目录
11.1 引言
11.2 DNS名称空间
11.2.1 DNS命名语法
11.3 名称服务器和区域
11.4 DNS缓存
11.5 DNS 协议
11.5.1 DNS消息格式
11.5.2 DNS 扩展格式(EDNS0)
11.5.3 UDP 或 TCP
11.5.4 问题(查询)和区域区段格式
11.5.5 回答、授权和额外信息区段格式
11.5.6 资源记录类型
11.5.7 动态更新(DNS UPDATE)
11.5.8 区域传输和DNS通知
11.6 排序列表、循环和分离DNS
11.7 开放DNS服务器和DynDNS
11.8 透明度和扩展性
11.9 从 IPv4 向 IPv6 转换 DNS
11.10 LLMNR 和 mDNS
11.11 LDAP
11.12 与DNS相关的攻击
11.13 总结
11.1 引言
DNS:Domain Name System
host name可作为域名。
DDNS(Dynamic Domain Name System):
作用:
即使主机IP改变时,也可用用固定域名来访问。
实现原理:
IP改变时,主机DDNS客户端将新IP通知服务器,DDNS服务器就创建新IP-域名映射。
使用场景:
远程控制(如远程访问家中智能设备)。
花生壳网站可提供DDNS服务。
11.2 DNS名称空间
名称空间:name space
TLD:Top Level Domain,顶级域名,是域名体系中最高级别的域名,即域名的最右边。
TLD举例:
国家代码顶级域名(ccTLD)如.cn,.us
通用顶级域名(gTLD):如.com,.net,.edu
新通用顶级域名(New gTLDs):如 .app,.blog,.shop
而根DNS服务器存储和管理这全球顶级域名(TLD)的域名服务器信息。
11.2.1 DNS命名语法
完全限定域名(FQDN):
即完整域名,从顶级域名一直到主机名。
唯一地标识互联网主机。
非限定域名:
未指定完整域名结构的域名。结合默认域名后缀可生成完整域名。
DHCP服务器有两个DHCP option用于下发默认域名后缀:
默认域名扩展。(一个域名后缀)
搜索列表。(多个域名后缀,逐一使用,直到DNS解析成功)
举例:
用户输入vangogh,本地DNS添加后缀后转换为完整域名vangogh.cs.berkeley.edu.,然后进行DNS解析器。
FQDN完整域名:如www.net.in.turn.de.,从右向左解析。
标签不区分大小。
如"example.com"、"EXAMPLE.COM"被DNS解析为相同IP。
11.3 名称服务器和区域
DNS服务器中管理单位为区域(zone),一个区域是DNS名称空间的一棵子树。
如一个公司的DNS服务器,管理一颗子树,包括www.example.com、mail.example.com 等。
一个区域至少有两台DNS服务器:
主服务器:负责处理对该区域中域名修改、更新和查询请求。数据是最新的。
辅服务器:备份。
备份方法:DNS区域传输功能。
11.4 DNS缓存
DNS服务器把DNS解析记录连同TTL一起给客户端。
该TTL值是该DNS记录在客户端的存活时间。当解析相同域名,无需再次向DNS服务器请求,降低互联网流量。
TTL过期后,清除该记录缓存。
TTL单位:秒。
Linux中名称服务缓存进程(Name Service Caching Daemon, NSCD)提供客户端缓存功能。
配置文件为/etc/nscd.conf文件,包括:
1. 缓存什么解析记录(DNS和其他服务)
2. TTL等参数。
11.5 DNS 协议
DNS协议包括两个部分:
DNS解析服务:
区域传输:DNS服务器同步域名解析信息到其他服务器。
任播地址Anycast:
发送到任播地址的数据会按照路由协议的距离方法,被路由到最近任播地址接口。
所以一组DNS服务器可使用相同任播地址,客户端就近使用,实现负载均衡和主辅备份。
DNS查询有两种类型:
递归查询:
DNS客户端向本地服务器查询。
本地服务器向根服务器查询。
根服务器向顶级服务器查询。
未完成解析之前客户端一直阻塞等待。
迭代查询:
DNS客户端向本地服务器查询。
本地服务器返回根服务器IP给客户端。
DNS客户端向根服务器查询。
根服务器返回顶级服务器IP给客户端。
反复。。。
大部分的DNS服务器是递归查询。
而根服务器和TLD服务器是迭代查询。
如果使用递归查询时,主机会阻塞,导致互联网性能不佳。
11.5.1 DNS消息格式
RR:资源记录(Resource Record)
是DNS服务器存储的域名信息。
最常用两种记录:
A 记录(Address Record):域名到IPv4地址的映射。
AAAA 记录(IPv6 Address Record):域名到IPv6地址的映射。
区域传输:从服务器从主DNS服务器处获取最新的域名区域数据,确各个服务器数据同步。
DNS报文类型有:
DNS查询/响应:
区域传输请求/响应:
通知报文:主服务器向从服务器发送通知报文,告知从服务器更新域名信息。
更新报文:允许客户端动态向DNS服务器添加、修改或删除记录。
授权服务器:
如果DNS服务器不具备请求域名的解析信息,它会向授权服务器发送查询请求。
DNS报文格式:
事务ID:客户端设置,服务器返回时复制。用来匹配响应和查询。
标志字段:
QR:消息类型,0(査询),1(响应)。
Opcode:查询类型,0 (标准查询),4(通知),5(更新)
AA:响应是否来自授权服务器。
TC:响应是否被截断。
RD:客户端期望递归查询。
RA:DNS服务器是否支持递归查询。
Z:保留位
AD:信息已授权
CD:禁用安全检查
RCODE:表示响应状态,值0(响应正确),3 (响应出错,如名称差错或不存在域名)
每个域名由一系列标签组成。标签类型有两种:
数据标签(data label):
举例www.pearson.com的编码如下:
压缩标签(compression label) :
当多个标签中有相同字符时,可用来减少报文大小。
11.5.2 DNS 扩展格式(EDNS0)
DNS扩展机制:
EDNS0:Extension Mechanisms for DNS version 0
作用:
支持更大DNS消息。
传输额外选项信,如DNS(SEDNS安全)。
11.5.3 UDP 或 TCP
对于TCP和UDP来说,DNS端口号都是53。
DNS通常使用UDP封装。
一个DNS消息最多512字节。
预期响应长度超过512字节,但服务器只返回前512字节,此时会在响应中设置TC(被截断)标志。
该解析器可用TCP再次发出查询,此时就返回超过512字节消息,因为TCP可以MSS分段。
TCP MSS选项的作用:
避免IP分段,降低开销,提高性能。
使用UDP封装DNS时,应用层应处理超时和重传。
11.5.4 问题(查询)和区域区段格式
问题区段:
也就是查询区段。用于DNS查询报文。
其中包含信息:
需要查询的名称。
查询类型:A是查询IPv4地址,AAAA是查询IPv6。
查询类:值是1(互联网类),254(没有类),255(所有类)
11.5.5 回答、授权和额外信息区段格式
RR:资源记录,即DNS映射记录。
这三个区段就是RR的集合。用于DNS响应报文。
授权区段:
当DNS服务器无法直接回答查询请求时,可指示客户端向授权区段中的服务器发送进一步的查询请求。
11.5.6 资源记录类型
即请求一个名称对应的什么资源:
RR类型 解析对象
A IPv4地址
NS 名称服务器
AAAA IPv6地址
IXFR 增量区域传输
AXFR 完全区域传输,TCP
11.5.7 动态更新(DNS UPDATE)
客户端通过UPDATE 报文地向DNS服务器添加、修改或删除资源记录。
11.5.8 区域传输和DNS通知
区域传输:从主服务器复制区域的一组RR到从服务器。保持多服务器区域内容同步
区域传输触发时机:
定时器
DNS NOTIFY消息
DNS NOTIFY消息作用:
主DNS对某区域修改后,向辅DNS发送DNS NOTIFY 消息。
辅DNS就会向主DNS发出Zone Transfer 请求。
区域传输两种方式:
完整传输:内容大,使用TCP分段。
增量传输:只传输更新条目,可能先用UDP,若响应消息太大,则切换到TCP。
11.6 排序列表、循环和分离DNS
若请求名称对应的主机有多个IP(内网IP,外网IP),服务器返回IP时如何排序?
普遍情况: 基于请求报文中源IP或目的IP地址排序。
DNS循环:
当多台服务器对应同一域名服务,可将DNS服务器配置为DNS循环,实现负载均衡。
具体做法:每个DNS客户端请求域名时,DNS服务器交替返回这些 IP 地址。使得客户端每次请求都得到不同服务器IP地址,实现负载均衡。
缺点:当记录被缓存时,该负载均衡效果不好。
分离DNS (split DNS):
一种网络配置方案。
允许企业用户访问内部资源时使用内部DNS服务器进行域名解析,而在访问外部资源时使用公共DNS 服务器。
原理:通过查询报文的源/目的IP,返回特定资源记录集合。
作用:
内外网隔离:不允许用户通过公共DNS访问内部指定资源。减少内部资源受到外部攻击风险。
提高DNS解析效率,优化网络性能。
可在内网DNS上配置,限制对特定域名访问。提高网路安全。
11.7 开放DNS服务器和DynDNS
DDNS:即动态DNS,即使IP地址变动时,也可使用固定域名来访问。
原理:
当IP地址变化时,DDNS客户端发送新IP地址给DDNS服务器。
DDNS服务器再将新IP和域名更新带ISP DNS服务器中。
11.8 透明度和扩展性
扩展:实现新的RR类型。
11.9 从 IPv4 向 IPv6 转换 DNS
DNS64可将A记录转换为AAAA记录。并和IPv4/IPv6 NAT转换器一起工作,以允许只有IPv6的客户端访问IPv4网络的服务。
11.10 LLMNR 和 mDNS
这是两种局域网DNS协议。
LLMNR:
即本地链路组播名称解析(Link-Local Multicast Name Resolution)
非标协议,微软开发,Windows系统常用。
使用组播通信,服务器使用UDP端口5355。
mDNS:
组播DNS,multicast DNS
标准协议, macOS 和 Linux系统常用。
使用组播通信,使用UDP端口5353
作用:
是用于局域网内部DNS。
两者功能相同,如:
局域网设备互相发现。
局域网内部主机名解析。
区别:
LLMNR用于IPv4,不支持IPv6。
mDNS主要用于IPv6 网络中,同时支持IPv4和IPv6网络。
11.11 LDAP
LDAP:Lightweight Directory Access Protocol,轻量级目录访问协议
目前使用LDAPv3
LDAP服务器常用于在企业内部。
用于保留目录信息,如位置、电话号码和组织单位,管理用户账户、服务。
11.12 与DNS相关的攻击
DNSSEC:DNS安全
DNS攻击:
1. DoS攻击,使DNS服务器过载。
2. 改变资源记录内容。
3. 伪装成官方DNS服务器,回复假的资源记录,导致主机连接至错误IP地址(例如,银行的Web站点)
2001年DNS的重大DoS攻击:
伪造大量各种源IP地址,请求AOL. COM的MX记录。导致响应流量定向到任何伪源IP处。
而DNS请求是较小报文,然而响应较大(约20倍),这称为放大攻击。
MX记录:Mail Exchange记录,即请求邮件服务器域名对应IP。
DNS数据内容攻击:DNS服务器缓存内容被错误数据替代,导致客户端定向到伪服务器。
DNS Flood攻击解决方法:
防火墙收到DNS请求,会代替DNS服务器响应DNS请求,并将TC标志(截断)位置1,要求DNS客户端以TCP方式发送DNS请求。
如果客户端是真实源,会继续以TCP方式发送DNS请求。
如果客户端是虚假源,则不会再以TCP方式发送DNS请求。
11.13 总结
下图是无DNS缓存时,DNS查询步骤:
