网站开发与建设课程设计,广告公司创意广告语,html代码格式化,如何运用网站做宣传DNS 基本概述
与 HTTP、FTP 和 SMTP 一样#xff0c;DNS 协议也是应用层的协议#xff0c;DNS 使用客户-服务器模式运行在通信的端系统之间#xff0c;在通信的端系统之间通过下面的端到端运输协议来传送 DNS 报文。但是 DNS 不是一个直接和用户打交道的应用。DNS 是为因特…DNS 基本概述
与 HTTP、FTP 和 SMTP 一样DNS 协议也是应用层的协议DNS 使用客户-服务器模式运行在通信的端系统之间在通信的端系统之间通过下面的端到端运输协议来传送 DNS 报文。但是 DNS 不是一个直接和用户打交道的应用。DNS 是为因特网上的用户应用程序以及其他软件提供一种核心功能。
DNS 通常不是一门独立的协议它通常为其他应用层协议所使用这些协议包括 HTTP、SMTP 和 FTP将用户提供的主机名解析为 IP 地址。
下面根据一个示例来描述一下这个 DNS 解析过程这个和你输入网址后浏览器做了什么操作有异曲同工之处
你在浏览器键入 www.someschool.edu/index.html 时会发生什么现象为了使用户主机能够将一个 HTTP 请求报文发送到 Web 服务器 www.someschool.edu 会经历如下操作
同一台用户主机上运行着 DNS 应用的客户端浏览器从上述 URL 中抽取出主机名 www.someschool.edu 并将这台主机名传给 DNS 应用的客户端DNS 客户向 DNS 服务器发送一个包含主机名的请求DNS 客户最终会收到一份回答报文其中包含该目标主机的 IP 地址一旦浏览器收到目标主机的 IP 地址后它就能够向位于该 IP 地址 80 端口的 HTTP 服务器进程发起一个 TCP 连接
除了提供 IP 地址到主机名的转换DNS 还提供了下面几种重要的服务。
主机别名(host aliasing)有着复杂的主机名的主机能够拥有一个或多个其他别名比如说一台名为 relay1.west-coast.enterprise.com 的主机同时会拥有 enterprise.com 和 www.enterprise.com 的两个主机别名在这种情况下relay1.west-coast.enterprise.com 也称为 规范主机名而主机别名要比规范主机名更加容易记忆。应用程序可以调用 DNS 来获得主机别名对应的规范主机名以及主机的 IP地址邮件服务器别名(mail server aliasing)同样的电子邮件的应用程序也可以调用 DNS 对提供的主机名进行解析负载分配(load distribution)DNS 也用于冗余的服务器之间进行负载分配。繁忙的站点例如 cnn.com 被冗余分布在多台服务器上每台服务器运行在不同的端系统之间每个都有着不同的 IP 地址。由于这些冗余的 Web 服务器一个 IP 地址集合因此与同一个规范主机名联系。DNS 数据库中存储着这些 IP 地址的集合。由于客户端每次都会发起 HTTP 请求所以 DNS 就会在所有这些冗余的 Web 服务器之间循环分配了负载
DNS 工作概述
假设运行在用户主机上的某些应用程序如 Web 浏览器或邮件阅读器 需要将主机名转换为 IP 地址。这些应用程序将调用 DNS 的客户端并指明需要被转换的主机名。用户主机上的 DNS 收到后会使用 UDP 通过 53 端口向网络上发送一个 DNS 查询报文经过一段时间后用户主机上的 DNS 会收到一个主机名对应的 DNS 回答报文。因此从用户主机的角度来看DNS 就像是一个黑盒子其内部的操作你无法看到。但是实际上实现 DNS 这个服务的黑盒子非常复杂它由分布于全球的大量 DNS 服务器以及定义了 DNS 服务器与查询主机通信方式的应用层协议组成。
DNS 最早的设计是只有一台 DNS 服务器。这台服务器会包含所有的 DNS 映射。这是一种集中式的设计这种设计并不适用于当今的互联网因为互联网有着数量巨大并且持续增长的主机这种集中式的设计会存在以下几个问题
单点故障(a single point of failure)如果 DNS 服务器崩溃那么整个网络随之瘫痪。通信容量(traaffic volume)单个 DNS 服务器不得不处理所有的 DNS 查询这种查询级别可能是上百万上千万级远距离集中式数据库(distant centralized database)单个 DNS 服务器不可能 邻近 所有的用户假设在美国的 DNS 服务器不可能临近让澳大利亚的查询使用其中查询请求势必会经过低速和拥堵的链路造成严重的时延。维护(maintenance)维护成本巨大而且还需要频繁更新。
所以 DNS 不可能集中式设计它完全没有可扩展能力因此采用分布式设计所以这种设计的特点如下
分布式、层次数据库
首先分布式设计首先解决的问题就是 DNS 服务器的扩展性问题因此 DNS 使用了大量的 DNS 服务器它们的组织模式一般是层次方式并且分布在全世界范围内。没有一台 DNS 服务器能够拥有因特网上所有主机的映射。相反这些映射分布在所有的 DNS 服务器上。
大致来说有三种 DNS 服务器根 DNS 服务器、 顶级域(Top-Level Domain, TLD) DNS 服务器和 权威 DNS 服务器 。这些服务器的层次模型如下图所示 假设现在一个 DNS 客户端想要知道 www.amazon.com 的 IP 地址那么上面的域名服务器是如何解析的呢首先客户端会先和根服务器之一进行关联它将返回顶级域名 com 的 TLD 服务器的 IP 地址。该客户则与这些 TLD 服务器之一联系它将为 amazon.com 返回权威服务器的 IP 地址。最后该客户与 amazom.com 权威服务器之一联系它为 www.amazom.com 返回其 IP 地址。
DNS 层次结构
我们现在来讨论一下上面域名服务器的层次系统
根 DNS 服务器 有 400 多个根域名服务器遍及全世界这些根域名服务器由 13 个不同的组织管理。根域名服务器的清单和组织机构可以在 https://root-servers.org/ 中找到根域名服务器提供 TLD 服务器的 IP 地址。顶级域 DNS 服务器对于每个顶级域名比如 com、org、net、edu 和 gov 和所有的国家级域名 uk、fr、ca 和 jp 都有 TLD 服务器或服务器集群。所有的顶级域列表参见 https://tld-list.com/ 。TDL 服务器提供了权威 DNS 服务器的 IP 地址。权威 DNS 服务器在因特网上具有公共可访问的主机如 Web 服务器和邮件服务器这些主机的组织机构必须提供可供访问的 DNS 记录这些记录将这些主机的名字映射为 IP 地址。一个组织机构的权威 DNS 服务器收藏了这些 DNS 记录。
DNS 查询步骤
下面我们描述一下 DNS 的查询步骤从 DNS 解析 IP 再到 DNS 返回的一系列流程。 注意通常情况下 DNS 会将查找的信息缓存在浏览器或者计算机本地中如果有相同的请求到来时就不再会进行 DNS 查找而会直接返回结果。 通常情况下DNS 的查找会经历下面这些步骤
用户在浏览器中输入网址 www.example.com 并点击回车后查询会进入网络并且由 DNS 解析器进行接收。DNS 解析器会向根域名发起查询请求要求返回顶级域名的地址。根 DNS 服务器会注意到请求地址的前缀并向 DNS 解析器返回 com 的顶级域名服务器(TLD)的 IP 地址列表。然后DNS 解析器会向 TLD 服务器发送查询报文TLD 服务器接收请求后会根据域名的地址把权威 DNS 服务器的 IP 地址返回给 DNS 解析器。最后DNS 解析器将查询直接发送到权威 DNS 服务器权威 DNS 服务器将 IP 地址返回给 DNS 解析器DNS 解析器将会使用 IP 地址响应 Web 浏览器
一旦 DNS 查找的步骤返回了 example.com 的 IP 地址浏览器就可以请求网页了。
整个流程如下图所示 DNS 解析器
进行 DNS 查询的主机和软件叫做 DNS 解析器用户所使用的工作站和个人电脑都属于解析器。一个解析器要至少注册一个以上域名服务器的 IP 地址。DNS 解析器是 DNS 查找的第一站其负责与发出初始请求的客户端打交道。解析器启动查询序列最终使 URL 转换为必要的 IP 地址。 DNS 递归查询和 DNS 递归解析器不同该查询是指向需要解析该查询的 DNS 解析器发出请求。DNS 递归解析器是一种计算机其接受递归查询并通过发出必要的请求来处理响应。
DNS 查询类型
DNS 查找中会出现三种类型的查询。通过组合使用这些查询优化的 DNS 解析过程可缩短传输距离。在理想情况下可以使用缓存的记录数据从而使 DNS 域名服务器能够直接使用非递归查询。 递归查询在递归查询中DNS 客户端要求 DNS 服务器一般为 DNS 递归解析器将使用所请求的资源记录响应客户端或者如果解析器无法找到该记录则返回错误消息。 迭代查询在迭代查询中如果所查询的 DNS 服务器与查询名称不匹配则其将返回对较低级别域名空间具有权威性的 DNS 服务器的引用。然后DNS 客户端将对引用地址进行查询。此过程继续使用查询链中的其他 DNS 服务器直至发生错误或超时为止。 非递归查询当 DNS 解析器客户端查询 DNS 服务器以获取其有权访问的记录时通常会进行此查询因为其对该记录具有权威性或者该记录存在于其缓存内。DNS 服务器通常会缓存 DNS 记录查询到来后能够直接返回缓存结果以防止更多带宽消耗和上游服务器上的负载。
DNS 缓存
DNS 缓存(DNS caching) 有时也叫做 DNS 解析器缓存它是由操作系统维护的临时数据库它包含有最近的网站和其他 Internet 域的访问记录。也就是说 DNS 缓存只是计算机为了满足快速的响应速度而把已加载过的资源缓存起来再次访问时可以直接快速引用的一项技术和手段。那么 DNS 的缓存是如何工作的呢
DNS 缓存的工作流程
在浏览器向外部发出请求之前计算机会拦截每个请求并在 DNS 缓存数据库中查找域名该数据库包含有最近的域名列表以及 DNS 首次发出请求时 DNS 为它们计算的地址。
DNS 缓存方式
DNS 数据可缓存到各种不同的位置上每个位置均将存储 DNS 记录它的生存时间由 TTL(DNS 字段) 来决定。
浏览器缓存
现如今的 Web 浏览器设计默认将 DNS 记录缓存一段时间。因为越靠近 Web 浏览器进行 DNS 缓存为检查缓存并向 IP 地址发出请求的次数就越少。发出对 DNS 记录的请求时浏览器缓存是针对所请求的记录而检查的第一个位置。
在 chrome 浏览器中你可以使用 chrome://net-internals/#dns 查看 DNS 缓存的状态。这是基于 Windows 下查询的我的 Mac 电脑输入上面 url 后无法查看 DNS 只能 clear host cache我也不知道为啥可能是哪里设置的原因 操作系统内核缓存
在浏览器缓存查询后会进行操作系统级 DNS 解析器的查询操作系统级 DNS 解析器是 DNS 查询离开你的计算机前的第二站也是本地查询的最后一个步骤。
DNS 报文
共同实现 DNS 分布式数据库的所有 DNS 服务器存储了资源记录(Resource Record, RR)RR 提供了主机名到 IP 地址的映射。每个 DNS 回答报文中会包含一条或多条资源记录。RR 记录用于回复客户端查询。
资源记录是一个包含了下列字段的 4 元组
(Name, Value, Type, TTL)RR 会有不同的类型下面是不同类型的 RR 汇总表
DNS RR 类型解释A 记录IPv4 主机记录用于将域名映射到 IPv4 地址AAAA 记录IPv6 主机记录用于将域名映射到 IPv6 地址CNAME 记录别名记录用于映射 DNS 域名的别名MX 记录邮件交换器用于将 DNS 域名映射到邮件服务器PTR 记录指针用于反向查找IP地址到域名解析SRV 记录SRV记录用于映射可用服务。
DNS 有两种报文一种是查询报文一种是响应报文并且这两种报文有着相同的格式下面是 DNS 的报文格式 上图显示了 DNS 的报文格式其中事务 ID、标志、问题数量、回答资源记录数、权威名称服务器计数、附加资源记录数这六个字段是 DNS 的报文段首部报文段首部一共有 12 个字节。
报文段首部
报文段首部是 DNS 报文的基础结构部分下面我们对报文段首部中的每个字节进行描述
事务 ID: 事务 ID 占用 2 个字节。它是 DNS 的标识又叫做 标识符对于请求报文和响应报文来说这个字段的值是一样的通过标识符可以区分 DNS 应答报文是对哪个请求进行响应的。标志标志字段占用 2 个字节。标志字段有很多而且也比较重要下面列出来了所有的标志字段。 每个字段的含义如下 QR(Response): 1 bit 的 QR 标识报文是查询报文还是响应报文查询报文时 QR 0响应报文时 QR 1。 OpCode: 4 bit 的 OpCode 表示操作码其中0 表示标准查询1 表示反向查询2 表示服务器状态请求。 AA(Authoritative): 1 bit 的 AA 代表授权应答这个 AA 只在响应报文中有效值为 1 时表示名称服务器是权威服务器值为 0 时表示不是权威服务器。 TC(Truncated): 截断标志位值为 1 时表示响应已超过 512 字节并且已经被截断只返回前 512 个字节。 RD(Recursion Desired): 这个字段是期望递归字段该字段在查询中设置并在响应中返回。该标志告诉名称服务器必须处理这个查询这种方式被称为一个递归查询。如果该位为 0且被请求的名称服务器没有一个授权回答它将返回一个能解答该查询的其他名称服务器列表。这种方式被称为迭代查询。 RA(Recursion Available): 可用递归字段这个字段只出现在响应报文中。当值为 1 时表示服务器支持递归查询。 zero: 保留字段在所有的请求和应答报文中它的值必须为 0。 AD: 这个字段表示信息是否是已授权。 CD: 这个字段表示是否禁用安全检查。 rcodeReply code这个字段是返回码字段表示响应的差错状态。当值为 0 时表示没有错误当值为 1 时表示报文格式错误Format error服务器不能理解请求的报文当值为 2 时表示域名服务器失败Server failure因为服务器的原因导致没办法处理这个请求当值为 3 时表示名字错误Name Error只有对授权域名解析服务器有意义指出解析的域名不存在当值为 4 时表示查询类型不支持Not Implemented即域名服务器不支持查询类型当值为 5 时表示拒绝Refused一般是服务器由于设置的策略拒绝给出应答如服务器不希望对某些请求者给出应答。
相信读者跟我一样只看这些字段没什么意思下面我们就通过抓包的方式看一下具体的 DNS 报文。 现在我们可以看一下具体的 DNS 报文通过 query 可知这是一个请求报文这个报文的标识符是 0xcd28它的标志如下
QR 0 实锤了这就是一个请求。然后是四个字节的 OpCode它的值是 0表示这是一个标准查询。因为这是一个查询请求所以没有 AA 字段出现。然后是截断标志位 Truncated表示没有被截断。紧随其后的 RD 1表示希望得到递归回答。请求报文中没有 RA 字段出现。然后是保留字段 zero。紧随其后的 0 表示未经身份验证的数据是不可接受的。没有 rcode 字段的值
然后我们看一下响应报文 可以看到标志位也是 0xcd28可以说明这就是上面查询请求的响应。
查询请求已经解释过的报文我们这里就不再说明了现在只解释一下请求报文中没有的内容
紧随在 OpCode 后面的 AA 字段已经出现了它的值为 0 表示不是权威 DNS 服务器的响应最后是 rcode 字段的响应值为 0 时表示没有错误。
问题区域
问题区域通常指报文格式中查询问题的区域部分。这部分用来显示 DNS 查询请求的问题包括查询类型和查询类 这部分中每个字段的含义如下
查询名指定要查询的域名有时候也是 IP 地址用于反向查询。查询类型DNS 查询请求的资源类型通常查询类型为 A 类型表示由域名获取对应的 IP 地址。查询类地址类型通常为互联网地址值为 1 。
同样的我们再使用 wireshark 查看一下问题区域 可以看到这是对 mobile-gtalk.l.google.com 发起的 DNS 查询请求查询类型是 A那么得到的响应类型应该也是 A 如上图所示响应类型是 A 查询类的值通常是 1、254 和 255分别表示互联网类、没有此类和所有类这些是我们感兴趣的值其他值通常不用于 TCP/IP 网络。
资源记录部分
资源记录部分是 DNS 报文的最后三个字段包括回答问题区域、权威名称服务器记录、附加信息区域这三个字段均采用一种称为资源记录的格式如下图所示 资源记录部分的字段含义如下
域名DNS 请求的域名。类型资源记录的类型与问题部分中的查询类型值是一样的。类地址类型、与问题中的查询类值一样的。生存时间以秒为单位表示资源记录的生命周期。资源数据长度资源数据的长度。资源数据表示按查询段要求返回的相关资源记录的数据。
资源记录部分只有在 DNS 响应包中才会出现。下面我们就来通过响应报文看一下具体的字段示例 其中域名的值是 mobile-gtalk.l.google.com 类型是 A类是 1生存时间是 5 秒数据长度是 4 字节资源数据表示的地址是 63.233.189.188。
SOA 记录
如果是权威 DNS 服务器的响应的话会显示记录存储有关区域的重要信息这种信息就是SOA 记录。所有 的DNS 区域都需要一个 SOA 记录才能符合 IETF 标准。SOA 记录对于区域传输也很重要。
SOA 记录除具有 DNS 解析器响应的字段外还具有一些额外的字段如下 具体字段含义
PNAME即 Primary Name Server这是区域的主要名称服务器的名称。RNAME即 Responsible authority’s mailboxRNAME 代表管理员的电子邮件地址 用 . 来表示也就是说 admin.example.com 等同于 adminexample.com。序列号即 Serial Number 区域序列号是该区域的唯一标识符。刷新间隔即 Refresh Interval在请求主服务器提供 SOA 记录以查看其是否已更新之前辅助服务器应等待的时间以秒为单位。重试间隔服务器应等待无响应的主要名称服务器再次请求更新的时间。过期限制如果辅助服务器在这段时间内没有收到主服务器的响应则应停止响应对该区域的查询。
上面提到了主要名称服务器和服务名称服务器他们之间的关系如下 这块我们主要解释了 RR 类型为 A(IPv4) 和 SOA 的记录除此之外还有很多类型这篇文章就不再详细介绍了读者朋友们可以阅读 《TCP/IP 卷一 协议》和 cloudflare 的官网 https://www.cloudflare.com/learning/dns/dns-records/ 查阅值得一提的是cloudflare 是一个学习网络协议非常好的网站。
DNS 安全
几乎所有的网络请求都会经过 DNS 查询而且 DNS 和许多其他的 Internet 协议一样系统设计时并未考虑到安全性并且存在一些设计限制这为 DNS 攻击创造了机会。
DNS 攻击主要有下面这几种方式
第一种是 Dos 攻击这种攻击的主要形式是使重要的 DNS 服务器比如 TLD 服务器或者根域名服务器过载从而无法响应权威服务器的请求使 DNS 查询不起作用。第二种攻击形式是 DNS 欺骗通过改变 DNS 资源内容比如伪装一个官方的 DNS 服务器回复假的资源记录从而导致主机在尝试与另一台机器连接时连接至错误的 IP 地址。第三种攻击形式是 DNS 隧道这种攻击使用其他网络协议通过 DNS 查询和响应建立隧道。攻击者可以使用 SSH、TCP 或者 HTTP 将恶意软件或者被盗信息传递到 DNS 查询中这种方式使防火墙无法检测到从而形成 DNS 攻击。第四种攻击形式是 DNS 劫持在 DNS 劫持中攻击者将查询重定向到其他域名服务器。这可以通过恶意软件或未经授权的 DNS 服务器修改来完成。尽管结果类似于 DNS 欺骗但这是完全不同的攻击因为它的目标是名称服务器上网站的 DNS 记录而不是解析程序的缓存。第五章攻击形式是 DDoS 攻击也叫做分布式拒绝服务带宽洪泛攻击这种攻击形式相当于是 Dos 攻击的升级版 那么该如何防御 DNS 攻击呢 防御 DNS 威胁的最广为人知的方法之一就是采用 DNSSEC 协议。
DNSSEC
DNSSEC 又叫做 DNS 安全扩展DNSSEC 通过对数据进行数字签名来保护其有效性从而防止受到攻击。它是由 IETF 提供的一系列 DNS 安全认证的机制。DNSSEC 不会对数据进行加密它只会验证你所访问的站点地址是否有效。
DNS 防火墙
有一些攻击是针对服务器进行的这就需要 DNS 防火墙的登场了DNS 防火墙是一种可以为 DNS 服务器提供许多安全和性能服务的工具。DNS 防火墙位于用户的 DNS 解析器和他们尝试访问的网站或服务的权威名称服务器之间。防火墙提供 限速访问以关闭试图淹没服务器的攻击者。如果服务器确实由于攻击或任何其他原因而导致停机则 DNS 防火墙可以通过提供来自缓存的 DNS 响应来使操作员的站点或服务正常运行。
除了上述两种防御手段外本身 DNS 区域的运营商就会采取进步一措施保护 DNS 服务器比如配置 DNS 基础架构来防止 DDoS 攻击。
防火墙
有一些攻击是针对服务器进行的这就需要 DNS 防火墙的登场了DNS 防火墙是一种可以为 DNS 服务器提供许多安全和性能服务的工具。DNS 防火墙位于用户的 DNS 解析器和他们尝试访问的网站或服务的权威名称服务器之间。防火墙提供 限速访问以关闭试图淹没服务器的攻击者。如果服务器确实由于攻击或任何其他原因而导致停机则 DNS 防火墙可以通过提供来自缓存的 DNS 响应来使操作员的站点或服务正常运行。
除了上述两种防御手段外本身 DNS 区域的运营商就会采取进步一措施保护 DNS 服务器比如配置 DNS 基础架构来防止 DDoS 攻击。
更多关于 DNS 的攻击和防御就是网络安全的主题这篇文章就不再详细介绍了。
