第四章DNS服务全攻略(一基础)

第四章:DNS服务全攻略(一基础)内容简介DNS的概述DNS服务的安装DNS常见名词DNS配置文件详解配置主要DNS服务案例详解DNS域名系统的简介网络中为了区别各个主机，必须为每台主机分配一个惟一的地址，这个地址即称为IP地址。但这些数字难以记忆，所以就采用域名的方式来取代这些数字了。当某台主机要与其他主机通信时，就可以利用主机名称向DNS服务器查询该主机的IP地址。整个DNS域名系统由以下4个部分组成。1．DNS域名空间2．资源记录3．DNS服务器4．DNS客户端如图1DNS查询的工作原理DNS查询过程按两部分进行名称查询从客户端计算机开始，并传送给本机的DNS客户服务程序进行解析；如果不能在本机解析查询，可根据设定的查询DNS服务器来解析名称。以上两种查询方式的具体工作过程如下。1．本地解析（图2）2．查询DNS服务器（图3）递归查询流程（图4）迭代查询流程（图5）hosts文件hosts文件是Linux系统中一个负责IP地址与域名快速解析的文件，/etc/hostsHosts文件包含了IP地址和主机名之间的映射，还包括主机名的别名。hosts文件的格式如下：IP地址主机名/域名DNS服务bind及chroot的安装rpm-qbindrpm-ivhbind-libs-9.3.4-10.P1.el5.i386.rpmrpm-ivhbind-utils-9.3.4-10.P1.el5.i386.rpmrpm-ivhbind-9.3.4-10.P1.el5.i386.rpmrpm-ivhbind-chroot-9.3.4-10.P1.el5.i386.rpmrpm-ivhcaching-nameserver-9.3.4-10.P1.el5.i386.rpm安装chroot软件包Linux服务都是以root权限启动和运行的，随着技术的发展，各种服务变得越来越复杂，导致BUG和漏洞越来越多。黑客利用服务的漏洞入侵系统，能获得root级别的权限，从而控制整个系统。为了减缓这种攻击所带来的负面影响，现在服务器软件通常设计为以root权限启动，然后服务器进程自行放弃root，再以某个低权限的系统账号来运行进程。这种方式的好处在于该服务被攻击者利用漏洞入侵时，由于进程权限很低，攻击者得到的访问权限又是基于这个较低权限的，因此对系统造成的危害比以前减轻了许多。启动和停止DNS服务1．启动DNS服务/etc/init.d/namedstart2．停止DNS服务/etc/init.d/namedstop3．重新启动DNS服务/etc/init.d/namedrestart4．自动启动DNS服务如果需要让DNS服务随系统启动而自动加载，可以执行ntsysv命令启动服务配置程序，找到named服务，其前面加上星号*，然后选择确定即可。DNS常见名词区(Zone)：区是DNS名称空间的一个连续部分，其包含了一组存储在DNS服务器上的资源记录。资源记录：DNS服务器的信息数据，按照分类进行存储，能够解析客户端的DNS请求。区文件：包含区资源记录的文件，选择DNS服务器为授权服务器，管理该区域。DNS缓存：DNS服务器在解析客户机请求时，如果本地没有该DNS信息，则可以会询问其他DNS服务器，当其他域名服务器返回查询结果时，该DNS服务器会将结果记录在本地的缓存中，成为DNS缓存。正向解析：域名到IP地址的解析过程。反向解析：从IP地址到域名的解析过程。全域名：（FQDN，FullyQualifiedDomainName）是指主机名加上全路径，全路径中列出了序列中所有域成员。DNS配置文件详解（图6）资源记录SOA资源记录：起始授权记录（StartofAuthorityRecord）,简称SOA记录。SOA定义了域的全局参数，进行整个域的管理设置。一个区域文件只允许存在唯一的SOA记录。区域名（当前）记录类型SOA主域名服务器（FQDN）管理员邮件地址（序列号刷新间隔重试间隔过期间隔TTL）NS资源记录：名称服务器（NS）资源记录表示该区的授权服务器，它们表示SOA资源记录中指定的该区的主和辅助服务器，也表示了任何授权区的服务器。每个区在区根处至少包含一个NS记录。区域名INNS完整主机名（FQDN）A资源记录：地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。完整主机名（FQDN）INAIP地址PTR资源记录：相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。IP地址INPTR主机名（FQDN）CNAME资源记录：规范名字（CNAME）资源记录创建特定FQDN的别名。别名INCNAME主机名MX资源记录：邮件交换（MX）资源记录为DNS域名指定邮件交换服务器。区域名INMX优先级（数字）邮件服务器名称（FQDN）主配置文件named.confoptions{direcrory/var/named;#指定工作目录forwards{192.168.31.2;};#指定查询的目标DNS服务器allow-query{192.168.32/24;};#只允许某个网段的用户来查询allow-transfer{192.168.32/24;};#只允许某个网段的DNS来同步};zone.{Typehint;filenamed.ca;};zoneexample.com{typemaster;fileexample.com.zone;};zone31.168.192.in-addr.arpa{typeslave;masters{192.168.31.3;};filesalves/192.168.31.zone;};type字段指定区域的类型master：表示定义的是主域名服务器。拥有区域数据文件，并对此区域提供管理数据slave：表示定义的是辅助域名服务器。拥有主DNS服务器的区域数据文件的副本，辅助DNS服务器会从主DNS服务器同步所有区域数据hint：表示是互联网中根域名服务器。当服务器启动时，它使用根线索来查找根域名服务器，并找到最近的根域名服务器列表forward：一个forwardzone是每个域的配置转发的主要部分stub：和slave类似，但其只复制主DNS服务器上的NS记录而不像辅助DNS服务器会复制所有区域数据delegation-only：用于强制区域的delegation.ly状态DNS服务器设置流程1）建立主配置文件named.conf，该文件的最主要目的是设置DNS服务器能够管理哪些区域（Zone）以及这些区域所对应的区域文件名和存放路径。2）建立区域文件，按照named.conf文件中指定的路径建立区域文件，该文件主要记录该区域内的资源记录。3）重新加载配置文件或重新启动named服务使用配置生效。配置主要名称服务器概述主配置文件设置根区域设置主区域设置反向解析区域根服务器信息文件named.ca区域文件反向解析区域文件实现负载均衡功能主要名称服务器的测试主配置文件Bind的主配置文件是/etc/named.conf，该文件只包括Bind的基本配置，并不包含任何DNS区域数据。options{directory/var/named;forwarders{192.168.31.2;};allow-query{192.168.31/24;};allow-transfer{192.168.31/24;};};设置根区域当DNS服务器处理递归查询时，如果本地区域文件不能进行查询的解析，就会转到根DNS服务器查询，所以在主配置文件named.conf文件中还要定义根区域。zone.{typehint;filenamed.ca;};设置主区域主区域用来保存DNS服务器某个区域（如：example.com）的数据信息。zoneexample.com{typemaster;fileexample.com.zone;};设置反向解析区域在大部分的DNS查询中，DNS客户端一般执行正向查找，即根据计算机的DNS域名查询对应的IP地址。但在某些特殊的应用场合中（如判断IP地址所对应的域名是否合法），也会使用到通过IP地址查询对应DNS域名的情况（也称为反向查找）。zone16.168.192.in-addr.arpa{typemaster;file192.168.16.arpa;};根服务器信息文件named.ca/var/named/named.ca是一个非常重要的文件，该文件包含了Internet的根服务器名字和地址，Bind接到客户端主机的查询请求时，如果在Cache中找不到相应的数据，就会通过根服务器进行逐级查询。由于named.ca文件经常会随着根服务器的变化而发生变化，因此建议最好从国际互联网络信息中心（InterNIC）的FTP服务器下载最新的版本，下载地址为。下载完后，应将该文件改名为named.ca，并复制到/var/named/chroot/var/named/目录下。正向区域文件一个区域内的所有数据（包括主机名和对应IP地址、刷新间隔和过期时间等）必须存放在DNS服务器内，而用来存放这些数据的文件就称为区域文件（区域数据文件使用;符号注释）。DNS服务器的区域数据文件一般存放在/var/named/目录下。/var/named/chroot/var/named/example.com.zone文件的完整例子。$TTL38400example.com.INSOAdns.example.com.root.example.com.(2009070700;serial10800;refresh3600;retry604800;expiry38400);minimumexample.com.INNSdns.example.com.dnsINA192.168.16.177反向解析区域文件反向解析区域文件的结构和格式与正向区域文件类似，只不过它的主要内容是建立IP地址映射到DNS域名的指针PTR资源记录。在/var/named/chroot/var/named/192.168.16.arpa文件中定义反向解析区域。$TTL3600016.168.192.in-addr.arpa.INSOAdns.example.com.root.example.com.(200907070310800360060480036000)16.168.192.in-addr.arpa.INNSdns.example.com.177.16.168.192.in-addr.arpa.INPTRdns.example.com.9INPTR负载均衡的优点是经济简单易行，它在DNS服务器中为同一个域名配置多个IP地址（即为一个主机名设置多条A资源记录），在应答DNS查询时，DNS服务器对每个查询将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果，将客户端的访问引导到不同的计算机上去，使得不同的客户端访问不同的服务器，从而达到负载均衡的目的。例如，在企业网中需要使用3