歡迎您光臨本站 註冊首頁

dns 感想之一

←手機掃碼閱讀     火星人 @ 2014-03-04 , reply:0

dns 感想之一

維護DNS是我第一份工作(系統管理員)的一小部分內容,表面上DNS協議(Bind是其在 *nix 下的具體實現)只是將域名地址解析為IP地址,維護起來應該算是小CASE吧?恰恰相反,隨著時間的流逝,我發現自己對DNS和Bind的了解卻越來越少,總有自己無法解答的疑問。最近更在版上看到netman斑竹和abel關於dns反解的精彩討論,感到自己知識的膚淺和學海無涯的深度!希望自己以後能像 netman 斑竹和 abel 兄那樣嚴謹求實!

如果你覺得自己關於dns還算了解的話,請試著回答以下幾個問題:
1、zone數據文件中的@代表什麼?IN 代表什麼?
2、為什麼有時dig可以通過某個nameserver查詢,而nslookup卻告知無法找到nameserver?
3、什麼是lame server?
4、你會做子網段不是8位8位時的IP地址反向解析嗎?
5、Internet上是正向解析多還是反向解析多?
6、將zone數據傳輸功能關閉,你的域內主機就一定安全嗎?

這些問題大多在版上都討論過,請大家到置頂和精華區找答案。
《解決方案》

dns 感想之一

呵呵, 小弟當初是花了兩年時間, 才覺得入門呢~~~  ^_^
《解決方案》

dns 感想之一

嗯~ DNS 這種東西,表面看很容易懂,但愈看到裡面就愈覺得難懂..
若知識只從書上來,在一般的應用上是足夠的,但可能無法到達充份理
解的程度,個人是因為在 NIC 做事,所以 DNS 這種東西就變成了本業,
當然, User Case 接解一多,就會變得愈來愈熟悉了.

DNS 常給人一種平凡的感覺,但是它確是 Internet 上最基礎的東西,
想想看,沒有它, Internet 會是什麼樣的情形. 當然,現在多數人只想 DNS
是 Domain Name <--->; IP 的對應關係,但很可以肯定的是, DNS 做為
全球最大也是最成功的分散式系統,其效率及普及度都是其他服務所不能及
的.
現在 DNS 除了在antispam 上的 RBL 應用外, SPF/DomainKey 也值得觀察.
DNS 也可用在 Net to Net 的 VPN 上 (DNSSEC)
DNS 也可用在電信的交換技術上 (ENUM)
DNS 也可以用在 IPv6 的 Anycasting 上 (Multi-Home)
OID (Object ID) Tree 有可能也會使用 DNS 結構.
RFID 亦有這個可能性
.....
總之,當你覺得你了解它的時候,除了 阿驍 兄所提的 DNS 問題外,
想想這個網路上最基本的東西,還能帶來什麼變革...
《解決方案》

dns 感想之一

有意思的問題,我想想看。。。。反正國慶沒事做。

1、zone數據文件中的@代表什麼?IN 代表什麼?
不清楚。。@有一度我把它當作是「本機」來看待的

2、為什麼有時dig可以通過某個nameserver查詢,而nslookup卻告知無法找到nameserver?
我一直都是用dig,沒用過nslookup,少數幾次在win下用nslookup結果都是解析出來了的。。。

3、什麼是lame server?
我也想知道,時常看到日誌中有記錄,是不是這些是解析失敗的記錄?

4、你會做子網段不是8位8位時的IP地址反向解析嗎?
我這裡的掩碼已經不是8位了,這個會

5、Internet上是正向解析多還是反向解析多?
反向多

6、將zone數據傳輸功能關閉,你的域內主機就一定安全嗎?
不一定,正確的做法是設置哪些區域能夠發起請求?事實上在防火牆上封閉外來對內部53埠的請求比較合適。在bind 9 中新增加的遠程控制功能也要正確設置

汗。。。這半年來,一直只是做教育網內自己段的dns解析和內部網用的cache dns,沒系統地想過這些問題。。。很慚愧。另外新做了一個可以在redhat上全自動安裝的chroot dns包(其實就是bind 9.2.4+一個shell+基本配置),有沒有新手需要?需要的話給我發mail
《解決方案》

dns 感想之一

很慚愧,自己對阿驍提出一些問題也是一知半解,先試著答一遍,不會的我會去找答案。

1、zone數據文件中的@代表什麼?IN 代表什麼?
@字面意思是at,dns中通常代表當前域.
IN應該是ineternet

2、為什麼有時dig可以通過某個nameserver查詢,而nslookup卻告知無法找到nameserver?
這個不知道,dig用的很少。但我想是不是在nslookup中沒有指定某個nameserver才會這樣。

3、什麼是lame server?
應該是指因dns設置錯誤而無法正確解析的錯誤提示。

4、你會做子網段不是8位8位時的IP地址反向解析嗎?
這個沒做個,是要在dns上做特殊的配置嗎?還是只是把自己的netmask 設置好就行了。回頭做做實驗。 :em02:

5、Internet上是正向解析多還是反向解析多?
這個netman和able有著精彩的討論,就不在多說了。

6、將zone數據傳輸功能關閉,你的域內主機就一定安全嗎?
這裡我不知道自己理解對不對,還請高手指點。 zone數據傳輸應該是指配置主從dnsserver時的數據更新吧,如果關閉后那麼slave dns將無法進行更新,比較合理的方法應該設置ip地址段,至於主機的安全我不知道。

另外提一下skylove說的firewall上關閉外網到53埠的訪問,我覺得不太可取。如果你只是dns cache可以這樣,如果你是dns server那麼這樣做后internet上將無法解析你所提供的域名,那樣間接等於dnsserver down了吧!

有不對之處還望指出。

able兄所提到的技術很多都是聞所未聞的,太強了。值得學習。
《解決方案》

dns 感想之一

公布答案嘍!^_^

1、zone數據文件中的@代表什麼?IN 代表什麼?
@ 代表的是當前變數 $ORIGIN 的值,默認這個值為 zone 的域名。比如你設置了一個 123.net 的 zone ,那麼 @ 默認表示 123.net。 IN 則代表 Internet 類。

2、為什麼有時dig可以通過某個nameserver查詢,而nslookup卻告知無法找到nameserver?
nslookup 在啟動時會向 dns server 發送一個反向解析,查詢 dns server 的 IP 地址是否做了反向解析,如果 dns server 沒做本機的反向解析,那麼 nslookup 會告知找不到 ns。而 dig 則不做這個操作,因此不會有這樣的情況。

3、什麼是lame server?
http://www.menandmice.com/online_docs_and_faq/glossary/glossarytoc.htm?lame.server.htm
去這個地址看看吧!

4、你會做子網段不是8位8位時的IP地址反向解析嗎?
http://bbs.chinaunix.net/forum/viewtopic.php?t=385903&show_type=&postdays=0&postorder=asc&start=0
看看這個帖子吧,或者你找一本《dns and bind》看看。

5、Internet上是正向解析多還是反向解析多?
反解多

6、將zone數據傳輸功能關閉,你的域內主機就一定安全嗎?
這樣也不安全的。現在大部分的域雖然都限制了 zone 數據傳輸,但有心者只需要通過反向掃描解析你的IP地址網段,一樣能找到域內的主機哦。這也是 isc.org 統計 Internet 主機的方法。http://www.isc.org/ops/ds/new-survey.php
《解決方案》

dns 感想之一

謝謝,看了又學到一些,謝謝樓主和abel的評說
《解決方案》

dns 感想之一

原帖由 "風往南吹" 發表:
另外提一下skylove說的firewall上關閉外網到53埠的訪問,我覺得不太可取。如果你只是dns cache可以這樣,如果你是dns server那麼這樣做后internet上將無法解析你所提供的域名,那樣間接等於dnsserver down了吧!


恩,是我沒說清楚,事實上我說的的確是做cache的情形,而如果是對外服務,當然是不能封的啦,否則別人的請求怎麼進來!??對不。。。。。
《解決方案》

dns 感想之一

又學到了一點:)感謝
《解決方案》

dns 感想之一

看來,我是不能在朋友面前再吹了T_T

[火星人 ] dns 感想之一已經有626次圍觀

http://coctec.com/docs/service/show-post-21957.html