Linux CentOS7 服务：DNS

最新推荐文章于 2024-12-26 15:35:26 发布

原创最新推荐文章于 2024-12-26 15:35:26 发布 · 467 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#linux

Linux 专栏收录该内容

19 篇文章

订阅专栏

本文介绍了DNS服务的基础概念，包括其在网络中的作用、域名解析流程、服务器类型及配置方法。详细解释了DNS的正向与反向解析过程，以及常用的资源记录类型。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. DNS 服务概述

概述：

DNS(Domain Name System)域名系统，在 TCP/IP 网络中有非常重要的地位，能够提供域名与 IP 地址的解析服务，而不用去记住能够被机器直接读取的 IP。通过域名，最终得到该域名对应的 IP 地址的过程叫做域名解析(或主机名解析)。DNS 协议运行在 UDP 协议之上，使用端口号 53。

DNS 是一个分布式数据库，命名系统采用层次的逻辑结构，如同一棵倒置的树，这个逻辑的树形结构称为域名空间，由于 DNS 划分了域名空间，所以各机构可以使用自己的域名空间创建 DNS 信息。

域和域名：

域：

DNS 树的每个节点代表一个域，通过这些节点，对整个域名空间进行划分，成为一个层次结构。域名空间的每个域的名字，通过域名进行表示。

域名：

通常由一个完全合栺域名(FQDN)标识。FQDN 能准确表示出其相对于 DNS 域树根的位置，也就是节点到 DNS 树根的完整表述方式，从节点到树根采用反向书写，并将每个节点用 "." 分隔，对于 DNS 域 google 来说，其完全正式域名(FQDN)为 google.com。域名不区分大小，由最顶层到下层，可以分成：根域、顶级域、二级域、子域。

Internet 域名空间的最顶层是根域(root），其记彔着 Internet 的重要 DNS 信息，由 Internet 域名注册授权机构管理，该机构把域名空间各部分的管理责任分配给连接到 Internet 的各个组织，"." 全球有 13 个根(root)服务器。DNS 根域下面是顶级域，也由Internet 域名注册授权机构管理。共有 3 种类型的顶级域。

组织域：采用 3 个字符的代号，表示 DNS 域中所包含的组织的主要功能或活动。比如 com 为商业机构组织，edu 为教育机构组织，gov 为政府机构组织，mil 为军事机构组织，net 为网络机构组织， org 为非营利机构组织，int 为国际机构组织。

地址域：采用两个字符的国家或地区代号。如 cn 为中国，kr 为韩国，us 为美国。

反向域：这是个特殊域，名字为 in-addr.arpa，用于将 IP 地址映射到名字(反向查询)。

区(Zone)：

区是 DNS 名称空间的一部分，其包含了一组存储在 DNS 服务器上的资源记彔。使用区的概念，DNS 服务器回答关于自己区中主机的查询，每个区都有自己的授权服务器。

主域名服务器和辅助域名服务器：

作用：

当本区的辅助服务器启动时，它与该区的主控服务器进行连接并启动一次区传输，区辅助服务器定期与区主控服务器通信，查看区数据是否改变。如果改变了，它就启动一次数据更新传输。

每个区必须有主服务器，另外每个区至少要有一台辅助服务器，否则如果该区的主服务器崩溃了，就无法解析该区的名称。

辅助服务器的优点：

（1）容错能力

配置辅助服务器后，在该区主服务器崩溃的情况下，客户机仍能解析该区的名称。一般把区的主服务器和区的辅助服务器安装在不同子网上，这样如果到一个子网的连接中断，DNS 客户机还能直接查询另一个子网上的名称服务器。

（2）减少广域链路的通信量

如果某个区在远程有大量客户机，用户就可以在远程添加该区的辅助服务器，并把远程的客户机配置成先查询这些服务器，这样就能防止远程客户机通过慢速链路通信来进行 DNS 查询。

（3）减少主服务器的负载

辅助服务器能回答该区的查询，从而减少该区主服务器必须回答的查询数。

DNS 相关的概念：

（1）DNS 服务器

运行 DNS 服务器程序的计算机，储存 DNS 数据库信息。DNS 服务器会尝试解析客户机的查询请求。在解答查询时，如果 DNS 服务器能提供所请求的信息，就直接回应解析结果，如果该 DNS 服务器没有相应的域名信息，则为客户机提供另一个能帮助解析查询的服务器地址，如果以上两种方法均失败，则回应客户机没有所请求的信息或请求的信息不存在。

（2）DNS 缓存

DNS 服务器在解析客户机请求时，如果本地没有该 DNS 信息，则可以会询问其他 DNS 服务器，当其他域名服务器返回查询结果时，该 DNS 服务器会将结果记录在本地的缓存中，成为 DNS 缓存。当下一次客户机提交相同请求时，DNS 服务器能够直接使用缓存中的 DNS 信息进行解析。

DNS 查询方式：

递归查询：

递归查询是一种 DNS 服务器的查询模式，在该模式下 DNS 服务器接收到客户机请求，必须使用一个准确的查询结果回复客户机。如果 DNS 服务器本地没有存储查询 DNS 信息，那么该服务器会询问其他服务器，并将返回的查询结果提交给客户机。

迭代查询：

DNS 服务器另外一种查询方式为迭代查询，当客户机发送查询请求时，DNS 服务器并不直接回复查询结果，而是告诉客户机另一台 DNS 服务器地址，客户机再向返台 DNS 服务器提交请求，依次循环直到返回查询的结果为止。

查询过程：

（1）客户机提交域名解析请求，并将该请求发送给本地的域名服务器。

（2）当本地的域名服务器收到请求后，就先查询本地的缓存。如果有查询的 DNS 信息记录，则直接返回查询的结果。如果没有该记录，本地域名服务器就把请求发给根域名服务器。

（3）根域名服务器再返回给本地域名服务器一个所查询域的顶级域名服务器的地址。

（4）本地服务器再向返回的域名服务器发送请求。

（5）接收到该查询请求的域名服务器查询其缓存和记录，如果有相关信息则返回客户机查询结果，否则通知客户机下级的域名服务器的地址。

（6）本地域名服务器将查询请求发送给返回的 DNS 服务器。

（7）域名服务器返回本地服务器查询结果(如果该域名服务器不包含查询的 DNS 信息，查询过程将重复（6）和（7）步，直到返回解析信息或解析失败的回应)。

正向解析和反向解析：

正向解析：域名到 IP 地址的解析过程。

反向解析：IP 地址到域名的解析过程。

DNS 资源记录：

（1）SOA 资源记录

每个区在区的开始处都包含了一个起始授权记录(Start of Authority Record)，简称 SOA 记录。SOA 定义了域的全局参数，进行整个域的管理设置。一个区域文件只允讲存在唯一的 SOA 记录。

（2）NS 资源记录

NS(Name Server)记录是域名服务器记录，用来指定该域名由哪个 DNS 服务器来进行解析。每个区在区根处至少包含一个 NS 记录。

（3）A 资源记录

地址(A)资源记录把 FQDN 映射到 IP 地址。因为有此记录，所以 DNS 服务器能解析 FQDN 域名对应的 IP 地址。

（4）PTR 资源记录

相对于 A 资源记录，指针(PTR)记录把 IP 地址映射到 FQDN。用于反向查询，通过 IP 地址，找到域名。

（5）CNAME 资源记录

别名记录(CNAME)资源记录创建特定 FQDN 的别名。用户可以使用 CNAME 记录来隐藏用户网络的实现细节，使连接的客户机无法知道真正的域名。

（6）MX 资源记录

邮件交换(MX)资源记录，为 DNS 域名指定邮件交换服务器，邮件交换服务器是为 DNS 域名处理或转发邮件的主机。处理邮件指把邮件投递到目的地或转交另一不同类型的邮件传送者。转发邮件指把邮件发送到最终目的服务器，用简单邮件传输协议 SMTP 把邮件发送给离最终目的地最近的邮件交换服务器，或使邮件经过一定时间的排队。

2. DNS 服务器安装及相关配置文件

安装 DNS：

yum –y install bind：DNS 的主程序包

yum –y install bind-chroot：提高安全性

yum –y install bind-utils：客户端工具

/etc/named.conf：BIND 的核心配置文件，包含了 BIND 的基本配置，但不包括区域数据

/etc/named.rfc1912.zones：DNS 区域文件，指定正反向数据文件

/var/named/：该目录为 DNS 数据库存放目录，每一个域文件都存放在这里

启动 DNS 服务：

systemctl start named：启动 DNS 服务

使用 DNS 服务：

配置文件详解：

# option 语句用来定义全局配置选项，在全局配置中至少需要定义一个工作路径
options {
        # 一般设置为所有 any，监听 IPV4 网络接口(DNS 服务器对外用哪个 IP 提供服务) 
        listen-on port 53 { 127.0.0.1; };
        listen-on-v6 port 53 { ::1; };
        # 设置域名服务的工作目录，默认为/var/named
        directory       "/var/named";
        # 运行 rndc dumpdb 备份缓存资料后保存的文件路径与名称
        dump-file       "/var/named/data/cache_dump.db";
        # 运行 rndc stats 后，统计信息的保存路径与名称
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        recursing-file  "/var/named/data/named.recursing";
        secroots-file   "/var/named/data/named.secroots";
        # 允许哪些客户端进行 DNS 查询
        allow-query     { localhost; };

        /* 
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable 
           recursion. 
         - If your recursive DNS server has a public IP address, you MUST enable access 
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification 
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface 
        */
        # 是否允许递归查询
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};