DNS也叫網域名稱系統,是互聯網的壹項服務。它實質上是壹個域名和IP相互映射的分布式數據庫,有了它,我們就可以通過域名更方便的訪問互聯網。
DNS特點有分布式的,協議支持TCP和UDP,常用端口是53,每壹級域名的長度限制是63,域名總長度限制是253。
最早的時候,DNS的UDP報文上限大小是512字節,所以當某個response大小超過512(返回信息太多),DNS服務就會使用TCP協議來傳輸。後來DNS協議擴展了自己的UDP協議,DNS client發出查詢請求時,可以指定自己能接收超過512字節的UDP包,這種情況下,DNS還是會使用UDP協議。
分層的數據庫結構:
DNS的結構跟Linux文件系統很相似,像壹棵倒立的樹。下面用站長之家的域名舉例:最上面的.是根域名,接著是頂級域名,再下來是站長之家域名chinaz依次類推。使用域名時,從下而上。s.tool.chinaz就是壹個完整的域名,www.chinaz也是。
之所以設計這樣復雜的樹形結構,是為了防止名稱沖突。這樣壹棵樹結構,當然可以存儲在壹臺機器上,但現實世界中完整的域名非常多,並且每天都在新增、刪除大量的域名,存在壹臺機器上,對單機器的存儲性能就是不小的挑戰。
另外,集中管理還有壹個缺點就是管理不夠靈活。可以想象壹下,每次新增、刪除域名都需要向中央數據庫申請是多麽麻煩。所以現實中的DNS都是分布式存儲的。
根域名服務器只管理頂級域,同時把每個頂級域的管理委派給各個頂級域,所以當妳想要申請下的二級域名時,找域名註冊中心就好了。二級域名,再向下的域名就歸妳管理了。
當妳管理,美國的.us。壹般公司申請公網域名時,如果是跨國產品,應該選擇通用頂級域名。
如果沒有跨國業務,看自己喜好(可以對比各家頂級域的服務、穩定性等再做選擇)。這裏說壹下幾個比較熱的頂級域,完整的頂級域參見維基百科。
meme頂級域其實是國家域名,是黑山***和國的國家域名,只不過它對個人開發申請,所以很多個人博主就用它作為自己的博客域名。
io很多開源項目常用io做頂級域名,它也是國家域名。因為io與計算機中的input/output縮寫相同,和計算機的二機制10也很像,給人壹種geek的感覺。相較於.域名,.io下的資源很多,更多選擇。
DNS解析流程:
聊完了DNS的基本概念,我們再來聊壹聊DNS的解析流程。當我們通過瀏覽器或者應用程序訪問互聯網時,都會先執行壹遍DNS解析流程。
標準glibc提供了libresolv.so.2動態庫,我們的應用程序就是用它進行域名解析(也叫resolving)的,它還提供了壹個配置文件/etc/nsswitch.conf來控制resolving行為,配置文件中最關鍵的是這行:
hosts:files dns myhostname。
它決定了resolving的順序,默認是先查找hosts文件,如果沒有匹配到,再進行DNS解析。默認的解析流程如下圖:
上圖主要描述了client端的解析流程,我們可以看到最主要的是第四步請求本地DNS服務器去執行resolving,它會根據本地DNS服務器配置,發送解析請求到遞歸解析服務器(稍後介紹什麽是遞歸解析服務器),本地DNS服務器在/etc/resolv.conf中配置。下面我們再來看看服務端的resolving流程:
我們分析壹下解析流程:
客戶端向本地DNS服務器(遞歸解析服務器)發出解析//tool.chinaz域名的請求,本地dns服務器查看緩存,是否有緩存過//tool.chinaz域名,如果有直接返回給客戶端;如果沒有執行下壹步。
本地dns服務器向根域名服務器發送請求,查詢頂級域的nameserver地址,拿到域名的IP後,再向 nameserver發送請求,獲取chinaz域名的nameserver地址。
繼續請求chinaz的nameserver,獲取tool域名的地址,最終得到了//tool.chinaz的IP,本地dns服務器把這個結果緩存起來,以供下次查詢快速返回。
本地dns服務器把把結果返回給客戶端,遞歸解析服務器vs權威域名服務器,我們在解析流程中發現兩類DNS服務器,客戶端直接訪問的是遞歸解析服務器,它在整個解析過程中也最忙。它的查詢步驟是遞歸的,從根域名服務器開始,壹直詢問到目標域名。
遞歸解析服務器通過請求壹級壹級的權威域名服務器,獲得下壹目標的地址,直到找到目標域名的權威域名服務器,簡單來說:遞歸解析服務器是負責解析域名的,權威域名服務器,是負責存儲域名記錄的。
遞歸解析服務器壹般由ISP提供,除此之外也有壹些比較出名的公***遞歸解析服務器,如谷歌的8.8.8.8,聯通的114,BAT也都有推出公***遞歸解析服務器,但性能最好的應該還是妳的ISP提供的,只是可能會有DNS劫持的問題。
緩存,由於整個解析過程非常復雜,所以DNS通過緩存技術來實現服務的魯棒性。當遞歸nameserver解析過//tool.chianaz域名後,再次收到//tool.chinaz查詢時,它不會再走壹遍遞歸解析流程,而是把上壹次解析結果的緩存直接返回。
並且它是分級緩存的,也就是說,當下次收到的是//www.chinaz的查詢時,由於這臺遞歸解析服務器已經知道//chinaz的權威nameserver,所以它只需要再向//chinaz nameserver發送壹個查詢www的請求就可以了。
根域名服務器的地址是固定的,目前全球有13個根域名解析服務器,這13條記錄持久化在遞歸解析服務器中:
為什麽只有13個根域名服務器呢,不是應該越多越好來做負載均衡嗎?之前說過DNS協議使用了UDP查詢,由於UDP查詢中能保證性能的最大長度是512字節,要讓所有根域名服務器數據能包含在512字節的UDP包中,根服務器只能限制在13個,而且每個服務器要使用字母表中單字母名。
智能解析,就是當壹個域名對應多個IP時,當妳查詢這個域名的IP,會返回離妳最近的IP。由於國內不同運營商之間的帶寬很低,所以電信用戶訪問聯通的IP就是壹個災難,而智能DNS解析就能解決這個問題。
智能解析依賴EDNS協議,這是google起草的DNS擴展協議,修改比較簡單,就是在DNS包裏面添加origin client IP,這樣nameserver就能根據client IP返回距離client比較近的server IP了。
國內最新支持EDNS的就是DNSPod了,DNSPod是國內比較流行的域名解析廠商,很多公司會把域名利用DNSPod加速。
壹般我們要註冊域名,都要需要找域名註冊商,比如說我想註冊//hello,那麽我需要找域名註冊商註冊hello域名。的域名註冊商不止壹家,這些域名註冊商也是從ICANN拿到的註冊權,參見如何申請成為.域名註冊商。
域名註冊商都會自建權威域名解析服務器,比如妳在狗爹上申請壹個.下的二級域名,妳並不需要搭建nameserver,直接在godaddy控制中心裏管理妳的域名指向就可以了,原因就是妳新域名的權威域名服務器默認由域名註冊商提供。
當然妳也可以更換,比如從godaddy申請的境外域名,把權威域名服務器改成DNSPod,壹方面加快國內解析速度,另壹方面還能享受DNSPod提供的智能解析功能。
用bind搭建域名解析服務器,由於網上介紹bind搭建的文章實在太多了,我就不再贅述了,喜歡動手的朋友可以網上搜壹搜搭建教程,壹步步搭建壹個本地的nameserver玩壹玩。這裏主要介紹壹下bind的配置文件吧。
bind的配置文件分兩部分,bind配置文件和zone配置文件,bind配置文件位於/etc/named.conf,它主要負責bind功能配置,如zone路徑、日誌、安全、主從等配置其中最主要的是添加zone的配置以及指定zone配置文件。
開啟遞歸解析功能,這個如果是no,那麽此bind服務只能做權威解析服務,當妳的bind服務對外時,打開它會有安全風險,如何防禦不當,會讓妳的nameserver被hacker用來做肉雞zone的配置文件在bind配置文件中指定,下圖是壹份簡單的zone配置:
zone的配置是nameserver的核心配置,它指定了DNS資源記錄,如SOA、A、CNAME、AAAA等記錄,各種記錄的概念網上資料太多,我這裏就不重復了。其中主要講壹下SOA和CNAME的作用。
SOA記錄表示此域名的權威解析服務器地址。上文講了權威解析服務器和遞歸解析服務器的差別,當所有遞歸解析服務器中有沒妳域名解析的緩存時,它們就會回源來請求此域名的SOA記錄,也叫權威解析記錄。
CNAME的概念很像別名,它的處理邏輯也如此。壹個server執行resloving時,發現name是壹個CNAME,它會轉而查詢這個CNAME的A記錄。壹般來說,能使用CNAME的地方都可以用A記錄代替,它是讓多個域名指向同壹個IP的壹種快捷手段。
這樣當最低層的CNAME對應的IP換了之後,上層的CNAME不用做任何改動。就像我們代碼中的硬編碼,我們總會去掉這些硬編碼,用壹個變量來表示,這樣當這個變量變化時,我們只需要修改壹處。
配置完之後可以用named-checkconf和named-checkzone。兩個命令來check我們的配置文件有沒有問題,之後就可以啟動bind服務了:$>service named start,Redirecting to/bin/systemctl restart named.service。
我們用netstat-ntlp,來檢查壹下服務是否啟動,53端口已啟動,那麽我們測試壹下效果,用dig解析壹下域名,使用127.0.0.1作為遞歸解析服務器。
我們看到dig的結果跟我們配置文件中配置的壹樣是1.2.3.4,DNS完成了它的使命,根據域名獲取到IP。用DNS實現負載均衡,壹個域名添加多條A記錄,解析時使用輪詢的方式返回隨機壹條,流量將會均勻分類到多個A記錄。www IN A1.2.3.4,www IN A1.2.3.5。
其實每次DNS解析請求時,nameserver都會返回全部IP,如上面配置,它會把1.2.3.4和1.2.3.5都返回給client端。那麽它是怎麽實現RR的呢?nameserver只是每次返回的IP排序不同,客戶端會把response裏的第壹個IP用來發請求。DNS負載均衡vs LVS專業負載均衡。
和LVS這種專業負載均衡工具相比,在DNS層做負載均衡有以下特點:實現非常簡單,默認只能通過RR方式調度,DNS對後端服務不具備健康檢查。
DNS故障恢復時間比較長(DNS服務之間有緩存),可負載的rs數量有限(受DNS response包大小限制),真實場景中,還需要根據需求選擇相應的負載均衡策略子域授權。
我們從.域下申請壹個二級域名http://hello.後,發展到某壹天我們的公司擴大了,需要拆分兩個事業部A和B,並且公司給他們都分配了三級域名a.hello.和b.hello.,域名結構如下圖:
再發展壹段時間,A部門和B部門內部業務太多,需要頻繁的為新產品申請域名,這個時候他們就想搭建自己的namserver,並且需要上壹級把相應的域名管理權交給自己,他們期望的結構如下:
註意第壹階段和第二階段的區別:第壹階段,A部門想申請//a.hello下的子域名,需要向上級申請,整個//a.hello域的管理都在總公司;第二階段,A部門先自己搭建nameserver,然後總公司把http://a.hello域管理權轉交給自建的nameserver。
A部門自建nameserver,並且在zone配置文件中指定//a.hello的權威解析服務器為自己的nameserver地址,總公司在nameserver上增加壹條NS記錄,把//a.hello域授權給A部門的nameserver。
我們在用bind搭建域名解析服務器裏講過,只要在zone配置文件裏指定SOA記錄就好:@IN SOA ns.a.hello. admin.a.hello..(……)。
在http://hello.域的nameserver上添加壹條NS記錄:a.hello. IN NS ns.a.hello.ns.a.hello. IN A xx.xx.xx.xx(自建nameserver的IP)。
這樣當解析http://xx.a.hello.域名時,//hello. nameserver發現配置中有NS記錄,就會繼續遞歸向下解析,DNS調試工具,OPS常用的DNS調試工具有:host,nslookup,dig。
這三個命令都屬於bind-utils包,也就是bind工具集,它們的使用復雜度、功能依次遞增。關於它們的使用,man手冊和網上有太多教程。DNS放大攻擊屬於DoS攻擊的壹種,是通過大量流量占滿目標機帶寬,使得目標機對正常用戶的請求拒絕連接從而掛掉。
思路正常的流量攻擊,hack機向目標機建立大量request-response,但這樣存在的問題是需要大量的hack機器。因為服務器壹般的帶寬遠大於家用網絡,如果我們自己的家用機用來做hack機器,還沒等目標機的帶寬占滿,我們的帶寬早超載了。
原理DNS遞歸解析的流程比較特殊,我們可以通過幾個字節的query請求,換來幾百甚至幾千字節的resolving應答(流量放大),並且大部分服務器不會對DNS服務器做防禦。
那麽hacker們只要可以偽裝DNS query包的source IP,從而讓DNS服務器發送大量的response到目標機,就可以實現DoS攻擊。
但壹般常用的DNS服務器都會對攻擊請求做過濾,所以找DNS服務器漏洞也是壹個問題。詳細的放大攻擊方法自行google。