務(wù)器-> 二級(jí)域名服務(wù)器來(lái)獲取DNS解析結(jié)果,然后把結(jié)果發(fā)送給解析器,同時(shí)根據(jù)DNS條目的TTL(time to live)值進(jìn)行緩存,它有兩個(gè)作用:
企業(yè)內(nèi)部局域網(wǎng)
用于運(yùn)營(yíng)商為其租戶提供域名解析結(jié)果
用于開(kāi)放的DNS解析服務(wù),如8.8.8.8
2.3. 轉(zhuǎn)發(fā)域名服務(wù)器
這類(lèi)域名服務(wù)器負(fù)責(zé)把解析器發(fā)過(guò)來(lái)的DNS請(qǐng)求,轉(zhuǎn)發(fā)給指定的上級(jí)域名服務(wù)器獲得DNS解析的條目,然后把結(jié)果發(fā)給解析器。和緩存域名服務(wù)器不同的是,這類(lèi)服務(wù)器不進(jìn)行任何緩存,只是轉(zhuǎn)發(fā)而已。
3 遞歸和迭代解析
遞歸就是客戶端(解析器)發(fā)起一個(gè)DNS解析請(qǐng)求給本地域名服務(wù)器,直到本地域名服務(wù)器返回一個(gè)解析結(jié)果。客戶端只關(guān)心解析結(jié)果。
迭代查詢(xún) 就是客戶端(解析器)發(fā)起一個(gè)DNS解析請(qǐng)求給本地域名服務(wù)器,本地服務(wù)器返回一個(gè)參考列表,這個(gè)參考列表給出了可以解析這個(gè)DNS請(qǐng)求的服務(wù)器,由客戶端再去向這個(gè)列表里的DNS服務(wù)器進(jìn)行DNS查詢(xún)獲取DNS解析結(jié)果。
禁用遞歸查詢(xún)的原因與方法
通過(guò)遞歸查詢(xún)和迭代查詢(xún)的分析可以知道,對(duì)于權(quán)威域名服務(wù)器,打開(kāi)了遞歸查詢(xún)功能,相當(dāng)于把它配置成了開(kāi)放的DNS服務(wù)器,會(huì)造成大量數(shù)據(jù)流,影響正常的服務(wù)提供,因此,在權(quán)威服務(wù)器上,可以結(jié)合自己公司的情況來(lái)確定是否需要禁用遞歸查詢(xún)。
通過(guò)yum安裝的bind,配置文件在/etc/named.conf,配置禁用遞歸查詢(xún)的參數(shù)默認(rèn)在18行,如下:
[root@localhost ~]# vim /etc/named.conf
18 recursion yes; # 第18行 ,把yes改為no就行了
總結(jié)
以上是生活随笔為你收集整理的DNS(一)之禁用权威域名服务器递归解析的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: linux下图片转换工具[【转】
- 下一篇: netstat 常用方法