智能DNS进阶.ppt

1、DNS进阶,杨明茂,2012-12-12,提 纲,DNS实现原理 DNS技术指标 常用记录类型 DNS协议报文 常见DNS实现 常用工具 参考资料,DNS实现原理,DNS实现架构,DNS系统，是一套完善的分布式数据库 倒树形层次化分布 以域名为索引,DNS的通讯,默认开放UDP、TCP 53端口 默认走UDP协议查询 应答数据大于512字节时，自动走TCP端口,服务器功能划分,服务器功能划分,权威服务器又分主、辅(从)服务器 主做管理，自动同步到辅服务器,域名结构划分,域名基本规范 以点分隔每级，也称为Lable或段 每级以字母（a-z）和数字（0-9）以及-任意组成 -不能在最前或最后 每级

2、不能超过63字符 不能超过127级 不能超过255个字符,域名结构划分,域名结构划分,根域： 用点（.）表示 顶级域： 如.com，.net，.org，.cn等等 二级域： 在某个顶级域下的二级域名，如果，等等,域名结构划分,三级域： 在某个二级域下的子域，如，等等 四级域： 在某个三级域下的子域，如等等 更多级别,域名结构划分,常见顶级域名,DNS查询过程,DNS查询过程,DNS技术指标,高可用性： 7X24小时运行 性能指标： 每秒查询率QPS (Query Per Second) 响应时间： 毫秒级响应速度 RFC支持： 遵循RFC规范,常用记录类型,常用记录类型,DNS协议报文,完整报

3、文格式,由1个12字节的 首部和4个可变 长度的字段组成,标志段格式,QR：0表示查询报文，1表示响应报文 Opcode：通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）。 AA：表示授权回答（authoritative answer）. TC：表示可截断的（truncated） RD：表示期望递归 RA：表示可用递归 随后3bit必须为0 Rcode：返回码，通常为0（没有差错）和3（名字差错）,查询报文格式,查询名格式：,查询报文格式,查询名： 一个或多个段组成 每个段以长度标识开始 查询名以0结束 查询类型： 也叫记录类型 以类型数字标识 查询类： 通常为1，即Int

4、ernet数据,应答报文格式,回答、授权、附加信息三个字段格式相同,应答报文格式,域名： 记录中资源数据对应的名字 它的格式和查询名字段格式相同 类型 说明记录类型码 类： 通常为1，指Internet数据,应答报文格式,生存时间： 也叫TTL 是客户程序保留该资源记录的秒数。 资源数据长度： 说明资源数据的数量 资源数据： 该数据的格式依赖于类型字段的值 对于类型1（A记录）资源数据是4字节的I P地址。,常见DNS实现,Bind Windows DNS NSD PowerDNS MyDNS ,常用工具,Dig,Dig(Domain Information Groper ) Bind提供用于

5、检查域名解析的工具 Dig比nslookup更好，推荐使用 查询域名方式： dig 202.106.0.20 从DNS服务器202.106.0.20 查询域名,Dig,$ dig 202.106.0.20 ; DiG 9.7.6-P1 202.106.0.20 ; (1 server found) ; global options: +cmd ; Got answer: ; -HEADER- opcode: QUERY, status: NOERROR, id: 11179 ; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDI

6、TIONAL: 0; QUESTION SECTION: ;. IN A; ANSWER SECTION: . 3600 IN CNAME . . 360 IN A 61.158.160.211; Query time: 996 msec ; SERVER: 202.106.0.20#53(202.106.0.20) ; WHEN: Mon Dec 17 09:06:29 2012 ; MSG SIZE rcvd: 74,Dig,$ dig ; DiG 9.7.6-P1 ; global options: +cmd ; Got answer: ; -HEADER- opcode: QUERY

7、, status: NOERROR, id: 46972 ; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2; QUESTION SECTION: ;. IN A; ANSWER SECTION: . 2701 IN CNAME . . 360 IN A 61.158.160.211; AUTHORITY SECTION: . 103014 IN NS . . 103014 IN NS .; ADDITIONAL SECTION: . 2702 IN A 202.205.109.62 . 2702 IN A 2

8、02.205.109.63; Query time: 140 msec ; SERVER: 10.10.0.1#53(10.10.0.1) ; WHEN: Mon Dec 17 09:08:55 2012 ; MSG SIZE rcvd: 150,Nslookup,Nslookup是通用的域名查询工具 绝大多数系统都自带有这个工具 直接执行nslookup进入交互界面 默认使用/etc/resolv.conf设置的DNS 可以在交互界面执行server指定DNS,Nslookup,$ nslookup Server: 10.10.0.1 Address: 10.10.0.1#53Non-au

9、thoritative answer: canonical name = . Name: Address: 61.158.160.211 ,Nslookup,$ nslookup server 202.106.0.20 Default server: 202.106.0.20 Address: 202.106.0.20#53 Server: 202.106.0.20 Address: 202.106.0.20#53Non-authoritative answer: canonical name = . Name: Address: 61.158.160.211 ,Ping,Ping(

10、Packet Internet Groper) 用于检测网络连接的工具 使用方式： ping ,Ping,$ ping PING (61.158.160.211): 56 data bytes 64 bytes from 61.158.160.211: icmp_seq=0 ttl=54 time=18.391 ms 64 bytes from 61.158.160.211: icmp_seq=1 ttl=54 time=21.532 ms 64 bytes from 61.158.160.211: icmp_seq=2 ttl=54 time=21.237 ms 64 bytes fro

11、m 61.158.160.211: icmp_seq=3 ttl=54 time=24.806 ms C - ping statistics - 4 packets transmitted, 4 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 18.391/21.491/24.806/2.273 ms,Time值越小，网络速度越快,Queryperf,Bind自带的性能测试工具 在bind的源码包中能找到 运行格式： queryperf s dnsserver d testfile,Queryperf,$

12、/opt/bin/queryperf -s 10.10.0.1 -d /opt/etc/.txt DNS Query Performance Testing Tool Version: $Id: queryperf.c,v 1.12 2007/09/05 07:36:04 marka Exp $Status Processing input data Status Sending queries (beginning with 10.10.0.1) Status Testing completeStatistics:Parse input file: onceEnded due to: rea

13、ching end of file,Queryperf,Queries sent: 10050 queriesQueries completed: 10050 queriesQueries lost: 0 queriesQueries delayed(?): 0 queriesRTT max: 0.161299 secRTT min: 0.000598 secRTT average: 0.003469 secRTT std deviation: 0.009180 secRTT out of range: 0 queriesPercentage completed: 100.00%Percent

14、age lost: 0.00%Started at: Mon Dec 17 09:43:32 2012Finished at: Mon Dec 17 09:43:34 2012Ran for: 1.767174 secondsQueries per second: 5687.046097 qps,参考资料,DNS与BIND BIND9管理员参考手册 相关RFC规范 RFC1034 域名 - 概念和工具 RFC1035 域名 - 实现和规范 RFC1123 Internet 主机 - 应用和支持的要求 RFC1886 支持 IP 版本 6 的 DNS 扩展名 RFC1995 DNS 中的增量区域

15、传输,参考资料,相关RFC规范 RFC1996 提示通知区域更改的机制 (DNS NOTIFY) RFC2136 域名系统中的动态更新 (DNS UPDATE) RFC2181 对 DNS 规范的说明 RFC2308 DNS 查询的负缓存 (DNS NCACHE) RFC2535 域名系统安全扩展 (DNSSEC) RFC2671 DNS 的扩展机制 (EDNS0),参考资料,相关RFC规范 RFC2782 指定服务位置的 DNS RR (DNS SRV) RFC2930 DNS 的密钥建立 (TKEY RR) RFC3645 DNS (GSS-TSIG) 密钥事务身分验证的通用安全服务算法 RFC3646 IPv6 (DHCPv6) 动态主机配置协议的 DNS 配置选项,Q & A,谢谢大家！400-6161-691,实易，让工作变得更容易！,