第9章 域名系統(tǒng)(DNS)

1、第第9章章 域名系統(tǒng)域名系統(tǒng)(DNS)9.1 命名機制與名字管理命名機制與名字管理9.2 因特網(wǎng)域名因特網(wǎng)域名9.3 DNS服務(wù)器服務(wù)器9.4 域名解析域名解析9.5 DNS報文格式報文格式9.6 DNS資源記錄資源記錄9.7 DNS配置及數(shù)據(jù)庫文件配置及數(shù)據(jù)庫文件9.1 命名機制與名字管理命名機制與名字管理 因特網(wǎng)的因特網(wǎng)的命名機制命名機制要求主機名字具有：要求主機名字具有： 全局惟一性全局惟一性 便于管理便于管理 便于映射便于映射 網(wǎng)絡(luò)中網(wǎng)絡(luò)中通常采用的命名機制有兩種通常采用的命名機制有兩種：無層次命名機制：無層次命名機制和層次型命名機制。和層次型命名機制。 無層次無層次(flat)命名機

2、制：命名機制：早期因特網(wǎng)采用，主機名用一早期因特網(wǎng)采用，主機名用一個個字符串字符串表示，表示，沒有任何結(jié)構(gòu)沒有任何結(jié)構(gòu)。所有的無結(jié)構(gòu)主機名。所有的無結(jié)構(gòu)主機名構(gòu)成構(gòu)成無層次名字空間無層次名字空間。為了保證無層次名字的全局惟一性，命名采用為了保證無層次名字的全局惟一性，命名采用集中式集中式管理方式管理方式，名字，名字地址映射通常通過主機文件完成。地址映射通常通過主機文件完成。 問題問題：無層次命名不適合具有大量對象的網(wǎng)絡(luò)，：無層次命名不適合具有大量對象的網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)中對象的增加，中央隨著網(wǎng)絡(luò)中對象的增加，中央管理管理機構(gòu)的工作機構(gòu)的工作量也會增加，量也會增加，映射效率映射效率降低，而且容易出現(xiàn)

3、降低，而且容易出現(xiàn)名名字沖突字沖突。 層次型命名機制層次型命名機制將層次結(jié)構(gòu)引入主機名字，該將層次結(jié)構(gòu)引入主機名字，該結(jié)構(gòu)對應(yīng)于管理機構(gòu)的層次。結(jié)構(gòu)對應(yīng)于管理機構(gòu)的層次。 層次型命名機制層次型命名機制將名字空間分成若干子空間將名字空間分成若干子空間，每個機構(gòu)負(fù)責(zé)一個子空間的管理每個機構(gòu)負(fù)責(zé)一個子空間的管理。授權(quán)管理機。授權(quán)管理機構(gòu)可以將其管理的構(gòu)可以將其管理的子名字空間進一步劃分子名字空間進一步劃分，授，授權(quán)給下一級機構(gòu)管理，而下一級又可以繼續(xù)劃權(quán)給下一級機構(gòu)管理，而下一級又可以繼續(xù)劃分他所管理的名字空間。這樣一來，分他所管理的名字空間。這樣一來，名字空間名字空間呈一種樹形結(jié)構(gòu)呈一種樹形結(jié)構(gòu)，

4、樹上的每一個節(jié)點都有一個，樹上的每一個節(jié)點都有一個相應(yīng)的標(biāo)號。相應(yīng)的標(biāo)號。 Root 圖9-1 層次型名字空間 cn edu njust serv edu com arpa cn. . . . 域名 標(biāo)號 頂級域 次級域 子域 主機 層次 根是惟一的，所以不需要標(biāo)號。樹的葉結(jié)點是那些根是惟一的，所以不需要標(biāo)號。樹的葉結(jié)點是那些需要根據(jù)名字去尋址的主機（通常是網(wǎng)絡(luò)上提供服需要根據(jù)名字去尋址的主機（通常是網(wǎng)絡(luò)上提供服務(wù)的服務(wù)器）。務(wù)的服務(wù)器）。 惟一性惟一性：每個機構(gòu)或子機構(gòu)向上申請自己負(fù)責(zé)管理：每個機構(gòu)或子機構(gòu)向上申請自己負(fù)責(zé)管理的名字空間，并向下分配子名字空間。在給結(jié)點命的名字空間，并向下分配

5、子名字空間。在給結(jié)點命名標(biāo)號時（分配子名字空間），每個機構(gòu)或子機構(gòu)名標(biāo)號時（分配子名字空間），每個機構(gòu)或子機構(gòu)只要只要保證自己所管理的名字的下一級標(biāo)號不發(fā)生重保證自己所管理的名字的下一級標(biāo)號不發(fā)生重復(fù)復(fù)就可以保證所有的名字不重復(fù)。就可以保證所有的名字不重復(fù)。 管理管理：通過層次化的名字結(jié)構(gòu)，將名字空間的管理：通過層次化的名字結(jié)構(gòu)，將名字空間的管理工作工作分散分散到多個不同層次的管理機構(gòu)去進行管理，到多個不同層次的管理機構(gòu)去進行管理，減輕了單個管理機構(gòu)的管理工作量，提高了效率。減輕了單個管理機構(gòu)的管理工作量，提高了效率。 映射映射：很多的名字解析工作可以在：很多的名字解析工作可以在本地本地完成。

6、極大完成。極大地提高了系統(tǒng)適應(yīng)大量且迅速變化的對象的能力。地提高了系統(tǒng)適應(yīng)大量且迅速變化的對象的能力。當(dāng)前當(dāng)前因特網(wǎng)采用的是層次型命名機制因特網(wǎng)采用的是層次型命名機制。返回返回9.2 因特網(wǎng)域名因特網(wǎng)域名 根據(jù)系統(tǒng)采用的是無層次命名機制還是層次型根據(jù)系統(tǒng)采用的是無層次命名機制還是層次型命名機制，主機名可以通過命名機制，主機名可以通過主機文件主機文件或者或者域名域名系統(tǒng)系統(tǒng)DNS進行轉(zhuǎn)換。進行轉(zhuǎn)換。 用主機文件進行名字解析時，每個需要進行名用主機文件進行名字解析時，每個需要進行名字解析的主機都擁有一個字解析的主機都擁有一個HOSTS文件。現(xiàn)在，文件?，F(xiàn)在，小型網(wǎng)絡(luò)仍然可以采用這種方式進行名字解析

7、。小型網(wǎng)絡(luò)仍然可以采用這種方式進行名字解析。下面是下面是Windows系統(tǒng)中的系統(tǒng)中的HOSTS文件。文件。# This is a sample HOSTS file used by Microsoft # TCP/IP for Windows.# This file contains the mappings of IP addresses to # host names. # Each entry should be kept on an individual line. The # IP address should be placed in the first column # fol

8、lowed by the corresponding host name.# The IP address and the host name should be# separated by at least one space.# Additionally, comments (such as these) may be # inserted on individual lines or following the machine # name denoted by a # symbol.# For example:# 7 # source server# 38.25.

9、63.10 # x client host localhost域名系統(tǒng)域名系統(tǒng)DNS是在是在1984年為取代年為取代HOSTS文件而創(chuàng)建文件而創(chuàng)建的層次型名字系統(tǒng)。的層次型名字系統(tǒng)。 域名系統(tǒng)層次結(jié)構(gòu)域名系統(tǒng)層次結(jié)構(gòu)從高到低的組織：從高到低的組織： 根域根域（Root）位于）位于DNS的最高層，一般不出現(xiàn)在域的最高層，一般不出現(xiàn)在域名中。如果確實需要指明根，那么它將出現(xiàn)在名中。如果確實需要指明根，那么它將出現(xiàn)在FQDN的最后面，以一個句點的最后面，以一個句點“”表示。表示。 頂級域頂級域又稱為又稱為一級域一級域，頂級域按照組織類型和國家劃，頂級域按照組織類型和國家劃分，可以

10、分為三個主要的域：分，可以分為三個主要的域：通用頂級域名通用頂級域名gTLD、國家代碼頂級域名國家代碼頂級域名ccTLD和和反向域反向域。 gTLD：com、org和和net是向所有用戶開放的三個通是向所有用戶開放的三個通用頂級域名，也稱為全球域名，任何國家的用戶都可用頂級域名，也稱為全球域名，任何國家的用戶都可申請注冊它們下面的二級域名。申請注冊它們下面的二級域名。mil、gov和和edu三個三個通用頂級域名只向美國專門機構(gòu)開放。通用頂級域名只向美國專門機構(gòu)開放。int是適用于是適用于國際化機構(gòu)的國際頂級域名（國際化機構(gòu)的國際頂級域名（iTLD）。）。上述上述7個傳統(tǒng)的通用頂級域供不應(yīng)求，后

11、來又個傳統(tǒng)的通用頂級域供不應(yīng)求，后來又新增了新增了7個頂級域：個頂級域：biz、info、name、pro、aero、coop和和museum(新的頂級域名新的頂級域名)。其中前其中前4個是非限制性域，后個是非限制性域，后3個是限制性域，個是限制性域，限制性域只能用于專門的領(lǐng)域。限制性域只能用于專門的領(lǐng)域。ccTLD：目前有目前有240240多個國家代碼頂級域名，多個國家代碼頂級域名，由二個字母縮寫來表示。由二個字母縮寫來表示。ukuk代表英國，代表英國，hkhk代代表香港表香港( (地區(qū)地區(qū)) )， sgsg代表新加坡。代表新加坡。反向域：反向域：的頂級域名為的頂級域名為arpa，用于實現(xiàn)，

12、用于實現(xiàn)IP地地址到域名的反向解析。址到域名的反向解析。 次級域次級域又叫又叫二級域二級域，次級域與具體的公司或，次級域與具體的公司或組織相關(guān)聯(lián)。組織相關(guān)聯(lián)。 子域子域是次級域下面的域，子域是各個組織將是次級域下面的域，子域是各個組織將名字空間進行的進一步劃分。名字空間進行的進一步劃分。主機名主機名(Host Name)是最末級的名字。是最末級的名字。每個域每個域/子域?qū)?yīng)圖子域?qū)?yīng)圖9-1中的一棵子樹，而在實際的名字空間的中的一棵子樹，而在實際的名字空間的管理中采用的是管理中采用的是區(qū)域區(qū)域（Zone）的概念，）的概念，區(qū)域是區(qū)域是DNS的管理單的管理單元元，通常是指一個，通常是指一個DNS

13、服務(wù)器所管理的名字空間。區(qū)域和域服務(wù)器所管理的名字空間。區(qū)域和域是不同的概念，是不同的概念，域是一個完整的子樹域是一個完整的子樹，而，而區(qū)域可以是子樹中區(qū)域可以是子樹中的任何一部分的任何一部分，區(qū)域可以是一個域，也可以不是一個域，區(qū)，區(qū)域可以是一個域，也可以不是一個域，區(qū)域不一定包含那部分域不一定包含那部分DNS樹中的所有子域。圖樹中的所有子域。圖9-2描述了區(qū)域描述了區(qū)域和域的不同。和域的不同。 Root 圖 9-2 域 和 區(qū) 域 cn edu njust serv edu com arp a 域 B： 區(qū) 域 /域 A ： 區(qū) 域 DNSDNS主要由主要由3 3個部分個部分構(gòu)成：構(gòu)成：名

14、字解析器名字解析器(resolver) (resolver) 名字解析器請求名字解析器請求名字服務(wù)器的服務(wù)，獲得待查主機的名字服務(wù)器的服務(wù)，獲得待查主機的IPIP地址。地址。解析器位于應(yīng)用程序中或主機的例行程序庫解析器位于應(yīng)用程序中或主機的例行程序庫中。中。域名空間域名空間(domain name space) (domain name space) 用樹形結(jié)用樹形結(jié)構(gòu)組織的構(gòu)組織的DNSDNS數(shù)據(jù)庫。數(shù)據(jù)庫。名字服務(wù)器名字服務(wù)器(name server) (name server) 名字服務(wù)器用名字服務(wù)器用于保存域名空間各部分的信息，響應(yīng)名字解于保存域名空間各部分的信息，響應(yīng)名字解析請求。析

15、請求。返回返回9.3 DNS服務(wù)器服務(wù)器DNS服務(wù)器可以通過服務(wù)器可以通過多種方法獲取域名空間的部多種方法獲取域名空間的部分信息分信息： 可以由管理員編輯一個原始區(qū)域文件可以由管理員編輯一個原始區(qū)域文件 從其他名字服務(wù)器那里復(fù)制區(qū)域文件從其他名字服務(wù)器那里復(fù)制區(qū)域文件 通過向其他通過向其他DNS服務(wù)器查詢來獲取具有一定時效的服務(wù)器查詢來獲取具有一定時效的緩存信息緩存信息 名字服務(wù)器名字服務(wù)器的三種主要的三種主要類型類型： 主（主（primary）名字服務(wù)器）名字服務(wù)器 次（次（secondary）名字服務(wù)器）名字服務(wù)器 惟高速緩存（惟高速緩存（caching-only）名字服務(wù)器）名字服務(wù)器

16、主名字服務(wù)器主名字服務(wù)器是擁有一個區(qū)域文件的原始版本是擁有一個區(qū)域文件的原始版本的服務(wù)器。關(guān)于該區(qū)域文件的任何變更都在這的服務(wù)器。關(guān)于該區(qū)域文件的任何變更都在這個主名字服務(wù)器的原始版本上進行。個主名字服務(wù)器的原始版本上進行。 次名字服務(wù)器次名字服務(wù)器從其他主名字服務(wù)器那里從其他主名字服務(wù)器那里復(fù)制一個區(qū)復(fù)制一個區(qū)域文件域文件。該區(qū)域文件是主名字服務(wù)器的原始區(qū)域文。該區(qū)域文件是主名字服務(wù)器的原始區(qū)域文件的一個件的一個只讀版本只讀版本。關(guān)于區(qū)域文件的任何改動都在。關(guān)于區(qū)域文件的任何改動都在主名字服務(wù)器那里進行，次名字服務(wù)器通過主名字服務(wù)器那里進行，次名字服務(wù)器通過區(qū)域傳區(qū)域傳輸輸（zone tra

17、nsfer）跟隨主名字服務(wù)器上區(qū)域文件）跟隨主名字服務(wù)器上區(qū)域文件的變化。的變化。 惟高速緩存名字服務(wù)器惟高速緩存名字服務(wù)器上沒有區(qū)域文件，它的職責(zé)上沒有區(qū)域文件，它的職責(zé)是幫助名字解析器完成名字解析，并是幫助名字解析器完成名字解析，并緩存解析結(jié)果緩存解析結(jié)果。惟高速緩存名字服務(wù)器對名字解析請求的響應(yīng)是非惟高速緩存名字服務(wù)器對名字解析請求的響應(yīng)是非授權(quán)的。惟高速緩存名字服務(wù)器在啟動之后，授權(quán)的。惟高速緩存名字服務(wù)器在啟動之后，通過通過緩存查詢的結(jié)果來逐漸建立緩存查詢的結(jié)果來逐漸建立DNS信息信息。緩存條目的。緩存條目的生存期生存期TTL由提供授權(quán)解析結(jié)果的名字服務(wù)器決定。由提供授權(quán)解析結(jié)果的名

18、字服務(wù)器決定。該服務(wù)器將查詢的生存期和名字解析一起返回。該服務(wù)器將查詢的生存期和名字解析一起返回。返回返回9.4 域名解析域名解析 TCP/IP的域名系統(tǒng)是一個的域名系統(tǒng)是一個有效的、可靠的、通有效的、可靠的、通用的、分布式的用的、分布式的名字名字地址映射系統(tǒng)。地址映射系統(tǒng)。 域名解析包括正向解析和反向解析：域名解析包括正向解析和反向解析： 正向解析正向解析是根據(jù)域名查詢其對應(yīng)的是根據(jù)域名查詢其對應(yīng)的IP地址或其他相地址或其他相關(guān)信息關(guān)信息 反向解析反向解析是根據(jù)是根據(jù)IP地址查詢其對應(yīng)的域名地址查詢其對應(yīng)的域名 DNS服務(wù)器和客戶端屬于服務(wù)器和客戶端屬于TCP/IP模型的模型的應(yīng)用層應(yīng)用層，

19、DNS既可以使用既可以使用UDP，也可以使用，也可以使用TCP來進行來進行通信通信。DNS服務(wù)器使用服務(wù)器使用UDP/TCP的的53號熟知號熟知端口端口。 DNS服務(wù)器能夠接收兩種類型的解析：服務(wù)器能夠接收兩種類型的解析： 遞歸解析遞歸解析（Recursive resolution） 反復(fù)解析反復(fù)解析（iterative resolution）。）。9.4.1 遞歸解析遞歸解析 遞歸解析要求名字服務(wù)器系統(tǒng)一次性完成名遞歸解析要求名字服務(wù)器系統(tǒng)一次性完成名字字地址變換地址變換。遞歸查詢強迫指定的。遞歸查詢強迫指定的DNS服服務(wù)器對請求做出響應(yīng)，該響應(yīng)或者是一個失務(wù)器對請求做出響應(yīng)，該響應(yīng)或者是一

20、個失敗響應(yīng)，或者是一個包含相應(yīng)的解析結(jié)果的敗響應(yīng)，或者是一個包含相應(yīng)的解析結(jié)果的成功響應(yīng)。成功響應(yīng)。客戶端計算機的解析器通常會發(fā)客戶端計算機的解析器通常會發(fā)出遞歸查詢出遞歸查詢。 圖9-3 遞歸解析 1 2 5 6 3 4 DNS服務(wù)器 DNS服務(wù)器 DNS服務(wù)器 客戶 9.4.2 反復(fù)解析反復(fù)解析反復(fù)解析要求客戶端本身反復(fù)尋求名字服務(wù)器反復(fù)解析要求客戶端本身反復(fù)尋求名字服務(wù)器的服務(wù)來獲得最終的解析結(jié)果。的服務(wù)來獲得最終的解析結(jié)果。在反復(fù)解析中，在反復(fù)解析中，名字服務(wù)器收到請求后，若能夠給出解析結(jié)果，名字服務(wù)器收到請求后，若能夠給出解析結(jié)果，則向客戶端發(fā)回最終結(jié)果，若本名字服務(wù)器無則向客戶端發(fā)

21、回最終結(jié)果，若本名字服務(wù)器無法給出解析結(jié)果，則應(yīng)向查詢者提供它認(rèn)為能法給出解析結(jié)果，則應(yīng)向查詢者提供它認(rèn)為能夠給出解析結(jié)果的服務(wù)器的夠給出解析結(jié)果的服務(wù)器的IP地址。請求者收地址。請求者收到該到該IP地址后，將向該地址發(fā)解析請求，直到地址后，將向該地址發(fā)解析請求，直到獲得最終解析結(jié)果或失敗響應(yīng)。獲得最終解析結(jié)果或失敗響應(yīng)。 當(dāng)一個名字服務(wù)器試圖找到它的本地域之外的當(dāng)一個名字服務(wù)器試圖找到它的本地域之外的名字時，往往會發(fā)送反復(fù)查詢。為了解析名字，名字時，往往會發(fā)送反復(fù)查詢。為了解析名字，它可能必須查詢許多外面的它可能必須查詢許多外面的DNS服務(wù)器，一般服務(wù)器，一般從根域服務(wù)器開始自從根域服務(wù)器開

22、始自頂向下查找頂向下查找。 圖 9-4 反復(fù)解析 1 2 4 5 DNS 服務(wù)器 DNS 服務(wù)器 客戶 DNS 服務(wù)器 3 6 9.4.3 反向解析反向解析名字解析中的名字解析中的反向解析是指由主機的反向解析是指由主機的IP地址求地址求得其域名的過程得其域名的過程。DNS在名字空間中設(shè)置了一在名字空間中設(shè)置了一個稱為個稱為的特殊域，專門用于反向的特殊域，專門用于反向解析。為了能夠?qū)⒎聪蚪馕雠c正向解析用相同解析。為了能夠?qū)⒎聪蚪馕雠c正向解析用相同的方法進行解析，反向解析將的方法進行解析，反向解析將IP地址的字節(jié)顛地址的字節(jié)顛倒過來寫，構(gòu)成反向解析的倒過來寫，構(gòu)成反向解析的

23、“名字空間名字空間”。地。地址為址為26的主機的域名為的主機的域名為02.. 。 Root 圖9-5 IP 地址為26的主機的逆向解析域名 cn edu serv edu com arpa in-addr 202 119 80 126 域名 njust arpa. 02.. 80.119.202.. 119.202.. 202.. . 9.4.4 解析效率解

24、析效率解決：兩步名字解析機制和高速緩存技術(shù)。解決：兩步名字解析機制和高速緩存技術(shù)。 采用采用兩步名字解析機制兩步名字解析機制解析時，第一步先解析時，第一步先通過本地名字服務(wù)器進行解析，若不行，通過本地名字服務(wù)器進行解析，若不行，再采用自頂向下的方法搜索。兩步法既再采用自頂向下的方法搜索。兩步法既提提高了效率高了效率又又保證了域名管理的層次結(jié)構(gòu)保證了域名管理的層次結(jié)構(gòu)。 在名字服務(wù)器中采用在名字服務(wù)器中采用高速緩存技術(shù)高速緩存技術(shù)，存放，存放最近解析過的名字最近解析過的名字地址映射和描述解析地址映射和描述解析該名字的服務(wù)器位置的信息，可避免每次該名字的服務(wù)器位置的信息，可避免每次解析非本地名字時

25、都進行自頂向下的搜索，解析非本地名字時都進行自頂向下的搜索，減小非本地名字解析帶來的開銷。減小非本地名字解析帶來的開銷。 有效性問題：有效性問題：若授權(quán)名字服務(wù)器中的名字若授權(quán)名字服務(wù)器中的名字地址映射地址映射已發(fā)生變化而高速緩存未能作相應(yīng)刷新，則會帶來有已發(fā)生變化而高速緩存未能作相應(yīng)刷新，則會帶來有效性問題，高速緩存內(nèi)容的失效會導(dǎo)致解析錯誤。效性問題，高速緩存內(nèi)容的失效會導(dǎo)致解析錯誤。 解決方法解決方法： 服務(wù)器向解析器報告緩沖信息時，必須服務(wù)器向解析器報告緩沖信息時，必須注明該信注明該信息是非授權(quán)的信息息是非授權(quán)的信息，同時還指出能夠給出授權(quán)解，同時還指出能夠給出授權(quán)解析結(jié)果的名字服務(wù)器的

26、地址。若解析器僅注重效析結(jié)果的名字服務(wù)器的地址。若解析器僅注重效率，它可以立即使用非授權(quán)的結(jié)果，若解析器注率，它可以立即使用非授權(quán)的結(jié)果，若解析器注重解析的準(zhǔn)確性，則可以立即向授權(quán)服務(wù)器發(fā)出重解析的準(zhǔn)確性，則可以立即向授權(quán)服務(wù)器發(fā)出解析請求，以便獲得準(zhǔn)確的結(jié)果。解析請求，以便獲得準(zhǔn)確的結(jié)果。 高速緩存中的高速緩存中的每一個映射條目都有一個生存時間每一個映射條目都有一個生存時間TTL，一旦某條目的，一旦某條目的TTL時間到，便將它從緩沖區(qū)時間到，便將它從緩沖區(qū)中刪除。中刪除。 事實上，由于域名事實上，由于域名地址映射的穩(wěn)定性，名字緩沖機地址映射的穩(wěn)定性，名字緩沖機制還是非常有效的。制還是非常有效

27、的。返回返回9.5 DNS報文格式報文格式DNS報文包括報文包括請求報文請求報文和和響應(yīng)報文響應(yīng)報文。請求報文和響。請求報文和響應(yīng)報文的應(yīng)報文的格式是相同的格式是相同的。DNS報文的首部由報文的首部由6個字段構(gòu)成：個字段構(gòu)成： 標(biāo)識字段標(biāo)識字段長度為長度為16比特，用于匹配請求和響應(yīng)。比特，用于匹配請求和響應(yīng)。 標(biāo)志字段標(biāo)志字段長度為長度為16比特，劃分為如圖比特，劃分為如圖9-7所示的若干所示的若干子字段。子字段。 QR子字段子字段(1比特比特)：用來區(qū)別請求和響應(yīng)。：用來區(qū)別請求和響應(yīng)。0表示請表示請求報文，求報文，1表示響應(yīng)報文。表示響應(yīng)報文。 OpCode子字段子字段(4比特比特)：用

28、來定義操作類型。：用來定義操作類型。 0表示標(biāo)準(zhǔn)查詢（正向解析）表示標(biāo)準(zhǔn)查詢（正向解析） 1表示反向查詢（反向解析）表示反向查詢（反向解析） 2表示服務(wù)器狀態(tài)請求。表示服務(wù)器狀態(tài)請求。 標(biāo) 識 標(biāo) 志 問 題 記 錄 數(shù) 回 答 記 錄 數(shù) 授 權(quán) 記 錄 數(shù) 附 加 記 錄 數(shù) 問 題 部 分 回 答 部 分 授 權(quán) 部 分 附 加 信 息 圖 9-6 DNS 報文格式 0 16 31 首部 QR OpCode AA TC RD RA 0 0 0 rCode 圖 9-7 DNS報文標(biāo)志字段的格式 1 4 4 1 1 1 1 1 1 1 DNS報文首部的后面是可變部分，包括四個小部分。報文首部

29、的后面是可變部分，包括四個小部分。 問題部分問題部分由一組問題記錄組成。問題記錄格式如圖。由一組問題記錄組成。問題記錄格式如圖。 詢問名詢問名字段可字段可變長變長，詢問名由，詢問名由標(biāo)號序列標(biāo)號序列構(gòu)成，每構(gòu)成，每個標(biāo)號前有一個字節(jié)指出該標(biāo)號的字節(jié)長度。個標(biāo)號前有一個字節(jié)指出該標(biāo)號的字節(jié)長度。 詢問類詢問類（query class）16比特，比特，1表示因特網(wǎng)協(xié)表示因特網(wǎng)協(xié)議議(IN)。 詢問類型詢問類型（query type）16比特，定義比特，定義詢問希望詢問希望得到的回答類型得到的回答類型。域名雖然主要針對主機而言，。域名雖然主要針對主機而言，但由于域名系統(tǒng)的但由于域名系統(tǒng)的通用性通用性

30、，域名解析既可以用于，域名解析既可以用于獲取獲取IP地址，也可以用于獲取名字服務(wù)器和主機信地址，也可以用于獲取名字服務(wù)器和主機信息等。為了區(qū)分這些不同類型的對象，域名系統(tǒng)息等。為了區(qū)分這些不同類型的對象，域名系統(tǒng)中每一命名條目都被賦予類型屬性。中每一命名條目都被賦予類型屬性。(表表9-3) 詢 問 名 詢 問 類 型 詢 問 類 圖 9-8 DNS 報文問題記錄格式 0 16 31 表表9-3 常用的類型常用的類型A 1 IPv4地址地址 用于域名到用于域名到IPv4地址的轉(zhuǎn)換地址的轉(zhuǎn)換NS 2 名字服務(wù)器名字服務(wù)器 標(biāo)識區(qū)域的授權(quán)名字服務(wù)器標(biāo)識區(qū)域的授權(quán)名字服務(wù)器CNAME 5 正規(guī)名正規(guī)名

31、 定義主機正規(guī)名的別名定義主機正規(guī)名的別名SOA 6 授權(quán)開始授權(quán)開始 標(biāo)識授權(quán)的開始標(biāo)識授權(quán)的開始PTR 12 指針指針 指向其他域名空間的指針指向其他域名空間的指針HINFO 13 主機信息主機信息 標(biāo)識主機使用的標(biāo)識主機使用的CPU和和OSMX 15 郵件交換郵件交換 標(biāo)識用于域的郵件交換資源標(biāo)識用于域的郵件交換資源AAAA 28 IPv6地址地址 用于域名到用于域名到IPv6地址的轉(zhuǎn)換地址的轉(zhuǎn)換AXFR 252 區(qū)域傳輸區(qū)域傳輸 請求傳輸整個區(qū)域請求傳輸整個區(qū)域ANY 255 全記錄請求全記錄請求 請求所有的記錄請求所有的記錄 記錄別名記錄別名 數(shù)值數(shù)值 記錄類型記錄類型描描 述述 D

32、NS報文的報文的其余三個部分其余三個部分是回答部分、授權(quán)部是回答部分、授權(quán)部分和附加信息部分，附加信息包含回答部分和分和附加信息部分，附加信息包含回答部分和授權(quán)部分返回的資源所要求的附加信息（如授權(quán)部分返回的資源所要求的附加信息（如IP地址）。地址）。 這三部分均由一組這三部分均由一組資源記錄資源記錄組成，而且僅在應(yīng)組成，而且僅在應(yīng)答報文中出現(xiàn)。一條資源記錄答報文中出現(xiàn)。一條資源記錄描述一個域名描述一個域名，格式如圖。格式如圖。 域 名 類 型 類 生 存 時 間 資 源 數(shù) 據(jù) 長 度 資 源 數(shù) 據(jù) 圖 9-9 DNS 資源記錄格式 0 16 31 在響應(yīng)報文中，回答的域名往往與問題中的域

33、在響應(yīng)報文中，回答的域名往往與問題中的域名相同。為了節(jié)省響應(yīng)報文的空間，服務(wù)器對名相同。為了節(jié)省響應(yīng)報文的空間，服務(wù)器對回答的域名采用回答的域名采用壓縮格式壓縮格式，對相同的域名只存，對相同的域名只存放一個拷貝，其他放一個拷貝，其他采用指針表示采用指針表示。若開始的兩個二進制位為若開始的兩個二進制位為“11”，則接下去，則接下去的的14比特為指針，該指針指向存放在報文中比特為指針，該指針指向存放在報文中另一位置的域名字符串。另一位置的域名字符串。若開始的兩個二進制位為若開始的兩個二進制位為“00”，則接下去，則接下去的的6比特指出緊跟在計數(shù)字節(jié)后面的標(biāo)號的比特指出緊跟在計數(shù)字節(jié)后面的標(biāo)號的長度

34、。長度。 圖9-10 DNS請求報文 0 x1234（標(biāo)識） 0 x0100（標(biāo)志） 1（問題記錄數(shù)） 0（回答記錄數(shù)） 0（授權(quán)記錄數(shù)） 0（附加信息數(shù)） 4 “s” “e” “r” “v” 5 “n” “j” “u” “s” “t” 3 “e” “d” “u” 2 “c” “n” 0 1（Type=A） 1（Class=IN） 首部 問題 標(biāo)志：QR OpCode AA TC RD RA 保留 rCode 0 0000 0 0 1 0 000 0000 0 x0100 解析域名解析域名的的請求報文請求報文解析域名解析域名的的響應(yīng)報文響應(yīng)報文 圖 9-11 D N S 響 應(yīng) 報 文 0 x

35、1234（ 標(biāo) 識 ） 0 x8180（ 標(biāo) 志 ） 1（ 問 題 記 錄 數(shù) ） 1（ 回 答 記 錄 數(shù) ） 0（ 授 權(quán) 記 錄 數(shù) ） 0（ 附 加 信 息 數(shù) ） 4 “ s” “ e” “ r” “ v” 5 “ n” “ j” “ u” “ s” “ t” 3 “ e” “ d” “ u” 2 “ c” “ n” 0 1（ Ty p e=A ） 1（ Class=IN ） 0 xC00C（ 指 針 ） 1（ Ty p e=A ） 1（ Class=IN ） 1600（ T T L） 4（ 數(shù) 據(jù) 長 度 ） 202 119 80 126 首 部 問 題 標(biāo) 志 ： Q R O p

36、 Code A A T C RD RA 保 留 rCode 1 0000 0 0 1 1 000 0000 0 x8180 回 答 返回返回9.6 DNS資源記錄資源記錄DNS響應(yīng)報文中的回答部分、授權(quán)部分和附加信息部響應(yīng)報文中的回答部分、授權(quán)部分和附加信息部分由資源記錄構(gòu)成，資源記錄存放在名字服務(wù)器的數(shù)分由資源記錄構(gòu)成，資源記錄存放在名字服務(wù)器的數(shù)據(jù)庫中。據(jù)庫中。DNS具有具有20多種不同類型的資源記錄，下面多種不同類型的資源記錄，下面給出給出幾種常用的資源記錄的格式幾種常用的資源記錄的格式。 授權(quán)開始授權(quán)開始（ SOA）資源記錄定義在域中充當(dāng)主名字）資源記錄定義在域中充當(dāng)主名字服務(wù)器的主機

37、及相關(guān)參數(shù)。語法如下：服務(wù)器的主機及相關(guān)參數(shù)。語法如下： IN SOA ( )符號指明名字服務(wù)器所負(fù)責(zé)的域，通過引導(dǎo)符號指明名字服務(wù)器所負(fù)責(zé)的域，通過引導(dǎo)文件可以查到域名。文件可以查到域名。IN和和SOA分別指明資源記錄的類和類型。分別指明資源記錄的類和類型。 名字服務(wù)器名字服務(wù)器(NS)資源記錄指明哪一個資源記錄指明哪一個DNS服務(wù)服務(wù)器對于域是授權(quán)服務(wù)器。要確保在主名字服務(wù)器對于域是授權(quán)服務(wù)器。要確保在主名字服務(wù)器和次名字服務(wù)器內(nèi)包含器和次名字服務(wù)器內(nèi)包含NS資源記錄。語法：資源記錄。語法： IN NS 指明名字服務(wù)器所對應(yīng)的域指明名字服務(wù)器所對應(yīng)的域的名稱。的名稱。指定域名的授權(quán)名字指定

38、域名的授權(quán)名字服務(wù)器的完全合格域名服務(wù)器的完全合格域名FQDN。 地址地址(A)資源記錄指明主機的資源記錄指明主機的IP地址。語法：地址。語法： IN A 指明主機名。指明主機名。定義定義主機的主機的IPv4地址。地址。IPv6的資源記錄類型為的資源記錄類型為AAAA。 正規(guī)名（正規(guī)名（CNAME）資源記錄提供為主機創(chuàng)建別名的能資源記錄提供為主機創(chuàng)建別名的能力。通過使用別名，可以使提供多種服務(wù)的主機以不同力。通過使用別名，可以使提供多種服務(wù)的主機以不同的名字提供不同的服務(wù)。語法：的名字提供不同的服務(wù)。語法： IN CNAME ：主機的別名。：主機的別名。：實際主機名。：實際主機名。 郵件交換郵

39、件交換(MX)資源記錄描述該域的郵件服務(wù)器。一個資源記錄描述該域的郵件服務(wù)器。一個域可以有域可以有多個多個MX資源記錄，以便實現(xiàn)指定域的資源記錄，以便實現(xiàn)指定域的email服服務(wù)的務(wù)的負(fù)載均衡和容錯負(fù)載均衡和容錯。語法：。語法： IN MX 是郵件交換服務(wù)器處理郵件的域名。是郵件交換服務(wù)器處理郵件的域名。是郵件交換服務(wù)器的代價值，代價值代表服務(wù)是郵件交換服務(wù)器的代價值，代價值代表服務(wù)器的優(yōu)先級。代價值越小，優(yōu)先級越高。相同的代價值：器的優(yōu)先級。代價值越小，優(yōu)先級越高。相同的代價值：進行負(fù)載均衡。僅當(dāng)?shù)痛鷥r值的郵件交換服務(wù)器不可達(dá)進行負(fù)載均衡。僅當(dāng)?shù)痛鷥r值的郵件交換服務(wù)器不可達(dá)時，郵件才被送往高

40、代價的郵件交換服務(wù)器。時，郵件才被送往高代價的郵件交換服務(wù)器。字段代表郵件交換服務(wù)器的主機名。字段代表郵件交換服務(wù)器的主機名。 返回返回9.7 DNS配置及數(shù)據(jù)庫文件配置及數(shù)據(jù)庫文件 BIND(Berkeley Internet Name Daemon)軟件軟件是一個客戶是一個客戶/服務(wù)系統(tǒng)，服務(wù)系統(tǒng)，客戶端客戶端稱為稱為解析器解析器或或轉(zhuǎn)轉(zhuǎn)換程序換程序(resolver)，解析器，解析器產(chǎn)生產(chǎn)生域名信息的查域名信息的查詢請求，并將信息詢請求，并將信息發(fā)送發(fā)送給服務(wù)器，服務(wù)器回答給服務(wù)器，服務(wù)器回答解析器的查詢。解析器的查詢。BIND的的服務(wù)器服務(wù)器是一個稱為是一個稱為named的守護進程。的

41、守護進程。 BIND DNS服務(wù)器的配置依賴于幾個文本文件。服務(wù)器的配置依賴于幾個文本文件?？梢杂梦谋揪庉嬈髦苯由蛇@些文件或者是從可以用文本編輯器直接生成這些文件或者是從基本模板修改而得到。基本模板修改而得到。DNS必須配置的文件包必須配置的文件包括括DNS配置文件配置文件（又稱引導(dǎo)文件）、（又稱引導(dǎo)文件）、DNScache文件文件、DNS正向查詢文件正向查詢文件和和DNS反反向查詢文件向查詢文件。9.7.1 DNS配置文件配置文件BIND的的DNS服務(wù)器用配置文件服務(wù)器用配置文件named.conf來來包含如下的包含如下的信息信息：（1）其他）其他DNS文件所在的文件所在的路徑路徑。（2）

42、包含因特網(wǎng)）包含因特網(wǎng)根服務(wù)器映像根服務(wù)器映像的的cache文件的文件的名字。名字。（3）DNS服務(wù)器授權(quán)的任何服務(wù)器授權(quán)的任何主域域名主域域名以及包含以及包含那個域的資源記錄的那個域的資源記錄的數(shù)據(jù)庫文件名數(shù)據(jù)庫文件名。（4）DNS服務(wù)器授權(quán)的任何服務(wù)器授權(quán)的任何次域域名次域域名、包含那、包含那個域的資源記錄的個域的資源記錄的數(shù)據(jù)庫文件名數(shù)據(jù)庫文件名以及對應(yīng)的以及對應(yīng)的主主名字服務(wù)器的名字服務(wù)器的IP地址地址。options directory “/etc/db”;zone “.” type hint; file “named.cache”;zone “” type master; file

43、 “named.hosts”;BIND-8.x配置文件配置文件named.conf的一個例子。的一個例子。zone “0.0.127.” type master; file “named.local”;zone “85.119.202.” type master; file “named.rev”; zone “” type slave; file “slavenet.njust”; masters 0; ;9.7.2 DNScache文件文件 ；last update： Aug 22，1997 ；related vers

44、ion of root zone： 1997082200 ；formerly NS.INTERNIC.NET 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A ；formerly NSl.ISI.EDU 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 07 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 2 36

45、00000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. 3600000 A 0DNScache文件包含一系列的根域名服務(wù)器。該文件文件包含一系列的根域名服務(wù)器。該文件應(yīng)該隨根域名服務(wù)器的不斷更新而更新。以下是應(yīng)該隨根域名服務(wù)器的不斷更新而更新。以下是DNScache文件文件(named.cache)的一個版本。的一個版本。 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 0 3600000 NS F.ROOT-SERVERS.NET.

46、 F.ROOT-SERVERS.NET. 3600000 A 41 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 3 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 7 3600000 NS J.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. 3600000 A 0 3600000 NS K.ROOT-SERVERS.NET. K.ROOT-SERVERS.NET. 3600000 A 29 3600000 NS L.ROOT-SERVERS.