免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 18362 | 回复: 22

[DNS] 扫盲系列之八:关于域名解析的授权 [复制链接]

论坛徽章:
0
发表于 2010-01-19 10:35 |显示全部楼层
首先是两个相关的概念:
域名授权: 指定谁是该域名的权威DNS,即由谁负责解析该域名(由NS记录操作完成)。
权威DNS:  特指对特定域名具有权威发布能力的DNS;互联网上域名(域名记录)解析结
果的原出处。

目前域名解析授权状况:
目前在互联网上域名解析授权大体上是谁出售域名就把域名的权威DNS授权给谁并由其提供域名的权威DNS来完成域名解析工作,如购买了新网域名
默认就是由新网的权威DNS(nsx.xinnetdns.com、nsx.xinnet.cn)负责所售域名解析:
[root@test root]#dig @a.gtld-servers.net xinnet.com ns
;; ANSWER SECTION:
xinnet.com.             172800  IN      NS      ns.xinnet.cn.
xinnet.com.             172800  IN      NS      ns.xinnetdns.com.
xinnet.com.             172800  IN      NS      ns2.xinnet.cn.
xinnet.com.             172800  IN      NS      ns2.xinnetdns.com.

域名解析授权是怎么实现的:
域名解析授权是个树状的,从上而下的分层体系,简图如下:

首先“.”DNS把COM/NET/CN/ORG/TV等等域名按后缀的不同分别授权给不同的DNS,以利于分别管理。如COM/NET域名被授权给了如下几个权威DNS。

这里不难想像要修改COM/NET的授权DNS要到“.”DNS上去操作才能完成。
[root@test root]#dig com. ns
;; ANSWER SECTION:
com.                    96045   IN      NS      d.gtld-servers.net.
com.                    96045   IN      NS      g.gtld-servers.net.
com.                    96045   IN      NS      b.gtld-servers.net.
com.                    96045   IN      NS      k.gtld-servers.net.
com.                    96045   IN      NS      f.gtld-servers.net.
com.                    96045   IN      NS      l.gtld-servers.net.
com.                    96045   IN      NS      j.gtld-servers.net.
com.                    96045   IN      NS      a.gtld-servers.net.
com.                    96045   IN      NS      i.gtld-servers.net.
com.                    96045   IN      NS      m.gtld-servers.net.
com.                    96045   IN      NS      e.gtld-servers.net.
com.                    96045   IN      NS      h.gtld-servers.net.
com.                    96045   IN      NS      c.gtld-servers.net.

同理可知,要指定或修改ABC.COM的权威DNS要去顶级DNS上操作。通常来说一般的域名所有者是无权登录顶级DNS进行操作的。只能通过域名提供商
(如新网,万网等)的专用接口(位于域名商的域名管理平台上)来间接操作顶级DNS上的记录。
以ABC.COM为例简要说明怎么指定自己的权威DNS,假设ABC.COM是在新网购买,那么默认该域名的权威DNS就是nsx.xinnetdns.com、nsx.xinnet.cn

。这时候要修改默认权威DNS。首先登录新网的域名管理后台,找到修改域名DNS页面即可完成操作(详细过程这里有:http://docs.aidns.cn/hel
p02.htm)。操作完成后要验证一下是否修改成功:
[root@test root]#dig @a.gtld-servers.net abc.com ns

;; ANSWER SECTION:
abc.com.             172800  IN      NS      ns1.ai-dns.com.
abc.com.             172800  IN      NS      ns2.ai-dns.com.
abc.com.             172800  IN      NS      ns3.ai-dns.com.
这里我们把ABC.COM授权给了nsx.ai-dns.com了。

关于域名权威DNS的再授权:
以ABC.COM为例,再授权是指在nsx.ai-dns.com上面再次指定该域名的权威DNS,再授权的意义有这么几个:
1. 扩展现有的权威DNS数量,如现有ns1,ns2,ns3.ai-dns.com共三台DNS,现在要增加到4台,则可以在原3台DNS上abc.com的ZONE文件内增加
ns4这个NS记录。
原来的ZONE内容:
$TTL 2d
$ORIGIN abc.com.
@  3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
  2288091841 1h 600 1w 900 )
@  2d IN NS ns1.ai-dns.com.
@  2d IN NS ns2.ai-dns.com.
@  2d IN NS ns3.ai-dns.com.

增加ns4这个NS记录后为:
$TTL 2d
$ORIGIN abc.com.
@  3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
  2288091841 1h 600 1w 900 )
@  2d IN NS ns1.ai-dns.com.
@  2d IN NS ns2.ai-dns.com.
@  2d IN NS ns3.ai-dns.com.
@  2d IN NS ns4.ai-dns.com.

当然增加NS4的操作也可以在顶级DNS上完成,不再赘述。
2. 把权威DNS重新授权给其他DNS,如把原来的权威DNS(nsx.ai-dns.com)重新授权给别人(nsx.ddd.com)。操作过程同上,不再赘述。
再授权可能存在的潜在问题:
再授权无疑使得域名解析授权变得更灵活,但是存在以下潜在的隐患。当原授权的权威DNS(即在顶级DNS定义的权威DNS)故障时,这时再授权的D
NS将无法工作,导致域名无法解析(这是由域名解析过程是自上而下的这个特性决定的)。同时也增加了安全隐患。

附加部分1:慎用WHOIS来查看域名权威DNS。
对于域名的Whois数据库是由域名销售商控制的,即每个域名销售商都有自己的WHOIS服务器,这些服务器用来存储自身出售的域名信息,如域名所
有人,联系方法,到期时间等内容。WHOIS信息中显示的域名当前权威DNS信息很可能没有及时与域名实际的权威DNS信息同步而导致错误的判断。
附加部分2:“.”根DNS是怎么被授权的?
由于“.”根DNS所处域名解析体系的顶端,无法按照常规方法对其授权。到目前为止其授权方法是把所有“.”DNS列表存放在一个文本文件内(自
己授权给自己),名字通常为root.hint内容如下(部分节选):
.                         3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.  3600000      A     198.41.0.4
.       3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.  3600000      A     192.228.79.201


[ 本帖最后由 llzqq 于 2010-1-19 10:38 编辑 ]
xxa.jpg

扫盲系列之八:关于域名解析的授权.pdf

104.77 KB, 下载次数: 407

帖子排版太困难了,看这个PDF吧

论坛徽章:
0
发表于 2010-01-22 12:10 |显示全部楼层
关于域名权威DNS的再授权:
1. 扩展现有的权威DNS数量,如现有ns1,ns2,ns3.ai-dns.com共三台DNS,现在要增加到4台,则可以在原3台DNS上abc.com的ZONE文件内增加
ns4这个NS记录。
---------------------------------------------------------------------------------------------------------------------------------------------
(1),这个是在3台机器上的zone文件中分别加上ns4的ns记录吗
(2),怎么与一级域名同步?或是多长时间才能同步一次。
-------------------------------------------------------------------------------------------------------------------------------------
2. 把权威DNS重新授权给其他DNS,如把原来的权威DNS(nsx.ai-dns.com)重新授权给别人(nsx.ddd.com)。操作过程同上,不再赘述。
再授权可能存在的潜在问题:
再授权无疑使得域名解析授权变得更灵活,但是存在以下潜在的隐患。当原授权的权威DNS(即在顶级DNS定义的权威DNS)故障时,这时再授权的DNS将无法工作,导致域名无法解析(这是由域名解析过程是自上而下的这个特性决定的)。同时也增加了安全隐患
----------------------------------------------------------------------------------------------------------------------------------------

(1),这个操作过程是不是在登陆新网域名后台操作。
(2),域名解析过程是自上而下的这个特性。就是如果解析查询www.abc.com。就先查询".com"找到“abc.com”的域名服务器的的ip地址。然后再去“abc.com”的域名服务器上去查询。问题是.com怎么知道abc.com域名服务器的ip地址,是“新网”给13台.com服务器同步的吗?那“新网”和.com服务器多久同步一次?“abc.com”域名服务器与.com域名服务器多久同步一次?13台.com域名服务器是怎么同步的或多久同步一次?
----------------------------------------------------------------------------------------------------------------------------------------

论坛徽章:
0
发表于 2010-01-22 12:59 |显示全部楼层
一、
1.做所有要充当权威DNS的机器上。
2.与权威DNS上NS记录的TTL值有关。

二、
1.重授权是在现权威上完成的。
2..com上有abc.com的NS记录。  实际上根本不存在实际的同步数据流,上下级DNS间的数据一致性问题都是依赖TTL。TTL过期后会重新获得最新信息。

[ 本帖最后由 llzqq 于 2010-1-22 13:00 编辑 ]

论坛徽章:
0
发表于 2010-01-22 16:42 |显示全部楼层
原帖由 llzqq 于 2010-1-22 12:59 发表
一、
1.做所有要充当权威DNS的机器上。
2.与权威DNS上NS记录的TTL值有关。

二、
1.重授权是在现权威上完成的。
2..com上有abc.com的NS记录。  实际上根本不存在实际的同步数据流,上下级DNS间的数据一致 ...

一、
1,“权威dns”就是abc.com域soa记录指定的dns吧?四台dns服务器的每台dns服务器的soa记录必须统一要指定到其中一台dns吧?上例中:要增加一台ns4,那也就是在一台被指定soa的dns做就行啦?其他的三台dns根据ttl到期更新。

2,如果abc.com域的soa记录如果只有一个ns1.abc.com。那ns1.abc.com添加ns4.abc.com后,一般48小时内.com域名服务器也会更新也会加一个ns4.abc.com的记录,然后再48小时内各地isp的dns会再次更新增加一个ns4.abc.com的记录,对吗?

3,重授权问题:如果abc.com域把权威DNS(nsx.ai-dns.com)重新授权给别人(nsx.ddd.com),
如果当前权威dns为nsx.ai-dns.com,那么.com是不是abc.com域的ttl过期后就会到sx.ai-dns.com上面查看信息,这时知道abc.com域被重授权到nsx.ai-dns.com,然后访问nsx.ai-dns.com,获得abc.com域的信息。以后就会把nsx.ai-dns.com当做abc.com域的权威(soa)dns了,而不会再访问nsx.ai-dns.com,是吗?
4,无意中dig www.abc.com发现一个不能理解的现象,soa指定的dns,不是ns记录指定的dns,为什么会出现这个情况。


dns2# dig www.abc.com -t soa

; <<>> DiG 9.4.2-P2 <<>> www.abc.com -t soa
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25536
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.abc.com.                   IN      SOA

;; ANSWER SECTION:
www.abc.com.            1792    IN      CNAME   abc.com.
abc.com.                1800    IN      SOA     dns1.cp.msft.net. dns-ops.dig.com. 2004030469 28800 1800 604800 1800

;; AUTHORITY SECTION:
abc.com.                4934    IN      NS      sens02.dig.com.
abc.com.                4934    IN      NS      orns02.dig.com.
abc.com.                4934    IN      NS      sens01.dig.com.
abc.com.                4934    IN      NS      orns01.dig.com.

;; ADDITIONAL SECTION:
orns01.dig.com.         620     IN      A       198.105.199.44
orns02.dig.com.         620     IN      A       198.105.199.45
sens01.dig.com.         50563   IN      A       199.181.134.16
sens02.dig.com.         50563   IN      A       199.181.135.199

;; Query time: 150 msec
;; SERVER: 219.150.150.150#53(219.150.150.150)
;; WHEN: Fri Jan 22 00:59:44 2010
;; MSG SIZE  rcvd: 255

本人新手,对一些基本概念很不理解。想读rfc又英文不好。非常感谢llzqq的开源精神。让我们这些菜鸟早日变成老鸟。

论坛徽章:
0
发表于 2010-01-22 16:49 |显示全部楼层
去本版顶置中找一下,扫描之列之 ZONE文件

论坛徽章:
0
发表于 2011-09-12 18:33 |显示全部楼层
本帖最后由 arpfire 于 2011-09-13 17:30 编辑

请问llzqq ,由于域名解析过程是自上而下决定的,那再授权的dns是如何被别的dns找到的呢?

   1. 在上面那个列子当中,域abc.com的权威dns是被别的dns用迭代查询从顶级dns中查询到的,只能找到3台,那被再授权的dns又如何被找到呢?  
   
   2. 还有,就算在查找abc.com的子域授权dns的过程中查到了abc.com的再授权dns,这时也用不到它了啊?

论坛徽章:
0
发表于 2011-09-13 17:37 |显示全部楼层
域名解析是架设服务器时必须要用到的,楼主说得很全面,谢谢分享!我在Dell也主要做Dell刀片服务器的企业应用。

论坛徽章:
0
发表于 2011-09-14 14:44 |显示全部楼层
本帖最后由 arpfire 于 2011-09-14 14:46 编辑

请问llzqq ,由于域名解析过程是自上而下决定的,那再授权的dns是如何被别的dns找到的呢?

   1. 在上面那个列子当中,域abc.com的权威dns是被别的dns用迭代查询从顶级dns中查询到的,只能找到3台,那被再授权的dns又如何被找到呢?  
   
   2. 还有,就算在abc.com的权威dns里查找子域授权dns的过程中查到了abc.com的再授权dns,这时也用不到它了啊?

论坛徽章:
0
发表于 2011-09-20 08:32 |显示全部楼层
请问llzqq ,由于域名解析过程是自上而下决定的,那再授权的dns是如何被别的dns找到的呢?

   1. 在上面那 ...
arpfire 发表于 2011-09-14 14:44


解析过程是一样的,只是多了一级而已。

论坛徽章:
0
发表于 2012-05-04 19:15 |显示全部楼层
很好,我对这东西的概念很模糊,thanks
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

数据风云,十年变迁
DTCC 第十届中国数据库技术大会已启航!

2019年5月8日~5月10日,由IT168旗下ITPUB企业社区平台主办的第十届中国数据库技术大会(DTCC2019),将在北京隆重召开。大会将邀请百余位行业专家,就热点技术话题进行分享,是广大数据领域从业人士的又一次年度盛会和交流平台。与SACC2018类似,本届大会将采用“3+2”模式:3天传统技术演讲+2天深度主题培训。大会不仅提供超100场的主题演讲,还会提供连续2天的深度课程培训,深化数据领域的项目落地实践方案。
DTCC2019,一场值得期待的数据技术盛会,殷切地希望您报名参与!

活动入口>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP