j動態域名解析服務系統簡介摘要：本文簡要介紹動態域名解析系統（DDNS）了該系統的架構及工作原理，并且對與動態域名解析系統相關的幾個問題進行了討論。關鍵詞：DNS，動態IP,響應服務器，解析IntroduceDDNSandDiscussRelationalTopicsZengXian-zhangAbstract:ThispaperintroducestheprincipleofDDNS（DynamicDomainNameSystem）anddiscussessomerelationaltopicsKeywords:DNS,DynamicIP,respondserver,resolution一、 概述時至今日，Internet已經逐漸演變為一個規模巨大的網絡世界。很多用戶都是通過DHCP的方式動態獲得自己的IP地址。而隨著個人和小型網站的不斷涌現，越來越多用戶希望能自主的管理自己的網站，而不是采用傳統的主機托管方式。這就出現了用戶的固定域名【1】和用戶的動態IP之間如何綁定的問題，同時也要求了DNS系統具有動態更新【2】的能力。動態域名解析系統的出現主要是為了解決域名和動態IP地址之間的綁定問題。當用戶使用不同的IP登錄時，動態域名解析系統將用戶IP地址的變化動態地映射到相應的DDNS服務器中，進行及時的自動更新，從而保證用戶能夠被正確的尋址定位。用戶終端可以是任何可獲得公網IP的互聯網接入方式，如采用xDSL、有線電視網絡、雙絞線到戶或其他更高速的可以獲得公網IP的互聯網接入方式。由于不受線路類型、主機存放地點的約束，用戶可以根據自己的需求選擇合適的系統平臺、數據庫平臺和站點運營模式，并由此獲得最大限度的自主性。二、 工作原理動態域名解析系統一般由兩部分構成，如圖1所示。一部分是客戶端程序，運行在用戶的主機上。另一部分是服務器端程序，位于服務器端的主機上。服務器端分為響應服務器和DNS服務器，其中響應服務器負責響應用戶的動態域名更新請求，DNS服務器可以采用國際上較為流行的Bind【3】系統，實現域名解析服務并提供域名IP動態更新服務。由于Bind服務器的默認設置是不允許域名動態更新的。系統在架構時需要對運行環境進行配置。根據DNS服務器所管轄的域名建立對應的正逆向解析區（Zone）數據文件【4】，在各自區中設定允許發出動態更新的命令的主機的IP地址。

圖1系統結構圖動態域名解析系統通常采用TCP和UDP［5］兩種方式來實現客戶端和響應服務器之間的通訊，為了防止竊取傳輸內容，可以采用加密技術進行加密傳輸［6］。用戶的所有請求都直接同響應服務器聯系，DNS服務器只接受來自同步進程和監控進程的請求，由于隔離了用戶和DNS服務器的直接聯系，提高了系統的安全性。由于客觀存在著網絡異常現象，比如斷電、斷網等情況，導致用戶非正常斷線，當用戶再次上網運行客戶端，服務器端將及時更新用戶的數據。為了保證部分用戶不能及時上網期間服務的正確性，系統在服務器端增加了監控進程，能在規定的時間內探知用戶的生存與否，并通知DNS服務器繼續或停止該域名的解析，從而保證訪問者能夠得到正確的信息。三、 簡單流程及說明：如圖2,當用戶使用新的IP地址時，需向響應服務器申請更新該域名對應的IP地址。在收到客戶端的更新數據后，響應服務器通過查詢數據庫，確認客戶端的域名是否合法存在的，如果不是則不予理睬，若是合法存在的，響應服務器把相應的動態域名更新消息以命令的方式存儲在數據庫中，再由同步進程反映到DNS解析服務器，同時更新數據庫中相應信息。完成了用戶信息到DNS的傳遞，實現了動態更新。客戶端查詢域名是否合法存在/ \信息反饋域名更新命令 .更新的結果反應在legistiaib讀取域名及命令停止域名解析Registiaib數據庫域名更新到DNEdyndn數據庫更新域名信息反饋信息及命令*響應客戶端查詢域名是否合法存在/ \信息反饋域名更新命令 .更新的結果反應在legistiaib讀取域名及命令停止域名解析Registiaib數據庫域名更新到DNEdyndn數據庫更新域名信息反饋信息及命令*響應r服務器Svnc-seivei同步進程Force監控進程DNS請求DNS服務器查詢結果反饋其他用戶圖2系統流程圖整個響應服務器工作的核心部分就是消息處理部分，它針對客戶端的各種類型請求進行相應的處理，并且把相應的動態域名更新消息以命令的方式，存放到數據庫中，然后由sync-server進程將dyndn中的命令加以實現，反映到域名解析服務器，同時更新registrarb中相應信息，完成了用戶信息到域名解析服務器的動態更新。在用戶在線期間，Internet上的其他用戶訪問該域名時，動態域名解析服務器就會返回更新后的IP地址。確保了域名能被正確尋址定位。客戶端可以工作在Windows98/Me/NT/2000/XP或者是Unix等平臺上，客戶端具有多域名設置功能，可以在客戶端中輸入任意域名，允許多個域名同時指向同一個IP。在使用過程中可以隨意的注銷任何一個已經登陸的域名，而不影響其他域名的正常使用。四、 相關問題的討論當前國內有許多的動態域名解析提供商，一般都支持包括普通電話線、ISDN、xDSL、有線電視網絡、雙絞線到戶或其他更高速的可以獲得公網IP的互聯網的多種不同接入方式，也支持對靜態地址的解析，有的還同時支持HTTP、FTP、E-mail等應用服務。盡管各動態域名解析系統的運行使用和功能特色上有差別，但其工作原理相似，大都都是基于RFC2136[4]實現動態DNS的。下面就幾個系統功能相關問題的實現進行簡單的討論：1、 關于服務器端如何探知客戶端是否存在系統啟動后，響應服務器為了獲知客戶端的存在，客戶端需要定期的向服務器端發送生存信息，同時該信息又必須能得到響應服務器認證。現行的軟件中采用密碼作為生存信息的認證，容易因密碼頻繁傳遞造成不必要的安全隱患。作者認為可以采用在客戶端登入時，由響應服務器產生一個隨機整數，此數作為客戶端的一個認證值，用來通知響應服務器客戶端的存在。當客戶端發出生存認證信息時，只需發送該隨機數，服務器端在接受后，只需比較隨機數是否和保存在服務器的該用戶的隨機數一樣，如果是，則承認客戶端的生存聲明。客戶端根據服務器發來的刷新時間，定期向服務器發送更新信息。這種方式保證了服務器端能在一定的時間內探知客戶端是否存在，以便及時更新DNS服務器的區數據文件。2、 關于多域名的登入當一個用戶擁有多個域名，并且希望將它們都綁定到同一個IP時，對于這樣的需求有兩種方式可以實現：一是，通過相應的域名的注冊服務商將該域名的解析權力授權給DDNS服務器來負責解析該域名，當獲得這樣的授權后，DDNS需要增加該域名的區數據庫文件來管理該域名；二是，該域名的注冊服務商本身具有動態更新的能力，同時具有管理該域名的權力。如果是后一種方式，則可以將更新信息直接發送給該注冊服務商，由它負責域名的解析。這種方式可能由于網絡時延及DDNS服務器和注冊服務商的通訊問題，導致不能及時更新，從而不能保證用戶被正確的訪問。同時由于允許用戶更新該注冊服務商的信息，給了攻擊者提供了攻擊的可能，這種不安全的隱患將直接威脅著該注冊服務商。筆者建議采用了第一種方式，如果用戶擁有動態解析域之外的域名，則必須通知相應域名的注冊服務商，將該域名解析服務授權給用戶當前所使用的動態域名解析服務商的DNS服務器地址，這樣動態域名解析軟件才能正確解析到用戶的域名。對于響應服務器，在接到更新信息后，首先判斷判斷該域名是否合法存在，如果是，則完成域名的動態更新。3、有待改善的相關技術首先，動態DNS系統對內網用戶系統支持能力不足，現在對于內網用戶的支持絕大部分都是采用登入服務器方式，用戶網站的所有信息都必須先通過提供商的服務器再傳輸出去，給用戶帶來許多不便。也有些提供商在用戶網關采用端口映射方式，將用戶提供的服務映射到網關，這需要使用者在網關路由器進行必要的設定，也給用戶帶來不便。其次，由于DNS特有的cache特點，可能出現一種現象，用戶由于重新登入，在DNS的IP記錄已經更改，但是訪問的用戶由于cache原因，TTL尚未過期，在本地仍然保留原有的IP地址，造成了IP地址指向出現錯誤，對此人們只能通過統計的結果進行優化來設定TTL值。五、小結動態域名解析技術的應用是不可避免的，隨著網絡的進一步發展，對域名解析的要求在性能和功能上都會有所提供，人們期待技術上能有新的突破。參考文獻：P.Mockapetris.DOMAINNAMES-CONCEPTSandFACILITIES.RFC1034.November1987P.VixieS.ThomsonY.RekhterJ.Bound.DynamicUpdatesintheDomainNameSystem(DNSUPDATE).RFC2136.April1997PaulAlbitz&Cr