DNS基本概念

过程分析

• 第一步：在浏览器中输入www . google .com 域名，本地电脑会检查浏览器缓存中有没有这个域名对应的解析过的 IP 地址，如果缓存中有，这个解析过程就结束。浏览器缓存域名也是有限制的，不仅浏览器缓存大小有限制，而且缓存的时间也有限制，通常情况下为几分钟到几小时不等，域名被缓存的时间限制可以通过 TTL 属性来设置。这个缓存时间太长和太短都不太好，如果时间太长，一旦域名被解析到的 IP 有变化，会导致被客户端缓存的域名无法解析到变化后的 IP 地址，以致该域名不能正常解析，这段时间内有一部分用户无法访问网站。如果设置时间太短，会导致用户每次访问网站都要重新解析一次域名

• 第二步：如果浏览器缓存中没有数据，浏览器会查找操作系统缓存中是否有这个域名对应的 DNS 解析结果。其实操作系统也有一个[域名解析]的过程，在 Linux 中可以通过 / etc/hosts 文件来设置，而在 windows 中可以通过配置 C:\Windows\System32\drivers\etc\hosts 文件来设置，用户可以将任何域名解析到任何能够访问的 IP 地址。例如，我们在测试时可以将一个域名解析到一台测试服务器上，这样不用修改任何代码就能测试到单独服务器上的代码的业务逻辑是否正确。正是因为有这种本地 DNS 解析的规程，所以有黑客就可能通过修改用户的域名来把特定的域名解析到他指定的 IP 地址上，导致这些域名被劫持

• 第三步：前两步是在本地电脑上完成的，若无法解析时，就要用到我们网络配置中的 "DNS 服务器地址" 了。操作系统会把这个域名发送给这个本地 DNS 服务器。每个完整的内网通常都会配置本地 DNS 服务器，例如用户是在学校或工作单位接入互联网，那么用户的本地 DNS 服务器肯定在学校或工作单位里面。它们一般都会缓存域名解析结果，当然缓存时间是受到域名的失效时间控制的。大约 80% 的域名解析到这里就结束了，后续的 DNS 迭代和递归也是由本地 DNS 服务器负责

• 第四步：如果本地 DNS 服务器仍然没有命中，就直接到根 DNS 服务器请求解析

• 第五步：根 DNS 服务器返回给本地 DNS 域名服务器一个顶级 DNS 服务器地址，它是国际顶级域名服务器，如. com、.cn、.org 等，全球只有 13 台左右

• 第六步：本地 DNS 服务器再向上一步获得的顶级 DNS 服务器发送解析请求

• 第七步：接受请求的顶级 DNS 服务器查找并返回此域名对应的 Name Server 域名服务器的地址，这个 Name Server 服务器就是我要访问的网站域名提供商的服务器，其实该域名的解析任务就是由域名提供商的服务器来完成。 比如我要访问 www.baidu.com，而这个域名是从 A 公司注册获得的，那么 A 公司上的服务器就会有 www.baidu.com 的相关信息

• 第八步：返回该域名对应的 IP 和 TTL 值，本地 DNS 服务器会缓存这个域名和 IP 的对应关系，缓存时间由 TTL 值控制

• 第九步：Name Server 服务器收到查询请求后再其数据库中进行查询，找到映射关系后将其IP地址返回给本地DNS服务器

• 第十步：本地DNS服务器把解析的结果返回给本地电脑，本地电脑根据 TTL 值缓存在本地系统缓存中，域名解析过程结束在实际的 DNS 解析过程中，可能还不止这 10 步，如 Name Server 可能有很多级，或者有一个 GTM 来负载均衡控制，这都有可能会影响域名解析过程

• 注意：

  • 从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间使用的交互查询就是迭代查询

  • 114.114.114.114是国内移动、电信和联通通用的DNS，手机和电脑端都可以使用，干净无广告，解析成功率相对来说更高，国内用户使用的比较多，而且速度相对快、稳定，是国内用户上网常用的DNS。

  • 223.5.5.5和223.6.6.6是阿里提供的免费域名解析服务器地址

  • 8.8.8.8是GOOGLE公司提供的DNS，该地址是全球通用的，相对来说，更适合国外以及访问国外网站的用户使用

• 正向解析

zone "localhost.localdomain" IN {  # 正向解析域名type master; # 服务类型：master表示主服务器，slave表示从服务器，hint根服务器file "named.localhost";  # 域名与IP地址规则文件存储位置allow-update { none; };  # 允许那些客户端动态更新本机域名解析
};
​
# allow-update：允许更新解析库内容，一般关闭
# allow-query： 允许查询的主机，白名单
# allow-tranfter ： 允许同步的主机，白名单，常用
# allow-recursion： 允许递归的主机

• 反向解析：

zone "1.0.0.127.in-addr.arpa" IN { # 表示127.0.0.1的反向解析配置，IP地址需要倒置书写，只需书写网段即可type master;  file "named.loopback";  # 反向解析的规则文件保存位置allow-update { none; };
};

模板内容分析：

$TTL 1D  # 设置生存周期时间，为1天，$表示宏定义
@       IN SOA  @ rname.invalid. (
# @ ：表示zone域，现在表示域名，如baidu.com
# IN SOA ： 授权信息开始
# rname.invalid. ： 域名管理员的邮箱（不能使用@，使用点替代邮件分隔符@）0       ; serial  # 序列号，10位以内的整数1D      ; refresh # 更新频率为1天1H      ; retry   # 失败重试时间为1小时1W      ; expire  # 失效时间1周3H )    ; minimum # 缓存时间为3小时IN  NS  ns.域名.
ns      IN  A   域名解析服务器IP地址
www     IN  A   域名解析服务器IP地址
bbs     IN  A   域名解析服务器IP地址
mail    IN  A   域名解析服务器IP地址
​
# A：表示IPv4地址， AAAA表示IPv6地址

域名解析记录分析

域名解析记录分析

• A记录：A 代表 Address，用来指定域名对应的 IP 地址，如将 item.taobao.com 指定到 115.238.23.xxx，将 switch.taobao.com 指定到 121.14.24.xxx

• MX记录：Mail Exchange，就是可以将某个域名下的邮件服务器指向自己的 Mail Server，如 taobao.com 域名的 A 记录 IP 地址是 115.238.25.xxx，如果将 MX 记录设置为 115.238.25.xxx，即 xxx@taobao.com 的邮件路由，DNS 会将邮件发送到 115.238.25.xxx 所在的服务器，而正常通过 Web 请求的话仍然解析到 A 记录的 IP 地址

• NS记录：为某个域名指定 DNS 解析服务器，也就是这个域名由指定的 IP 地址的 DNS 服务器取解析

• CNAME 记录：Canonical Name，即别名解析。所谓别名解析就是可以为一个域名设置一个或者多个别名，如将 aaa.com 解析到 bbb.net、将 ccc.com 也解析到 bbb.net，其中 bbb.net 分别是 aaa.com 和 ccc.com 的别名

• TXT 记录：为某个主机名或域名设置说明，如可以为 ddd.net 设置 TXT 记录为 "这是 XXX 的博客" 这样的说明

反向解析资源文件

[root@server ~]# vim  /var/named/named.loopback 
$TTL 1D
@       IN SOA  @ rname.invalid. (0       ; serial1D      ; refresh1H      ; retry1W      ; expire3H )    ; minimum
IN       NS       ns.域名.   # 域名服务器记录，注意结尾的点
ns       IN   A   域名解析服务器的IP地址
IP地址    PTR      域名.   # PTR 指针记录，用于反向解析