DNS(一)之禁用权威域名服务器递归解析
DNS
dns是互聯(lián)網(wǎng)中最核心的帶層級的分布式系統(tǒng),負責(zé)把域名解析成ip,把IP解析出域名,以及宣告郵件路由信息等等,使得使用域名訪問網(wǎng)站,收發(fā)郵件成了可能。
bind(berkeley Internet Name Domain) 是流行與linux上的域名解析服務(wù)。
禁用權(quán)威域名服務(wù)器遞歸解析
首先解析下什么是遞歸解析和迭代解析,本人也經(jīng)常搞混,但是還得記下來,在了解遞歸和迭代之前,先聊下下DNS的組成部分。
1 DNS的組成
共兩部分
域名服務(wù)器:提供域名解析的軟件,默認監(jiān)聽udp,tcp 53端口。
解析器(resolver) 訪問域名服務(wù)器的客戶端,它負責(zé)獲取域名服務(wù)器的響應(yīng)后解析出結(jié)果,或者說顯示結(jié)果,把這個結(jié)果返回給調(diào)用它 的調(diào)用者。
2 域名服務(wù)器的分類:
根據(jù)類別不同,分成如下幾類:
2.1. 權(quán)威域名解析器(Autoritatvie Name Server )
負責(zé)授權(quán)域下的域名解析服務(wù),由上級權(quán)威域名服務(wù)器使用NS記錄進行授權(quán)。
有以下3級權(quán)威域名服務(wù)器
根域名服務(wù)器(Root Name Server)
的權(quán)威域名服務(wù)器,負責(zé)對.com,.cn,.org等頂級域名向下授權(quán),共13組根域服務(wù)器,這里簡單羅列幾個:
| 主機名 | ip | 管理方 |
|---|---|---|
| a.root-servres.net | 198.41.0.4 | VeriSign.Inc |
| b.root-servers.net | 192.228.79 | California(ISI)| |
| c.boot-servers.net | 192.33.4.12 | Cogent Communications |
注意
這里是13組根域服務(wù)器,不是13臺。其中大多數(shù)采用了anycast技術(shù),因為分布到不同的地區(qū)。
頂級域名服務(wù)器(top level name server)
頂級域名服務(wù)器分為兩類:
通用頂級域名服務(wù)器(Generic Top Level Domains,GTLD) 服務(wù)器,服務(wù)于.org,.com,.info等授權(quán)的域名服務(wù)器
國家代碼服務(wù)器(Country code top level Domains,CCTLD),服務(wù)于UK,CN.Us等授權(quán)的域名 服務(wù)器
二級域名服務(wù)器( second Level Name Server)
這類域名服務(wù)器服務(wù)于具體的域名,如解baidu.com等。
以上三類權(quán)威域名解析器的授權(quán)結(jié)構(gòu)圖如下所示
2.2. 緩存域名服務(wù)器(caching Name Server)
這類的域名服務(wù)器負責(zé)接受解析器發(fā)過來的DNS請求,通過依次查詢根域名服務(wù)器->頂級域名服務(wù)器-> 二級域名服務(wù)器來獲取DNS解析結(jié)果,然后把結(jié)果發(fā)送給解析器,同時根據(jù)DNS條目的TTL(time to live)值進行緩存,它有兩個作用:
企業(yè)內(nèi)部局域網(wǎng)
用于運營商為其租戶提供域名解析結(jié)果
用于開放的DNS解析服務(wù),如8.8.8.8
2.3. 轉(zhuǎn)發(fā)域名服務(wù)器
這類域名服務(wù)器負責(zé)把解析器發(fā)過來的DNS請求,轉(zhuǎn)發(fā)給指定的上級域名服務(wù)器獲得DNS解析的條目,然后把結(jié)果發(fā)給解析器。和緩存域名服務(wù)器不同的是,這類服務(wù)器不進行任何緩存,只是轉(zhuǎn)發(fā)而已。
3 遞歸和迭代解析
遞歸就是客戶端(解析器)發(fā)起一個DNS解析請求給本地域名服務(wù)器,直到本地域名服務(wù)器返回一個解析結(jié)果。客戶端只關(guān)心解析結(jié)果。
迭代查詢 就是客戶端(解析器)發(fā)起一個DNS解析請求給本地域名服務(wù)器,本地服務(wù)器返回一個參考列表,這個參考列表給出了可以解析這個DNS請求的服務(wù)器,由客戶端再去向這個列表里的DNS服務(wù)器進行DNS查詢獲取DNS解析結(jié)果。
禁用遞歸查詢的原因與方法
通過遞歸查詢和迭代查詢的分析可以知道,對于權(quán)威域名服務(wù)器,打開了遞歸查詢功能,相當(dāng)于把它配置成了開放的DNS服務(wù)器,會造成大量數(shù)據(jù)流,影響正常的服務(wù)提供,因此,在權(quán)威服務(wù)器上,可以結(jié)合自己公司的情況來確定是否需要禁用遞歸查詢。
通過yum安裝的bind,配置文件在/etc/named.conf,配置禁用遞歸查詢的參數(shù)默認在18行,如下:
[root@localhost ~]# vim /etc/named.conf
18 recursion yes; # 第18行 ,把yes改為no就行了
總結(jié)
以上是生活随笔為你收集整理的DNS(一)之禁用权威域名服务器递归解析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux下图片转换工具[【转】
- 下一篇: netstat 常用方法