DNS协议与实现--刘金宝

1第十三章域名系统DNSNetworkingtechno;ogy第十三章域名系统DNS(DomainNameServer)DNS是当今Internet的基础构架，其作用是实现域名和IP地址之间的转换，众多网络服务，像：httpftpe-mail等都是建立在DNS服务体系基础之上的。权威人士指出：一旦你理解了DNS，你才真正懂得了Internet。2第十三章域名系统DNSNetworkingtechno;ogy域名系统和域名系统服务器域名系统服务器只是域名系统中的工具，通过它们不停的工作来实现域名系统的各种功能；DNS服务器为客户机提供一种方法来存储和搜索其他主机的主机名和IP地址，这里所说的客户机可以是单独的计算机用户、应用服务器，甚至是其他DNS服务器。3第十三章域名系统DNSNetworkingtechno;ogy主机名和域名空间及域名树主机名就是计算机在域名系统中使用的名字，每一个主机名及其IP地址存储在一台或多台DNS服务器中，以便Internet中的其他用户可以通过主机名来搜索相应主机的IP地址。域名空间是指Internet上所有主机唯一的和比较友好的主机名所组成的空间。域名树是域名空间的骨架。4第十三章域名系统DNSNetworkingtechno;ogy域名服务的两个基本概念域名注册就是将主机名和IP地址记录在一个列表或者目录中，注册的方法可以是人工的或者自动的、静态的或者动态的。域名解析是一个客户端过程，目的是查找已注册的主机名或者服务器名以便得到相应的IP地址。客户机上的解析器将包含网络主机域名的路径描述转换为查询请求。解析器甚至还可以缓存已定位的主机，以加速接通的过程。5第十三章域名系统DNSNetworkingtechno;ogy第十三章域名系统DNS(DomainNameServer)IP地址虽然包含网络号和主机号，但难于记忆、无法通过IP地址猜测主机的用途，因此必须用更友好的、便于记忆的名字来代替数字IP地址。主机名字要求全局唯一的，即能在整个Internet通用；要便于管理，Internet中主机名字管理工作包括名字分配、确认和名字回收等；一致性好，不会随IP地址的改变而改变；第三要便于映射，即便于名字与IP地址之间的映射。6第十三章域名系统DNSNetworkingtechno;ogy1、平面型命名机制命名机制每一主机名简单地由一个字符串组成，没有进一步的层次结构，一般由中央管理机构负责统一命名和分配。如MailGFKD,缺点随着名字数量的增加，名字冲突的可能性越来越大中央管理机构的工作负担越来越重地址映射低效7第十三章域名系统DNSNetworkingtechno;ogy2、层次型命名机制在名字中引入层次型结构，其结构层次对应于名字管理机构的层次每一级机构只负责给它的下级机构授权命名范围如邮政地址:中国-湖南-长沙-NUDT,中国-湖南-长沙-HNU优点层次化的命名机制更能保证命名的唯一性在Internet中，采用层次型命名机制刚好与Internet结构有某种对应关系8第十三章域名系统DNSNetworkingtechno;ogy3、Internet域名系统由中央管理机构(InterNIC)将最高一级名字空间按用途、国家等划分为若干部分，并将各部分的管理权授予相应机构；各管理机构可以将管辖内的名字空间进一步划分若干子部分，并将子部分的管理特权再授予若干子机构;主机域名是由多个由“.”分开的标签组成：每个标签不能超过63个字符；全部的标签不能超过255个字符；9第十三章域名系统DNSNetworkingtechno;ogy域名层次结构10第十三章域名系统DNSNetworkingtechno;ogyDNS-国家名码国家名码国家名au澳大利亚(Australia)ca加拿大(Canada)cn中国(China)de德国(Germany)fr法国(France)jp日本(Japan)nl荷兰(Netherlands)us美国(UnitedState)uk英国(UnitedKingdom)…………11第十三章域名系统DNSNetworkingtechno;ogyDNS-国际流行域类型域类型适用对象com公司或商务组织(Company...)edu教育机构(EducationalInstitution)gov政府机构(GovernmentBody)mil军事单位(MilitarySite)netInternet网关或管理主机(InternetGateway)org非营利组织(Not-ProfitOrganization)…………12第十三章域名系统DNSNetworkingtechno;ogy域名层次结构rootcomnetorgedugovmil…cnukus...ibmhpintl…CiscotsinghuapkufudanNUDT……bbs根域三级域四级域13第十三章域名系统DNSNetworkingtechno;ogy域名示例服务器类型.公司名.域类型海尔.com,服务器名.系名.学校名.域类型.国家名mail.nudt.edu.cn,服务器类型.网络名.域类型.国家名服务器名.组织名.域类型主机名.研究机构名.学校名.域类型.国家名pdl.nudt.edu.cn14第十三章域名系统DNSNetworkingtechno;ogy域名服务器由于在通信时采用的是IP地址，所以通信前必须将主机的域名转换成IP地址；实现域名与IP之间互相转化的系统称之为域名服务系统（DomainNameSystem，DNS），这个转换过程又称为域名解析（NameResolution）；DNS服务器以层次型结构分布在世界各地，使用了分布式的数据库，每台DNS服务器存储一部分域名数据。15第十三章域名系统DNSNetworkingtechno;ogy16第十三章域名系统DNSNetworkingtechno;ogy域名服务器的层次结构Rootnameserver……edunameservercomnameserverorgnameservercnnameservernudtnameserverpkunameserver本地域名服务器17第十三章域名系统DNSNetworkingtechno;ogy4、域名服务器工作过程每台主机应该知道本地名字服务器（localnameserver）,每台本地名字服务器应该知道根名字服务器（Rootnameservers）,通过配置完成；如用户本地的域名服务器中域名--地址数据库中含有对应的域名，则立即转换返回；如用户本地的域名服务器查不到该域名，则先由本地域名服务器根据系统中配置转向最高一级域名服务器查询，然后向下逐级向相应的域名服务器查询，直到将整个域名转换为IP地址号为止；18第十三章域名系统DNSNetworkingtechno;ogy域名服务器工作过程（cont.）RootnameserverLocalnameserverClient1由于域名与IP地址的对应关系是相对稳定的，当从某服务器获得某个域名与IP的对应关系后，为了提高解析效率，把最近访问过的域名与IP的对应关系存放到域名服务器的高速缓冲中，并规定一个有效时限，域名解析时，先查缓冲区，然后数据库，最后根服务器；如最终仍查不到该域名，则给出该域名不存在的错误信息.cnnameserveredunameserver19第十三章域名系统DNSNetworkingtechno;ogy域名解析结果经查询后，返回给解析器的结果可能是下列结果中的一种：1.给出所需数据的一个或几个资源记录。这种情况下，解析器将以适当的格式返回得到的回答。2.主机名错误。当所查询的名字不存在时给出这种错误。例如，可能用户在键入主机名时出错。3.数据未找到错误。当存在所查询的主机名，但找不到相应数据时出现这种错误。20第十三章域名系统DNSNetworkingtechno;ogyDNS的解析过程21第十三章域名系统DNSNetworkingtechno;ogy5、DNS的特点有效多数名字可以进行本地解析，只有少数名字的解析需经过Internet传输。可靠单台名字服务器的故障不会妨碍整个DNS系统正常工作。通用不仅能解析主机域名，还能解析邮箱名、网络服务名。分布式由分布在不同地点的一组名字服务器合作来完成名字解析。22第十三章域名系统DNSNetworkingtechno;ogy主DNS服务器和辅DNS服务器主DNS服务器(即SOA)负责域中名字的授权，关于那个域的名字的所有信息都要从这个服务器获得。一个DNS服务器可以同时是一个或几个域的主服务器，也可以同时既是一个域的主服务器，又是另一个域的辅服务器。域和域区不存在主或辅的问题，只有DNS服务器才有主或辅的概念，辅服务器以作为主服务器的备份,主DNS服务器才是一个域的名字的授权来源。23第十三章域名系统DNSNetworkingtechno;ogy主DNS服务器和辅DNS服务器辅DNS服务器从主服务器获得数据。当一个辅DNS服务器启动时，它首先从主服务器处获得域区数据，并将自己的版本号和主服务器的版本号进行比较。主服务器是其他需要输入域区文件的服务器的初始域名来源，而辅服务器则不是传递域区数据的来源。辅服务器的存在只是为了备份并提供查询服务。24第十三章域名系统DNSNetworkingtechno;ogyDNS服务器的安装（1）打开“添加/删除程序”窗口。选“开始菜单→设置→控制面板→添加/删除程序”。（2）然后单击“添加/删除Windows组件”，打开“Windows组件向导”窗口，如右图所示。25第十三章域名系统DNSNetworkingtechno;ogyDNS服务器的安装（3）在“组件”下，滚动列表并选中“网络服务”。单击“详细信息”按钮，打开“网络服务”窗口。如图5-15所示。（4）在“网络服务的子组件”下，单击“域名服务系统(DNS)”，然后单击“确定”按钮。（5）安装程序开始配置组件，在“文件复制来源”中，键入Windows2000分配文件的完整路径，然后单击“确定”按钮。所需的文件被复制到硬盘上，就可以使用服务器软件了。26第十三章域名系统DNSNetworkingtechno;ogyDNS的安全问题DNS本身从一开始设计就没有考虑到安全性，它既没有在DNS内部对DNS中的数据提供认证机制和完整性检查也不提倡对DNS提供的服务进行访问控制和限制，造成了许多安全漏洞．现有的对DNS进行的网络攻击大概可分为以下几类：缓存中毒，拒绝服务，不安全的动态更新，信息泄漏和DNS服务器权威数据库的入侵．27第十三章域名系统DNSNetworkingtechno;ogyDNS的安全问题客户端拥塞问题：28第十三章域名系统DNSNetworkingtechno;ogyDNS的安全问题缓存中毒：29第十三章域名系统DNSNetworkingtechno;ogyDNS的安全问题