今天惠州推广就给大家介绍dns是什么意思的文章,看完这篇文章相信你对搞懂 DNS 基础知识更加了解!
dns是什么意思
dns是什么意思
可负载的 rs 数量有限(受 DNS response 包大小限制)
真实场景中,还需要根据需求选择相应的负载均衡策略
子域授权
我们从 .com 域下申请一个二级域名 hello.com 后, 发展到某一天我们的公司扩大了,需要拆分两个事业部A和B, 并且公司给他们都分配了三级域名 a.hello.com 和 b.hello.com, 域名结构如下图:
再发展一段时间,A部门和B部门内部业务太多,需要频繁的为新产品申请域名, 这个时候他们就想搭建自己的 namserver,并且需要上一级把相应的域名管理权交给自己,他们期望的结构如下:
注意第一阶段和第二阶段的区别:第一阶段,A 部门想申请 a.hello.com 下的子域名,需要向上级申请,整个 a.hello.com 域的管理都在总公司;第二阶段,A 部门先自己搭建 nameserver,然后总公司把 a.hello.com 域管理权转交给自建的 nameserver, 这个转交管理权的行为,就叫子域授权
子域授权分两部操作:
-
A部门自建 nameserver,并且在 zone 配置文件中指定 a.hello.com 的权威解析服务器为自己的 nameserver 地址
-
总公司在 nameserver 上增加一条 NS 记录, 把 a.hello.com 域授权给 A 部门的 nameserver
第一步我们在用 bind 搭建域名解析服务器里讲过, 只要在 zone 配置文件里指定SOA记录就好:
@ IN SOA ns.a.hello.com admin.a.hello.com. (……)复制代码
第二步,在 hello.com 域的 nameserver 上添加一条NS记录:
a.hello.com IN NS ns.a.hello.comns.a.hello.com IN A xx.xx.xx.xx (自建nameserver的IP)复制代码
这样当解析 xx.a.hello.com 域名时,hello.com nameserver 发现配置中有 NS 记录,就会继续递归向下解析
DNS 调试工具
OPS 常用的 DNS 调试工具有:host,nslookup,dig
这三个命令都属于 bind-utils 包, 也就是 bind 工具集,它们的使用复杂度、功能 依次递增。关于它们的使用, man 手册和网上有太多教程,这里简单分析一下dig命令的输出吧:
dig 的参数非常多, 功能也很多,详细使用方法大家自行man吧
其他
DNS 放大攻击
DNS 放大攻击属于DoS攻击的一种,是通过大量流量占满目标机带宽, 使得目标机对正常用户的请求拒绝连接从而挂掉。
思路
正常的流量攻击,hack 机向目标机建立大量 request-response,但这样存在的问题是需要大量的 hack 机器。因为服务器一般的带宽远大于家用网络, 如果我们自己的家用机用来做 hack 机器,还没等目标机的带宽占满,我们的带宽早超载了。
原理
DNS 递归解析的流程比较特殊, 我们可以通过几个字节的 query 请求,换来几百甚至几千字节的 resolving 应答(流量放大), 并且大部分服务器不会对DNS服务器做防御。那么 hacker 们只要可以伪装 DNS query 包的 source IP, 从而让 DNS 服务器发送大量的 response 到目标机,就可以实现 DoS 攻击。
但一般常用的 DNS 服务器都会对攻击请求做过滤,所以找 DNS 服务器漏洞也是一个问题。详细的放大攻击方法大家有兴趣自行 google 吧,这里只做一个简单介绍 🙂
