域名的概念与机制PPT学习课件.ppt

1、,域名的概念与机制,RFC1034、1035介绍,2013-8-30,技术研发中心,1,2 域名空间和资源记录(DNS and RR),3 域名服务器(NS),4 解析器(Resolver),5 常用结构,2,域名的历史,主机名与IP地址映射需求 IP地址难于记忆 能否用便于记忆的名字来映射IP地址？,3,域名的历史,Hosts文件 Hosts文件记录了主机名和IP地址的映射信息 由NIC(Network Information Center)负责维护HOSTS.TXT,4,DNS（Domain Name System）,DNS系统的作用 提供了主机名和IP地址间的转换 DNS系统的模式 采用

2、C/S结构 DNS系统的结构 具有树状结构的，联机分布式数据库系统,5,基于使用的一些假设,数据库的初始大小和使用系统的主机成正比，但最终会和用户的数目成正比 大部分的数据改变比较慢，但是系统能够处理一些快速变化的子集 由相应的组织负责分布式数据库的维护 由于数据十分敏感且重要，一定要保证正确性 查询时要避免循环查询 域名系统假设所有的数据是在一个主文件中保存，这个主文件的内容分布存储于系统中的各台主机上，用户通过标准的查询程序Resolover查询,6,基于使用的一些假设,系统管理员需要提供： 区域（Zone）边界定义 主文件数据 主文件更新 更新策略描述 域名系统需要提供 源数据的标准格式

3、 查询数据库的标准方法 从其他服务器上更新数据的标准方式,7,DNS组成,域名空间和资源记录(Domain Name Space and Resource Records) 域名空间是一个树状结构，资源记录是与名字相关的一些数据 域名服务器(Name Servers) 保存域名树结构和相应的信息，可以缓冲各种数据，保存域名树中的任何部分 解析器(Resolvers) 向域名服务器提出查询请求并将结果返回给客户的程序,8,1 DNS背景介绍,3 域名服务器(NS),4 解析器(Resolver),5 常用结构,9,定义和名词,域是因特网中一种管理范围的划分 顶级域、二级域、三级域（子域）等 DN

4、S域名结构是包括多级域名的分层架构 顶级域名、二级域名、三级域名（子域名）等 不同等级的域名之间使用点号分隔，级别最低的域名写在最左边 每一级的域名都由字母和数字组成，不区分大小写 域名的根域用”.”表示，以点号结尾的域名称为绝对域名,10,定义和名词,11,域名命名规则, := | := | . := := | := | - := | := az、AZ := 09,例如： A.ISI.EDU XX.LCS.MIT.EDU SRI-NIC.ARPA,12,RR定义,13,RR定义,14,RR 定义,15,RR的文本表示,16,Master Files,主文件：包含RR信息的文本文件。常以RR的

5、列表的形式来定义区 格式 $ORIGIN $INCLUDE ,17,Master Files,当主文件用于定义区时，需要注意： 1、文件中的所有RR必须含有相同的类 2、区顶点必须是一个SOA RR 3、如果存在授权同时又要求有glue信息，则glue信息必须存在 4、区中权威节点以外的信息必须是glue信息,18,主名和别名,现存的系统中有时会对相同的资源有不同的命名 主机、邮箱 指定其中一个为统一命名（主名），其余的为别名 域名系统提供使用统一命名的机制（CNAME RR） CNAME RR中owner为别名，RDATA部分为统一命名 如果一个节点存在CNAME RR，不应该有其他的数据,

6、19,RDATA-CNAME,CNAME,不会处理Additional段，但是NS可能会重新发起一个针对主名的查询,20,RDATA-MX,MX PREFERENCE: 16位值，相同域名下RR的优先级，数值越小，优先级越高 EXCHANGE：域名，指定可以充当邮件交换系统的主机 Additional段为EXCHANGE指定主机的地址,21,RDATA-NS,NS NSDNAME：指定类和域的权威认证的主机 NS记录中可以利用Additional段内容来查找A记录，或者作为参照使用时，发起一个属于glue信息的区的查找,22,RDATA-PTR,PTR PTRDNAME：指向域名空间某一位置的

7、域名 与CNAME类型，不需要处理Additional段,23,RDATA-SOA,SOA,24,RDATA-A,A ADDRESS：32位网络地址（2 or ） 不需要处理Additional段。,25,查询,查询：发向NS并要求响应的一个请求 以UDP或TCP形式进行传输 响应可以是查询结果、另一个NS地址或者错误信息 请求和响应有标准格式 主要使用的有标准查询、反向查询（可选） 查询信息的格式,26,查询,Header,27,标准查询,标准查询格式： QNAME QTYPE 任意一种type类型 AXFR进行整个区传输的请求 MAILB邮箱相关记录的请求

8、 *所有记录 QCLASS 任意一种class类型 *任意一种class,28,标准查询,QNAME=ISI.EDU，QTYPE=MX，QCLASS=IN Response： Answer section： Additional section：,29,反向查询（可选）,域字服务器反映资源和域名之间的映射关系 标准查询：将域名映射到SOA RR 反向查询：映射SOA RR到域名 主要用于调试以及和数据库支持相关的活动 不返回正确的TTL 查询结果不进行缓存 映射主机地址到主机名时，要用IN-ADDR.ARPA域,30,反向查询（可选）,31,IN-ADDR.ARPA域,逆向解析域（ IN-AD

9、DR.ARPA ）：实现逆向域名解析 与反向查询的区别：该域名空间是根据基于地址的结果，因此可以保证查找到正确的数据而不用遍历整个域名树 域名：除IN-ADDR.ARPA后缀外，最多有4个标签 对于指定的主机或网关，IN-ADDR.ARPA域和普通的域可能在不同的zone中，两者的数据有可能不相同 网关在不同域中的名字可能不同，只有一个是主名 系统利用域数据库进行路由的初始化时必须有足够的网关信息以保证可以访问到正确的NS 例：70 18.,32,1 DNS背景介绍,2 域名空间和资源记录(DNS and RR),4 解析

10、器(Resolver),5 常用结构,33,域名服务器（NS）,NS用于存储构成域名数据库的信息 NS的最基本工作是响应查询 NS的数据被分成很多部分，称为区（Zone）： 一个给定的区可以根据不同的NS来保证其有效性 给定的NS通常支持一个或多个区 区的划分方式有2种：class、cut 所有的区至少有一个节点，域名和所有特定区内的节点都是相连的 利用树形结构最靠近根的节点来标记一个区,34,区（Zone）,区的数据包含4个主要部分 区中所有节点的认证数据 定义区内顶节点的数据 NS RR SOA RR 描述代表子区的数据 访问服务器子区的数据（glue数据） 所有这些数据都以RR的形式表示

11、，所有区可以用RR集的形式描述,35,区的维护和传输,区管理员的部分工作就是维护所有服务器上的区数据，当必须修改时，修改需要通知到所有的NS。 通常的自动更新模式是一个服务器是区的主服务器，管理员对区内的域名文件（master file）进行修改，修改后管理员通知主服务器装载新的数据，其它的非主服务器定期和主服务器进行同步。 为了知道是否发生了修改，非主服务器必须检查SOA的SERIAL域，只要有改变，SERIAL域就会改变。 当查询后知道区内的数据已经改变，非主服务器必须通过AXFR请求请求主服务器传送区数据。AXFR可能会被拒绝而产生错误，但是通常情况下会得到一系列响应信息。,36,查询和

12、响应,服务器的响应取决于是否支持递归查询 递归查询（ Recursive ） 查询方只送出一个查询， 由NS完成其它所需的查询后响应 返回本地信息或者错误码 使用递归需要客户端、服务器双方都支持 非递归查询（Non-Recursive or Iterator） 每一个查询直接给予指示性的响应， 由使用者端再进行后续的查询 返回本地信息或邻近NS的地址或者错误码,37,NS算法,Step 1：是否支持递归查询，如果支持，转Step 5； Step 2：查询最靠近QNAME ancestor的节点所在的区，如未找到，转Step 4； Step 3：在区内从上到下进行匹配，匹配结束的条件有以下几个：

13、 如果整个QNAME匹配，就找到了。 如果数据为CNAME，QTYPE不匹配CNAME，复制CNAME RR到answer段，QNAME变为CNAME RR的统一命名，转Step 1；否则复制所有匹配QTYPE的RR到answer段，转Step 6 获得一个参照（referral），复制NS RR到authority段，其他段随便放上什么地址或者关联RR，转Step 4 不可能匹配时，查看是否存在”*”。如果不存在，响应中设置错误并退出；否则，以RR和QTYPE匹配，匹配成功，复制到answer段，将RR的owner设为QNAME，转Step 6,38,NS算法,Step 4：在cache中进

14、行匹配，如果找到QNAME，复制所有匹配QTYPE的RR到answer段，如果没有从认证权威来的授权，在cache中找最好的复制到authority段，转Step 6； Step 5：使用本地resolver响应请求。保存中间CNAME在内的结果到answer段到应答中； Step 6：仅使用本地数据，并试着加入其它可能有用的RR到查询的additional段，然后退出。,39,通配符（Wildcards）,Wildcards：以”*”作为域名开头的RR 查询结果不能缓存 不适用于以下情况： 查询是在别的区中 如果区中已经存在了它代表的某个域 例如：Wildcard RR有”*.X”，如果区中

15、已经包含了B.X，则*.X不代表B.X、A.B.X或X，而只能代表Z.X,40,否定响应缓冲（可选）,否定响应缓冲：服务器返回一个否定响应和一个TTL，Resolver可以认为在TTL的时间之内相同的查询都会获得否定响应。 实现的方法是当数据是被认证时服务器加入一个SOA RR到响应的附加区域。,41,1 DNS背景介绍,2 域名空间和资源记录(DNS and RR),3 域名服务器(NS),5 常用结构,42,解析器（Resolver）,Resolver：通常以函数库的方式嵌在操作系统中，负责接收各类应用程序的DNS查询请求，并把请求转发给域名服务器。解析器与域名服务器之间存在两种工作方式，

16、递归式和非递归式。且域名服务器之间使用的也是这两种工作方式。 典型函数： 主机名到主机地址的解析 主机地址到主机名的解析 常用查询功能,43,解析器（Resolver）,Resolver的实现步骤： 将用户请求转化为查询报文 发送查询 尽可能地使查询得到解答 查询时间尽可能地短 避免过度的查询 处理应答 解析应答数据 匹配应答数据和查询,44,Resolver的资源,Resolver可以访问本地服务器保存的区数据；本地信息指缓冲和共享区数据，在有认证数据和缓冲数据时应该优先使用认证数据,45,Cache的使用,不可以被缓存的数据类型： 当对于某个owner name来说，相同类型的多个RR都是

17、可用的，Resolver应该缓存所有的RR或者都不缓存。当应答被裁剪而resolver无法知道它是否是一个完整的数据集时，应答不应该被缓存，因为很可能只是RR的一部分。 缓存数据永远比权威认证数据优先级低，因而这种情况可能发生的场景数据不应该被缓存。 反向查询的结果不应该被缓存。 QNAME中包含”*”标签的标准查询结果不应该缓存。,46,Resolver的算法,Step 1：在本地信息中查找，如果找到直接返回给客户端； Step 2：找到最合适的用于查询的服务器； Step 3：向这些服务器发出请求，直到得到响应； Step 4：分析结果： 如果响应给出了结果或包含名字错误，缓存数据并返回给客户端 如果响应指出更合适