dns

（域名系統）

DNS（Domain Name System，域名系統），全球資訊網上作為域名和IP地址相互對映的一個分散式資料庫，能夠使使用者更方便的訪問網際網路，而不用去記住能夠被機器直接讀取的IP數串。通過域名，最終得到該域名對應的IP地址的過程叫做域名解析（或主機名解析）。DNS協議執行在UDP協議之上，使用埠號53。在RFC文件中RFC 2181對DNS有規範說明，RFC 2136對DNS的動態更新進行說明，RFC 2308對DNS查詢的反向快取進行說明。

中文名: 域名系統
外文名: Domain Name System

使用協議: UDP,TCP（當請求大於512位元組時）
使用埠: 53

DNS功能

編輯每個IP地址都可以有一個主機名，主機名由一個或多個字串組成，字串之間用小數點隔開。有了主機名，就不要死記硬背每臺IP裝置的IP地址，只要記住相對直觀有意義的主機名就行了。這就是DNS協議的功能。主機名到IP地址的對映有兩種方式： DNS

DNS(11張)1）靜態對映，每臺裝置上都配置主機到IP地址的對映，各裝置獨立維護自己的對映表，而且只供本裝置使用；2）動態對映，建立一套域名解析系統（DNS），只在專門的DNS伺服器上配置主機到IP地址的對映，網路上需要使用主機名通訊的裝置，首先需要到DNS伺服器查詢主機所對應的IP地址。 [1]通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。在解析域名時，可以首先採用靜態域名解析的方法，如果

靜態域名解析不成功，再採用動態域名解析的方法。可以將一些常用的域名放入靜態域名解析表中，這樣可以大大提高域名解析效率。

DNS重要性

編輯1、技術角度看DNS解析是網際網路絕大多數應用的實際定址方式；域名技術的再發展、以及基於域名技術的多種應用，豐富了網際網路應用和協議。2、資源角度看域名是網際網路上的身份標識，是不可重複的唯一標識資源；網際網路的全球化使得域名成為標識一國主權的國家戰略資源。

DNS冗餘

編輯為保證服務的高可用性，DNS要求使

dns用多臺名稱伺服器冗餘支援每個區域。某個區域的資源記錄通過手動或自動方式更新到單個主名稱伺服器（稱為主 DNS伺服器）上，主 DNS 伺服器可以是一個或幾個區域的權威名稱伺服器。其它

冗餘名稱伺服器（稱為輔 DNS 伺服器）用作同一區域中主伺服器的備份伺服器，以防主伺服器無法訪問或宕機。輔 DNS伺服器定期與主 DNS 伺服器通訊，確保它的區域資訊保持最新。如果不是最新資訊，輔 DNS伺服器就會從主伺服器獲取最新區域資料檔案的副本。這種將區域檔案複製到多臺名稱伺服器的過程稱為區域複製。

域名結構

編輯通常 Internet 主機域名的一般結構為：主機名.三級域名.二級域名.頂級域名。 Internet 的頂級域名由 Internet網路協會域名註冊查詢負責網路地址分配的委員會進行登記和管理，它還為 Internet的每一臺主機分配唯一的 IP 地址。全世界現有三個大的網路資訊中心：位於美國的 Inter-NIC，負責美國及其他地區；位於荷蘭的RIPE-NIC，負責歐洲地區；位於日本的APNIC ，負責亞太地區 [1] 。

解析器

編輯解析器，或另一臺DNS伺服器遞迴代表的情況下，域名解析器，協商使用遞迴服務，使用查詢頭位。解析通常需要遍歷多個名稱伺服器，找到所需要的資訊。然而，一些解析器的功能更簡單地只用一個名稱伺服器進行通訊。這些簡單的解析器依賴於一個遞迴名稱伺服器（稱為“存根解析器”），為他們尋找資訊的執行工作。

DNS伺服器

編輯提供DNS服務的是安裝了DNS伺服器端軟體的計算機。伺服器端軟體既可以是基於類linux作業系統，也可以是基於Windows作業系統的。裝好DNS伺服器軟體後，您就可以在您指定的位置建立區域檔案了，所謂區域檔案就是包含了此域中名字到IP地址解析記錄的一個檔案，如檔案的內容可能是這樣的：primary name server = dns2（主伺服器的主機名是）serial = 2913 （序列號=2913、這個序列號的作用是當輔域名伺服器來複制這個檔案的時候，如果號碼增加了就複製）refresh = 10800 (3 hours) （重新整理=10800秒、輔域名伺服器每隔3小時查詢一個主伺服器）retry = 3600 (1 hour) （重試=3600秒、當輔域名服務試圖在主伺服器上查詢更新時，而連線失敗了，輔域名伺服器每隔1小時訪問主域名伺服器）expire = 604800 (7 days) （到期=604800秒、輔域名伺服器在向主服務更新失敗後，7天后刪除中的記錄。）default TTL = 3600 (1 hour) （預設生存時間=3600秒、快取伺服器儲存記錄的時間是1小時。也就是告訴快取伺服器儲存域的解析記錄為1小時）

SDNS

編輯中國網際網路絡資訊中心(CNNIC)研發出我國首個面向下一代網際網路的域名服務平臺——SDNS。

DNS查詢方法

編輯

查詢DNS伺服器上的資源記錄

在Windows平臺下，使用命令列工具，輸入nslookup，返回的結果包括域名對應的IP地址（A記錄）、別名（CNAME記錄）等。除了以上方法外，還可以通過一些DNS查詢站點

dns如國外的國內的查詢域名的DNS資訊。常用的資源記錄型別A 地址此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。CNAME 標準名稱此記錄指定標準主機名的別名。MX郵件交換器此記錄列出了負責接收發到域中的電子郵件的主機。NS名稱伺服器此記錄指定負責給定區域的名稱伺服器。

FQDN名的解析過程查詢

若想跟蹤一個FQDN名的解析過程，在LinuxShell下輸入dig www +trace，返回的結果包括從根域開始的遞迴或迭代過程，一直到權威域名伺服器。GeniePro DNS 應對DNS劫持和DNS快取中毒攻擊的關鍵性機制：一致性檢查每個Geniepro節點將自身的DNS記錄傳送給工作組內其他節點請求一致性檢查；每個Geniepro節點將自身的記錄與收到的記錄進行比較；每個Geniepro工作組的通訊協調節點將獲得的DNS記錄更新發送給其他組的通訊協調節點請求一致性檢查；每個Genipro工作組的通訊協調節點向上一級DNS伺服器請求更新記錄並與收到的其他通訊協調節點的記錄進行比較。

一致性仲裁

如果一致性檢查發現記錄不一致情況，則根據策略（少數服從多數、一票否決等）決定是否接受記錄的變化根據結果，各Geniepro節點將自身記錄進行統一通訊協調節點選舉選舉出的通訊協調節點在任期內具有更新組內節點的許可權選舉過程滿足不可預測性和不可重複性DNS資源記錄　如前所述，每個 DNS 資料庫都由資源記錄構成。一般來說，資源記錄包含與特定主機有關的資訊，如 IP 地址、主機的所有者或者提供服務的型別。

故障解決

編輯當DNS解析出現錯誤，例如把一個域名解析成一個錯誤的IP地址，或者根本不知道某個域名對應的IP地址是什麼時，就無法通過域名訪問相應的站點了，這就是DNS解析故障。出現DNS解析故障最大的症狀就是訪問站點對應的IP地址沒有問題，然而訪問他的域名就會出現錯誤。（1）用nslookup(網路查詢)來判斷是否真的是DNS解析故障：要想百分之百判斷是否為DNS解析故障就需要通過系統自帶的NSLOOKUP來解決了。第一步：確認自己的系統是windows 2000和windows xp以上作業系統，然後通過“開始->執行->輸入CMD”後回車進入命令列模式。第二步：輸入nslookup命令後回車，將進入DNS解析查詢介面。第三步：命令列視窗中會顯示出當前系統所使用的DNS伺服器地址，例如筆者的DNS伺服器IP為202.106.0.20。第四步：接下來輸入無法訪問的站點對應的域名。假如不能訪問的話，那麼DNS解析應該是不能夠正常進行的，會收到DNS request timed out，timeout was 2 seconds的提示資訊。這說明本地計算機確實出現了DNS解析故障。小提示：如果DNS解析正常的話，會反饋回正確的IP地址。（2）查詢DNS伺服器工作是否正常：這時候要看本地計算機使用的DNS地址是多少了，並且查詢他的執行情況。第一步：通過“開始->執行->輸入CMD”後回車進入命令列模式。第二步：輸入ipconfig/all命令來查詢網路引數。第三步：在ipconfig /all顯示資訊中能夠看到一個地方寫著DNS SERVERS，這個就是本地的DNS伺服器地址。例如筆者的是202.106.0.20和202.106.46.151。從這個地址可以看出是個外網地址，如果使用外網DNS出現解析錯誤時，可以更換一個其他的DNS伺服器地址即可解決問題。第四步：如果在DNS伺服器處顯示的是個人公司的內部網路地址，那麼說明該公司的DNS解析工作是交給公司內部的DNS伺服器來完成的，這時需要檢查這個DNS伺服器，在DNS伺服器上進行nslookup操作看是否可以正常解析。解決DNS伺服器上的DNS服務故障，一般來說問題也能夠解決。（3）清除DNS快取資訊法：第一步：通過“開始->執行->輸入CMD”進入命令列模式。第二步：在命令列模式中我們可以看到在ipconfig /?中有一個名為/flushdns的引數，這個就是清除DNS快取資訊的命令。第三步：執行ipconfig /flushdns命令，當出現“successfully flushed the dns resolver cache”的提示時就說明當前計算機的快取資訊已經被成功清除。第四步：接下來我們再訪問域名時，就會到DNS伺服器上獲取最新解析地址，再也不會出現因為以前的快取造成解析錯誤故障了。（4）修改HOSTS（主機）檔案法：第一步：通過“開始->搜尋”，然後查詢名叫hosts的檔案。第二步：當然對於已經知道他的路徑的讀者可以直接進入c:\windows\system32\drivers\etc目錄中找到HOSTS檔案。如果你的系統是windows 2000，那麼應該到c:\winnt\system32\drivers\etc目錄中尋找。第三步：雙擊HOSTS檔案，然後選擇用“記事本”程式將其開啟。第四步：之後我們就會看到HOSTS檔案的所有內容了，預設情況下只有一行內容“127.0.0.1 localhost”。（其他前面帶有#的行都不是真正的內容，只是幫助資訊而已）第五步：將你希望進行DNS解析的條目新增到HOSTS檔案中。具體格式是先寫該域名對應的IP地址，然後空格接域名資訊。第六步：設定完畢後我們訪問網址時就會自動根據是在內網還是外網來解析了。 [2]

DNS安全問題

編輯1.針對域名系統的惡意攻擊：DDOS攻擊造成域名解析癱瘓。2.域名劫持：修改註冊資訊、劫持解析結果。3.國家性質的域名系統安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。4.系統上執行的DNS服務存在漏洞，導致被黑客獲取許可權，從而篡改DNS資訊。5.DNS設定不當，導致洩漏一些敏感資訊。提供給黑客進一步攻擊提供有力資訊。

配置DNS

編輯不同的網路裝置配置的語法不一樣，這裡提供的配置方法是以銳捷網路裝置為例的，一般也適用思科裝置。

DNS解析

編輯本節描述如何開啟DNS域名解析功能開關。R(config)#ip domain-lookup 開啟DNS域名解析功能開關
　　配置DNS Server使用no ip domain-lookup命令關閉DNS域名解析的功能：R(config)#no ip domain-lookup本節描述如何配置DNS伺服器。只有配置了DNS伺服器，才能進行動態域名解析。如果要刪除DNS伺服器，可以使用no ip name-server [ip-address | ipv6-address] 命令。其中引數ip-address和ipv6-address表示刪除指定的域名伺服器，否則刪除所有的域名伺服器。

命令	作用
R(config)# ip name-server {ip-address \| ipv6-address}	新增DNS Server的IP/IPV6地址。每次執行這條命令，裝置都會新增一個DNS Server。當無法從第一個Server獲取到域名時，裝置會嘗試向後續幾個Server傳送DNS請求，直到正確收到迴應為止。系統最多支援6個域名伺服器。

靜態配置主機名和IP/IPV6地址的對映

如何配置主機名和IP/IPV6地址的對映。本地維護了一張主機名和IP/IPV6地址的對應表，也叫主機名到IP/IPv6地址的對映表。主機名到IP/IPV6地址的對映表內容有兩個來源：手工配置和動態學習。在不能動態學習的情況下，手工配置就有必要了。

命令	作用
R(config)# ip host host-name ip-address	手工配置主機名和IP地址對映
R(config)# ipv6 host host-name ipv6-address	手工配置主機名和IPV6地址對映

使用該命令的no形式就可以刪除主機名和IP/IPV6地址的對映。

清除動態主機名快取表

本節描述如何清除動態主機名快取表。如果輸入clear host或clear host * 命令將清除動態快取表。否則只刪除指定域名的表項。

命令	作用
R#clear host [host-name]	清除動態主機名快取表。該命令不能刪除靜態配置的主機名。

域名解析資訊顯示

本節描述如何顯示DNS的相關配置資訊：

命令	作用
R# show hosts [host-name]	檢視DNS的相關引數

R# show hostsName servers are:192.168.5.134 staticHost type Address TTL(sec)www.163.com static 192.168.5.243 ---

DNS配置舉例

編輯

靜態域名解析配置舉例

拓撲圖如右圖靜態域名解析配置組網圖所示：

靜態域名解析配置組網圖應用需求由於網路裝置R-A經常訪問域名為destination.com的主機，可利用靜態域名解析功能，實現通過destination.com主機名訪問IP地址為1.1.1.20的主機，提高域名解析的效率。

dns （域名系統）

dns