DomannameServer域名服務(wù)器協(xié)議（53udp53tcp）

1、Doman name Server 域名服務(wù)器 協(xié)議（53/udp 53/tcp）Tcp：面向連接協(xié)議Udp：無連接協(xié)議本地解析配置文件：hosts/etc/host /linux下%windows%/system32/drivers/etc/hosts /window下一級域：Com,edu,mil,gov,net,org,int名稱服務(wù)器：域內(nèi)負(fù)責(zé)解析本域內(nèi)的名稱主機(jī)。 根服務(wù)器：全球共13組跟服務(wù)器。DNS服務(wù)器的類型： 主DNS服務(wù)器 輔助DNS服務(wù)器 緩存DNS服務(wù)器 轉(zhuǎn)發(fā)器主DNS：維護(hù)所負(fù)責(zé)解析的域內(nèi)解析庫服務(wù)器，解析庫有管理維護(hù)；從DNS：從主DNS服務(wù)器或者其他的DNS服務(wù)器

2、“復(fù)制”來的(區(qū)域傳送)解析庫序列號：解析庫版本號,每次更改之后，主服務(wù)器的版本+1；刷新時間：從服務(wù)器向主服務(wù)器請求同步解析庫的時間間隔；重試時間：從服務(wù)器從主服務(wù)器請求同步解析庫失敗時，再次嘗試的時間間隔；過期時間：在某時間內(nèi)，主服務(wù)器沒相應(yīng)，從服務(wù)器罷免所有解析服務(wù)；區(qū)域傳送的兩種方式：完全傳送和增量傳送。遞歸查詢：發(fā)送一次請求即可完成查詢。緩存服務(wù)器屬于遞歸查詢。迭代查詢：發(fā)送一次請求，會有答案，或?qū)蝈e。一次完成DNS查詢：客戶端-hosts文件-dns server遞歸查詢(recursion) /local cache/server cache-迭代查詢（interation）區(qū)

3、域解析庫-資源記錄組成： 記錄類型：Soa：起始授權(quán)記錄，一個區(qū)域解析庫有且僅能有一個soa，必須出現(xiàn)在第一條。A：正向 fqdn-ipPtr：反向解析 ip-fqdnNS：表明當(dāng)前區(qū)域的DNS服務(wù)器Cname:別名Mx：郵件交換記錄資源記錄定義的格式：語法：name ttl IN rr_type value注意：1.ttl可以從全局繼承2.可引用于當(dāng)前區(qū)域的名字3.一個域名指向多ip，此時DNS會輪詢方式響應(yīng)。4.多域名可以指向一個ip.SOA記錄：Name:當(dāng)前區(qū)域的名稱，Value:有多部分組成（1）當(dāng)前區(qū)域主DNS服務(wù)器的FQDN，也可以使用當(dāng)前區(qū)域的名字；（2）當(dāng)前區(qū)域管理員的郵箱地

4、址，但地址中不能使用符號，一般用.替換，如：（3）主從服務(wù)器協(xié)調(diào)屬性的定義以及否定的答案統(tǒng)一的TTL如：L 86400 in soa .(001;序列號2h ;刷新時間10m;重試時間1w ;過期時間1d ;否定答案的ttl)Ns記錄： name：當(dāng)前區(qū)域的名字 value：當(dāng)前區(qū)域的某個DNS服務(wù)器的名字，如： 一個區(qū)域可有多個如： in ns in ns 注意：1.相鄰的兩個資源記錄的name相同時，后續(xù)的可省略。2.相對Ns而言，任何一個NS記錄后面的服務(wù)器的名字，都應(yīng)該在后續(xù)有一個A記錄Mx記錄： name：當(dāng)前區(qū)域 value：當(dāng)前區(qū)域某個郵件服務(wù)器的主機(jī) 一個區(qū)域內(nèi)，MX可以有多個

5、，但是每個記錄的value值之前都應(yīng)該有個數(shù)據(jù)（1-99），表示優(yōu)先級。如： in mx 10 in mx 20 注意：1.相對Mx記錄而言，任何一個Mx記錄后面的服務(wù)器名稱，都應(yīng)該在后續(xù)有一個A記錄A記錄： name：某主機(jī)的fqdn,如： value:主機(jī)對應(yīng)主機(jī)的ip地址如： . in a . in a in a in a 注意：可以使用*域名解析 *. in a 避免用戶輸入錯誤名稱時候給的錯誤答案，可以通過泛域名解析到指定地址。AAAA記錄：ipv6ptr記錄: name:ip,有特定格式，把ip反過來寫，寫，特定后綴in-addr-arpa ,. 注意：網(wǎng)絡(luò)地址以及后綴可以省略，主

6、機(jī)地址依然需要反著寫。cname記錄：name:別名fqdn.value:正名的dqdn如： in cname bind服務(wù)安裝前配置：# yum list all bind* 查看bind的安裝包# rpm -qi bind-libs 查看libs安裝包# rpm -qlbind-utils 查看工具包 dig nslookup host# yum info bind-chroot 查看未安裝包的信息# rpm -ql bind |less 查看bind的安裝完成之后相關(guān)文件bind/etc/rc.d/init.d/named 腳本文件路徑/etc/named.conf ， /etc/nam

7、ed.rfc1912.zones，/etc/rndc.key 主配置文件/var/named/zone_name.zone 區(qū)域解析庫文件/etc/sysconfig/named 腳本的配置文件rndc:remote name domain controller 遠(yuǎn)程域名控制 （默認(rèn)和bind安裝在同一服務(wù)器，且只能通過來連接named進(jìn)程，提供輔助性的管理）注意：1.一臺物理服務(wù)器可以同時為多個區(qū)域文件提供解析2.必須要根區(qū)域文件（named.ca）3.應(yīng)該有兩個特殊區(qū)域。實現(xiàn)localhost和本地回環(huán)地址的解析庫。localhost本地/loopback回環(huán)bind.x86_64 主要安

8、裝包bind-chroot.x86_64 程序目錄限制 /var/named/chroot/bind-utils.x86_64 DNS測試的工具包bind-libs.i686 庫文件一.bind服務(wù)的安裝# yum install bind -y # rpm -ql bind |less 查看生成的配置文件/etc/named.conf 主配置文件全局：option ;日志：logging;區(qū)域：本機(jī)為哪些區(qū)域解析，就要定義哪些區(qū)域，zone zone_name in ;include 定于區(qū)域文件的路徑#service named reload /重新加載配置文件#endc reload 重

9、新載入配置文件ss -tunlp | grep :53 /查看53端口# cp -v /etc/named.conf,.bak 復(fù)制named.conf配置文件修改配置文件中的監(jiān)聽地址：listen-on port 53 ;28; ;# /etc/init.d/named restart 重啟之后查看端口# ss -an | grep :53LISTEN 0 3 :1:53 :* LISTEN 0 3 28:53 *:* LISTEN 0 3 :53 *:* 修改相關(guān)配置文件 allow-query any; ;recursion yes; /是否開啟遞歸查詢 dnssec-enable no

10、; dnssec-validation no; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file /etc/named.iscdlv.key; managed-keys-directory /var/named/dynamic;二.配置主DNS服務(wù)器：1.）在主配置文件中定義區(qū)域zone IN type master|slave|hint|foward; file.zone;2.)定義區(qū)域解析庫文件1.宏定義：ttl2.資源記錄：.zone 位置是相對于配置文件中的/var/named/*.zone$ttl 1d IN

11、 SOA ( 001 1h 5m 7d 1d) IN NS . IN NS . IN MX 20 .ns1 IN A 28ns2 IN A 29www IN A 28ftp IN CNAME www# named-checkconf 檢查DNS配置文件是否有錯# named-checkzone .zone /var/named/.zone 檢查DNS區(qū)域文件是否有錯 zone .zone/IN: loaded serial 1# ps aux | grep named 查看named服務(wù)運(yùn)行狀態(tài)# ll /etc/named.conf -l-rw-r-. 1 root named 1021 4

12、月 25 08:22 /etc/named.conf安全期間把文件權(quán)限修改640，和把該文件的屬組改成named# chmod 640 /var/named/.zone# chown :named .zone# rndc status 查看服務(wù)器當(dāng)前的系統(tǒng)狀態(tài)重啟之后在真機(jī)測試：C:UsersAdministratornslookupDNS request timed out. timeout was 2 seconds.默認(rèn)服務(wù)器: UnKnownAddress: 28 服務(wù)器: UnKnownAddress: 28名稱: Address: 28反向區(qū)域：區(qū)域名稱：網(wǎng)絡(luò)地址反寫.92.-28

13、.1)定義區(qū)域zone zone_name in type master | slave| forward;file 網(wǎng)絡(luò)地址.zome;zone IN type master; file .zone;2）提供區(qū)域解析庫文件注意：不需要mx和A,以ptr為主vim -o .zone .zone 對照編寫。ctrl+o 跳轉(zhuǎn)下面$ttl 1d$origin 118.168.192.in-addr-arpa. IN SOA . ( 001 1h 5m 7d 1d) IN NS . IN NS .128 IN PTR .128 IN PTR .127 IN PTR .修改目錄權(quán)限和文件屬組# chm

14、od 640 .zone# chmod :named .zonedig 命令：dig用于測試dns系統(tǒng)，因為不會查詢host文件進(jìn)行解析。# dig -helpInvalid option: -helpUsage: dig global-server domain q-type q-class q-opt global-d-opt host local-server local-d-opt host local-server local-d-opt .Use dig -h (or dig -h | more) for complete list of optionsdig的使用：dig -t

15、-A DNS地址 查詢A記錄dig -t -A +trace跟蹤解析過程 dig -t -recurse 遞歸解析，前提服務(wù)器需要開啟遞歸dig -t axfr 28 模擬區(qū)域傳送在本地測試：rootlocal named# dig -t -A 28; Warning, ignoring invalid type -A; DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 -t -A 28; global options: +cmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 51520

16、; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2; QUESTION SECTION:;. IN A; ANSWER SECTION:. 86400 IN A 21. 86400 IN A 28; AUTHORITY SECTION:. 86400 IN NS . 86400 IN NS .; ADDITIONAL SECTION:. 86400 IN A 28. 86400 IN A 29; Query time: 1 msec; SERVER: 28#53(28); WHEN: Sat Apr 25

17、 09:11:26 2015; MSG SIZE rcvd: 133host命令：# host -helphost: illegal option - -Usage: host -aCdlriTwv -c class -N ndots -t type -W time -R number -m flag hostname server -a is equivalent to -v -t ANY -c specifies query class for non-IN data -C compares SOA records on authoritative nameservers -d is eq

18、uivalent to -v -l lists all hosts in a domain, using AXFR -i IP6.INT reverse lookups -N changes the number of dots allowed before root lookup is done -r disables recursive processing -R specifies number of retries for UDP packets -s a SERVFAIL response should stop query -t specifies the query type -T enables TCP/IP mode -v enables verbose output -w specifie