免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
1234下一页
最近访问板块 发新帖
查看: 23087 | 回复: 31
打印 上一主题 下一主题

[DNS] dns 感想之一 [复制链接]

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2004-10-01 04:22 |只看该作者 |倒序浏览
维护DNS是我第一份工作(系统管理员)的一小部分内容,表面上DNS协议(Bind是其在 *nix 下的具体实现)只是将域名地址解析为IP地址,维护起来应该算是小CASE吧?恰恰相反,随着时间的流逝,我发现自己对DNS和Bind的了解却越来越少,总有自己无法解答的疑问。最近更在版上看到netman斑竹和abel关于dns反解的精彩讨论,感到自己知识的肤浅和学海无涯的深度!希望自己以后能像 netman 斑竹和 abel 兄那样严谨求实!

如果你觉得自己关于dns还算了解的话,请试着回答以下几个问题:
1、zone数据文件中的@代表什么?IN 代表什么?
2、为什么有时dig可以通过某个nameserver查询,而nslookup却告知无法找到nameserver?
3、什么是lame server?
4、你会做子网段不是8位8位时的IP地址反向解析吗?
5、Internet上是正向解析多还是反向解析多?
6、将zone数据传输功能关闭,你的域内主机就一定安全吗?

这些问题大多在版上都讨论过,请大家到置顶和精华区找答案。

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
2 [报告]
发表于 2004-10-01 10:57 |只看该作者

dns 感想之一

呵呵, 小弟當初是花了兩年時間, 才覺得入門呢~~~  ^_^

论坛徽章:
0
3 [报告]
发表于 2004-10-02 12:44 |只看该作者

dns 感想之一

有意思的问题,我想想看。。。。反正国庆没事做。

1、zone数据文件中的@代表什么?IN 代表什么?
不清楚。。@有一度我把它当作是“本机”来看待的

2、为什么有时dig可以通过某个nameserver查询,而nslookup却告知无法找到nameserver?
我一直都是用dig,没用过nslookup,少数几次在win下用nslookup结果都是解析出来了的。。。

3、什么是lame server?
我也想知道,时常看到日志中有记录,是不是这些是解析失败的记录?

4、你会做子网段不是8位8位时的IP地址反向解析吗?
我这里的掩码已经不是8位了,这个会

5、Internet上是正向解析多还是反向解析多?
反向多

6、将zone数据传输功能关闭,你的域内主机就一定安全吗?
不一定,正确的做法是设置哪些区域能够发起请求?事实上在防火墙上封闭外来对内部53端口的请求比较合适。在bind 9 中新增加的远程控制功能也要正确设置

汗。。。这半年来,一直只是做教育网内自己段的dns解析和内部网用的cache dns,没系统地想过这些问题。。。很惭愧。另外新做了一个可以在redhat上全自动安装的chroot dns包(其实就是bind 9.2.4+一个shell+基本配置),有没有新手需要?需要的话给我发mail

论坛徽章:
0
4 [报告]
发表于 2004-10-05 11:16 |只看该作者

dns 感想之一

很惭愧,自己对阿骁提出一些问题也是一知半解,先试着答一遍,不会的我会去找答案。

1、zone数据文件中的@代表什么?IN 代表什么?
@字面意思是at,dns中通常代表当前域.
IN应该是ineternet

2、为什么有时dig可以通过某个nameserver查询,而nslookup却告知无法找到nameserver?
这个不知道,dig用的很少。但我想是不是在nslookup中没有指定某个nameserver才会这样。

3、什么是lame server?
应该是指因dns设置错误而无法正确解析的错误提示。

4、你会做子网段不是8位8位时的IP地址反向解析吗?
这个没做个,是要在dns上做特殊的配置吗?还是只是把自己的netmask 设置好就行了。回头做做实验。

5、Internet上是正向解析多还是反向解析多?
这个netman和able有着精彩的讨论,就不在多说了。

6、将zone数据传输功能关闭,你的域内主机就一定安全吗?
这里我不知道自己理解对不对,还请高手指点。 zone数据传输应该是指配置主从dnsserver时的数据更新吧,如果关闭后那么slave dns将无法进行更新,比较合理的方法应该设置ip地址段,至于主机的安全我不知道。

另外提一下skylove说的firewall上关闭外网到53端口的访问,我觉得不太可取。如果你只是dns cache可以这样,如果你是dns server那么这样做后internet上将无法解析你所提供的域名,那样间接等于dnsserver down了吧!

有不对之处还望指出。

able兄所提到的技术很多都是闻所未闻的,太强了。值得学习。

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
5 [报告]
发表于 2004-10-08 10:41 |只看该作者

dns 感想之一

公布答案喽!^_^

1、zone数据文件中的@代表什么?IN 代表什么?
@ 代表的是当前变量 $ORIGIN 的值,默认这个值为 zone 的域名。比如你设置了一个 123.net 的 zone ,那么 @ 默认表示 123.net。 IN 则代表 Internet 类。

2、为什么有时dig可以通过某个nameserver查询,而nslookup却告知无法找到nameserver?
nslookup 在启动时会向 dns server 发送一个反向解析,查询 dns server 的 IP 地址是否做了反向解析,如果 dns server 没做本机的反向解析,那么 nslookup 会告知找不到 ns。而 dig 则不做这个操作,因此不会有这样的情况。

3、什么是lame server?
http://www.menandmice.com/online_docs_and_faq/glossary/glossarytoc.htm?lame.server.htm
去这个地址看看吧!

4、你会做子网段不是8位8位时的IP地址反向解析吗?
http://bbs.chinaunix.net/forum/viewtopic.php?t=385903&show_type=&postdays=0&postorder=asc&start=0
看看这个帖子吧,或者你找一本《dns and bind》看看。

5、Internet上是正向解析多还是反向解析多?
反解多

6、将zone数据传输功能关闭,你的域内主机就一定安全吗?
这样也不安全的。现在大部分的域虽然都限制了 zone 数据传输,但有心者只需要通过反向扫描解析你的IP地址网段,一样能找到域内的主机哦。这也是 isc.org 统计 Internet 主机的方法。http://www.isc.org/ops/ds/new-survey.php

论坛徽章:
0
6 [报告]
发表于 2004-10-08 23:49 |只看该作者

dns 感想之一

谢谢,看了又学到一些,谢谢楼主和abel的评说

论坛徽章:
0
7 [报告]
发表于 2004-10-08 23:57 |只看该作者

dns 感想之一

原帖由 "风往南吹" 发表:
另外提一下skylove说的firewall上关闭外网到53端口的访问,我觉得不太可取。如果你只是dns cache可以这样,如果你是dns server那么这样做后internet上将无法解析你所提供的域名,那样间接等于dnsserver down了吧!


恩,是我没说清楚,事实上我说的的确是做cache的情形,而如果是对外服务,当然是不能封的啦,否则别人的请求怎么进来!??对不。。。。。

论坛徽章:
0
8 [报告]
发表于 2004-10-09 14:58 |只看该作者

dns 感想之一

又学到了一点:)感谢

论坛徽章:
0
9 [报告]
发表于 2004-10-09 15:35 |只看该作者

dns 感想之一

看来,我是不能在朋友面前再吹了T_T

论坛徽章:
0
10 [报告]
发表于 2004-10-24 11:30 |只看该作者

dns 感想之一

涨见识,有所收获! 谢谢!!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP