背景:
由于公司员工较多,且有×××需求,对DNS有较高要求
×××基本原理:
dns解析+路由分流
1、dns解析使用udp 53端口
公网存在安全设备,伪造dns应答,导致client 收到多次dns应答,client会以最先收到的dns应答为准,一般都是错误的,有人抓包验证过
命令:nslookup www.google.com 8.8.8.8
2、dns解析使用tcp 端口
部分童鞋不死心觉得使用tcp 解析应该没有问题,实际上有时会出现tcp三次握手成功,但是公网的安全设备会发送tcp rst 报文,中断tcp连接,可能不是每次,但的确有人抓包验证过
nslookup -vc www.google.com 8.8.8.8
3、公网安全设备禁止访问部分国外IP
即便dns解析正确,部分国外网站依然不能访问,所以×××线路才这么值钱(一般通过tunnel或专线的方式与香港连通,然后再到国外)
4、路由分流
国内ct、cu、cm等运营商的公网地址段可以通过公网获取,然后针对这些地址配置明细静态路由,指向国内运营商;配置默认路由指向×××线路
5、×××线路使用
正常的网络访问流量经过×××线路可以绕开的公网安全设备的阻断,同理DNS解析流量经过×××线路也可以绕开公网安全设备的阻断,这就是×××的最核心的内容
DNS架构:
以后有时间再更新....