第3章 Linux_DNS服務(wù)的配置與應(yīng)用

1、第三章 DNS服務(wù)的配置與應(yīng)用本章導(dǎo)讀l DNS的概述 l DNS服務(wù)的安裝 l 安裝chroot軟件包 l 配置主要名稱服務(wù)器 l 配置輔助名稱服務(wù)器 l 配置緩存Cache-only服務(wù)器 l 啟動和停止DNS服務(wù) l DNS客戶端的配置3.1 DNS的概述 DNS域名系統(tǒng)的簡介 DNS查詢的工作原理 DNS規(guī)劃 hosts文件 Bind的簡介 DNS域名系統(tǒng)的簡介 網(wǎng)絡(luò)中為了區(qū)別各個主機，必須為每臺主機分配一個惟一的地址，這個地址即稱為“IP地址”。但這些數(shù)字難以記憶，所以就采用“域名”的方式來取代這些數(shù)字了。 當(dāng)某臺主機要與其他主機通信時，就可以利用主機名稱向DNS服務(wù)器查詢該主機的I

2、P地址。整個DNS域名系統(tǒng)由以下4個部分組成。DNS域名系統(tǒng)的簡介1DNS域名空間2資源記錄3DNS服務(wù)器4DNS客戶端DNS查詢的工作原理 當(dāng)DNS客戶端需要查詢所使用的名稱時，它會查詢DNS服務(wù)器來解析該名稱?？蛻舳税l(fā)送的查詢消息包括以下3條信息： 指定的DNS域名，必須為完全合格的域名（FQDN）； 指定的查詢類型，可根據(jù)類型指定資源記錄，或者指定為查詢操作的專門類型； DNS域名的指定類別。 DNS查詢過程按兩部分進行： 名稱查詢從客戶端計算機開始，并傳送給本機的DNS客戶服務(wù)程序進行解析； 如果不能在本機解析查詢，可根據(jù)設(shè)定的查詢DNS服務(wù)器來解析名稱。 DNS查詢的工作原理以上兩種

3、查詢方式的具體工作過程如下。1本地解析DNS查詢的工作原理2查詢DNS服務(wù)器DNS查詢的工作原理遞歸查詢流程 DNS查詢的工作原理迭代查詢流程 DNS規(guī)劃 在網(wǎng)絡(luò)中開始使用DNS之前，必須先劃DNS域名稱空間。名稱空間規(guī)劃包括確定要如何使用DNS命名和通過使用DNS要達到什么目的等。首先選擇和注冊一個可用于維護Internet上公司的一個頂級或二級域名作為父DNS域名，如。其次，將父域名稱與公司內(nèi)使用的位置或公司名稱組合起來形成其他子域名，如。在選擇域名時必須符合RCF 1123中的規(guī)定：所有大寫字母（AZ）、小寫字母（az）、數(shù)字（09）和連字符（-）。hosts文件 hosts文件是Lin

4、ux系統(tǒng)中一個負(fù)責(zé)IP地址與域名快速解析的文件，以ASCII格式保存在“/etc”目錄下，文件名為“hosts”。hosts文件包含了IP地址和主機名之間的映射，還包括主機名的別名。 hosts文件的格式如下：IP地址地址主機名主機名/域名域名 Bind的簡介 Linux下架設(shè)DNS服務(wù)器通常是使用Bind程序來實現(xiàn)的。Bind是Berkeley Internet Name Domain Service的簡寫，它是一款實現(xiàn)DNS服務(wù)器的開放源碼軟件。Bind原本是美國DARPA資助伯克里大學(xué)（Berkeley）開設(shè)的一個研究生課題，后來經(jīng)過多年的變化發(fā)展，已經(jīng)成為世界上使用最為廣泛的DNS服務(wù)

5、器軟件，目前Internet上絕大多數(shù)的DNS服務(wù)器有都是用Bind來架設(shè)的。 3.2 DNS服務(wù)的安裝 CentOS Linux安裝程序默認(rèn)沒有安裝DNS服務(wù)，應(yīng)使用下面的命令檢查系統(tǒng)是否已經(jīng)安裝了DNS服務(wù)或查看已經(jīng)安裝了何種版本。rpm qa | grep bind （which named）如果系統(tǒng)還沒有安裝DNS服務(wù)。要安裝DNS服務(wù)，可將CentOS Linux的安裝盤放入光驅(qū)，加載光驅(qū)后在光盤的Packages目錄下找到DNS服務(wù)的RPM安裝包文件bind-*.rpm，使用下面命令安裝DNS服務(wù)。rpm -ivh /media/*/ Packages/bind*.rpm 或 yu

6、m install bind3.3 安裝chroot軟件包 早期Linux服務(wù)都是以root權(quán)限啟動和運行的，隨著技術(shù)的發(fā)展，各種服務(wù)變得越來越復(fù)雜，導(dǎo)致BUG和漏洞越來越多。黑客利用服務(wù)的漏洞入侵系統(tǒng)，能獲得root級別的權(quán)限，從而控制整個系統(tǒng)。為了減緩這種攻擊所帶來的負(fù)面影響，現(xiàn)在服務(wù)器軟件通常設(shè)計為以root權(quán)限啟動，然后服務(wù)器進程自行放棄root，再以某個低權(quán)限的系統(tǒng)賬號來運行進程。這種方式的好處在于該服務(wù)被攻擊者利用漏洞入侵時，由于進程權(quán)限很低，攻擊者得到的訪問權(quán)限又是基于這個較低權(quán)限的，因此對系統(tǒng)造成的危害比以前減輕了許多。 3.3 安裝chroot軟件包將CentOS Linux

7、的安裝盤放入光驅(qū)，加載光驅(qū)后在光盤的Packages目錄下找到bind-chroot的RPM安裝包文件bind-chroot-*.rpm，然后使用下面命令安裝DNS服務(wù)。 rpm -ivh /media/*/ Packages/bind-chroot-*.rpm * caching-nameserver3.4 配置主要名稱服務(wù)器 主配置文件 設(shè)置根區(qū)域 設(shè)置主區(qū)域 設(shè)置反向解析區(qū)域 根服務(wù)器信息文件named.ca 區(qū)域文件 反向解析區(qū)域文件 實現(xiàn)負(fù)載均衡功能 實現(xiàn)直接解析域名 實現(xiàn)泛域名的解析 主要名稱服務(wù)器的測試 主配置文件 Bind的主配置文件是/etc/named.conf，該文件只包

8、括Bind的基本配置，并不包含任何DNS區(qū)域數(shù)據(jù)。 options directory /var/named; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt;include /etc/rndc.key;設(shè)置根區(qū)域 當(dāng)DNS服務(wù)器處理遞歸查詢時，如果本地區(qū)域文件不能進行查詢的解析，就會轉(zhuǎn)到根DNS服務(wù)器查詢，所以在主配置文件named.conf文件中還要定義根區(qū)域。 zone . type hint; # 定義區(qū)域的類型 （高速緩存） file named.ca;

9、allow-update none;設(shè)置主區(qū)域 主區(qū)域用來保存DNS服務(wù)器某個區(qū)域（如：）的數(shù)據(jù)信息。 zone type master; # 定義區(qū)域的類型（主域名） file .zone; # “文件名” allow-update none; # 設(shè)置區(qū)域是否允許 動態(tài)更新;設(shè)置反向解析區(qū)域 在大部分的DNS查詢中，DNS客戶端一般執(zhí)行正向查找，即根據(jù)計算機的DNS域名查詢對應(yīng)的IP地址。但在某些特殊的應(yīng)用場合中（如判斷IP地址所對應(yīng)的域名是否合法），也會使用到通過IP地址查詢對應(yīng)DNS域名的情況（也稱為反向查找）。 zone 16.168.192. type ma

10、ster; file 192.168.16.arpa; allow-transfer 77; 7; ;根服務(wù)器信息文件named.ca /var/named/named.ca是一個非常重要的文件，該文件包含了Internet的根服務(wù)器名字和地址，Bind接到客戶端主機的查詢請求時，如果在Cache中找不到相應(yīng)的數(shù)據(jù)，就會通過根服務(wù)器進行逐級查詢。 由于named.ca文件經(jīng)常會隨著根服務(wù)器的變化而發(fā)生變化，因此建議最好從國際互聯(lián)網(wǎng)絡(luò)信息中心（InterNIC）的FTP服務(wù)器下載最新的版本，下載地址為ftp:/ 區(qū)域文件 一個區(qū)域內(nèi)的所有數(shù)據(jù)（包括主機

11、名和對應(yīng)IP地址、刷新間隔和過期時間等）必須存放在DNS服務(wù)器內(nèi)，而用來存放這些數(shù)據(jù)的文件就稱為區(qū)域文件（區(qū)域數(shù)據(jù)文件使用“;”符號注釋）。DNS服務(wù)器的區(qū)域數(shù)據(jù)文件一般存放在/var/named/目錄下。 區(qū)域文件/var/named/chroot/var/named/.zone文件的完整例子。 $ttl .INSOA. . (200509050310800360060480038400 ). INNS.dns INA. INA. IN A. IN A. IN A80rhel4 INCNAMEdnsbbs INCNAMEwwwsamba INCNAME. INMX10

12、 . INMX11 . INMX12 .反向解析區(qū)域文件 反向解析區(qū)域文件的結(jié)構(gòu)和格式與區(qū)域文件類似，只不過它的主要內(nèi)容是建立IP地址映射到DNS域名的指針PTR資源記錄。 在/var/named/chroot/var/named/192.168.16.arpa文件中定義反向解析區(qū)域。$ttl 3600016.168.192..INSOA. . (200509050310800 3600 604800 36000 )16.168.192.. INNS .92.. INPTR .9 INPTR .17

13、8 INPTR .179 INPTR .180 INPTR . 實現(xiàn)負(fù)載均衡功能 DNS負(fù)載均衡的優(yōu)點是經(jīng)濟簡單易行，它在DNS服務(wù)器中為同一個域名配置多個IP地址（即為一個主機名設(shè)置多條A資源記錄），在應(yīng)答DNS查詢時，DNS服務(wù)器對每個查詢將以DNS文件中主機記錄的IP地址按順序返回不同的解析結(jié)果，將客戶端的訪問引導(dǎo)到不同的計算機上去，使得不同的客戶端訪問不同的服務(wù)器，從而達到負(fù)載均衡的目的。 例如，在企業(yè)網(wǎng)中需要使用3臺內(nèi)容相同的FTP服務(wù)器共同承擔(dān)客戶對網(wǎng)站的訪問，它們的IP地址分別對應(yīng)1、2和3。現(xiàn)只要在DNS服

14、務(wù)器的區(qū)域文件中加入以下3條A資源記錄，就可以實現(xiàn)3臺FTP服務(wù)器網(wǎng)絡(luò)負(fù)載均衡功能。 ftp INA1 ftp INA2 ftp INA3 實現(xiàn)直接解析域名 DNS服務(wù)器默認(rèn)只能解析完全規(guī)范域名FQDN，不能直接將域名解析成IP地址。為了方便用戶訪問，可以在DNS服務(wù)器的區(qū)域文件中加入下面一條特殊的A資源記錄，以便支持實現(xiàn)直接解析域名功能。 . IN A 或 . IN A 實現(xiàn)泛域名的解析 泛域名是指一個域名下的所有主機和子域名都被解析到同一個IP地址上 ?？梢栽贒NS服務(wù)

15、器的區(qū)域文件末尾加入下面一條特殊的A資源記錄（符號“*”是代表任何字符的通配符），以便支持實現(xiàn)泛域名解析功能。 *. IN A 或 * IN A 主要名稱服務(wù)器的測試 1測試前的準(zhǔn)備（1）啟動DNS服務(wù)/etc/rc.d/init.d/named start（2）配置/etc/resolv.conf2使用nslookup程序測試非交互式通常用于返回單塊數(shù)據(jù)的情況，其命令格式為：nslookup -選項 需查詢的域名 DNS服務(wù)器地址交互式通常用于返回多塊數(shù)據(jù)的情況，其命令格式為：nslookup - DNS服務(wù)器地址3.5 配置輔助名稱服務(wù)器配

16、置輔助名稱服務(wù)器輔助名稱服務(wù)器也可以向客戶機提供域名解析功能，但它與主要名稱服務(wù)器不同的是，它的數(shù)據(jù)不是直接輸入的，而是從其他服務(wù)器（主要名稱服務(wù)器或其他的輔助名稱服務(wù)器）中復(fù)制過來的，只是一份副本，所以輔助名稱服務(wù)器中的數(shù)據(jù)無法被修改。在一個區(qū)域中設(shè)置多臺輔助名稱服務(wù)器具有以下優(yōu)點。 提供容錯能力。當(dāng)主要名稱服務(wù)器發(fā)生故障時，由輔助名稱服務(wù)器提供服務(wù)。 分擔(dān)主要名稱服務(wù)器的負(fù)擔(dān)。在DNS客戶端較多的情況下，通過架設(shè)輔助名稱服務(wù)器完成對客戶端的查詢服務(wù)，可以有效地減輕主要名稱服務(wù)器的負(fù)擔(dān)。 加快查詢的速度。例如，一個公司在遠(yuǎn)地有一個與總公司網(wǎng)絡(luò)相連的分公司網(wǎng)絡(luò)，這時可以在該處設(shè)置一臺輔助名稱服

17、務(wù)器，讓該分公司的DNS客戶端直接向此輔助名稱服務(wù)器進行查詢，而不需要通過速度較慢的廣域網(wǎng)向總公司的DNS服務(wù)器查詢，減少用于DNS查詢的外網(wǎng)通信量。 3.5 配置輔助名稱服務(wù)器配置輔助名稱服務(wù)器 輔助名稱服務(wù)器的主配置文件是/etc/named.conf，也需要設(shè)置服務(wù)器的選項和根區(qū)域，方法與配置主要名稱服務(wù)器的方法相同 options directory /var/named;dump-file /var/named/data/cache_dump.db;statistics-file /var/named/data/named_stats.txt;include /etc/rndc.ke

18、y;zone . type hint;file named.ca; ;zone type slave;file slaves/.zone;masters 77;zone 16.168.192. type slave; file slaves/192.168.16.arpa; masters 77; ;3.6 配置緩存Cache-only服務(wù)器 Cache-only服務(wù)器是很特殊的DNS服務(wù)器，它本身并不管理任何區(qū)域，但是DNS客戶端仍然可以向它請求查詢。Cache-only服務(wù)器類似于代理服務(wù)器，它沒有自己的域名數(shù)據(jù)庫，而

19、是將所有查詢轉(zhuǎn)發(fā)到其他DNS服務(wù)器處理。當(dāng)Cache-only服務(wù)器收到查詢結(jié)果后，除了返回給客戶機外，還會將結(jié)果保存在緩存中。當(dāng)下一個DNS客戶端再查詢相同的域名數(shù)據(jù)時，就可以從高速緩存里查出答案，加快DNS客戶端的查詢速度。 3.6 配置緩存Cache-only服務(wù)器Cache-only服務(wù)器/etc/named.conf文件，具體的代碼如下。options directory /var/named;dump-file /var/named/data/cache_dump.db;statistics-file /var/named/data/named_stats.txt;version

20、4.9.11;forward only;forwarders 01;8;include /etc/rndc.key;3.7 啟動和停止DNS服務(wù) 1啟動DNS服務(wù) service named start 2停止DNS服務(wù) service named stop 3重新啟動DNS服務(wù) service named restart3.7 啟動和停止DNS服務(wù) 4自動啟動自動啟動DNS服務(wù)服務(wù) 如果需要讓如果需要讓DNS服務(wù)隨系統(tǒng)啟動而自動加載，可以執(zhí)行服務(wù)隨系統(tǒng)啟動而自動加載，可以執(zhí)行“ntsysv”命令啟動服務(wù)配置程序，找到命令啟動服務(wù)配置程序，找到“n

21、amed”服務(wù)，在其前面加上星號服務(wù)，在其前面加上星號“*”，然后選擇，然后選擇“確定確定”即可即可 。3.8 DNS客戶端的配置 Linux中DNS客戶端的配置 Windows 2000/XP/2003中DNS客戶端的配置 Linux中DNS客戶端的配置 在Linux中配置DNS客戶端的方法很簡單，可直接編輯文件/etc/resolv.conf，然后使用nameserver選項來指定DNS服務(wù)器的IP地址 。Windows 2000/XP/2003中DNS客戶端的配置 在桌面上的“網(wǎng)上鄰居”圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，系統(tǒng)會打開“網(wǎng)絡(luò)連接”窗口。 在“本地連接”圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，系統(tǒng)會打開“本地連接 屬性”對話框。 選中“Internet協(xié)議（TCP/IP）”復(fù)選框，然后單擊“屬性”按鈕，系統(tǒng)會打開“Internet協(xié)議（TCP