DNS (Sistema de nombres de dominio), la función principal es convertir el nombre de dominio a IP. Este artículo explica principalmente algunos conocimientos básicos de DNS y el proceso de conversión de nombre de dominio de DNS.
¿Qué es DNS?
comando de excavación
La gran mayoría de las comunicaciones de la red se basan en el protocolo TCP/IP, y la base del protocolo TCP/IP es IP, por lo que la comunicación entre los equipos de la red se basa en IP en lugar del nombre de dominio que ingresamos en el navegador. DNS es el Sistema de Nombres de Dominio en todo momento, y su función es realmente muy simple, es decir, traducir el nombre de dominio de entrada a la IP correspondiente.
Usar el comando dig puede ayudarnos a comprender qué está haciendo el DNS.
comando de excavación
Parámetros de consulta y algunas estadísticas.
La información que desea consultar, por ejemplo, esta vez está buscando el registro A (dirección IP real) de ditu.amap.com .
La información de respuesta del servidor DNS, después de saltar a través de varios registros CNAME, encuentra el registro A final, 203.119.214.249, que es lo que queremos que haga el servicio DNS por nosotros: nombre de dominio --> IP.
Parte de la información de transmisión, el servidor DNS utilizado por esta máquina, el consumo de tiempo de consulta, el tamaño del mensaje, etc.
concepto basico
Tipo de registro DNS
La correspondencia entre el nombre de dominio y la IP se denomina "registro". Según los escenarios de uso, los "registros" se pueden dividir en diferentes tipos (tipos), como hemos visto anteriormente, hay registros A y registros CNAME.
Los tipos de registro comúnmente utilizados son los siguientes:
tipo |
nombre |
ilustrar |
A |
Registro de dirección (Dirección) |
Devuelve la dirección IP a la que apunta el nombre de dominio |
CNOMBRE |
Registro de dirección (Dirección) |
Devuelve otro nombre de dominio, es decir, el nombre de dominio actualmente consultado es un salto a otro nombre de dominio |
NS |
Registros del servidor de nombres (servidor de nombres) |
Devuelve la dirección del servidor que guarda la información del nombre de dominio del siguiente nivel. Este registro solo se puede configurar como un nombre de dominio, no como una dirección IP. Para garantizar la confiabilidad del servicio, NS generalmente tiene al menos 2 entradas |
MX |
Registros de correo (Correo de intercambio) |
Devuelve la dirección del servidor que recibe el correo electrónico. |
PTR |
Registro de consulta inversa (registro de puntero) |
Solo se usa para buscar nombres de dominio a partir de direcciones IP |
La composición del nombre de dominio.
域名的组成结构为:主机名.次级域名.顶级域名.根域名
在第一个图中可以看到每个域名跟我们印象的域名不大相同,在每个域名的后面都会跟一个“.”。这是因为实际上所有的域名后面都有一个“.”,而这个点其实是“.root”的缩写代表的是“根域名”。而根域名对所有的域名都相同,所以在平时的使用中可以省略,而在域名解析中却是至关重要。
根域名的下一级,叫做"顶级域名"(top-level domain,缩写为 TLD),比如 .com、.cn;再下一级叫做"次级域名"(second-level domain,缩写为 SLD),比如 ditu.amap.com 里面的 .amap,这一级域名是用户可以注册的;再下一级是主机名(host),比如 ditu.amap.com 里面的 ditu,又称为"三级域名",这是用户在自己的域里面为服务器分配的名称,是用户可以任意分配的。
ditu(三级域名).amap(次级域名).com(顶级域名).root(根域名)
查询过程
DNS 服务是根据域名层级,分级进行查询,从根域名开始,依次查询每一级域名的 NS 记录,直到查到最终的 IP 地址。
从"根域名服务器"查到"顶级域名服务器"的 NS 记录和 A 记录(IP 地址)
从"顶级域名服务器"查到"次级域名服务器"的 NS 记录和 A 记录(IP 地址)
从"次级域名服务器"查出"主机名"的 IP 地址
根域名服务器
我们可以看到查找过程是从“根域名服务器”开始,那么从哪里知道“根域名服务器”呢?其实“根域名服务器"的 NS 记录和 IP 地址一般是不会变化的,所以内置在 DNS 服务器里面,世界上一共有十三组根域名服务器,从 a.root-servers.net 一直到 m.root-servers.net
DNS 解析过程
DNS解析
DNS解析
有了以上的知识后,借助 dig 命令 +trace 可以看到 DNS 整体的分级查询过程,其中黄色框中是逐级要获取的域名地址,红色框中是从哪里获取的结果,我们可以看到首先获取的是a-m的根域名服务地址,再逐级获取 .com-->amap.com-->ditu.amap.com,最终我们可以得到一条名为zone.wagbridge.gaode.com. 的 CNAME 记录。
我们可以使用 dig ns amap.com 来查看每级的 NS 记录信息,同样可以印证上图里面 ditu.amap.com 的数据返回地址。
dig ns
Q&A
为什么要有 CNAME
这对于需要在同一个IP地址上运行多个服务的情况来说非常方便。若要同时运行文件传输服务和 Web 服务,则可以把 ftp.example.com 和 www.example.com 都指向 DNS 记录 example.com,而后者则指向 IP 地址的 A 记录。如此一来,若服务器 IP 地址改变,则只需修改 example.com 的 A 记录即可。
DNS 解析中的 DS,RRSIG 是什么
DNS 的原始设计不包含任何安全细节,域名系统安全扩展(DNSSEC)尝试在其中添加安全性,同时仍保持向后兼容性。DNSSEC 旨在保护应用程序,免受伪造或不当操纵的 DNS 数据所造成的影响(例如域名服务器缓存污染的数据)。来自 DNSSEC 保护区的所有答案都经过数字签名。通过检验数字签名,DNS 解析器可以核查信息是否与区域所有者发布的信息相同(未修改和完整),并确系实际负责的 DNS 服务器所提供。
新增三种资源记录类型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)。
DNS 原理入门
维基百科
台湾大学