地址(A, AAAA)和名稱服務(wù)器記錄

• DNS中最重要的記錄是地址(A, AAAA)和名稱服務(wù)器(NS)記錄。A記錄包含32位的IPv4地址, AAAA (稱為“四A”)記錄包含IPv6地址。NS記錄包含授權(quán)DNS服務(wù)器的名稱, 該服務(wù)器包含一個(gè)特定區(qū)域的信息。因?yàn)閱为?dú)的DNS服務(wù)器的名稱不足以執(zhí)行一個(gè)查詢, 所以這些服務(wù)器的IP地址通常也作為DNS響應(yīng)中額外信息區(qū)段中所謂的膠紀(jì)錄(glue record)。
• 工具dig, 我們可以看到A、 AAAA和NS記錄的結(jié)構(gòu)。
• Windows和Linux/基于UNIX的系統(tǒng)中都可以使用的nsIookup程序提供了一種基本的方式來(lái)為特定數(shù)據(jù)查詢DNS。

規(guī)范名稱(CNAME)記錄

• CNAME記錄代表規(guī)范名稱( canonical name)的記錄, 并用于將單一域名的別名引入到DNS命名系統(tǒng)中?，F(xiàn)在普遍的做法是使用CNAME記錄來(lái)建立公共服務(wù)的別名。在一個(gè)CNAME RR中, RDATA區(qū)段包含與該域名相關(guān)的“規(guī)范名稱” (別名)。

逆向DNS查詢: PTR (指針)記錄

• PTR RR類型用于響應(yīng)逆向DNS查詢, 當(dāng)將一個(gè)IP地址轉(zhuǎn)換為其名稱時(shí), 它通常是很必要的。它以一種特殊的方式使用了特殊的in-addr.arpa ( IPv6中為ip6.axpa)域。
• 通過(guò)逆轉(zhuǎn)點(diǎn)分十進(jìn)制IPv4地址, 將其看作是一個(gè)DNS名稱, 我們可以使用DNS來(lái)執(zhí)行從IP地址到名稱的映射。因此名稱81.131.229.169實(shí)際上是IPv4地址169.229.131.81的逆轉(zhuǎn)。對(duì)于IPv6來(lái)說(shuō), 方案是相似的, 但是任何不顯示的0被展開, 每個(gè)十六進(jìn)制數(shù)字變成一個(gè)字符。例如, 2001:503:a83e::2:30的逆轉(zhuǎn)是：0.3.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.3.8.a.3.0.5.1.0.0.2。
• 特殊的 .in-addr.arpa域(適用于IPv4)和 .ip6.arpa (適用于IPv6)用于將支持這些類型名稱和逆向DNS查找的PTR ( “指針” ) RR連接起來(lái)：81.131.229.169.in-addr.arpa.

權(quán)威(SOA)記錄

• 在DNS中, 每個(gè)區(qū)域有一個(gè)授權(quán)記錄, 使用稱為授權(quán)啟動(dòng)(SOA)的RR類型。這些記錄提供部分DNS名稱空間和服務(wù)器之間的授權(quán)聯(lián)系, 該服務(wù)器允許對(duì)地址和其他信息進(jìn)行查詢以提供區(qū)域信息。SOA RR用于識(shí)別主機(jī)的名稱, 提供官方永久性數(shù)據(jù)庫(kù)、負(fù)責(zé)方的e-mail地址( “.”用來(lái)代替@)、區(qū)域更新參數(shù)和默認(rèn)TTL。
• 區(qū)域更新參數(shù)包括一個(gè)序列號(hào)、更新時(shí)間、重試時(shí)間和終止時(shí)間。每當(dāng)要改變區(qū)域內(nèi)容時(shí), 序列號(hào)Serial通常由網(wǎng)絡(luò)管理員增加(至少1 )。輔助服務(wù)器使用它來(lái)確定是否應(yīng)該啟動(dòng)區(qū)域傳輸(當(dāng)它們沒有序列號(hào)最大的區(qū)域內(nèi)容的副本時(shí))。更新時(shí)間refresh告訴輔助服務(wù)器, 在從主服務(wù)器檢查SOA記錄之前需要等待的時(shí)間以及它的版本號(hào), 以確定是否需要區(qū)域傳輸。重試時(shí)間和終止時(shí)間是在區(qū)域傳輸失敗的情況下使用的。重試時(shí)間retry值給出輔助服務(wù)器重試前需要等待的時(shí)間(秒)。終止時(shí)間expire是輔助服務(wù)器在放棄之前保持重試區(qū)域傳輸?shù)纳舷?秒)。

郵件交換(MX)記錄

• MX記錄提供了郵件交換器(mail exchanger)的名稱, 郵件交換器為在簡(jiǎn)單郵件傳輸協(xié)議(SMTP) 中愿意代表與域名相關(guān)的用戶接收傳入電子郵件的主機(jī)。
• 即使真實(shí)目的地不可用, 也允許發(fā)送方主機(jī)將電子郵件交付給中介( “中繼服務(wù)器”)。現(xiàn)在MX記錄仍然在使用, 郵件代理更愿意將電子郵件交付給MC記錄中列出的與特定域名相關(guān)的主機(jī)。MX記錄包括優(yōu)先級(jí)(preference)值, 因此對(duì)于一個(gè)特定的域名, 多個(gè)MX記錄可以同時(shí)出現(xiàn)。優(yōu)先級(jí)值允許發(fā)送代理按優(yōu)先順序(較小的是更可取的)排序主機(jī), 以決定哪個(gè)主機(jī)用作電子郵件的目的地。例如, 我們可以再次使用host命令查詢DNS中與域名http://cs.ucla.edu相關(guān)的MX記錄：host -t MX http://cs.ucla.edu http://ns3.dns.ucla.edu

打擊垃坡郵件: 發(fā)送方策略框架(SPF)和文本(TXT)記錄

選項(xiàng)(OPT)偽記錄

• 同EDNSO也定義了特殊的OPT偽RR。就某種意義而言, 它是“假的”, 它僅適用于單一DNS消息的內(nèi)容, 而且不是常見的DNS RR數(shù)據(jù)。因此, OPT RR不被緩存、轉(zhuǎn)發(fā)或持續(xù)存儲(chǔ), 它們可能在DNS消息中只出現(xiàn)一次(或不出現(xiàn))。

動(dòng)態(tài)更新(DNS UPDATE)

• 動(dòng)態(tài)更新一個(gè)區(qū)域是可能的, 這被稱為DNS UPDATE, 它支持指定先決條件(prerequisite)和更新請(qǐng)求。先決條件在服務(wù)器中評(píng)估; 如果它們不為真, 更新不執(zhí)行, 并返回一個(gè)錯(cuò)誤消息。
• 通過(guò)向一個(gè)區(qū)域的授權(quán)DNS服務(wù)器發(fā)送動(dòng)態(tài)更新的DNS消息, DNS UPDATE就可以完成。此類消息的結(jié)構(gòu)和傳統(tǒng)的DNS信息是一樣的, 只不過(guò)頭部字段和區(qū)段有不同的名稱。區(qū)段說(shuō)明了正在更新的區(qū)域、需要不同的RR存在(或不存在)以便讓更新發(fā)揮作用的先決條件, 以及更新信息。
• 頭部字段ZOCOUNT、 PRCOUNT、 UPCOUNT和ADCOUNT包含以下計(jì)數(shù)：要被更新的區(qū)域(值將為1 ), 要考慮的先決條件, 要做出的更新和額外的信息記錄。
• 更新消息的區(qū)域區(qū)段說(shuō)明了該區(qū)域的名稱、類型和類。類型值是6, 表明SOA記錄的存在, 用于識(shí)別該區(qū)域。類值是1 (互聯(lián)網(wǎng)), 表明我們關(guān)心的任意更新消息。正被更新的所有記錄必須在相同的區(qū)域中。
• 更新消息的先決條件區(qū)段包含一個(gè)或多個(gè)先決條件, 它使用我們先前RR的格式來(lái)描述。

• 先決條件區(qū)段的后面是Update區(qū)段, 它包含要從區(qū)域區(qū)段中指定的區(qū)域中添加或刪除的RR

• 更新區(qū)段包含被處理的RR的集合, 假如沒有遇到由于先決條件或服務(wù)器問題造成的錯(cuò)誤。每個(gè)RR編碼增加或刪除操作。修改可以通過(guò)先刪除隨后添加來(lái)執(zhí)行。

區(qū)域傳輸和DNS通知

• 區(qū)域傳輸用于從一個(gè)服務(wù)器到另一個(gè)服務(wù)器復(fù)制一個(gè)區(qū)域的一組RR (通常是從主服務(wù)器向從服務(wù)器)。這樣做的目的是保持多臺(tái)服務(wù)器的區(qū)域內(nèi)容同步。
• 區(qū)域傳輸在輪詢(polling)后開啟, 在輪詢中, 從服務(wù)器周期性地聯(lián)系主服務(wù)器, 通過(guò)比較區(qū)域的版本號(hào)以查看區(qū)域傳輸是否為必要的。如果需要開啟區(qū)域傳輸, 當(dāng)區(qū)域內(nèi)容改變時(shí)使用異步更新機(jī)制。這被稱為DNS NOTIFY。 一旦啟動(dòng)區(qū)域傳輸, 或是傳輸整個(gè)區(qū)域(使用DNS AXFR 消息) , 或是選擇使用增量區(qū)域傳輸( incremental zone transfer) (使用DNS IXFR的消息) 。一般方案根據(jù)圖所示進(jìn)行:

完整區(qū)域傳輸(AXFR消息)

• 完整區(qū)域傳輸由區(qū)域的SOA記錄中的區(qū)域傳輸參數(shù)控制: 主名稱服務(wù)器, 序列號(hào), 刷新間隔, 重試間隔和到期間隔。當(dāng)配置后, 從服務(wù)器嘗試聯(lián)系主服務(wù)器以查看區(qū)域傳輸是否是必要的。根據(jù)刷新間隔, 周期性地嘗試聯(lián)系。
• 一個(gè)全區(qū)域傳送(AXFR) DNS信息(在問題區(qū)段包含AXFR類型的標(biāo)準(zhǔn)查詢)使用TCP請(qǐng)求一個(gè)完整的區(qū)域傳輸。

增量區(qū)域傳輸(IXFR消息)

• 為了執(zhí)行增量區(qū)域傳輸, 客戶端(例如,從服務(wù)器)必須提供它在該區(qū)域的當(dāng)前序列號(hào)。在下面的例子中, 我們可以通過(guò)提供序列號(hào)和dig程序來(lái)模擬請(qǐng)求服務(wù)器：

• 命令行中指出, 命令的輸出應(yīng)該是簡(jiǎn)短的, 10.0.0.1是要使用的DNS服務(wù)器的地址, 以序列號(hào)1997022700開始的增量區(qū)域傳輸應(yīng)該被執(zhí)行。

DNS NOTIFY

• 輪詢通常用于確定區(qū)域傳輸?shù)谋匾? 也就是說(shuō), 從服務(wù)器會(huì)定期(刷新間隔)檢查主服務(wù)器, 查看區(qū)域是否已經(jīng)更新(通過(guò)不同的序列號(hào)說(shuō)明), 在哪種情況下區(qū)域傳輸將啟動(dòng)。這個(gè)過(guò)程有點(diǎn)浪費(fèi), 因?yàn)樵S多無(wú)用的輪詢?cè)趨^(qū)域更新前可能發(fā)生。為了改善這種情況, DNS設(shè)計(jì)了DNS NOTIFY機(jī)制。
• DNS NOTIFY允許修改區(qū)域內(nèi)容的服務(wù)器通知從服務(wù)器更新已經(jīng)發(fā)生, 區(qū)域傳輸應(yīng)該啟動(dòng)。更具體地說(shuō), 如果啟用, 當(dāng)區(qū)域SOA RR改變(例如,如果序列號(hào)增加)時(shí), 通知消息被發(fā)送到一組感興趣的服務(wù)器。這使得區(qū)域傳輸在需要時(shí)開啟。

排序列表、循環(huán)和分離DNS

• 圖所示。有一個(gè)私有網(wǎng)絡(luò)和一個(gè)包括DNS服務(wù)器的公共網(wǎng)絡(luò)。此外, 在DMZ上有一對(duì)主機(jī)(A和B), 在內(nèi)部網(wǎng)絡(luò)上有一個(gè)(C), 在互聯(lián)網(wǎng)上有一個(gè)(R)。多宿主主機(jī)(M)跨越DMZ和內(nèi)部網(wǎng)絡(luò)。因此, M有來(lái)源于兩個(gè)不同網(wǎng)絡(luò)前綴的IP地址。
• 一臺(tái)希望聯(lián)系M的主機(jī)執(zhí)行DNS查找, 返回兩個(gè)地址, 一個(gè)與內(nèi)部網(wǎng)絡(luò)相關(guān), 一個(gè)與DMZ相關(guān)。當(dāng)然, 如果A、B和R通過(guò)DMZ到達(dá)M, C通過(guò)內(nèi)部網(wǎng)絡(luò)到達(dá)M, 這將更高效。
• 一種普遍會(huì)發(fā)生的情況是, DNS服務(wù)器基于請(qǐng)求的源IP地址排序它返回的地址。 (也可以使用目的IP地址, 尤其是如果M在相同的網(wǎng)絡(luò)接口上使用來(lái)自不同子網(wǎng)的多個(gè)IP地址。)如果請(qǐng)求系統(tǒng)使用和返回地址記錄的源具有相同的網(wǎng)絡(luò)前綴的源IP地址, DNS服務(wù)器在返回的消息中早一些放置這樣的匹配記錄的集合。這種行為鼓勵(lì)客戶端找到它正嘗試聯(lián)系的特定的服務(wù)器的“最近的” IP地址, 因?yàn)榇蟛糠趾?jiǎn)單的應(yīng)用程序嘗試聯(lián)系返回地址記錄中發(fā)現(xiàn)的第一個(gè)地址。這種精確的行為可以通過(guò)使用所謂的sortlist或是rrset-order指令來(lái)控制(解析器和服務(wù)器的配置文件中使用的選項(xiàng))。

• DNS可以配置返回為依賴于請(qǐng)求IP地址的不同的地址，當(dāng)多臺(tái)服務(wù)器提供一種服務(wù)時(shí), 傳入的連接就會(huì)是負(fù)載均衡的。

從IPv4向IPv6轉(zhuǎn)換DNS

• DNS64將A記錄轉(zhuǎn)換為AAAA記錄，并和IPv4/IPv6轉(zhuǎn)換器一起工作，以允許只有IPv6的客戶端訪問IPv4網(wǎng)絡(luò)中的服務(wù)。
• 如圖所示，DNS64和IPv4/IPv6轉(zhuǎn)換器結(jié)合使用，每個(gè)設(shè)備配置一個(gè)或多個(gè)通用IPv6前綴，這些前綴是在創(chuàng)建嵌入式IPv4地址中使用的，每個(gè)前綴可能是一個(gè)網(wǎng)絡(luò)特定的前綴(例如：由運(yùn)營(yíng)商擁有)或是知名前綴(64:ff9b::/96) 。DNS64設(shè)備作為一個(gè)緩存DNS服務(wù)器。只有IPv6客廣端使用它作為主DNS服務(wù)器，并可以請(qǐng)求域名的AAAA記錄。DNS64將這樣的請(qǐng)求轉(zhuǎn)換為IPv4端的A和AAAA記錄的請(qǐng)求，如果沒有返回AAAA記錄，基于配置的前綴和它檢索的每個(gè)A正錄的內(nèi)容，DNS64通過(guò)形成嵌入式IPv4地址來(lái)提供合成( synthetic) AAAA記錄一DNS64也響應(yīng)它用于合咸AAAA RR的任意IPv6地址的PTR查詢。

LLMNR和mDNS

• 在DNS服務(wù)器不可用的情況下，可以使用一個(gè)特殊的DNS本地版本，稱為本地鍵路組播名稱解析( Link-Local Multicast Name Resolution. LLMNR) ，在本地環(huán)境中使用以幫助發(fā)現(xiàn)局域網(wǎng)上的設(shè)備，如打印機(jī)和文件服務(wù)器。對(duì)于IPv4組播地址224.0.0.252和IPv6地址ff02::1:3，它使用UDP端口5355。如果來(lái)自它們響應(yīng)的任何單播IP地址，服務(wù)器也可以使用TCP端口5355。
• 組播DNS (multicast DNS. mDNS) 是另一種形式的本地類DNS功能。DNS使用通過(guò)本地組播地址攜帶的DNS消息，使用UDP端口5353，規(guī)定特殊的TLD.local用特殊的語(yǔ)義處理。.localTLD在本地鏈路范圍，在該TLD中的域名的任何DNS查詢被發(fā)送到mDNS IPv4地此224.0.0.251，或IPv6地址ff02::fb。