域名的概念與機制

1、域名的概念與機制RFC1034、1035介紹2013-8-30技術研發(fā)中心1 DNS背景介紹2 域名空間和資源記錄(DNS and RR)3 域名服務器(NS)4 解析器(Resolver)5 常用結構域名的歷史主機名與IP地址映射需求nIP地址難于記憶n能否用便于記憶的名字來映射IP地址？域名的歷史Hosts文件nHosts文件記錄了主機名和IP地址的映射信息n由NIC(Network Information Center)負責維護HOSTS.TXTDNS（Domain Name System）DNS系統(tǒng)的作用n提供了主機名和IP地址間的轉(zhuǎn)換DNS系統(tǒng)的模式n采用C/S結構DNS系統(tǒng)的結構n

2、具有樹狀結構的，聯(lián)機分布式數(shù)據(jù)庫系統(tǒng)基于使用的一些假設n數(shù)據(jù)庫的初始大小和使用系統(tǒng)的主機成正比，但最終會和用戶的數(shù)目成正比n大部分的數(shù)據(jù)改變比較慢，但是系統(tǒng)能夠處理一些快速變化的子集n由相應的組織負責分布式數(shù)據(jù)庫的維護n由于數(shù)據(jù)十分敏感且重要，一定要保證正確性n查詢時要避免循環(huán)查詢n域名系統(tǒng)假設所有的數(shù)據(jù)是在一個主文件中保存，這個主文件的內(nèi)容分布存儲于系統(tǒng)中的各臺主機上，用戶通過標準的查詢程序Resolover查詢基于使用的一些假設系統(tǒng)管理員需要提供：n區(qū)域（Zone）邊界定義n主文件數(shù)據(jù)n主文件更新n更新策略描述域名系統(tǒng)需要提供n源數(shù)據(jù)的標準格式n查詢數(shù)據(jù)庫的標準方法n從其他服務器上更新數(shù)據(jù)

3、的標準方式DNS組成域名空間和資源記錄(Domain Name Space and Resource Records)n域名空間是一個樹狀結構，資源記錄是與名字相關的一些數(shù)據(jù)域名服務器(Name Servers)n保存域名樹結構和相應的信息，可以緩沖各種數(shù)據(jù)，保存域名樹中的任何部分解析器(Resolvers)n向域名服務器提出查詢請求并將結果返回給客戶的程序1 DNS背景介紹2 域名空間和資源記錄(DNS and RR)3 域名服務器(NS)4 解析器(Resolver)5 常用結構定義和名詞n 域是因特網(wǎng)中一種管理范圍的劃分n頂級域、二級域、三級域（子域）等n DNS域名結構是包括多級域名的

4、分層架構n頂級域名、二級域名、三級域名（子域名）等n 不同等級的域名之間使用點號分隔，級別最低的域名寫在最左邊n 每一級的域名都由字母和數(shù)字組成，不區(qū)分大小寫n 域名的根域用”.”表示，以點號結尾的域名稱為絕對域名定義和名詞域名命名規(guī)則 := | := | . := := | := | - := | n := az、AZn := 09例如： A.ISI.EDU XX.LCS.MIT.EDU SRI-NIC.ARPARR定義RR定義owner擁有此RR的域名type16位值，指定RR內(nèi)的資源類型，抽象資源A主機地址CNAME別名的統(tǒng)一命名HINFO主機使用的CPU和OSMX用于域的郵件交換資源N

5、S權威認證名字服務器PTR指向其他域名空間的指針SOA標記區(qū)認證權威的開始RR 定義class16位值，標記協(xié)議族或某一個協(xié)議實例IN：Internet系統(tǒng)，CH：Chaos系統(tǒng)TTLRR的生存時間，32位整數(shù)，單位是秒，用于Resolver緩存RR多長時間RDLENGTH16位值，RDATA的長度RDATA一種類型，有時是依賴于數(shù)據(jù)的類，長度可變A對于class是IN的，它是一個32位IP地址對于CH，它是后面跟一個16位八進制Chaos地址的域名CNAME域名MX一個域的郵件服務資源的主機名，主機名后有一個16位的配置值NS主機名PTR域名SOA一些域RR的文本表示Master Files

6、n 主文件：包含RR信息的文本文件。常以RR的列表的形式來定義區(qū)n 格式$ORIGIN $INCLUDE Master Files當主文件用于定義區(qū)時，需要注意：1、文件中的所有RR必須含有相同的類2、區(qū)頂點必須是一個SOA RR3、如果存在授權同時又要求有glue信息，則glue信息必須存在4、區(qū)中權威節(jié)點以外的信息必須是glue信息主名和別名n 現(xiàn)存的系統(tǒng)中有時會對相同的資源有不同的命名n主機、郵箱n 指定其中一個為統(tǒng)一命名（主名），其余的為別名n 域名系統(tǒng)提供使用統(tǒng)一命名的機制（CNAME RR）nCNAME RR中owner為別名，RDATA部分為統(tǒng)一命名n如果一個節(jié)點存在CNAME

7、RR，不應該有其他的數(shù)據(jù)RDATA-CNAME CNAME不會處理Additional段，但是NS可能會重新發(fā)起一個針對主名的查詢RDATA-MXMXPREFERENCE: 16位值，相同域名下RR的優(yōu)先級，數(shù)值越小，優(yōu)先級越高EXCHANGE：域名，指定可以充當郵件交換系統(tǒng)的主機Additional段為EXCHANGE指定主機的地址RDATA-NS NSNSDNAME：指定類和域的權威認證的主機NS記錄中可以利用Additional段內(nèi)容來查找A記錄，或者作為參照使用時，發(fā)起一個屬于glue信息的區(qū)的查找RDATA-PTRPTRPTRDNAME：指向域名空間某一位置的域名與CNAME類型，不

8、需要處理Additional段RDATA-SOASOARDATA-AAADDRESS：32位網(wǎng)絡地址（2 or ）不需要處理Additional段。查詢n 查詢：發(fā)向NS并要求響應的一個請求n以UDP或TCP形式進行傳輸n響應可以是查詢結果、另一個NS地址或者錯誤信息n請求和響應有標準格式n 主要使用的有標準查詢、反向查詢（可選）n 查詢信息的格式Header報文頭，必須存在，定義報文是請求還是應答、報文頭，必須存在，定義報文是請求還是應答、查詢類型，其他段是否需要存在等查詢類型，其他段是否需要存在等Question包括查詢名和其它參數(shù)Answer包括查詢結果

9、的RRAuthority包括一個RR，RR包含另一個NSAdditional包括一些在其他部分使用RR時會有用的信息查詢Header標準查詢標準查詢格式：nQNAMEnQTYPEn任意一種type類型nAXFR進行整個區(qū)傳輸?shù)恼埱髇MAILB郵箱相關記錄的請求n*所有記錄nQCLASSn 任意一種class類型n*任意一種class標準查詢QNAME=ISI.EDU，QTYPE=MX，QCLASS=INResponse：Answer section：Additional section：反向查詢（可選）域字服務器反映資源和域名之間的映射關系標準查詢：將域名映射到SOA RR反向查詢：映射SOA

10、 RR到域名n主要用于調(diào)試以及和數(shù)據(jù)庫支持相關的活動n不返回正確的TTLn查詢結果不進行緩存n映射主機地址到主機名時，要用IN-ADDR.ARPA域反向查詢（可選）IN-ADDR.ARPA域逆向解析域（ IN-ADDR.ARPA ）：實現(xiàn)逆向域名解析與反向查詢的區(qū)別：該域名空間是根據(jù)基于地址的結果，因此可以保證查找到正確的數(shù)據(jù)而不用遍歷整個域名樹域名：除IN-ADDR.ARPA后綴外，最多有4個標簽 對于指定的主機或網(wǎng)關，IN-ADDR.ARPA域和普通的域可能在不同的zone中，兩者的數(shù)據(jù)有可能不相同網(wǎng)關在不同域中的名字可能不同，只有一個是主名系統(tǒng)利用域數(shù)據(jù)庫進行路由的初始化時必須有足夠的網(wǎng)

11、關信息以保證可以訪問到正確的NS例：70 18.1 DNS背景介紹2 域名空間和資源記錄(DNS and RR)3 域名服務器(NS)4 解析器(Resolver)5 常用結構域名服務器（NS）n NS用于存儲構成域名數(shù)據(jù)庫的信息n NS的最基本工作是響應查詢n NS的數(shù)據(jù)被分成很多部分，稱為區(qū)（Zone）：n一個給定的區(qū)可以根據(jù)不同的NS來保證其有效性n給定的NS通常支持一個或多個區(qū)n區(qū)的劃分方式有2種：class、cutn所有的區(qū)至少有一個節(jié)點，域名和所有特定區(qū)內(nèi)的節(jié)點都是相連的n利用樹形結構最靠近根的節(jié)點來標記一個區(qū)

12、區(qū)（Zone）區(qū)的數(shù)據(jù)包含4個主要部分n區(qū)中所有節(jié)點的認證數(shù)據(jù)n定義區(qū)內(nèi)頂節(jié)點的數(shù)據(jù)nNS RRnSOA RRn描述代表子區(qū)的數(shù)據(jù)n訪問服務器子區(qū)的數(shù)據(jù)（glue數(shù)據(jù)）所有這些數(shù)據(jù)都以RR的形式表示，所有區(qū)可以用RR集的形式描述區(qū)的維護和傳輸n區(qū)管理員的部分工作就是維護所有服務器上的區(qū)數(shù)據(jù)，當必須修改時，修改需要通知到所有的NS。n通常的自動更新模式是一個服務器是區(qū)的主服務器，管理員對區(qū)內(nèi)的域名文件（master file）進行修改，修改后管理員通知主服務器裝載新的數(shù)據(jù)，其它的非主服務器定期和主服務器進行同步。n為了知道是否發(fā)生了修改，非主服務器必須檢查SOA的SERIAL域，只要有改變，SE

13、RIAL域就會改變。n當查詢后知道區(qū)內(nèi)的數(shù)據(jù)已經(jīng)改變，非主服務器必須通過AXFR請求請求主服務器傳送區(qū)數(shù)據(jù)。AXFR可能會被拒絕而產(chǎn)生錯誤，但是通常情況下會得到一系列響應信息。查詢和響應服務器的響應取決于是否支持遞歸查詢n遞歸查詢（ Recursive ）n 查詢方只送出一個查詢， 由NS完成其它所需的查詢后響應n 返回本地信息或者錯誤碼n 使用遞歸需要客戶端、服務器雙方都支持n非遞歸查詢（Non-Recursive or Iterator）n每一個查詢直接給予指示性的響應， 由使用者端再進行后續(xù)的查詢n返回本地信息或鄰近NS的地址或者錯誤碼NS算法n Step 1：是否支持遞歸查詢，如果支持

14、，轉(zhuǎn)Step 5；n Step 2：查詢最靠近QNAME ancestor的節(jié)點所在的區(qū)，如未找到，轉(zhuǎn)Step 4；n Step 3：在區(qū)內(nèi)從上到下進行匹配，匹配結束的條件有以下幾個：n 如果整個QNAME匹配，就找到了。n 如果數(shù)據(jù)為CNAME，QTYPE不匹配CNAME，復制CNAME RR到answer段，QNAME變?yōu)镃NAME RR的統(tǒng)一命名，轉(zhuǎn)Step 1；否則復制所有匹配QTYPE的RR到answer段，轉(zhuǎn)Step 6n 獲得一個參照（referral），復制NS RR到authority段，其他段隨便放上什么地址或者關聯(lián)RR，轉(zhuǎn)Step 4n 不可能匹配時，查看是否存在”*”。

15、如果不存在，響應中設置錯誤并退出；否則，以RR和QTYPE匹配，匹配成功，復制到answer段，將RR的owner設為QNAME，轉(zhuǎn)Step 6NS算法n Step 4：在cache中進行匹配，如果找到QNAME，復制所有匹配QTYPE的RR到answer段，如果沒有從認證權威來的授權，在cache中找最好的復制到authority段，轉(zhuǎn)Step 6；n Step 5：使用本地resolver響應請求。保存中間CNAME在內(nèi)的結果到answer段到應答中；n Step 6：僅使用本地數(shù)據(jù)，并試著加入其它可能有用的RR到查詢的additional段，然后退出。通配符（Wildcards）n Wi

16、ldcards：以”*”作為域名開頭的RRn 查詢結果不能緩存n 不適用于以下情況：n查詢是在別的區(qū)中n如果區(qū)中已經(jīng)存在了它代表的某個域例如：Wildcard RR有”*.X”，如果區(qū)中已經(jīng)包含了B.X，則*.X不代表B.X、A.B.X或X，而只能代表Z.X否定響應緩沖（可選）n 否定響應緩沖：服務器返回一個否定響應和一個TTL，Resolver可以認為在TTL的時間之內(nèi)相同的查詢都會獲得否定響應。n 實現(xiàn)的方法是當數(shù)據(jù)是被認證時服務器加入一個SOA RR到響應的附加區(qū)域。1 DNS背景介紹2 域名空間和資源記錄(DNS and RR)3 域名服務器(NS)4 解析器(Resolver)5 常

17、用結構解析器（Resolver）n Resolver：通常以函數(shù)庫的方式嵌在操作系統(tǒng)中，負責接收各類應用程序的DNS查詢請求，并把請求轉(zhuǎn)發(fā)給域名服務器。解析器與域名服務器之間存在兩種工作方式，遞歸式和非遞歸式。且域名服務器之間使用的也是這兩種工作方式。n 典型函數(shù)：n主機名到主機地址的解析n主機地址到主機名的解析n常用查詢功能解析器（Resolver）n Resolver的實現(xiàn)步驟：n將用戶請求轉(zhuǎn)化為查詢報文n發(fā)送查詢n盡可能地使查詢得到解答n查詢時間盡可能地短n避免過度的查詢n處理應答n解析應答數(shù)據(jù)n匹配應答數(shù)據(jù)和查詢Resolver的資源 Resolver可以訪問本地服務器保存的區(qū)數(shù)據(jù)；本

18、地信息指緩沖和共享區(qū)數(shù)據(jù)，在有認證數(shù)據(jù)和緩沖數(shù)據(jù)時應該優(yōu)先使用認證數(shù)據(jù)SNAME要查詢的域名要查詢的域名STYPE查詢請求的QTYPESCLASS查詢請求的QCLASSSLIST表示正在查詢的域名服務器和區(qū)，它保存Resolver的預測，預測希望查詢的數(shù)據(jù)在什么地方，通過接收的數(shù)據(jù)，此結構內(nèi)的數(shù)據(jù)會發(fā)生變化。它包括服務器地址，區(qū)內(nèi)已知的服務器，歷史記錄，以及表示查詢距離目標還有多遠的標記（查詢從樹頂開始向下，直到目標）SBELT用于Resolver無法從本地信息知道應該查詢哪個服務器時CACHE保存前一次響應的結果，因為Resolver會拋棄達到TTL時間的RR，所有大部分Resolver實現(xiàn)將接收到RR的時間轉(zhuǎn)換為絕對時間，然后保存在緩沖中，Resolver可在查詢