DNS部署与安全详解-优快云博客

本文链接：https://blog.youkuaiyun.com/coderMonkey/article/details/113035296

本文详细介绍了DNS的各个组成部分，包括域名组成、监听端口、DNS解析种类、DNS服务器搭建步骤、域名解析记录类型，以及反向DNS的概念和用途。同时，探讨了DNS服务器的分类和客户机、服务器在解析域名时的处理顺序，强调了DNS在网络安全中的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、DNS

Domain Name Service

域名服务

作用：为客户机提供解析服务器

2、域名组成

2.1、域名组成概述

如"www.sina.com.cn"是一个域名，严格上讲，"sina.com.cn"才被称为域名（全球唯一），而"www"是主机名。

"主机名.域名"称为完全限定域名（FQDN）。一个域名下可以有多个主机，域名全球唯一，那么"主机名.域名"肯定也是全球唯一的。

以"sina.com.cn"域名为例，一般管理员在命名其主机的时候会根据其主机的功能而命名，比如网站的是www，博客的是blog，论坛的是bbs，那么对应的FQDN为www.sina.com.cn , blog.sina.com.cn , bbs.sina.com.cn。这么多个FQDN，然而我么只需要申请一个域名即"sina.com.cn"即可。

2.2、域名组成

树形结构

如：www.baidu.com.

. 为根域

.com为顶级域

baidu为二级域名

www为主机域

FQDN=主机名+DNS后缀

FQDN（完全合格的域名）

3、监听端口

TCP53

UDP53

4、DNS解析种类

4.1、按照查询方式分类：

1）递归查询（所问即所答）：客户机与本地DNS服务器之间，递归查询是一种DNS 服务器的查询模式,在该模式下DNS 服务器接收到客户机请求,必须使用一个准确的查询结果回复客户机.如果DNS 服务器本地没有存储查询DNS 信息,那么该服务器会询问其他服务器,并将返回的查询结果提交给客户机.

2）迭代查询（所问非所答）：本地DNS服务器与根等其他DNS服务器的解析过程， DNS 服务器另外一种查询方式为迭代查询,当客户机发送查询请求时,DNS 服务器并不直接回复查询结果,而是告诉客户机另一台DNS 服务器地址,客户机再向这台DNS 服务器提交请求,依次循环直到返回查询的结果为止.

4.2、按照查询内容分类

1）正向解析：已知域名，解析IP地址

2）反向解析：已知IP地址，解析域名

刷新本地dns缓存：ipconfig /flushdns

查看本地dns缓存：ipconfig /displaydns

A记录：仅仅能把域名解析成IP地址，而（PTR记录是可以把IP地址解析长域名，做反向解析用）

DNS解析时先通过IP地址反向查询获得名称，接着再进行正向解析获取IP地址

5、DNS服务器搭建过程（win2003）

1）要求网卡IP必须是静态IP地址

2）安装DNS软件（可用光驱–双击–安装可选的Windows组件–网络服务–域名系统DNS–安装）

3）打开DNS软件（开始–管理工具–DNS）

4）创建区域文件（负责一个域名后缀的解析，如baidu.com为域名的后缀，一台DNS服务器可存放多个区域文件

5）新建A记录

6、DNS客户机如何解析

nslookup 域名

7、DNS服务器处理域名请求的顺序

1）先看DNS高速缓存

看自己负责的区域

3）看DNS转发器

4）请求根服务器

8、辅助DNS服务器

当区的辅助服务器启动时,它与该区的主控服务器进行连接并启动一次区传输,区辅助服务器定期与区主控服务器通信,查看区数据是否改变.如果改变了,它就启动一次数据更新传输.每个区必须有主服务器,另外每个区至少要有一台辅助服务器,否则如果该区的主服务器崩溃了,就无法解析该区的名称.

辅助服务器的优点:

1）容错能力

配置辅助服务器后,在该区主服务器崩溃的情况下,客户机仍能解析该区的名称.一般把区的主服务器和区的辅助服务器安装在不同子网上,这样如果到一个子网的连接中断,DNS 客户机还能直接查询另一个子网上的名称服务器.

2）减少广域链路的通信量

如果某个区在远程有大量客户机,用户就可以在远程添加该区的辅助服务器,并把远程的客户机配置成先查询这些服务器,这样就能防止远程客户机通过慢速链路通信来进行DNS 查询.

3）减轻主服务器的负载

辅助服务器能回答该区的查询,从而减少该区主服务器必须回答的查询数.

9、清除DNS缓存

9.1、客户机上清除缓存

cmd–ipconfig /flushdns

9.2、服务器上清除缓存

Windows服务器：dns工具–查看–高级，调出缓存，然后右键清除缓存

10、域名解析记录类型

10.1、SOA资源记录（全区唯一）

每个区在区的开始处都包含了一个起始授权记录（Start of Authority Record）,简称SOA 记录.

SOA 定义了域的全局参数,进行整个域的管理设置.一个区域文件只允许存在唯一的SOA 记录.

10.2、NS资源记录

NS（Name Server）记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析.每个区在区根处至少包含一个NS 记录.

10.3、A资源记录

地址（A）资源记录把FQDN 映射到IP 地址. 因为有此记录,所以DNS服务器能解析FQDN域名对应的IP 地址.

10.4、PTR资源记录

相对于A 资源记录,指针（PTR）记录把IP地址映射到FQDN. 用于反向查询,通过IP地址,找到域名.

10.5、CNAME资源记录

别名记录（CNAME）资源记录创建特定FQDN 的别名.用户可以使用CNAME 记录来隐藏用户网络的实现细节,使连接的客户机无法知道真正的域名.

例:ping百度时,解析到了百度的别名服务器.百度有个cname=www.a.shifen.com.的别名

10.6、MX资源记录

邮件交换记录

11、反向DNS

nslookup手工解析时，会进行一个方向解析

11.1、什么是反向DNS？

反向 DNS 查找是对给定 IP 地址所关联的域名的 DNS 查询。这这与更常用的正向 DNS 查找相反，后者是查询 DNS 系统来返回 IP 地址。

互联网工程任务组（IETF）提出了一些标准，建议每个域都应能够进行反向 DNS 查找，但由于反向查找对于 Internet 正常运作并不重要，因此这不是硬性要求。所以，反向 DNS 查找未得到普遍采用。

11.2、反向 DNS 查找有什么用途？

反向查找是电子邮件服务器极为常用的方法。许多电子邮件服务器会拒绝来自任何不支持反向查找的服务器的邮件。这是因为，垃圾邮件发送者通常使用无效的 IP，所以这些电子邮件服务器会先检查并查看邮件是否来自有效的服务器，然后再将其放入自己的网络中。

此外，日志记录软件通常也采用反向查找，以便在其日志数据中为用户提供人类可读的域名，而不是一堆数字 IP 地址。

11.3、反向 DNS 如何工作？

反向 DNS 查找向 DNS 服务器查询 PTR（指针）记录；如果服务器没有 PTR 记录，则无法解析反向查找。PTR 记录存储 IP 地址，将各段数字顺序颠倒，并在其后加上“.in-addr.arpa”。例如，如果域的 IP 地址为 192.0.2.1，则 PTR 记录会将该信息存储为 1.2.0.192.in-addr.arpa。