1、Page 1問題的提出問題的提出 主機的物理地址和主機的物理地址和IP地址都是數字形式的，人難于理地址都是數字形式的，人難于理解和記憶，解和記憶，TCP/IP在應用層采用字符型的主機名稱，在應用層采用字符型的主機名稱，稱為稱為域名域名。因此，。因此，TCP/IP形成了形成了三個層次的主機標識三個層次的主機標識。 如某個網絡服務器：如某個網絡服務器：35-A3-90-17-B4-FC ， 1， IP地址與物理地址的映射可以使用網絡層的地址與物理地址的映射可以使用網絡層的ARP和和RARP協議，那么應用層的域名和網絡層的協議，那么應用層的域名和網絡層的IP地址如地址如何映射

2、呢？何映射呢？ 因特網早期采用主機文件實現映射，而現在因特網采因特網早期采用主機文件實現映射，而現在因特網采用用域名系統域名系統DNS進行映射。進行映射。Page 2第第9章章 域名系統域名系統(DNS)9.1 命名機制與名字管理命名機制與名字管理9.2 因特網域名因特網域名9.3 DNS服務器服務器9.4 域名解析域名解析9.5 DNS報文格式報文格式9.6 DNS資源記錄資源記錄9.7 DNS配置及數據庫文件配置及數據庫文件Page 39.1 命名機制與名字管理命名機制與名字管理 網絡中網絡中通常采用的命名機制有兩種通常采用的命名機制有兩種：無層次命名機制：無層次命名機制和層次型命名機制。

3、和層次型命名機制。 無層次無層次(flat)命名機制：命名機制：早期因特網采用，主機名用一早期因特網采用，主機名用一個個字符串字符串表示，表示，沒有任何結構沒有任何結構。 為了保證名字的全局為了保證名字的全局惟一性，采用惟一性，采用集中式管理方式集中式管理方式，名字，名字地址映射通常地址映射通常通過通過主機文件主機文件完成。完成。 缺點缺點：不適合大型網絡，隨著網絡中對象的增加，管：不適合大型網絡，隨著網絡中對象的增加，管理機構的工作量也會增加，而且容易出現名字沖突。理機構的工作量也會增加，而且容易出現名字沖突。Page 4 層次型命名機制：層次型命名機制：將名字空間分成若干子空間，將名字空間

4、分成若干子空間，每個機構負責一個子空間的管理。每個機構還每個機構負責一個子空間的管理。每個機構還可以將子名字空間進行進一步劃分，授權給下可以將子名字空間進行進一步劃分，授權給下一級機構，而下一級又可以繼續劃分他所管理一級機構，而下一級又可以繼續劃分他所管理的名字空間。這樣一來，的名字空間。這樣一來，名字空間呈一種樹形名字空間呈一種樹形結構結構，樹上的每一個節點都有一個相應的標號。，樹上的每一個節點都有一個相應的標號。Page 5 Root 圖9-1 層次型名字空間 cn edu njust serv edu com arpa cn. . . . 域名 標號 頂級域 次級域 子域 主機 層次 P

5、age 6 樹的根是惟一的，所以不需要標號。樹的葉結點樹的根是惟一的，所以不需要標號。樹的葉結點是那些需要根據名字去尋址的主機（通常是網絡是那些需要根據名字去尋址的主機（通常是網絡上的服務器）。上的服務器）。 惟一性惟一性：每個機構或子機構向上申請自己的名字：每個機構或子機構向上申請自己的名字空間，并向下分配子名字空間。每個機構或子機空間，并向下分配子名字空間。每個機構或子機構只要構只要保證自己所管理的下一級標號不發生重復保證自己所管理的下一級標號不發生重復就可以保證所有的名字不重復。就可以保證所有的名字不重復。 管理管理：通過層次化的名字結構，將名字空間的管：通過層次化的名字結構，將名字空間

6、的管理工作理工作分散分散到多個不同層次的管理機構上，減輕到多個不同層次的管理機構上，減輕了單個管理機構的工作量，提高了效率。了單個管理機構的工作量，提高了效率。 映射映射：每個機構內都有域名服務器每個機構內都有域名服務器用于存儲某個用于存儲某個范圍內設備的名字范圍內設備的名字-地址映射信息。地址映射信息。 當前當前因特網采用就是這種層次型命名機制因特網采用就是這種層次型命名機制。Page 79.2 因特網域名因特網域名 根據系統采用的是無層次命名機制還是層次型根據系統采用的是無層次命名機制還是層次型命名機制，主機名可以通過命名機制，主機名可以通過主機文件主機文件或者或者域名域名系統系統DNS進

7、行轉換。進行轉換。 用主機文件進行名字解析時，每個需要進行名用主機文件進行名字解析時，每個需要進行名字解析的主機都擁有一個字解析的主機都擁有一個HOSTS文件。因特網文件。因特網早期使用，現在，小型網絡仍然可以采用這種早期使用，現在，小型網絡仍然可以采用這種方式。方式。 下面是下面是Windows系統中的系統中的HOSTS文件。文件。Page 8# This is a sample HOSTS file used by Microsoft # TCP/IP for Windows.# This file contains the mappings of IP addresses to # ho

8、st names. # Each entry should be kept on an individual line. The # IP address should be placed in the first column # followed by the corresponding host name.# The IP address and the host name should be# separated by at least one space.# Additionally, comments (such as these) may be # inserted on ind

9、ividual lines or following the machine # name denoted by a # symbol.# For example:# 7 # source server# 0 # x client host localhostPage 9域名系統域名系統DNS是在是在1984年為取代年為取代HOSTS文件文件而創建的層次型名字系統。而創建的層次型名字系統。 域名系統的層次結構域名系統的層次結構： 根域根域（Root）位于）位于DNS的最高層，一般不出的最高層，一般不出現在域名中?，F在域名中。 頂級域

10、頂級域又稱為又稱為一級域一級域，頂級域可以分為類：，頂級域可以分為類：通通用頂級域名用頂級域名gTLD、國家代碼頂級域名國家代碼頂級域名ccTLD和和反向域反向域。1. 通用頂級域名通用頂級域名gTLD： com、org和和net：任何國家的用戶都可申：任何國家的用戶都可申請注冊它們下面的二級域名。請注冊它們下面的二級域名。mil、gov和和edu只向美國專門機構開放。只向美國專門機構開放。int是用于國際化機構是用于國際化機構的頂級域名（的頂級域名（iTLD）。）。Page 10 通用頂級域名通用頂級域名 域名 域 com 商業組織商業組織 net 主要網絡支持中心主要網絡支持中心 org

11、上述以外的組織上述以外的組織 edu 教育機構教育機構(美國美國) gov 政府部門政府部門(美國美國) mil 軍事部門軍事部門(美國美國) int 國際組織國際組織Page 11上述上述7個通用頂級域供不應求，后來又新增了個通用頂級域供不應求，后來又新增了7個通用頂個通用頂級域：級域：biz、info、name、pro、aero、coop和和museum。2. 國家代碼頂級域名國家代碼頂級域名ccTLD：由二個字母來表示。由二個字母來表示。ukuk代表英國，代表英國，hkhk代表香港代表香港( (地區地區) )， sgsg代表新加坡。代表新加坡。3. 反向域：反向域：頂級域名為頂級域名為a

12、rpa，用于實現，用于實現IP地址到域名地址到域名的反向解析。的反向解析。 次級域次級域又叫又叫二級域二級域，次級域與具體的公司或組織相關聯。，次級域與具體的公司或組織相關聯。 子域子域是次級域下面的域，是各個組織將名字空間進行的是次級域下面的域，是各個組織將名字空間進行的進一步劃分。進一步劃分。 主機名主機名(Host Name)是最末級的名字。是最末級的名字。Page 12域和區域是不同的概念。每個域和區域是不同的概念。每個域域/子域子域對應一棵子樹，對應一棵子樹，而而區域區域（Zone）是名字空間的管理中采用的概念，）是名字空間的管理中采用的概念，通常是指一個通常是指一個DNS服務器所管

13、理的名字空間。服務器所管理的名字空間。 域是一棵完整的子樹域是一棵完整的子樹，而，而區域可以是子樹中的任何區域可以是子樹中的任何一部分一部分。根根INTCNMILNETCOMJPIBMintelengwwwjackedunetnjustwwwftp域與區域域與區域Page 13DNSDNS由由3 3個部分個部分構成：構成：名字解析器名字解析器(resolver)(resolver)：DNSDNS客戶機。名字客戶機。名字解析器請求名字服務器的服務，目的是獲得解析器請求名字服務器的服務，目的是獲得目標主機的目標主機的IPIP地址。地址。名字服務器名字服務器(name server)(name se

14、rver)：DNSDNS服務器。服務器。名字服務器用于保存域名名字服務器用于保存域名/IP/IP地址的映射信地址的映射信息，響應名字解析請求。息，響應名字解析請求。域名空間域名空間：用樹形結構組織的：用樹形結構組織的DNSDNS數據庫，數據庫，是名字服務器給出響應的依據。是名字服務器給出響應的依據。返回返回Page 149.3 DNS服務器服務器DNS服務器服務器獲取域名獲取域名-地址映射信息的方法地址映射信息的方法： 由管理員編輯一個原始區域文件由管理員編輯一個原始區域文件 從其他名字服務器那里復制區域文件從其他名字服務器那里復制區域文件 通過向其他名字服務器查詢來獲取具有一定時效的通過向其

15、他名字服務器查詢來獲取具有一定時效的緩存信息緩存信息 名字服務器名字服務器的三種主要的三種主要類型類型： 主名字服務器主名字服務器 次名字服務器次名字服務器 惟高速緩存名字服務器惟高速緩存名字服務器Page 15 主名字服務器主名字服務器：擁有區域文件原始版本的服務器。：擁有區域文件原始版本的服務器。關于該區域文件的任何變更都在這個主名字服務關于該區域文件的任何變更都在這個主名字服務器的原始版本上進行。器的原始版本上進行。 次名字服務器：次名字服務器：從某個主名字服務器那里從某個主名字服務器那里復制一復制一個區域文件個區域文件，該區域文件是一個，該區域文件是一個只讀版本只讀版本。次名。次名字服

16、務器通過區域傳輸跟隨主名字服務器上區域字服務器通過區域傳輸跟隨主名字服務器上區域文件的變化。文件的變化。 惟高速緩存名字服務器惟高速緩存名字服務器上沒有區域文件，它的職上沒有區域文件，它的職責是幫助名字解析器完成名字解析，并責是幫助名字解析器完成名字解析，并緩存解析緩存解析結果結果。此類服務器對名字的解析是。此類服務器對名字的解析是非授權非授權的。此的。此類服務器在啟動之后，類服務器在啟動之后，通過通過緩存緩存相關查詢結果來相關查詢結果來逐漸建立逐漸建立DNS信息信息。緩存條目的生存期。緩存條目的生存期TTL由授由授權解析的名字服務器決定。權解析的名字服務器決定。Page 169.4 域名解析

17、域名解析 域名解析包括：域名解析包括： 正向解析正向解析：根據域名查詢其對應的：根據域名查詢其對應的IP地址或其他相地址或其他相關信息關信息 反向解析反向解析：根據：根據IP地址查詢其對應的域名地址查詢其對應的域名 解析的過程：解析的過程： 遞歸解析遞歸解析（Recursive resolution） 反復解析反復解析（iterative resolution）Page 179.4.1 遞歸解析遞歸解析 遞歸解析遞歸解析強迫強迫DNS服務器對請求做出響應，該服務器對請求做出響應，該響應或者是一個失敗響應，或者是一個包含解響應或者是一個失敗響應，或者是一個包含解析結果的成功響應。析結果的成功響應

18、。 客戶端計算機的解析器通常會發出遞歸查詢客戶端計算機的解析器通常會發出遞歸查詢。Page 18域名的遞歸解析域名的遞歸解析假設域名為假設域名為的客戶的客戶機要解析域名為機要解析域名為的的計算機的計算機的IP地址地址客戶edu根服務器 Page 199.4.2 反復解析反復解析特點：由客戶端本身反復尋求名字服務器的服務特點：由客戶端本身反復尋求名字服務器的服務來獲得最終的解析結果。來獲得最終的解析結果。名字服務器收到請求后，名字服務器收到請求后，若能夠給出解析結果，則發回結果，若無法給出若能夠給出解析結果，則發回結果，若無法給出解析結果，則向查詢者提供

19、它認為能夠給出解析解析結果，則向查詢者提供它認為能夠給出解析結果的服務器的結果的服務器的IP地址。請求者收到后將向該地地址。請求者收到后將向該地址發解析請求。此過程一直進行下去，直到獲得址發解析請求。此過程一直進行下去，直到獲得最終解析結果或失敗響應。最終解析結果或失敗響應。 當一個名字服務器試圖解析它所在區域之外的名當一個名字服務器試圖解析它所在區域之外的名字時，往往會發送反復查詢。字時，往往會發送反復查詢。Page 20域名的反復解析域名的反復解析如：客戶如：客戶要解析要解析的域名時的域名時客戶edu根服務器 12435678910Page 21

20、9.4.3 反向解析反向解析 反向解析：由主機的反向解析：由主機的IP地址求得其域名的過地址求得其域名的過程程。為此。為此DNS在名字空間中設置了一個稱為在名字空間中設置了一個稱為 的特殊域，專門用于反向解析。的特殊域，專門用于反向解析。 為了與正向解析使用相同的查找方法，反為了與正向解析使用相同的查找方法，反向解析將向解析將IP地址的字節顛倒過來寫，構成反向地址的字節顛倒過來寫，構成反向解析的解析的“名字空間名字空間”。26的的IP地地址在反向解析請求中應該這樣寫：址在反向解析請求中應該這樣寫： 02.in-addr.a

21、rpa. 處理反向域的服務器也是分級的。處理反向域的服務器也是分級的。Page 22 Root 圖9-5 IP 地址為26的主機的逆向解析域名 cn edu serv edu com arpa in-addr 202 119 80 126 域名 njust arpa. 02.. 80.119.202.. 119.202.. 202.. . Page 239.4.4 解析效率解析效率為了提高解析效率：為了提高解析效率： 1. 采用

22、了采用了兩步名字解析機制：兩步名字解析機制：解析時，第一步解析時，第一步先通過本地名字服務器進行解析，若不行，再先通過本地名字服務器進行解析，若不行，再搜索各級名字服務器。搜索各級名字服務器。 2. 在各名字服務器中使用了在各名字服務器中使用了高速緩存技術高速緩存技術，存，存放最近解析過的本服務器區域之外的映射和解放最近解析過的本服務器區域之外的映射和解析該映射的服務器位置信息，可避免每次解析析該映射的服務器位置信息，可避免每次解析非本地名字時都進行自頂向下的搜索。非本地名字時都進行自頂向下的搜索。Page 24 高速緩存的有效性問題：高速緩存的有效性問題：若授權名字服務器中的映射若授權名字服

23、務器中的映射信息已發生變化而高速緩存未能作相應刷新，則會導信息已發生變化而高速緩存未能作相應刷新，則會導致解析錯誤。致解析錯誤。 解決方法解決方法： 服務器向解析器給出緩沖中的地址映射信息時，服務器向解析器給出緩沖中的地址映射信息時，必須必須注明該信息是非授權的信息注明該信息是非授權的信息，同時還指出能，同時還指出能夠給出授權信息的名字服務器的地址。若解析器夠給出授權信息的名字服務器的地址。若解析器僅注重效率，它可以立即使用此非授權的結果；僅注重效率，它可以立即使用此非授權的結果；若解析器注重解析的準確性，則可以立即向授權若解析器注重解析的準確性，則可以立即向授權服務器發出解析請求，以便獲得準

24、確的結果。服務器發出解析請求，以便獲得準確的結果。 高速緩存中的高速緩存中的每一條映射信息都有一個生存時間每一條映射信息都有一個生存時間TTL，一旦某條目的，一旦某條目的TTL時間到，便將它從緩沖區時間到，便將它從緩沖區中刪除。中刪除。 事實上，由于域名事實上，由于域名地址映射關系具有穩定性，名字地址映射關系具有穩定性，名字緩存機制還是非常有效的。緩存機制還是非常有效的。Page 259.5 DNS報文格式報文格式DNS協議屬于協議屬于TCP/IP模型的模型的應用層應用層，DNS既可以使用既可以使用UDP，也，也可以使用可以使用TCP來進行通信來進行通信，使用，使用UDP/TCP的的53號熟知

25、端口號熟知端口。DNS報文包括報文包括請求報文請求報文和和響應報文響應報文。請求報文和響應報文的。請求報文和響應報文的格格式是相同的式是相同的。DNS報文的首部由報文的首部由6個字段構成：個字段構成： 標識字段標識字段長度為長度為16比特，用于匹配請求和響應。比特，用于匹配請求和響應。 標志字段標志字段長度為長度為16比特，劃分為如圖比特，劃分為如圖9-7所示的若干子字段。所示的若干子字段。 QR子字段子字段(1比特比特)：用來區別請求和響應。：用來區別請求和響應。0表示請求報文，表示請求報文，1表示響應報文。表示響應報文。 OpCode子字段子字段(4比特比特)：用來定義操作類型。：用來定義

26、操作類型。 0表示標準查詢（正向解析）表示標準查詢（正向解析） 1表示反向查詢（反向解析）表示反向查詢（反向解析） 2表示服務器狀態請求。表示服務器狀態請求。Page 26 標 識 標 志 問 題 記 錄 數 回 答 記 錄 數 授 權 記 錄 數 附 加 記 錄 數 問 題 部 分 回 答 部 分 授 權 部 分 附 加 信 息 圖 9-6 DNS 報文格式 0 16 31 首部 QR OpCode AA TC RD RA 0 0 0 rCode 圖 9-7 DNS 報文標志字段的格式 1 4 4 1 1 1 1 1 1 1 Page 27標識標識參數參數問題數問題數管理機構數管理機構數附加

27、信息數附加信息數回答數回答數問題部分問題部分回答部分回答部分管理機構部分管理機構部分附加信息部分附加信息部分報頭報頭用于解析器匹配請求和響應用于解析器匹配請求和響應標識標識參數參數問題數問題數管理機構數管理機構數附加信息數附加信息數回答數回答數問題部分問題部分回答部分回答部分管理機構部分管理機構部分附加信息部分附加信息部分問題數問題數管理機構數管理機構數附加信息數附加信息數回答數回答數域名解析詢問（域名解析詢問（2 21616 1 1）個）個 服務器給出的響應服務器給出的響應 對應于做出響應的服務器對應于做出響應的服務器 詢問域名詢問域名 詢問類型詢問類型 詢問類詢問類回答部分回答部分管理機構

28、部分管理機構部分附加信息部分附加信息部分詢問域名詢問域名長度可變長度可變詢問類型詢問類型問題的類型，如問題的類型，如1= IPv4地址，地址，12=指指針針詢問類詢問類所選的協所選的協議類型，議類型，1=因特網因特網參數域位參數域位 意意 義義0 0 （QRQR） 操作：操作：0-0-詢問，詢問，1-1-響應響應1-4 1-4 詢問類型：詢問類型：（OpcodeOpcode） 0-0-標準標準 1-1-逆向逆向 2-2-服務器狀服務器狀 態請求態請求5 5（AAAA） 如果權威性回答則置位如果權威性回答則置位6 6（TCTC） 如果報文被截斷則置位如果報文被截斷則置位7 7（RDRD） 如果希

29、望遞歸則置位如果希望遞歸則置位8 8（RARA） 如果可以遞歸則置位如果可以遞歸則置位9-11 9-11 保留保留12-15 12-15 （rCoderCode） 響應類型：響應類型： 0-無錯無錯 1-1-詢問格式錯詢問格式錯 2- 服務器故障服務器故障 3-名字不存在名字不存在 4-查詢類型不支持查詢類型不支持 5-管理上禁止管理上禁止Page 28DNS報文首部的后面是可變部分，包括四個小部分。報文首部的后面是可變部分，包括四個小部分。 問題部分問題部分由一組問題記錄組成。問題記錄格式如圖由一組問題記錄組成。問題記錄格式如圖 詢 問 名 詢 問 類 型 詢 問 類 圖 9-8 DNS 報

30、文問題記錄格式 0 16 31 詢問名字段可變長，詢問名由標號序列構成，每個標號前有詢問名字段可變長，詢問名由標號序列構成，每個標號前有一個字節指出該標號的字節長度。一個字節指出該標號的字節長度。 詢問類（詢問類（query class）16比特，比特，1表示因特網協議表示因特網協議(IN)。 詢問類型（詢問類型（query type）16比特，定義詢問希望得到的回答比特，定義詢問希望得到的回答類型。域名雖然主要針對主機而言，但由于域名系統的通用類型。域名雖然主要針對主機而言，但由于域名系統的通用性，域名解析既可以用于獲取性，域名解析既可以用于獲取IP地址，也可以用于獲取名字地址，也可以用于獲

31、取名字服務器和主機信息等。為了區分這些不同類型的對象，域名服務器和主機信息等。為了區分這些不同類型的對象，域名系統中每一命名條目都被賦予類型屬性。系統中每一命名條目都被賦予類型屬性。(表表9-3) Page 29表表9-3 常用的類型常用的類型A 1 IPv4地址地址 用于域名到用于域名到IPv4地址的轉換地址的轉換NS 2 名字服務器名字服務器 標識區域的授權名字服務器標識區域的授權名字服務器CNAME 5 正規名正規名 定義主機正規名的別名定義主機正規名的別名SOA 6 授權開始授權開始 標識授權的開始標識授權的開始PTR 12 指針指針 指向其他域名空間的指針指向其他域名空間的指針HIN

32、FO 13 主機信息主機信息 標識主機使用的標識主機使用的CPU和和OSMX 15 郵件交換郵件交換 標識用于域的郵件交換資源標識用于域的郵件交換資源AAAA 28 IPv6地址地址 用于域名到用于域名到IPv6地址的轉換地址的轉換AXFR 252 區域傳輸區域傳輸 請求傳輸整個區域請求傳輸整個區域ANY 255 全記錄請求全記錄請求 請求所有的記錄請求所有的記錄 記錄別名記錄別名 數值數值 記錄類型記錄類型描描 述述Page 30 DNS報文的報文的其余三個部分其余三個部分是回答部分、授權部是回答部分、授權部分和附加信息部分，附加信息包含回答部分和分和附加信息部分，附加信息包含回答部分和授權

33、部分返回的資源所要求的附加信息（如授權部分返回的資源所要求的附加信息（如IP地址）。地址）。 這三部分均由一組這三部分均由一組資源記錄資源記錄組成，而且僅在應組成，而且僅在應答報文中出現。一條資源記錄答報文中出現。一條資源記錄描述一個域名描述一個域名，格式如圖。格式如圖。 域 名 類 型 類 生 存 時 間 資 源 數 據 長 度 資 源 數 據 圖 9-9 DNS 資源記錄格式 0 16 31 Page 31類型類型類類生存時間生存時間資源數據長度資源數據長度資源數據資源數據 域名域名域名域名本資源記錄所涉及的域名，長度可變本資源記錄所涉及的域名，長度可變指出資指出資源記錄源記錄中所含中所含

34、的數據的數據(域域)類類型型類型類型類類指出數指出數據據(域域)類類生存時間生存時間指出本資指出本資源記錄可源記錄可被緩沖區被緩沖區保存的時保存的時間（秒）間（秒）資源數據資源數據域名解析域名解析結果結果Page 32 在響應報文中，回答的域名往往與問題中的域在響應報文中，回答的域名往往與問題中的域名相同。為了節省響應報文的空間，服務器對名相同。為了節省響應報文的空間，服務器對回答的域名采用回答的域名采用壓縮格式壓縮格式，對相同的域名只存，對相同的域名只存放一個拷貝，其他放一個拷貝，其他采用指針表示采用指針表示。若開始的兩個二進制位為若開始的兩個二進制位為“11”，則接下去，則接下去的的14比

35、特為指針，該指針指向存放在報文中比特為指針，該指針指向存放在報文中另一位置的域名字符串。另一位置的域名字符串。若開始的兩個二進制位為若開始的兩個二進制位為“00”，則接下去，則接下去的的6比特指出緊跟在計數字節后面的標號的比特指出緊跟在計數字節后面的標號的長度。長度。Page 33 圖9-10 DNS請求報文 0 x1234（標識） 0 x0100（標志） 1（問題記錄數） 0（回答記錄數） 0（授權記錄數） 0（附加信息數） 4 “s” “e” “r” “v” 5 “n” “j” “u” “s” “t” 3 “e” “d” “u” 2 “c” “n” 0 1（Type=A） 1（Class=

36、IN） 首部 問題 標志：QR OpCode AA TC RD RA 保留 rCode 0 0000 0 0 1 0 000 0000 0 x0100 解析域名解析域名的的請求報文請求報文Page 34解析域名解析域名的的響應報文響應報文 圖 9-11 D N S 響 應 報 文 0 x1234（ 標 識 ） 0 x8180（ 標 志 ） 1（ 問 題 記 錄 數 ） 1（ 回 答 記 錄 數 ） 0（ 授 權 記 錄 數 ） 0（ 附 加 信 息 數 ） 4 “ s” “ e” “ r” “ v” 5 “ n” “ j” “ u” “ s” “ t” 3 “ e” “ d” “ u” 2 “

37、 c” “ n” 0 1（ Ty p e=A ） 1（ C lass=IN ） 0 xC 00C （ 指 針 ） 1（ Ty p e=A ） 1（ C lass=IN ） 1600（ T T L） 4（ 數 據 長 度 ） 202 119 80 126 首 部 問 題 標 志 ： Q R O p C ode A A T C R D R A 保 留 rC ode 1 0000 0 0 1 1 000 0000 0 x8180 回 答 Page 35分配給分配給PCPC的的IPIP地址是地址是79(N1)79(N1)DNS1DNS1的的IPIP地址是

38、地址是0(N2)0(N2)網關網關R1R1的的IPIP地址是地址是77(N11)77(N11)DNS2設設N1，N11， N12，N21，N22，N31，N32，N3，N4是是IP地址地址設相應的設相應的MAC地址是地址是P1，P11， P12，P21，P22，P31，P32，P3，PR1R3R2PCwwwDNS1N11N12N21N22N32N31N1N2N3N4Page 36網絡接口層IP層TCP層應用層輸入輸入WWW.NJU.EDU.CN進行域名解析進行域名解析,在本在本地緩沖區中查找地緩沖區

39、中查找生成生成UDP報文報文生成生成IP數據報數據報(無以太網地址無以太網地址)對對DNS1進行地址進行地址解析解析,在在ARP緩沖緩沖區中查找區中查找,找不到找不到生成地址生成地址解析報文解析報文用廣播地址封裝用廣播地址封裝成幀成幀,廣播廣播收到收到ARP 響應響應域名服務器域名服務器DNS1的以太網的以太網地址存入緩沖區地址存入緩沖區用該地址封裝成幀用該地址封裝成幀,發給發給DNS1收到收到域名域名解析解析結果結果把把IP地址地址存入存入緩沖緩沖區區沒找到，生成域名解沒找到，生成域名解析報文析報文Page 37網絡接口層IP層TCP層應用層輸入輸入WWW.NJU.EDU.CN收到收到域名域

40、名解析解析結果結果把把IP地址地址存入存入緩沖緩沖區區生成生成TCP報文報文生成生成IP數據報數據報(無以太網地址無以太網地址)對對R1進行地址解進行地址解析析,在在ARP緩沖區緩沖區中查找中查找,找不到找不到生成地址生成地址解析報文解析報文用廣播地址封裝用廣播地址封裝成幀成幀,廣播廣播收到收到ARP 響應響應路由器路由器R1的以太的以太網地址存入緩沖網地址存入緩沖區區用該地址封裝成幀用該地址封裝成幀,發給發給R1Page 38舉例 1 解析器向本地服務器發送查詢報文，要找出主機“ ”的IP地址。0 x13330 x01001000 4 c h a n 4 x y z

41、 u 3 e d u 0 1 101QR OpCode AA TC RD RA 保留保留 rCode 0 0000 00 1 0 000 0000詢問類型詢問類型:地址地址詢問類詢問類:因特網因特網Page 39舉例 1 本地服務器發回回答報文，給出主機“ ”的IP地址。0 x13330 x81801001 4 c h a n 4 x y z u 3 e d u 0 1 1010 xc00 x0c10112000 4153 18 8 105QR OpCode AA TC RD RA 保留保留 rCode 1 0000 00 1 1 000 0000詢問類型詢問類型:地

42、址地址詢問類詢問類:因特網因特網域類域類:因特網因特網域類型域類型:地址地址生存時間生存時間數據長度數據長度Page 40舉例 2 FTP服務器收到從IP地址的FTP客戶發來的分組,想查證該客戶是否是授權的客戶,它查找授權客戶的清單,但這個文件只包含域名。FTP服務器要求解析器發送逆向查詢給DNS服務器以詢問這個FTP客戶的域名。53.Page 41舉例 2:詢問報文0 x12000 x09001000 1 9 1 7 1 2 3 1 5 3 7 i n - a d d r 4 a r p a 0112查詢類型查詢類型:PTR類類: 因特

43、網因特網QR OpCode AA TC RD RA 保留保留 rCode 0 0001 00 1 0 000 0000Page 42舉例 2:響應報文0 x12000 x8d801001 1 9 1 7 r p a 01120 xc00c121 4 m h h e 3 c o m 0 1024000 查詢類型查詢類型:PTR類類: 因特網因特網查詢類型查詢類型:PTR類類: 因特網因特網QR OpCode AA TC RD RA 保留保留 rCode 1 0001 10 1 1 000 0000生存時間生存時間資源數據長度資源數據長度資源數據資源數據Page 439.6 DNS資源記錄資源記錄

44、DNS響應報文中的回答部分、授權部分和響應報文中的回答部分、授權部分和附加信息部分由資源記錄構成，資源記錄存放附加信息部分由資源記錄構成，資源記錄存放在名字服務器的數據庫中。在名字服務器的數據庫中。DNS具有具有20多種不多種不同類型的資源記錄，下面給出幾種常用的資源同類型的資源記錄，下面給出幾種常用的資源記錄的格式。記錄的格式。 授權開始（授權開始（ SOA）資源記錄定義在域中充當主）資源記錄定義在域中充當主名字服務器的主機及相關參數。語法如下：名字服務器的主機及相關參數。語法如下： IN SOA ( )Page 44符號指明名字服務器所負責的域，通過引導符號指明名字服務器所負責的域，通過引

45、導文件可以查到域名。文件可以查到域名。IN和和SOA分別指明資源記錄的類和類型。分別指明資源記錄的類和類型。 名字服務器名字服務器(NS)資源記錄指明哪一個資源記錄指明哪一個DNS服務服務器對于域是授權服務器。要確保在主名字服務器對于域是授權服務器。要確保在主名字服務器和次名字服務器內包含器和次名字服務器內包含NS資源記錄。語法：資源記錄。語法： IN NS 指明名字服務器所對應的域指明名字服務器所對應的域的名稱。的名稱。指定域名的授權名字指定域名的授權名字服務器的完全合格域名服務器的完全合格域名FQDN。 地址地址(A)資源記錄指明主機的資源記錄指明主機的IP地址。語法：地址。語法： IN

46、A 指明主機名。指明主機名。定義定義主機的主機的IPv4地址。地址。IPv6的資源記錄類型為的資源記錄類型為AAAA。Page 45 正規名（正規名（CNAME）資源記錄提供為主機創建別名的能資源記錄提供為主機創建別名的能力。通過使用別名，可以使提供多種服務的主機以不同力。通過使用別名，可以使提供多種服務的主機以不同的名字提供不同的服務。語法：的名字提供不同的服務。語法： IN CNAME ：主機的別名。：主機的別名。：實際主機名。：實際主機名。 郵件交換郵件交換(MX)資源記錄描述該域的郵件服務器。一個資源記錄描述該域的郵件服務器。一個域可以有域可以有多個多個MX資源記錄，以便實現指定域的資

47、源記錄，以便實現指定域的email服服務的務的負載均衡和容錯負載均衡和容錯。語法：。語法： IN MX 是郵件交換服務器處理郵件的域名。是郵件交換服務器處理郵件的域名。是郵件交換服務器的代價值，代價值代表服務是郵件交換服務器的代價值，代價值代表服務器的優先級。代價值越小，優先級越高。相同的代價值：器的優先級。代價值越小，優先級越高。相同的代價值：進行負載均衡。僅當低代價值的郵件交換服務器不可達進行負載均衡。僅當低代價值的郵件交換服務器不可達時，郵件才被送往高代價的郵件交換服務器。時，郵件才被送往高代價的郵件交換服務器。字段代表郵件交換服務器的主機名。字段代表郵件交換服務器的主機名。 Page

48、469.7 DNS配置及數據庫文件配置及數據庫文件 BIND(Berkeley Internet Name Daemon)軟件軟件是一個客戶是一個客戶/服務系統，服務系統，客戶端客戶端稱為稱為解析器解析器或或轉轉換程序換程序(resolver)，解析器，解析器產生產生域名信息的查域名信息的查詢請求，并將信息詢請求，并將信息發送發送給服務器，服務器回答給服務器，服務器回答解析器的查詢。解析器的查詢。BIND的的服務器服務器是一個稱為是一個稱為named的守護進程。的守護進程。 BIND DNS服務器的配置依賴于幾個文本文件。服務器的配置依賴于幾個文本文件?？梢杂梦谋揪庉嬈髦苯由蛇@些文件或者是從

49、可以用文本編輯器直接生成這些文件或者是從基本模板修改而得到?；灸０逍薷亩玫?。DNS必須配置的文件包必須配置的文件包括括DNS配置文件配置文件（又稱引導文件）、（又稱引導文件）、DNScache文件文件、DNS正向查詢文件正向查詢文件和和DNS反反向查詢文件向查詢文件。Page 479.7.1 DNS配置文件配置文件BIND的的DNS服務器用配置文件服務器用配置文件named.conf來來包含如下的包含如下的信息信息：（1）其他）其他DNS文件所在的文件所在的路徑路徑。（2）包含因特網）包含因特網根服務器映像根服務器映像的的cache文件的文件的名字。名字。（3）DNS服務器授權的任何服務器

50、授權的任何主域域名主域域名以及包含以及包含那個域的資源記錄的那個域的資源記錄的數據庫文件名數據庫文件名。（4）DNS服務器授權的任何服務器授權的任何次域域名次域域名、包含那、包含那個域的資源記錄的個域的資源記錄的數據庫文件名數據庫文件名以及對應的以及對應的主主名字服務器的名字服務器的IP地址地址。Page 48options directory “/etc/db”;zone “.” type hint; file “named.cache”;zone “” type master; file “named.hosts”;BIND-8.x配置文件配置文件named.conf的一個例子。的一個例子

51、。zone “0.0.127.” type master; file “named.local”;zone “85.119.202.” type master; file “named.rev”; zone “” type slave; file “slavenet.njust”; masters 0; ;Page 499.7.2 DNScache文件文件 ；last update： Aug 22，1997 ；related version of root zone： 1997082200 ；formerly NS.INT

52、ERNIC.NET 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A ；formerly NSl.ISI.EDU 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 07 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 2 3600000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.N

53、ET. 3600000 A 0DNScache文件包含一系列的根域名服務器。該文件文件包含一系列的根域名服務器。該文件應該隨根域名服務器的不斷更新而更新。以下是應該隨根域名服務器的不斷更新而更新。以下是DNScache文件文件(named.cache)的一個版本。的一個版本。Page 50 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 0 3600000 NS F.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 41 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 3 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 7 3600000 NS J.ROOT-SERVERS.NET. J.ROOT