resolv.conf配置文件中的search&options ndots:${n}

jian_g_

一个/etc/resolv.conf文件内容如下：
; generated by /sbin/dhclient-script
nameserver 202.96.31.126
search baidu.com
www.baidu.com
google.com
www.google.com
options ndots:3

执行如下命令:
# ping
www.baidu.com
抓包发现resolver发出了下面一系列dns查询报文:
1.
www.baidu.com.baidu.com
(respone:none answer)
2.
www.baidu.com.www.baidu.com
(respone:none answer)
3.
www.baidu.com.google.com
(respone:none answer)
4.
www.baidu.com.www.google.com
(respone:none answer)
5.
www.baidu.com
(respone: ok get answer)

而执行
# ping
www.baidu.com.cn
则发现只发出了一个查询报文:
1.
www.baidu.com.cn
(respone:none answer)

执行
# ping
www.baidu
.
也只是发出一个查询报文

现象解析：
关键字`search'与`options ndots:${n}'配合工作，指示resolver在解析域名的时候是否要在用户传入的名称后面添加域名信息，以及添加什么信息。详细规则如下：
1. 如果用户传入的域名是`绝对'域名，即域名以`.'结尾（如上面的
www.baidu
.）,则查询的仅是该域名。
2. 如果传入的域名是`相对'域名，且该域名中包含的`.'的数目大于或等于option ndots:${n}命令指定的数,则查询的仅是该域名。
3. 如果不是绝对域名，且传入的域名包含的`.'的数目少于option ndots:${n}命令指定的数，则resolver会依次往传入的域名后追加search列表中的后缀，直到解析出ip地址，或者解析完列表中所有后缀才会停止。

搜索列表利弊？
由上分析可见，如果search列表较长并且查询了不存在的域名的话，网络上的dns查询报文量会急剧增加，并且可能引发dos攻击。但是搜索列表的一个好处是对于一些常用的域，我们只要输入主机名就可以了，不用每次都输入后面的域名，这在有些时候是挺简洁的（比如在内网中经常要访问不同的机器，search列表便可省很多事）

p.s. options ndots:${n}默认值为1

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/58778/showart_2016059.html

wheel

resolv.conf里只留 search localhost