Linux DNS解析1--终端通过网关或者路由器进行域名解析的原理

原创 已于 2025-07-28 20:21:00 修改 · 405 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #DNS解析

于 2025-07-28 19:48:55 首次发布

问题:有一个网关设备,有一个终端连接网关设备的WIIF,终端设备的程序访问域名如何解析的?

在Linux系统中,确定DNS解析地址的方法有多种,以下是最常用的几种方式:

当终端设备(如手机、电脑)通过WiFi连接到网关设备,并访问域名时,域名解析流程通常如下:

一、基本解析流程

1. 终端设备发起请求

终端应用(如浏览器)向操作系统请求解析域名(例如 www.example.com)。

2. 终端本地缓存检查

终端首先检查本地DNS缓存(内存或硬盘),如果有记录则直接使用,否则继续下一步。

3. 网关设备DNS代理(如果配置)
  • 场景1:网关未配置DNS代理
    终端直接使用网关分配的DNS服务器(通常是网关自身IP或ISP提供的DNS)。
  • 场景2:网关配置了DNS代理(如Dnsmasq/Pi-hole)
    终端将DNS请求发送到网关,网关代理服务器处理请求:
    • 检查自身缓存
    • 按配置转发到上游DNS服务器(如Google DNS、运营商DNS)
4. 递归解析过程

如果网关代理未命中缓存,会向上游DNS服务器发起递归查询:

  1. 询问根域名服务器(.com)的地址
  2. 询问.com顶级域名服务器(example.com)的地址
  3. 询问权威域名服务器(example.com的管理服务器)获取 www.example.com 的IP地址
5. 结果返回与缓存
  • 解析结果逐级返回给网关代理
  • 网关代理缓存结果并返回给终端
  • 终端也缓存结果,以便后续快速访问

二、网关设备的配置影响

1. 网关作为DNS代理

如果网关配置了DNS代理服务(如Dnsmasq),流程如下:

终端 → 网关DNS代理 → 上游DNS服务器
  • 优点:可实现域名过滤、缓存加速、负载均衡
  • 配置示例
    • 网关IP:192.168.1.1
    • 终端WiFi设置中DNS服务器填:192.168.1.1
2. 网关转发DNS请求

如果网关未配置代理,只是转发请求:

终端 → 网关 → ISP的DNS服务器
  • 此时网关仅作为网络转发设备,不参与DNS解析逻辑
3. 自定义DNS服务器

用户可手动配置终端使用第三方DNS(如8.8.8.8):

终端 → 第三方DNS服务器
  • 注意:这种情况下网关无法控制或监控DNS流量

三、常见问题排查

1. 无法访问域名但能ping通IP
  • 可能原因:DNS解析失败
  • 排查方法:
    # 在终端上测试DNS
nslookup www.example.com  # 使用默认DNS
nslookup www.example.com 8.8.8.8  # 强制使用Google DNS
2. 解析结果异常(如访问到恶意网站)
  • 可能原因:
    • DNS缓存污染
    • 网关或ISP进行DNS劫持
    • 域名被恶意篡改
  • 排查方法:
    # 清除终端DNS缓存(不同系统命令不同)
# Windows: ipconfig /flushdns
# macOS: sudo dscacheutil -flushcache
# Linux: systemd-resolve --flush-caches
3. 网关DNS代理故障
  • 检查网关服务状态(如Dnsmasq是否运行)
  • 查看网关日志(通常在 /var/log/dnsmasq.log
  • 测试网关能否访问外网DNS服务器

四、优化建议

1. 启用网关DNS缓存

在网关配置DNS缓存服务(如Dnsmasq的 cache-size=10000),减少对外查询。

2. 配置多个上游DNS

避免单一DNS服务器故障,例如:

# Dnsmasq配置示例
server=8.8.8.8  # Google
server=1.1.1.1  # Cloudflare
server=223.5.5.5  # 阿里云
3. 使用DNS-over-HTTPS(DoH)

在网关层配置DoH客户端(如Cloudflared),加密DNS流量,防止劫持:

# 安装cloudflared
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -o cloudflared.deb
sudo dpkg -i cloudflared.deb

# 配置为系统服务
sudo cloudflared service install --upstream https://1.1.1.1/dns-query --upstream https://8.8.8.8/dns-query

五、安全考虑

  1. 防止DNS劫持:使用DoH或DNS-over-TLS(DoT)
  2. 域名过滤:在网关配置黑名单(如Pi-hole)
  3. 监控异常流量:分析DNS查询日志,检测恶意请求
  4. 定期更新DNS服务:修复已知漏洞

通过合理配置网关DNS服务,可以提高网络性能、增强安全性,并实现更精细的流量控制。

可以查看TCP UDP 53端口是否被监听
在这里插入图片描述
在这里插入图片描述

linux基础(六)----linux命令系统学习----网络操作命令
直到世界的尽头
12-09 1544
网络操作命令:ifconfig、ip、ping、netstat、telnet、ftp、route、rlogin、rcp、finger、mail、 nslookup; 因为Linux系统是在Internet上起源和发展的,它与生俱来拥有强大的网络功能和丰富的网络应用软件,尤其是TCP/IP网络协议的实现尤为成熟。 Linux的网络命令比较多,其中一些命令像ping、ftp、t
浅谈DNS劫持相关概念及原理
weixin_43692844的博客
08-22 1638
一、前言 DNS(Domain Name Server 或 Domain Name System):域名解析服务器; IP地址(Internet Protocol Address):互联网协议地址,例如:221.194.147.226(今日头条IP地址); 域名(Domain Name):是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的...
Linux DNS解析2 -- 网关DNS代理的作用
最新发布
Ray Home
07-28 214
摘要: 当网关设备仅配置了 /etc/hosts 文件但未运行 DNS 代理服务时,终端设备无法通过网关实现 DNS 解析。因为 /etc/hosts 仅对本地有效,网关需运行 Dnsmasq 等 DNS 服务监听 53 端口来处理请求。验证方法可用 dig 命令测试,若超时则说明无 DNS 服务。解决方案是在网关安装 Dnsmasq,默认配置即可读取 /etc/hosts 并提供 DNS 解析。仅配置 /etc/hosts 无法为终端提供域名解析,必须运行 DNS 代理服务。
解决虚拟机无法解析域名--
2503_90677513的博客
05-19 898
解决虚拟机 通过wifi允许接入虚拟机vm8的nat模式
Linux下的网络配置--ip 网关 dns
weixin_40172997的博客
11-05 2873
Linux下的网络配置 ip的基础知识 1、什么是IP ADDRESS internet protocol address          ##网络协议地址         IP地址就是给每个连接在互联网上的主机分配的一个32位地址。IP地址是IP网络中数据传输的依据,它标识了IP网络中的一个连接,一台主机可以有多个IP地址。IP分组中的IP地址在网络传输中是保持不变的。 ipv4  ...
2-7-搭建DNS服务器实现域名解析
aigao3209的博客
10-12 2708
学习服务的方法: 了解服务的作用:名称,功能,特点 安装服务 配置文件的位置,端口 服务开启和关闭的脚本 修改配置文件(实战举例) 排错(从上到下,从内到外) ---------------------------------------- 大纲: DNS服务器常见概念 DNS服务器安装及相关配置 实战:配置DNS服务器解析 实战:使用DNS支持递归查询. 实战:搭建DNS转发服务器...
【已解决 | kali换源后更新报错】从执行apt-get update报错111: 拒绝连接问题开始衍生出的四个问题 ?!
2301_76435948的博客
07-01 888
在kali中通过`vi /etc/apt/sources.list`添加阿里云镜像源后,`apt-get update`执行更新,出现报错:111: 拒绝连接。问题信息如下: 错误:1 https://mirrors.aliyun.com/kali kali-rolling InRelease 无法连接上 dl.google.com:443 (127.0.0.2)。 - connect (111: 拒绝连接)
(华为)网络工程师教程笔记(网工教程)网工入门——2、基本网络通信原理、ip地址配置、DHCP服务器配置(动态ip配置)、DNS域名系统配置(域名解析)、路由器网关配置(路由表配置,跨网段访问)
Dontla的博客
11-27 2965
参考文章:【全236集】网络工程师从基础入门到进阶必学教程!通俗易懂,2023最新版,学完即可就业!网工入门_华为认证_HCIA_HCIP_数据通信_网工学习路线 看到https://www.bilibili.com/video/BV1PV4y1y7e4/?p=9查看电脑网络信息:win+r,输入cmd,输入ipconfig(linux是ifconfig命令,前提是已安装)华为AR2220路由器: 示例: 同样的方法,打开AR2路由器终端,输入下面命令(使用简写方式) AR1上查看: AR2上查看:
[ Linux 命令基础 5 ] Linux 命令详解-网络管理命令
qq_51577576的博客
11-10 1199
[ Linux 命令基础 5 ] Linux 命令详解-网络管理命令 我们搞网络安全需要经常用到 linux 命令,比用拿到 linux 的 shell,需要使用 linux 命令。再比如 sh 脚本,我们经常需要使用。这里我将开始详细介绍一些常用的 linux 命令。本文讲解与网络管理相关的命令。
泷羽sec-linux基础-1(下)
weixin_44334319的博客
11-21 1173
声明!学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](在 Linux 系统中,几乎所有的资源都被抽象为文件,一切都是文件包括硬件设备(如硬盘、网卡等)、进程间通信、网络连接等。
Linux入门到精通-企业实战③CentOS系统管理①
华为奋斗者精神
11-03 1437
要学好 Linux,对网络协议也要有充分的了解和掌握,例如传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP),TCP/IP 名为网络通讯协议,是 Internet 最基本的协议、Internet 国际互联网络的基础,由网络层的IP 协议和传输层的 TCP 协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
Linux网络知识详解以及demo(Centos6、7)——OSI、TCP、UDP、IP、子网掩码/划分、网关、路由、广播、虚拟网络、网卡、交换机、DNS、ARP
Pert的博客
12-31 610
交换机:在一个网络中实现多台主机之间通讯一台交换机所连接的所有主机构成的网络称为局域网主机上要有相应的mac地址(物理地址),由12位16进制数组成。电脑买回来就有,不能修改谁发送的(本机mac地址)、发送给谁(对方mac地址)、data数据。发送过去后会有回复通讯的过程一定是有去有回的利用交换机进行通讯有时需要广播方式进行通讯在不知道是否存在的时候使用广播来进行快速确认广播的产生有时会影响主机性能,需要不同的主机对广播进行确认是否在找自己路由器:实现不同局域网主机之间的通讯。
Linux---------安装以及基本语法知识
夜如花
02-26 1653
Linux简介 2.1.1.1 UNIX与Linux发展史 Unix在1969年,美国贝尔实验室的肯汤普森在DEC PDP-7机器上开发出了UNIX系统。 Linux出现于1991年,是由芬兰赫尔辛基大学学生李纳斯·托瓦兹(Linus Torvalds)和后来加入的众多爱好者共同开发完成 。 2.1.1.2 Linux介绍 Linux是一种自由和开放源码的操作系统,存在着许多不同的Linux发行版...
掌握查看网关DNS服务器IP的方法
DNS服务器则负责解析域名到IP地址,使得用户可以通过域名而非复杂的IP地址访问互联网资源。 ### 网关IP地址的查看方法: 在不同的操作系统中,查看网关IP的方法会有所不同。 #### Windows系统: 1. **命令提示...
Linux随记(二十一)
Nightwish5的博客
07-26 340
参考:https://blog.youkuaiyun.com/zsb706496992/article/details/144722449。参考:https://zhuanlan.zhihu.com/p/711713588 《Tomcat 小版本升级》
5.Linux ssh远程登录配置及sftp,scp命令
xie52的博客
07-28 295
客户端发送公钥,服务器匹配然后把公钥发送回客户端,客户端再用密钥算法加密发送给服务器服务器解密匹配后完成会话。:先本地文件 → 后远程路径。:先远程文件 → 后本地路径。
2.Linux 网络配置
xie52的博客
07-25 588
将ens33网卡ip地址修改为192.168.100.20,网关设置为192.168.100.254,dns设置为114.114.114.114 ipv4设置为手动配置,自动连接。如果目标是网络:route add -net 目标网络 netmask 网络掩码 gw 网关地址 dev 接口。如果目标是主机:route add -host 目标主机的IP地址 gw 网关地址 dev 接口。如果目标是一个网段,那么可以有网关,也可以没有网关。查看ip转发是否开启,如果开启则结果为1,反之为0。
Linux 下在线安装启动VNC
Tongyao
07-24 189
本文介绍了在CentOS 7系统下在线安装VNC的步骤。主要内容包括:1)使用yum安装tigervnc-server;2)通过vncpasswd命令设置VNC密码;3)启动和停止VNC服务的方法;4)安装GNOME桌面环境以避免黑屏问题。文章提供了完整的命令行操作指南,包括服务管理、端口配置和临时文件清理等实用技巧,适合需要远程桌面功能的Linux用户参考。
Linux deb程序包下载、解压、打包与安装
视觉算法小趴菜的博客
07-24 196
本文介绍了deb程序包的基本操作流程:1)使用apt-get download命令下载deb包;2)通过dpkg-deb -R命令解压deb包到指定目录;3)使用dpkg-deb --build命令将修改后的程序文件夹重新打包为deb文件,需确保包含DEBIAN/control等必要文件;4)最后通过dpkg -i命令安装deb程序包。文章以UOS系统下的dde-control-center为例,详细说明了各步骤的具体操作方法和注意事项,为Linux系统下的deb包管理提供了实用指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ray Song

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值