首页 娱乐早知道正文

优德88娱乐场_w88优德官网登录_w88live优德

admin 娱乐早知道 2019-11-22 282 0

作者 | 阿文

责编 | 郭芮

DNSmasq是一个细巧且便利地用于装备DNS和DHCP的东西,适用于小型网络,它供给了DNS功用和可选择的DHCP功用。自己建立公共DNS愈加灵敏,假如是在本地建立,还能够大幅进步解析速度。

相比较BIND那杂乱的装备来说,dnsmasq轻量许多。

概念

首要,咱们需求了解几个概念,即根服务器和 DNS 的解析进程便利咱们了解。

根域名服务器(root name server)是互联网域名解析体系(DNS)中最高档其他域名服务器,担任回来尖端域名的威望域名服务器的地址。咱们在网址中键入的域名,其背面都需求经过 DNS 体系去解析回来 IP,然后让用户拜访指定的服务器资源。而 DNS 查询解析记载并不是直接去根服务器去查询,而是逐级递归往上一层一层的去查。

现在世界上合计有 13 台根服务器,由12 个不同的独立安排运营,其间美国操控的有10台,欧洲2台,坐落英国和瑞典,亚洲1台坐落日本。详细的根服务器信息,可也在 https://root-servers.org/ 查看。

咱们能够运用 dig 指令去查看即可,如下所示:

# dig

; <<>> DiG9.10.6<<>> @114.114.114.114

; (1 serverfound)

;; globaloptions: +cmd

;; Gotanswer:

;; ->>HEADER<<-opcode: QUERY, status: NOERROR, id: 26189

;; flags: qrrdra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

;; OPTPSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTIONSECTION:

;. INNS

;; ANSWERSECTION:

. 658 INNSa.root-servers.net.

. 658 INNSb.root-servers.net.

. 658 INNSc.root-servers.net.

. 658 INNSd.root-servers.net.

. 658 INNSe.root-servers.net.

. 658 INNSf.root-servers.net.

. 658 INNSg.root-servers.net.

. 658 INNSh.root-servers.net.

. 658 INNSi.root-servers.net.

. 658 INNSj.root-servers.net.

. 658 INNSk.root-servers.net.

. 658 INNSl.root-servers.net.

. 658 INNSm.root-servers.net.

;; Querytime: 39 msec

;; SERVER: 114.114.114.114#53(114.114.114.114)

;; WHEN: WedJun26 17:30:51CST2019

;; MSGSIZErcvd: 239

能够看到,根服务器以 A到 M 最初的二级域名后边跟上 root-servers.net ,正好是 13 台,可是这 13 并不是物理上的 13 台,而是逻辑上的 13 台,其背面具有几百台的镜像机器来为其分管恳求,全球许多国家都有根服务器的镜像,这些镜像服务器主要是用来分管根服务器的负载。

一次DNS 查询能够短到两个包:一个查询包、一个呼应包,望文生义,查询包是用来发送查询的,例如你要查询www.baidu.com 的解析成果,而呼应包则会回来解析成果给你。

事实上,一个 DNS 的查询进程非常杂乱,它分红许多个进程:

第一步:客户机提出域名解析恳求,并将该恳求发送给本地的域名服务器。

第二步:当本地的域名服务器收到恳求后,就先查询本地的缓存,假如有该纪录项,则本地的域名服务器就直接把查询的成果(域名对应的IP地址)回来。

第三步:假如本地的缓存中没有该纪录,则本地域名服务器就直接把恳求发给根域名服务器,然后根域名服务器再回来给本地域名服务器一个所查询域(根的子域) 的主域名服务器的地址。

第四步:本地服务器再向上一步回来的域名服务器发送恳求,然后承受恳求的服务器查询自己的缓存,假如没有该纪录,则回来相关的下级的域名服务器的地址。

第五步:重复第四步,直到找到正确的纪录。

第六步:本地域名服务器把回来的成果保存到缓存,以备下一次运用,一起还将成果回来给客户机。

DNS服务器经过分级查询逐级获取到对应域名的 IP 地址,大致进程如下:

  • 从"根域名服务器"查到"尖端域名服务器"的NS记载和A记载;

  • 从"尖端域名服务器"查到"次级域名服务器"的NS记载和A记载;

  • 从"次级域名服务器"查出"主机名"的IP地址。

从"根域名服务器"查到"尖端域名服务器"的NS记载和A记载;

从"尖端域名服务器"查到"次级域名服务器"的NS记载和A记载;

从"次级域名服务器"查出"主机名"的IP地址。

这儿提到了一些概念,例如 NS A 记载,这些是 DNS 的记载类型,常见的记载类型有:

  • A地址记载(Address),回来域名指向的IP地址。

  • NS域名服务器记载(Name Server),回来保存下一级域名信息的服务器地址。该记载只能设置为域名,不能设置为IP地址。

  • MX邮件记载(Mail eXchange),回来接纳电子邮件的服务器地址。

  • CNAME标准称号记载(Canonical Name),回来另一个域名,即当时查询的域名是另一个域名的跳转。

  • PTR逆向查询记载(Pointer Record),只用于从IP地址查询域名

  • CAACAA(Certification Authority Authorization,证书颁布组织授权)是一项避免HTTPS证书过错颁布的安全措施,遵照IETF RFC6844。从2017年9月8日起,要求CA(Certification Authority,证书颁布)组织履行CAA强制性查看。

A地址记载(Address),回来域名指向的IP地址。

NS域名服务器记载(Name Server),回来保存下一级域名信息的服务器地址。该记载只能设置为域名,不能设置为IP地址。

MX邮件记载(Mail eXchange),回来接纳电子邮件的服务器地址。

CNAME标准称号记载(Canonical Name),回来另一个域名,即当时查询的域名是另一个域名的跳转。

PTR逆向查询记载(Pointer Record),只用于从IP地址查询域名

CAACAA(Certification Authority Authorization,证书颁布组织授权)是一项避免HTTPS证书过错颁布的安全措施,遵照IETF RFC6844。从2017年9月8日起,要求CA(Certification Authority,证书颁布)组织履行CAA强制性查看。

一般来说,为了服务的安全可靠,至少应该有两条NS 记载,而A记载和MX记载也能够有多条,这样就供给了服务的冗余性,避免呈现单点失利。

DNS 并不安全

事实上,DNS 是一个很陈旧的协议,其规划并非完美,存在许多问题,比方绑架、不加密等问题。那么什么是 DNS 绑架呢?

DNS绑架又称域名绑架,是指经过某些手法获得某域名的解析操控权,修正此域名的解析成果,导致对该域名的拜访由原IP地址转入到修正后的指定IP,其成果便是对特定的网址不能拜访或拜访的是假网址。

假如能够假充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要获得的网站的主页了,这便是DNS绑架的基本原理。

DNS 绑架损害非常严峻,轻则导致不能上网,影响网速,重则导致被黑客诱导到歹意网站,导致个人财产和信息走漏或许发布歹意广告。

因而,一般咱们主张咱们把 DNS 地址修正为公共的 DNS,如上面咱们所说的 DNS 原理,公共的 DNS 因为运用人数多,其缓存数据更新也比一般的 DNS 要快,解析成果更精确,此外,其带来的一个优点便是避免被绑架。

现在也有其他的计划能够避免绑架,例如 DNSSEC,域名体系安全扩展,DNSSEC旨在维护应用程序(以及服务这些应用程序的缓存解析器)免受假造或不妥操作的DNS数据所形成的影响例如域名服务器缓存污染的数据。来自DNSSEC维护区的一切答案都经过数字签名。经过查验数字签名,DNS解析器能够核对信息是否与区域一切者发布的信息相同(未修正和完好),并确系实践担任的DNS服务器所供给。

或许能够自己建立一个 DNS 服务器。例如在本地建立一个 dnsmaq 小型的 DNS 服务器来避免绑架。

装置dnsmaq

以 centos 7 为例,直接履行如下指令:

yum-y install dnsmasq

装备

1.装备文件在 /etc/dnsmasq.conf,咱们要让它能用起来需求做如下装备:

#指定上游dns服务器

resolv-file=/etc/resolv.dnsmasq.conf

#表明严厉依照 resolv-file 文件中的次序从上到下进行 DNS 解析, 直到第一个成功解析成功停止

strict-order

# 敞开后会寻觅本地的hosts文件在去寻觅缓存的域名,最终到上游dns查找

#no-resolv

listen-address=0.0.0.0#0.0.0.0 设置为公网IP

conf-dir=/etc/dnsmasq.d # 咱们的解析记载都写到这个目录下

2.创立 /etc/resolv.dnsmasq.conf,然后增加:

# cat /etc/resolv.dnsmasq.conf

nameserver119.29.29.29

nameserver 114.114.114.114

nameserver 8.8.8.8

nameserver 168.95.1.1

3.然后创立 /etc/dnsmasq.d/cloud.conf增加:

address=/baidu.com/127.0.0.1#将百度的域名解析到127.0.0.1

address=/ad.youku.com/127.0.0.1# 制止优酷广告

address=/ad.iqiyi.com/127.0.0.1# 制止iqiyi广告

格局是:

address=/domain.com/dns

比方上面的百度,我就把它都解析到127.0.0.1。

完成DNS分流

server=/cn/114.114.114.114# cn的域名都走114的dns

server=/google.com/115.159.220.214# 将谷歌的解析都走115.159.220.214

上面的是将一切cn结束的域名都走114解析,下面是将google.com 走115.159.220.214解析。

敞开防火墙53端口后,本地测验下 53 端口是否是通的:

➜ www nc -vuz 121.42.18.653

found 0associations

found 1connections:

1: flags=82<CONNECTED,PREFERRED>

outif (null)

src 192.168.2.32port 49939

dst 121.42.18.6port 53

rank info notavailable

Connection to121.42.18.6port 53[udp/domain] succeeded!

发动dnsmaq:

servicednsmasq start

设置为开机自发动。

# systemctl enable dnsmasq

Created symlinkfrom /etc/systemd/system/multi-user.target.wants/dnsmasq.service to /usr/lib/systemd/system/dnsmasq.service.

测验

wwwdigm.baidu.com@121.42.18.6

; <<>> DiG9.8.3-P1<<>> m.baidu.com@121.42.18.6

;; globaloptions: +cmd

;; Gotanswer:

;; ->>HEADER<<-opcode: QUERY, status: NOERROR, id: 41523

;; flags: qraardra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTIONSECTION:

;m.baidu.com. INA

;; ANSWERSECTION:

m.baidu.com. 0 INA127.0.0.1

;; Querytime: 30 msec

;; SERVER: 121.42.18.6#53(121.42.18.6)

;; WHEN: MonAug28 10:32:272017

;; MSGSIZErcvd: 45

能够看到,百度的子域名现已被解析到127.0.0.1了,此外还能够合作dnscrypt-proxy 对查询进行加密,这儿就不展开了。

清华博士解读 AlphaGo 打败李世石背面的黑科技 | 人物志

点击阅览原文参加开发者大调查,好礼送不断!

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

最近发表

    优德88手机客户端_w88优德_w88

    http://www.hongshengqp.com/

    |

    Powered By

    使用手机软件扫描微信二维码

    关注我们可获取更多热点资讯

    w88出品