DNS整体架构于分布情况说明

时间：2019-12-22 19:31:02 阅读：190 评论：0 收藏：0 [点我收藏+]

根域名服务器（英语：root name server）是互联网域名解析系统（DNS）中最高级别的域名服务器，负责返回顶级域的权威域名服务器地址。它们是互联网基础设施中的重要部分，因为所有域名解析操作均离不开它们。由于DNS和某些协议（未分片的用户数据报协议（UDP）数据包在IPv4内的最大有效大小为512字节）的共同限制，根域名服务器地址的数量被限制为13个。幸运的是，采用任播技术架设镜像服务器可解决该问题，并使得实际运行的根域名服务器数量大大增加。截至2019年8月，全球共有一千多台根DNS.

全球互联网有13台DNS根服务器

美国VeriSign公司　2台

网络管理组织IANA(Internet Assigned Number Authority)　1台

欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre)　1台

美国PSINet公司　1台

美国ISI(Information Sciences Institute)　1台

美国ISC(Internet Software Consortium)　1台

美国马里兰大学(University of Maryland)　1台

美国太空总署(NASA)　1台

美国国防部　1台

美国陆军研究所　1台

挪威NORDUnet　1台

日本WIDE(Widely Integrated Distributed Environments)研究计划　1台

中国拥有的mirror root-server 共10 台

J K F L 四台的镜像

技术分享图片

访问上述 10 台DNS 使用任播的方式：

任播（英语：anycast）是一种网络定址和路由的策略，使得数据可以根据路由拓扑来决定送到“最近”或“最好”的目的地。

任播是与单播（unicast）、广播（broadcast）和多播（multicast）不同的方式。

在单播中，在网络地址和网络节点之间存在一一对应的关系。
在广播和多播中，在网络地址和网络节点之间存在一对多的关系：每一个发送地址对应一群接收可以复制信息的节点。
在任播中，在网络地址和网络节点之间存在一对多的关系：每一个地址对应一群接收节点，但在任何给定时间，只有其中之一可以接收到发送端来的信息。

在互联网中，通常使用边界网关协议（BGP）来实现任播。

DNS 常用攻击方式

当前针对域名系统的攻击手段多种多样，总结起来主要包括以下三类：

一是分布式拒绝服务攻击（DDOS）。由于域名系统协议存在体系开放、无认证、无连接和无状态等特点，使其更易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务攻击主要采用基于正常域名请求、反弹式、大流量阻塞等三种途径。

二是DNS欺骗攻击，通过技术手段向缓存域名服务器注入非法域名解析记录，当用户向被攻击的缓存域名服务器提交域名请求时，将会返回攻击者预先设定的IP地址。

三是域名劫持攻击[3]，攻击者控制域名管理密码和域名管理邮箱后，将该域名的NS纪录指向到攻击者可以控制的DNS服务器，然后通过在该DNS服务器上配置相应域名纪录，使用户访问该域名时，实际指向攻击者预先设定的主机。

网域服务器缓存污染（DNS cache pollution）

DNS劫持就是通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。
DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法，是一种DNS缓存投毒攻击（DNS cache poisoning）。其工作方式是：由于通常的DNS查询没有任何认证机制，而且DNS查询通常基于的UDP是无连接不可靠的协议，因此DNS的查询非常容易被篡改，通过对UDP端口53上的DNS查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS，Name Server）给查询者返回虚假结果。

记录类型

代码	号码	定义的 RFC	描述	功能
A	1	RFC 1035	IPv4地址记录	传回一个32位的IPv4地址，最常用于映射主机名称到IP地址，但也用于DNSBL（RFC 1101）等。
AAAA	28	RFC 3596	IPv6地址记录	传回一个128位的IPv6地址，最常用于映射主机名称到IP地址。
AFSDB	18	RFC 1183	AFS文件系统	（Andrew File System）数据库核心的位置，于域名以外的 AFS 客户端常用来联系 AFS 核心。这个记录的子类型是被过时的的 DCE/DFS（DCE Distributed File System）所使用。
APL	42	RFC 3123	地址前缀列表	指定地址栏表的范围，例如：CIDR 格式为各个类型的地址（试验性）。
CAA	257	RFC 6844	权威认证授权	DNS认证机构授权，限制主机/域的可接受的CA
CDNSKEY	60	RFC 7344	子关键记录	关键记录记录的子版本，用于转移到父级
CDS	59	RFC 7344	子委托签发者	委托签发者记录的子版本，用于转移到父级
CERT	37	RFC 4398	证书记录	存储 PKIX、SPKI、PGP等。
CNAME	5	RFC 1035	规范名称记录	一个主机名字的别名：域名系统将会继续尝试查找新的名字。
DHCID	49	RFC 4701	DHCP（动态主机设置协议）标识符	用于将 FQDN 选项结合至 DHCP。
DLV	32769	RFC 4431	DNSSEC（域名系统安全扩展）来源验证记录	为不在DNS委托者内发布DNSSEC的信任锚点，与 DS 记录使用相同的格式，RFC 5074 介绍了如何使用这些记录。
DNAME	39	RFC 2672	代表名称	DNAME 会为名称和其子名称产生别名，与 CNAME 不同，在其标签别名不会重复。但与 CNAME 记录相同的是，DNS将会继续尝试查找新的名字。
DNSKEY	48	RFC 4034	DNS 关键记录	于DNSSEC内使用的关键记录，与 KEY 使用相同格式。
DS	43	RFC 4034	委托签发者	此记录用于鉴定DNSSEC已授权区域的签名密钥。
HIP	55	RFC 5205	主机鉴定协议	将端点标识符及IP 地址定位的分开的方法。
IPSECKEY	45	RFC 4025	IPSEC 密钥	与 IPSEC 同时使用的密钥记录。
KEY	25	RFC 2535^[1]RFC 2930^[2]	关键记录	只用于 SIG(0)（RFC 2931）及 TKEY（RFC 2930）。^[3]RFC 3455 否定其作为应用程序键及限制DNSSEC的使用。^[4]RFC 3755 指定了 DNSKEY 作为DNSSEC的代替。^[5]
LOC记录（LOC record）	29	RFC 1876	位置记录	将一个域名指定地理位置。
MX记录（MX record）	15	RFC 1035	电邮交互记录	引导域名到该域名的邮件传输代理（MTA, Message Transfer Agents）列表。
NAPTR记录（NAPTR record）	35	RFC 3403	命名管理指针	允许基于正则表达式的域名重写使其能够作为 URI、进一步域名查找等。
NS	2	RFC 1035	名称服务器记录	委托DNS区域（DNS zone）使用已提供的权威域名服务器。
NSEC	47	RFC 4034	下一代安全记录	DNSSEC 的一部分 — 用来验证一个未存在的服务器，使用与 NXT（已过时）记录的格式。
NSEC3	50	RFC 5155	NSEC 记录第三版	用作允许未经允许的区域行走以证明名称不存在性的 DNSSEC 扩展。
NSEC3PARAM	51	RFC 5155	NSEC3 参数	与 NSEC3 同时使用的参数记录。
OPENPGPKEY	61	RFC 7929	OpenPGP公钥记录	基于DNS的域名实体认证方法，用于使用OPENPGPKEY DNS资源记录在特定电子邮件地址的DNS中发布和定位OpenPGP公钥。
PTR	12	RFC 1035	指针记录	引导至一个规范名称（Canonical Name）。与 CNAME 记录不同，DNS“不会”进行进程，只会传回名称。最常用来运行反向 DNS 查找，其他用途包括引作 DNS-SD。
RRSIG	46	RFC 4034	DNSSEC 证书	DNSSEC 安全记录集证书，与 SIG 记录使用相同的格式。
RP	17	RFC 1183	负责人	有关域名负责人的信息，电邮地址的 @ 通常写为 a。
SIG	24	RFC 2535	证书	SIG(0)（RFC 2931）及 TKEY（RFC 2930）使用的证书。^[5]RFC 3755 designated RRSIG as the replacement for SIG for use within DNSSEC.^[5]
SOA	6	RFC 1035	权威记录的起始	指定有关DNS区域的权威性信息，包含主要名称服务器、域名管理员的电邮地址、域名的流水式编号、和几个有关刷新区域的定时器。
SPF	99	RFC 4408	SPF 记录	作为 SPF 协议的一部分，优先作为先前在 TXT 存储 SPF 数据的临时做法，使用与先前在 TXT 存储的格式。
SRV记录（SRV record）	33	RFC 2782	服务定位器	广义为服务定位记录，被新式协议使用而避免产生特定协议的记录，例如：MX 记录。
SSHFP	44	RFC 4255	SSH 公共密钥指纹	DNS 系统用来发布 SSH 公共密钥指纹的资源记录，以用作辅助验证服务器的真实性。
TA	32768	无	DNSSEC 信任当局	DNSSEC 一部分无签订 DNS 根目录的部署提案，，使用与 DS 记录相同的格式^[6]^[7]。
TKEY记录（TKEY record）	249	RFC 2930	秘密密钥记录	为TSIG提供密钥材料的其中一类方法，that is 在公共密钥下加密的 accompanying KEY RR。^[8]
TSIG	250	RFC 2845	交易证书	用以认证动态更新（Dynamic DNS）是来自合法的客户端，或与 DNSSEC 一样是验证回应是否来自合法的递归名称服务器。^[9]
TXT	16	RFC 1035	文本记录	最初是为任意可读的文本 DNS 记录。自1990年起，些记录更经常地带有机读数据，以 RFC 1464 指定：机会性加密（opportunistic encryption）、Sender Policy Framework（虽然这个临时使用的 TXT 记录在 SPF 记录推出后不被推荐）、DomainKeys、DNS-SD等。
URI	256	RFC 7553	统一资源标识符	可用于发布从主机名到URI的映射。

其他类型及伪资源记录

其他类型的资源记录简单地提供一些类型的消息（如：HINFO 记录提供电脑或操作系统的类型），或传回实验中之功能的数据。“type”字段也使用于其他协议作各种操作。

代码	号码	定义的 RFC	描述	功能
*	255	RFC 1035	所有缓存的记录	传回所有服务器已知类型的记录。如果服务器未有任何关于名称的记录，该请求将被转发。而传回的记录未必完全完成，例如：当一个名称有 A 及 MX 类型的记录时，但服务器已缓存了 A 记录，就只有 A 记录会被传回。
AXFR	252	RFC 1035	全局转移	由主域名服务器转移整个区域文件至二级域名服务器。
IXFR	251	RFC 1995	增量区域转移	请求只有与先前流水式编号不同的特定区域的区域转移。此请求有机会被拒绝，如果权威服务器由于配置或缺乏必要的数据而无法履行请求，一个完整的（AXFR）会被发送以作回应。
OPT	41	RFC 2671	选项	这是一个“伪 DNS记录类型”以支持 EDNS。

DNS 区域

DNS file type	Description
Primary （Master）	Zone files for a primary zone contain, at minimum, the start of authority (SOA) and nameserver (NS) resource records for the zone. Primary zones are authoritative, that is, they respond to DNS queries for the domain or sub-domain. A zone can have only one SOA record, and must have at least one NS record.
Secondary (Salve)	Zone files for a secondary zone are copies of the principal zone files. At an interval specified in the SOA record, secondary zones query the primary zone to check for and obtain updated zone data. A secondary zone responds authoritatively for the zone provided that the zone data is valid.
Stub	Stub zones are similar to secondary zones, except that stub zones contain only the NS records for the zone. Note that stub zones are a specific feature of the BIND implementation of DNS. F5 Networks recommends that you use stub zones only if you have a specific requirement for this functionality.
Forward	The zone file for a forwarding zone contains only information to forward DNS queries to another nameserver on a per-zone (or per-domain) basis.
Hint	The zone file for a hint zone specifies an initial set of root nameservers for the zone. Whenever the local nameserver starts, it queries a root nameserver in the hint zone file to obtain the most recent list of root nameservers. Zone file import.

查看一次完整的DNS 请求过程www.taobao.com.cn

[root@localhost ~]# dig www.taobao.com.cn A  +trace

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.taobao.com.cn A +trace
;; global options: +cmd
.            45816    IN    NS    m.root-servers.net.        //13 个 Hint  节点
.            45816    IN    NS    h.root-servers.net.
.            45816    IN    NS    e.root-servers.net.
.            45816    IN    NS    g.root-servers.net.
.            45816    IN    NS    l.root-servers.net.
.            45816    IN    NS    b.root-servers.net.
.            45816    IN    NS    c.root-servers.net.
.            45816    IN    NS    i.root-servers.net.
.            45816    IN    NS    a.root-servers.net.
.            45816    IN    NS    f.root-servers.net.
.            45816    IN    NS    j.root-servers.net.
.            45816    IN    NS    k.root-servers.net.
.            45816    IN    NS    d.root-servers.net.
;; Received 239 bytes from 114.114.114.114#53(114.114.114.114) in 160 ms

cn.            172800    IN    NS    e.dns.cn.              //中国 CNNIC权威云解析(DNS.CN)全球Anycast节点
cn.            172800    IN    NS    a.dns.cn.
cn.            172800    IN    NS    ns.cernet.net.
cn.            172800    IN    NS    c.dns.cn.
cn.            172800    IN    NS    g.dns.cn.
cn.            172800    IN    NS    f.dns.cn.
cn.            172800    IN    NS    d.dns.cn.
cn.            172800    IN    NS    b.dns.cn.
cn.            86400    IN    DS    57724 8 2 5D0423633EB24A499BE78AA22D1C0C9BA36218FF49FD95A4CDF1A4AD 97C67044
cn.            86400    IN    RRSIG    DS 8 1 86400 20200104050000 20191222040000 22545 . IOCmLDtMptDRBjZKpSFfSUd9A7Zz5fLJS6fW7JwGNq+1hc5MgsCVL7Bo UvcxIYsGsQz4lMj8MWl6kfr2cD7xN2yrQva0EOqKhidLQrzFSMmM0+jZ 4hzh1AVYfYE1vzkhKYY+xbW+U/3h+SfnSnSQ0iWb29wWDcoC5rH0WGpR zZJc6iZtRSsgka15Ft5aok6o56juEkOznU0O6z3Uu6zEtvifeDMD6z8u iJkwuv7Tv6cQ47/snmqe0G/nhD7KNkKX3RJy0HSG9YFJA7W93cf2ErFq gooN9HPLTZJZvG3j3pBR6A/KRdWWfqoRnjGT1+3UgUNHoLOMH53lRluj B69m+Q==
;; Received 708 bytes from 192.5.5.241#53(f.root-servers.net) in 47 ms

taobao.com.cn.        86400    IN    NS    ns1.markmonitor.com.          //美国DNS
taobao.com.cn.        86400    IN    NS    ns3.markmonitor.com.
GICE14DNTMDN31G43AUGVRKTKALVB8QC.com.cn. 21600 IN NSEC3    1 1 10 AEF123AB H497TUER80LUF57FB9UOJIRF5LLLCPLS NS SOA RRSIG DNSKEY NSEC3PARAM
GICE14DNTMDN31G43AUGVRKTKALVB8QC.com.cn. 21600 IN RRSIG    NSEC3 8 3 21600 20200101101502 20191202094911 43326 com.cn. tECmtMJt2PISF1b2wdupm6WHxFoHYaPOHzVgXE9HL31gYcUeJtgnQRPW uHmo6Xyv+enVNzXiPZwJPNpCh+ckUA/y5B/oBTtq/aIlDgbMpBh7Nv3K iz4VydJWhB+pXjBXIphz9DLlOd/QFEllwfDhR/Y8+rp5AuWlPdUApRAc cMo=
2OSNN2BODO7I0KP1IJBONOBJR075QNS6.com.cn. 21600 IN NSEC3    1 1 10 AEF123AB 3LT803ACD3A3A0PG9PH1F1GU97LD2I2C NS DS RRSIG
2OSNN2BODO7I0KP1IJBONOBJR075QNS6.com.cn. 21600 IN RRSIG    NSEC3 8 3 21600 20200101110655 20191202100742 43326 com.cn. j2kd4GdfG2efbkRnmc8D8boHbiG5kVu3e3LUGSp1NM/xZJ2/JM2a3Ua2 pur92qdbQcO13+SoqueIHWxQ3/pi04MBULEKEBaYnUES5X17ur6UpK+g beZ7+VRMEqaaQiB3lMJz1nywsir8Ml0+4BSDDQdoREipULsnnL9iORPn zQs=
;; Received 596 bytes from 103.137.60.44#53(ns.cernet.net) in 126 ms

www.taobao.com.cn.    86400    IN    A    93.191.168.52   //一个欧洲的地址 ,显示这个域名已经被买了，但是没有发布相应的记录。访问地址显示已经被保护了
taobao.com.cn.        86400    IN    NS    ns3.markmonitor.com.
taobao.com.cn.        86400    IN    NS    ns1.markmonitor.com.
;; Received 113 bytes from 64.124.69.50#53(ns1.markmonitor.com) in 370 ms

[root@localhost ~]#

查看一次完整的DNS 请求过程www.sina.com.cn

[root@localhost ~]# dig www.sina.com.cn +trace

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.sina.com.cn +trace
;; global options: +cmd
.            44847    IN    NS    j.root-servers.net.
.            44847    IN    NS    e.root-servers.net.
.            44847    IN    NS    d.root-servers.net.
.            44847    IN    NS    b.root-servers.net.
.            44847    IN    NS    i.root-servers.net.
.            44847    IN    NS    c.root-servers.net.
.            44847    IN    NS    f.root-servers.net.
.            44847    IN    NS    h.root-servers.net.
.            44847    IN    NS    g.root-servers.net.
.            44847    IN    NS    l.root-servers.net.
.            44847    IN    NS    k.root-servers.net.
.            44847    IN    NS    a.root-servers.net.
.            44847    IN    NS    m.root-servers.net.
;; Received 239 bytes from 114.114.114.114#53(114.114.114.114) in 92 ms

cn.            172800    IN    NS    a.dns.cn.
cn.            172800    IN    NS    b.dns.cn.
cn.            172800    IN    NS    c.dns.cn.
cn.            172800    IN    NS    d.dns.cn.
cn.            172800    IN    NS    e.dns.cn.
cn.            172800    IN    NS    f.dns.cn.
cn.            172800    IN    NS    g.dns.cn.
cn.            172800    IN    NS    ns.cernet.net.
cn.            86400    IN    DS    57724 8 2 5D0423633EB24A499BE78AA22D1C0C9BA36218FF49FD95A4CDF1A4AD 97C67044
cn.            86400    IN    RRSIG    DS 8 1 86400 20200104050000 20191222040000 22545 . IOCmLDtMptDRBjZKpSFfSUd9A7Zz5fLJS6fW7JwGNq+1hc5MgsCVL7Bo UvcxIYsGsQz4lMj8MWl6kfr2cD7xN2yrQva0EOqKhidLQrzFSMmM0+jZ 4hzh1AVYfYE1vzkhKYY+xbW+U/3h+SfnSnSQ0iWb29wWDcoC5rH0WGpR zZJc6iZtRSsgka15Ft5aok6o56juEkOznU0O6z3Uu6zEtvifeDMD6z8u iJkwuv7Tv6cQ47/snmqe0G/nhD7KNkKX3RJy0HSG9YFJA7W93cf2ErFq gooN9HPLTZJZvG3j3pBR6A/KRdWWfqoRnjGT1+3UgUNHoLOMH53lRluj B69m+Q==
;; Received 706 bytes from 198.97.190.53#53(h.root-servers.net) in 96 ms

sina.com.cn.        86400    IN    NS    ns3.sina.com.cn.   //北京联通
sina.com.cn.        86400    IN    NS    ns1.sina.com.cn.
sina.com.cn.        86400    IN    NS    ns4.sina.com.cn.
sina.com.cn.        86400    IN    NS    ns2.sina.com.cn.
GICE14DNTMDN31G43AUGVRKTKALVB8QC.com.cn. 21600 IN NSEC3    1 1 10 AEF123AB H497TUER80LUF57FB9UOJIRF5LLLCPLS NS SOA RRSIG DNSKEY NSEC3PARAM
GICE14DNTMDN31G43AUGVRKTKALVB8QC.com.cn. 21600 IN RRSIG    NSEC3 8 3 21600 20200101101502 20191202094911 43326 com.cn. tECmtMJt2PISF1b2wdupm6WHxFoHYaPOHzVgXE9HL31gYcUeJtgnQRPW uHmo6Xyv+enVNzXiPZwJPNpCh+ckUA/y5B/oBTtq/aIlDgbMpBh7Nv3K iz4VydJWhB+pXjBXIphz9DLlOd/QFEllwfDhR/Y8+rp5AuWlPdUApRAc cMo=
TDU124P7EGELLSS91RPV7H8S4DKOE2EH.com.cn. 21600 IN NSEC3    1 1 10 AEF123AB UQROTQK62NOIM5U43DMF7AMC8JJFRM7T NS DS RRSIG
TDU124P7EGELLSS91RPV7H8S4DKOE2EH.com.cn. 21600 IN RRSIG    NSEC3 8 3 21600 20200115105713 20191216095713 43326 com.cn. SOr3A6DHb1dI0WqSpNVPY92qSU1dLb1HamZOC7vHKnmyJo7EyATC/k5N W+yQCbJvo3n8Eyyt3gRRPz15wjh9Goa2MTTzWG31jWXyOujlDtNHQCoY rNr1nEGtIn7djwZ/6N6IRqpsGA0aY9GQXP2MKCCh8AJ6bk39AOFu/GfU Z70=
;; Received 679 bytes from 195.219.8.90#53(f.dns.cn) in 342 ms

www.sina.com.cn.    60    IN    CNAME    spool.grid.sinaedge.com.   //北京朝阳鹏博士机房
;; Received 81 bytes from 36.51.252.8#53(ns1.sina.com.cn) in 9 ms

[root@localhost ~]#

。

DNS整体架构于分布情况说明

原文：https://www.cnblogs.com/zy09/p/12080486.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)