2022年dns 感想之一域名服务器教程.docx

2022年dns 感想之一域名服务器教程摘要：dns 感想之一维护DNS是我第一份工作（系统管理员）的一小部分内容，表面上DNS协议（Bind是其在*nix下的详细实现）只是将域名地址解析为IP地址，维护起来应当算是小CASE吧？恰恰相反，随着时间的消逝，我发觉自己对DNS和Bind的了解却越来越少，总有自己无法解答的疑问。最近更在版上看到netman斑竹和abel关于dns反解的精彩探讨，感到自己学问的肤浅和学海无涯的深度！希望自己以后能像netman斑竹和abel兄那样严谨求实！假如你觉得自己关于dns还算了解的话，请试着回答以下几个问题：1、zone数据文件中的代表什么？IN代表什么？2、为什么有时dig可以通过某个nameserver查询，而nslookup却告知无法找到nameserver？3、什么是lameserver？4、你会做子网段不是8位8位时的IP地址反向解析吗？5、Internet上是正向解析多还是反向解析多？6、将zone数据传输功能关闭，你的域内主机就肯定平安吗？这些问题大多在版上都探讨过，请大家到置顶和精华区找答案。網中人 回复于：2022-10-01 10:57:13呵呵,小弟當初是花了兩年時間,才覺得入門呢_abel 回复于：2022-10-01 19:06:12嗯DNS這種東西,表面看很简单懂,但愈看到裏面就愈覺得難懂.若知識只從書上來,在一般的應用上是足夠的,但可能無法到達充份理解的程度,個人是因為在NIC做事,所以DNS這種東西就變成了本業,當然,UserCase接解一多,就會變得愈來愈熟识了.DNS常給人一種平凡的感覺,但是它確是Internet上最基礎的東西,想想看,沒有它,Internet會是什麼樣的情形.當然,現在多數人只想DNS是DomainName<->IP的對應關係,但很可以确定的是,DNS做為全球最大也是最胜利的分散式系統,其效率及普及度都是其他服務所不能及的.現在DNS除了在antispam上的RBL應用外,SPF/DomainKey也值得觀察.DNS也可用在NettoNet的VPN上(DNSSEC)DNS也可用在電信的交換技術上(ENUM)DNS也可以用在IPv6的Anycasting上(Multi-Home)OID(ObjectID)Tree有可能也會运用DNS結構.RFID亦有這個可能性.總之,當你覺得你了解它的時候,除了阿骁兄所提的DNS問題外,想想這個網路上最基本的東西,還能帶來什麼變革.skylove 回复于：2022-10-02 12:44:51有意思的问题，我想想看。反正国庆没事做。1、zone数据文件中的代表什么？IN代表什么？不清晰。有一度我把它当作是“本机”来看待的2、为什么有时dig可以通过某个nameserver查询，而nslookup却告知无法找到nameserver？我始终都是用dig，没用过nslookup，少数几次在win下用nslookup结果都是解析出来了的。3、什么是lameserver？我也想知道，时常看到日志中有记录，是不是这些是解析失败的记录？4、你会做子网段不是8位8位时的IP地址反向解析吗？我这里的掩码已经不是8位了，这个会5、Internet上是正向解析多还是反向解析多？反向多6、将zone数据传输功能关闭，你的域内主机就肯定平安吗？不肯定，正确的做法是设置哪些区域能够发起恳求？事实上在防火墙上封闭外来对内部53端口的恳求比较合适。在bind9中新增加的远程限制功能也要正确设置汗。这半年来，始终只是做教化网内自己段的dns解析和内部网用的cachedns，没系统地想过这些问题。很惭愧。另外新做了一个可以在redhat上全自动安装的chrootdns包（其实就是bind9.2.4+一个shell+基本配置），有没有新手须要？须要的话给我发mail风往南吹 回复于：2022-10-05 11:16:16很惭愧，自己对阿骁提出一些问题也是一知半解，先试着答一遍，不会的我会去找答案。1、zone数据文件中的代表什么？IN代表什么？字面意思是at,dns中通常代表当前域.IN应当是ineternet2、为什么有时dig可以通过某个nameserver查询，而nslookup却告知无法找到nameserver？这个不知道，dig用的很少。但我想是不是在nslookup中没有指定某个nameserver才会这样。3、什么是lameserver？应当是指因dns设置错误而无法正确解析的错误提示。4、你会做子网段不是8位8位时的IP地址反向解析吗？这个没做个，是要在dns上做特别的配置吗？还是只是把自己的netmask设置好就行了。回头做做试验。:em02:5、Internet上是正向解析多还是反向解析多？这个netman和able有着精彩的探讨，就不在多说了。6、将zone数据传输功能关闭，你的域内主机就肯定平安吗？这里我不知道自己理解对不对，还请高手指引。zone数据传输应当是指配置主从dnsserver时的数据更新吧，假如关闭后那么slavedns将无法进行更新，比较合理的方法应当设置ip地址段，至于主机的平安我不知道。另外提一下skylove说的firewall上关闭外网到53端口的访问，我觉得不太可取。假如你只是dnscache可以这样，假如你是dnsserver那么这样做后internet上将无法解析你所供应的域名，那样间接等于dnsserverdown了吧!有不对之处还望指出。able兄所提到的技术许多都是闻所未闻的，太强了。值得学习。阿骁 回复于：2022-10-08 10:41:08公布答案喽！_1、zone数据文件中的代表什么？IN代表什么？代表的是当前变量$ORIGIN的值，默认这个值为zone的域名。比如你设置了一个的zone，那么默认表示。IN则代表Internet类。2、为什么有时dig可以通过某个nameserver查询，而nslookup却告知无法找到nameserver？nslookup在启动时会向dnsserver发送一个反向解析，查询dnsserver的IP地址是否做了反向解析，假如dnsserver没做本机的反向解析，那么nslookup会告知找不到ns。而dig则不做这个操作，因此不会有这样的状况。3、什么是lameserver？去这个地址看看吧！4、你会做子网段不是8位8位时的IP地址反向解析吗？看看这个帖子吧，或者你找一本dnsandbind看看。5、Internet上是正向解析多还是反向解析多？反解多6、将zone数据传输功能关闭，你的域内主机就肯定平安吗？这样也担心全的。现在大部分的域虽然都限制了zone数据传输，但有心者只须要通过反向扫描解析你的IP地址网段，一样能找到域内的主机哦。这也是isc.org统计Internet主机的方法。http:/www.isc.org/ops/ds/new-survey.phpskylove 回复于：2022-10-08 23:49:45感谢，看了又学到一些，感谢楼主和abel的评说skylove 回复于：2022-10-08 23:57:47quote:09a2d05170="风往南吹"另外提一下skylove说的firewall上关闭外网到53端口的访问，我觉得不太可取。假如你只是dnscache可以这样，假如你是dnsserver那么这样做后internet上将无法解析你所供应的域名，那样间接等于dnsserverdown了吧!/quote:09a2d05170恩，是我没说清晰，事实上我说的的确是做cache的情形，而假如是对外服务，当然是不能封的啦，否则别人的恳求怎么进来！？对不。raullpq 回复于：2022-10-09 14:58:27又学到了一点：）感谢prowoo 回复于：2022-10-09 15:35:11看来，我是不能在挚友面前再吹了T_Tbst 回复于：2022-10-24 11:30:34涨见识,有所收获!感谢!zsxx2022 回复于：2022-01-16 12:16:50收获不少，感谢阿娆yiqingfeng0215 回复于：2022-04-11 10:55:28ding