域名的概念与机制.ppt

IN-ADDR.ARPA域 逆向解析域（ IN-ADDR.ARPA ）：实现逆向域名解析 与反向查询的区别：该域名空间是根据基于地址的结果，因此可以保证查找到正确的数据而不用遍历整个域名树 域名：除IN-ADDR.ARPA后缀外，最多有4个标签 ——对于指定的主机或网关，IN-ADDR.ARPA域和普通的域可能在不同的zone中，两者的数据有可能不相同 ——网关在不同域中的名字可能不同，只有一个是主名 ——系统利用域数据库进行路由的初始化时必须有足够的网关信息以保证可以访问到正确的NS 例：218.30.103.170 170.103.30.218.in-addr.arpa 1 DNS背景介绍 2 域名空间和资源记录(DNS and RR) 3 域名服务器(NS) 4 解析器(Resolver) 5 常用结构 域名服务器（NS） NS用于存储构成域名数据库的信息 NS的最基本工作是响应查询 NS的数据被分成很多部分，称为区（Zone）： 一个给定的区可以根据不同的NS来保证其有效性 给定的NS通常支持一个或多个区 区的划分方式有2种：class、cut 所有的区至少有一个节点，域名和所有特定区内的节点都是相连的 利用树形结构最靠近根的节点来标记一个区 区（Zone） 区的数据包含4个主要部分 区中所有节点的认证数据 定义区内顶节点的数据 NS RR SOA RR 描述代表子区的数据 访问服务器子区的数据（glue数据） 所有这些数据都以RR的形式表示，所有区可以用RR集的形式描述 区的维护和传输 区管理员的部分工作就是维护所有服务器上的区数据，当必须修改时，修改需要通知到所有的NS。 通常的自动更新模式是一个服务器是区的主服务器，管理员对区内的域名文件（master file）进行修改，修改后管理员通知主服务器装载新的数据，其它的非主服务器定期和主服务器进行同步。 为了知道是否发生了修改，非主服务器必须检查SOA的SERIAL域，只要有改变，SERIAL域就会改变。 当查询后知道区内的数据已经改变，非主服务器必须通过AXFR请求请求主服务器传送区数据。AXFR可能会被拒绝而产生错误，但是通常情况下会得到一系列响应信息。 查询和响应 服务器的响应取决于是否支持递归查询 递归查询（ Recursive ） 查询方只送出一个查询， 由NS完成其它所需的查询后响应 返回本地信息或者错误码 使用递归需要客户端、服务器双方都支持 非递归查询（Non-Recursive or Iterator） 每一个查询直接给予指示性的响应， 由使用者端再进行后续的查询 返回本地信息或邻近NS的地址或者错误码 NS算法 Step 1：是否支持递归查询，如果支持，转Step 5； Step 2：查询最靠近QNAME ancestor的节点所在的区，如未找到，转Step 4； Step 3：在区内从上到下进行匹配，匹配结束的条件有以下几个： 如果整个QNAME匹配，就找到了。 如果数据为CNAME，QTYPE不匹配CNAME，复制CNAME RR到answer段，QNAME变为CNAME RR的统一命名，转Step 1；否则复制所有匹配QTYPE的RR到answer段，转Step 6 获得一个参照（referral），复制NS RR到authority段，其他段随便放上什么地址或者关联RR，转Step 4 不可能匹配时，查看是否存在”*”。如果不存在，响应中设置错误并退出；否则，以RR和QTYPE匹配，匹配成功，复制到answer段，将RR的owner设为QNAME，转Step 6 NS算法 Step 4：在cache中进行匹配，如果找到QNAME，复制所有匹配QTYPE的RR到answer段，如果没有从认证权威来的授权，在cache中找最好的复制到authority段，转Step 6； Step 5：使用本地resolver响应请求。保存中间CNAME在内的结果到answer段到应答中； Step 6：仅使用本地数据，并试着加入其它可能有用的RR到查询的additional段，然后退出。 通配符（Wildcards） Wildcards：以”*”作为域名开头的RR 查询结果不能缓存 不适用于以下情况： 查询是在别的区中 如果区中已经存在了它代表的某个域 例如：Wildcard RR有”*.X”，如果区中已经包含了B.X，则*.X不代表B.X、A.B.X或X，而只能代表Z.X 否定响应缓冲（可选） 否定响应缓冲：服务器返回一个否定响应和一个TTL，Resolver可以认为在TTL的时间之内相同的查询都会获得否定响应。 实现的方法是当数据是被认证时服务器加入一个SOA RR到响应的附