Чем отличаются доменные зоны типа hint slave master
Русские Блоги
содержание
Перепечатано с: http://www.cnblogs.com/along21/p/7657793.html
Отказ от ответственности: авторские права на эту статью принадлежат автору и блогу, добро пожаловать на перепечатку, но вы должны сохранить это заявление без согласия автора и предоставить исходную ссылку в очевидном месте на странице статьи, в противном случае вы можете продолжить юридическая ответственность сохраняется.
Предисловие: DNS, знакомые вещи, слишком много контента, редактор непросто объяснить, я могу только написать несколько подробных экспериментов для вашей справки.
1. Краткое введение
1. DNS: через имя хоста процесс окончательного получения IP-адреса, соответствующего имени хоста, называется разрешением имени домена (или разрешением имени хоста).
Номер порта: 53 / udp, 53 / tcp
Домен верхнего уровня: tld
com, edu, mil, gov, net, org, int,arpa
Доменное имя третьего уровня
До 127 доменных имен
com доменное имя первого уровня, эквивалент подкаталога
БогDNS-сервер: сервер, который управляет и поддерживает библиотеку разрешения в домене, ответственном за разрешение.
ИзDNS-сервер: «копия» (передача зоны) копия библиотеки разрешения с главного сервера или с сервера
4. Записи о ресурсах
Запись ресурса: запись ресурса, RR
SOA: Start Of Authority, запись авторизации запуска; библиотека анализа областей имеет только одну запись SOA, которая должна находиться в библиотеке анализа.Первая запись, синхронизация данных master-slave
NS: Сервер имен, посвященныйотметкаDNS-сервер для текущей зоны,Кто является сервером домена
CNAME :Canonical Name ,Псевдонимзапись
MX: Mail eXchanger Почта
5. Формат определения записи ресурса: (5 элементов, если следующий такой же, как в предыдущий день, его можно унаследовать)
грамматика:имя [TTL (время жизни кэша)] IN значение rr_type (5 столбцов)
(2)@ Может использоваться для цитирования имени текущей области,Потому чтоОсобое значение, Таким образом, его нельзя использовать в задней части, например, в почтовом ящике.
(3) Одно и то же имя может определять несколько разных значений в нескольких записях; в это время DNS-сервер ответит опросом.
(4) Одно и то же значение может иметь несколько разных имен определений; несколько разных имен указывают на одно и то же значение для определения; это только означает, что один и тот же хост может быть найден через несколько разных имен.
2. Введение в установку BIND и именованную службу.
Реализация DNS называется службой, именованной службе необходимо установить пакет привязки.
пакет услуг DNS:bind, Несвязанный (новый)
Название программы:named ,unbound
2、Основной файл конфигурации: /etc/ named.conf
Основной файл конфигурации:
Глобальная конфигурация: параметры <>;
Конфигурация подсистемы протоколирования: logging <>;
Определение площади: Для каких зон машина может анализировать, какие зоны необходимо определить.
zone«ZONE_NAME» IN <>; файл базы данных лучше не записывать в этот основной файл конфигурации, записанный в/etc/named.rfc1912.zonesв
Принцип: Необходимо установить зону определения зоны в файле конфигурации, а затем установить базу данных в файле, указанном зоной, эти файлы помещаются в / var / named
3. options <>; обязательно4 места, которые нужно изменить
① прослушивание порта 53 <127.0.0.1;>; привяжите только свой собственный ip к порту
К:listen-on port 53 < localhost; >; Или // закомментировать
② allow-query
К:allow-query < any; >;Вы также можете добавить все, что разрешено внутри компании, без каких-либо // комментариев.
④ Конфигурация сервера имен кэша: dnssec: рекомендуется отключить dnssec и установить для него значение no, чтобы повлиять на делегирование и пересылку.
dnssec-enable no;
dnssec-validation no;
1、dig
dig [-t type] name [@SERVER] [query options]
Dig используется только для тестирования системы DNS и не будет запрашивать файл hosts для анализа.
+ [No] trace process: Отслеживание процесса анализа: dig + trace magedu.com
+ [No] recurse: выполнить рекурсивный анализ
тестОбеспечить регрессАнализ: копать -x IP = dig -t ptr reverseip.in-addr.arpa
Передача аналоговой области:
dig -t axfr ZONE_NAME @SERVER Возьмите региональную базу данных,Может быть allow-transfer <192.168.30.106;>; предотвратить
dig -t NS@ 114.114.114.114 Запись тестового письма
2. Хост, в запросе нет данных о раскопках.
host [-t type] name [SERVER]
host -t NS magedu.com 172.16.0.1
3、nslookup: (В Windows и Linux есть эта команда)
ИнтерактивныйРежим:
IP-адрес сервера: укажите, какой DNS-сервер использовать для запроса.
Set q = RR_TYPE: укажите тип запрашиваемой записи ресурса
ИМЯ: имя для запроса
4. Команда rndc
Перезагрузить: перезагрузить основной файл конфигурации и файл библиотеки анализа площади.
Reload zonename: перезагрузить файл библиотеки анализа зоны
Retransfer zonename: вручную запустить перенос зоны, независимо от того, увеличивается ли серийный номер
Notify zonename: повторно отправить уведомление в зону передачи, когда в процессе синхронизации ведущий-ведомый происходит авария,
Пример: rndc notify magedu.com
Reconfig: перезагрузить основной файл конфигурации
Журнал запросов: открыть или закрыть файл журнала запросов / var / log / message(Журнал не включен по умолчанию.) Он включается при устранении неполадок. Если вы не обращаетесь к одной записи и не добавляете запись, сумма слишком велика; выключите его и выполните ту же команду
Trace: увеличить отладку на один уровень
УРОВЕНЬ трассировки: укажите уровень использования, уровень журнала и уровень детализации журнала.
Notrace: для установки уровня отладки на 0
flush :Очистить DNSСерверВсе записи кеша
эксперимент:
Эксперимент 1. Создайте базу данных прямого анализа для анализа предметной области, например: magedu.com.
1. yum install bind Установочный пакет
systemctl start с именем Centos 7 start service
служба с именем start Centos 6 запускает службу
2、vim/Etc/ named.conf изменить общий файл конфигурации
3、vim /etc/named.rfc1912.zones(Лучше всего изменить в этом файле или в общем файле конфигурации /etc/ named.conf)
zone «magedu.com» <
type master;
file «magedu.com.zone»;
4、vim/Var/ named/magedu.com.zone Создание и изменение файлов базы данных(Это имя файла должно соответствовать указанному выше, вы можете написать его самостоятельно или скопировать шаблон)
@ IN SOA dns1 mail.magedu.com. ( 2017100901 ; serial
dns1 A 192.168.37.107
псевдоним www, установленный CNAME websrv
websrv A 192.168.37.106
Ниже приведены примеры записей:
[websrv A 192.168.37.107] Вы можете добавить более одного, произвольный доступ, балансировку нагрузки
@ MX 10 mailsrv1 также может добавлять почтовые записи
mailsrv1 A 192.168.30.100
mailsrv2 A 192.168.30.200C
$GENERATE 1-100 server$ A 1.1.1.$
@ A 192.168.30.102 Решите проблему не вводить данные раньше, например: mage.com
* Разрешение панадоменного имени 192.168.30.101, если вы введете неправильный ww.taobao.com перед компанией, занимающейся электронной коммерцией, вы также можете войти на веб-сайт Taobao.
named-checkzoneMagedu.com /var/ named/magedu.com.zone Проверьте этот файл базы данных на наличие ошибок
5. rndc reload перезагрузить файл конфигурации
dig websrv.magedu.com @192.168.30.107
host adaf23.magedu.com 192.168.30.107 Обнаружение записей пандоменного имени
dig magedu.com @192.168.30.107
Эксперимент 2. Создание базы данных обратного анализа (примеры есть в файле конфигурации).
1, 2, как указано выше
3、vim /etc/named.rfc1912.zones
@ IN SOA dns1 rname.invalid. (
107 PTR dns1.magedu.com.
106 PTR websrv.magedu.com.
100.30.168.192.in-addr.arpa. PTR dbsrv
5. rndc reload перезагрузить файл конфигурации
Эксперимент 3: установите главный-подчиненный сервер
1、vim/Etc/ named.conf изменить общий файл конфигурации
Мастер: разрешить передачу данных только с ведомого устройства.
От: Никто не может передавать данные
allow-transfer < none;>;
type slave;
file «slaves/magedu.com.zone.slave»;
Main: добавить NS запись
dns1 A 192.168.30.107
dns2 A 192.168.30.106
От: Нет необходимости создавать этот файл. При повторной загрузке данных автоматически создается файл в / var / named / slaves с тем же содержимым, что и основной DNS.
4. rndc reload перезагрузить файл конфигурации
dig www.magedu.com @192.168.30.106
Эксперимент 4. Создайте субдомен.
(1) Основной DNS PlusЗапись действует как поддомен, Количество посещений особенно мало
Поддомен не очень часто посещается, основные DNS могут помочь ему в управлении, добавить запись A в основную базу данных, на самом деле не создавать поддомен, но пользователь рассматривается как поддомен
1. Vim /etc/ named.conf изменяет общий файл конфигурации.
Добавьте две записи A:
4. rndc reload перезагрузить файл конфигурации
5. Посетите сайт dig www.henan.magedu.com @ 192.168.30.107.
(2) Создайте домен на своем компьютере в качестве поддомена.
1. То же, что и выше
zone «henan.magedu.com» IN <
3. Vim /var/ named/henan.magedu.com.zone Скопируйте шаблон и напишите его самостоятельно.
Напишите свое внимание на изменение разрешений
@ IN SOA dns1 mail.magedu.com. (
dns1 A 192.168.30.107
4, 5 то же, что и выше
(3) Поддомен управления доменом делегирован другим машинам (106), когда объем трафика велик.
На этом компьютере: хост родительского домена
Отключите функцию dnssec:
dns1 A 192.168.30.107
dns2 A 192.168.30.106
На другом компьютере 6: мастер поддомена создает главную зону henan.magedu.com
Отключите функцию dnssec:
zone «henan.magedu.com» IN <
5、vim /var/named/henan.magedu.com.zone
@ IN SOA dns1 mail.magedu.com. (
86400 ; refresh (1 day)
3600 ; retry (1 hour)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
dns1 A 192.168.30.106
6, rndc reload перезагрузить файл конфигурации
7. Проверьте dig www.henan.magedu.com @ 192.168.30.107, потому что он делегирован, поэтому проверьте 107 напрямую
Эксперимент пятый: перенаправление сервера
Принцип: для посещения www.qq.com DNS-сервер Пекина перенаправляет его в Чжэнчжоу и Шанхай.
Создайте базу данных qq.com на 6
@ IN SOA dns1 mail.magedu.com. (
86400 ; refresh (1 day)
3600 ; retry (1 hour)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
dns1 A 192.168.30.106
Настроить переадресацию на 7
3. Vim /etc/ named.conf устанавливает глобальную переадресацию.
После того, как named-checkconf записан, можно проверить синтаксис всего файла конфигурации.
Или настройте переадресацию в определенную область
4. rndc reload перезагрузить файл конфигурации
dig www.qq.com @192.168.30.107
Только в случае dig www.baidu.com @ 192.168.30.107, если в базе данных 6 нет записей, больше не запрашивать корень; в случае первого, если база данных 6 не имеет записей, 7 запрашивает корень сам
Эксперимент 6. Эксперименты по моделированию всего процесса DNS, включая поддомены, главный-подчиненный и делегирование.
Примечание: Перед проведением эксперимента необходимо: выключить файрволл, выключить selinux
vim /etc/ named.conf комментарий два или изменить два
1. Начиная с 107 мастера магеду:
① Добавьте один основной файл конфигурации vim /etc/ named.con
Прокомментируйте или измените две строки
② файл конфигурации базы данных vim /etc/ named.rfc1912.zones
@ IN SOA dns1 mail.magedu.com. (
NS dns2
dns1 A 192.168.30.107
dns2 A 192.168.30.103
websrv A 192.168.30.106
dig www.magedu.com @192.168.30.107
2. 103 magedu.com из:
Прокомментируйте или измените 2 строки
allow-transfer
type slave;
file «slaves/magedu.com.zone»;
dig www.magedu.com @192.168.30.103
3. 102 ком: делегируется корнем, главный 107 и подчиненный 103 магеду делегируются
Прокомментируйте или измените 2 строки
Чтобы не влиять на переадресацию и делегирование: измените два нет
Чем отличаются доменные зоны типа hint slave master
В данном материале разбирается типизация DNS серверов по их назначению, рассматриваются основной функционал серверов каждого типа и его значение для надежной и эффективной работы системы доменных имен.
В данном материале разбирается типизация DNS серверов по их назначению, рассматриваются основной функционал серверов каждого типа и его значение для надежной и эффективной работы системы доменных имен. Прежде чем приступить к чтению данного материала, необходимо ознакомиться с материалом «Как работает система доменных имен».
Сразу оговоримся, что в данном материале речь не идет о серверах, как о программах, которые реализуют функцию сервера доменных имен, например named или сервер доменных имен Windows Server 2000. Мы будем рассматривать серверы, как процессы, которые должны выполнять определенные функции по обслуживанию DNS запросов.
В документах RFC-1034 и RFC-1035 выделяют несколько типов DNS-серверов. В соответствии с типами откликов на запрос к системе доменных имен серверы можно разделить на авторитативные (authoritative) и неавторитативные (non authoritative).
Авторитативный отклик (authoritative response) возвращают серверы, которые являются ответственными за зону, в которой описана информация, необходимая resolver-у (клиент DNS).
Неавторитативный отклик (non authoritative response) возвращают серверы, которые не отвечают за зону, содержащую необходимую resolver информацию.
Это значит, что если наш сервер доменных имен поддерживает домен kuku.ru, и наш resolver настроен таким образом, что посылает рекурсивные запросы к системе доменных имен через наш сервер доменных имен, и при этом мы хотим получить доступ к сайту www.kuku.ru, то мы получим от нашего сервера доменных имен авторитативный отклик, т.к. именно наш сервер отвечает на все запросы к зоне kuku.ru.
Если же мы захотим получить информацию о домене lenta.ru, то в этом случае мы получим неавторитативный отклик с нашего сервера, т.к. он не отвечает за зону lenta.ru и, соответсвенно, либо будет проводить нерекурсивный опрос серверов доменных имен, либо выдаст нам соответствие из своего кэша, т.к. существует большая вероятность того, что кто-то из наших коллег уже обращался с таким запросом к нему.
Авторитативный отклик могут, в свою очередь, вернуть либо master-сервер зоны (primary server), либо slave-сервер (secondary server) зоны. В русскоязычной литературе их называют основным и дублирующим серверами (или первичным и вторичным, соответственно).
Master-сервер (primary, первичный) доменных имен является ответственным (authoritative) за информацию о зоне в том смысле, что читает описание зоны с локального диска компьютера, на котором он функционирует и отвечает в соответствии с этим описанием на запросы resolver-ов. Описание зоны master-сервера является первичным, т.к. его создает вручную администратор зоны. Соответственно, вносить изменения в описание зоны может только администратор данного сервера. Все остальные серверы только копируют информацию с master-сервера. Вообще говоря, такое определение несколько устарело, и позже будет ясно почему. Но при настройках реальных серверов мы будем использовать именно это определение.
Для зоны можно определить только один master-сервер, т.к. первоисточник может и должен быть только один.
Slave-сервер (secondary, вторичный, дублирующий) также является ответственным (authoritative) за зону. Его основное назначение заключается в том, чтобы подстраховать работу основного сервера доменных имен (master server), ответственного за зону, на случай его выхода из строя, а также для того, чтобы разгрузить основной сервер, приняв часть запросов на себя. Так, например, из 13 серверов, которые обслуживают корневую зону, 12 являются slave-серверами.
Администратор slave-сервера не прописывает данные описания зоны. Он только обеспечивает настройку своего сервера таким образом, чтобы его сервер копировал описание зоны с master-сервера, поддерживая его (описание зоны) в актуальном согласованном с master-сервером состоянии.
Обычно, время согласования описания зоны между slave-сервером и master-сервером задается администратором master-сервера в описании зоны. Slave-сервер в момент своего запуска копирует это описание и затем руководствуется им при обновлении информации о зоне. Slave-сервера периодически через заданный интервал времени опрашивают master-сервер на предмет изменения описания зоны. Если изменения имеют место быть, то описание зоны копируется на slave-сервер.
Существует оговоренная практика резервирования серверов, которая описана в рекомендациях по ведению зон. Она заключается в том, что для домена второго уровня необходимо иметь как минимум два сервера, ответственных за зону, т.е. дающих авторитативные отклики на запросы. Один master-сервер и один slave-сервер. При этом эти серверы должны иметь независимые подключения к Интернет, чтобы обеспечить бесперебойное обслуживание запросов к зоне в случае потери связи с одним из сегментов сети, в котором находится один из серверов.
Рис.1. Схема подключения master и slave серверов зоны
Из рисунка 1 видно, что корпоративная локальная сеть и сеть регистратора имеют независимые подключения к Интернет, через разных канальных провайдеров. В частности резервирование серверов в ru-center (www.nic.ru) обеспечивает такую схему подключения, т.е. master-сервер может быть размещен на площадке корпоративной локальной сети, а slave на площадке ru-center.
Размещение обоих серверов на площадке регистратора, например, ru-center, также обеспечивает независимое подключение серверов, т.к. обычно регистратор имеет несколько точек подключения к Интернет.
Как уже было сказано, slave-сервер копирует описание зоны c master-сервера. В настоящее время существует два механизма копирования зоны: полное копирование (AXFR) и инкрементальное (incremental) копирование зоны (IXFR).
В современных RFC, которые расширяют толкование механизмов взаимодействия между участниками обмена данными в рамках DNS, типизацию серверов и их разделение на master-серверы и slave-серверы дают относительно процедур копирования зоны.
Так slave-сервером называют сервер, который использует механизм передачи зоны для получения копии зоны, а master-сервером называют сервер, с которого осуществляется копирование зоны. При этом зону можно скопировать с любого сервера, который является авторитативным. Т.е. зону можно скопировать и со slave-сервера, который относительно самой процедуры копирования зоны будет считаться master-сервером. Для того чтобы выделить сервер, который не копирует зоны ни с какого другого сервера, вводят понятие Primary Master. Этот сервер для зоны только один, и он находится в корне процедуры копирования описания зоны.
Типизация серверов относительно процедуры обмена описаниями зон связана с возможностями, которые не описаны в RFC-1034 и RFC-1035, и, соответственно, не поддерживались в ранних версиях программ-серверов доменных имен. Это механизм объявлений об изменениях в описании зоны (RFC-1996), динамическое обновление описания зоны (RFC-2136) и инкрементальное обновление описания зоны (RFC-1995).
Для большинства администраторов корпоративных доменов все эти новшества, возможно, любопытны, но в реальной жизни не слишком полезны, т.к. вся их мощь проявляется только при работе с динамичными описаниями зон, информация в которых подвержена постоянным изменениям. Тем не менее, не сказать о них нельзя, т.к. при работе современными версиями программ-серверов обязательно возникнут вопросы типа «а чтобы это значило».
Сначала о том, что такое уведомления об изменениях описания зоны (DNS NOTIFY). Идея достаточно проста и проистекает из проблемы распространения изменений, внесенных в описание зоны при ее редактировании. Дело в том, что slave-серверы при традиционной работе опрашивают master-сервер (в данном контексте primary master) на предмет изменения в описании зоны через определенные промежутки времени, которые задаются в описании зоны. Возможна ситуация, когда изменения были внесены в зону сразу после ее копирования slave-сервером. В этом случае новая информация появится на всех slave-серверах только при следующем обновлении зоны.
Ситуация усугубляется еще и тем, что остальные не авторитативные серверы держат записи соответствия между именем домена и IP_адресом в своем кэше в течение времени TTL (Time To Live), которое также определяется в описании зоны. Обычно задержка между внесением изменений и стабильной работой с новым описанием зоны в российском сегменте Интернет составляет примерно 2 часа. Вот пример отчета программы nslookup для rambler.ru:
>set type=soa
>rambler.ru
Server: ns.rambler.ru
Address: 217.73.192.49
rambler.ru
origin = ns.rambler.ru
mail addr = bindmaster.rambler-co.ru
serial = 2002090601
refresh = 10800 (3H)
retry = 1800 (30M)
expire = 10800 (3H)
minimum ttl = 3600 (1H)
rambler.ru nameserver = ns.rambler.ru
rambler.ru nameserver = ns.park.rambler.ru
ns.rambler.ru internet address = 217.73.192.49
ns.park.rambler.ru internet address = 217.73.193.23
>
> relarn.ru
Server: ns.relarn.ru
Address: 194.226.65.3
relarn.ru
origin = ns.relarn.ru
mail addr = noc-dns.relarn.ru
serial = 650127367
refresh = 86400 (1D)
retry = 3600 (1H)
expire = 604800 (1W)
minimum ttl = 86400 (1D)
relarn.ru nameserver = ns.relarn.ru
relarn.ru nameserver = ns.ussr.EU.net
relarn.ru nameserver = ns.spb.su
relarn.ru nameserver = ns2.ripn.net
ns.relarn.ru internet address = 194.226.65.3
ns.ussr.EU.net internet address = 193.124.22.65
ns.spb.su internet address = 193.124.83.69
ns2.ripn.net internet address = 194.226.96.30
>
О том, что обозначают другие позиции этих отчетов, мы поговорим тогда, когда будем обсуждать описание зоны (запись SOA), а пока только заметим, что внесение изменений в описание зоны не приводит к появлению возможности мгновенного их использования.
Таким образом, механизм уведомления об изменениях в описании зоны необходим для ускорения введения в жизнь сделанных изменений.
Принцип работы DNS NOTIFY следующий:
На рисунке пояснется работы приведенной выше схемы:
Рис.2. Схема работы DNS NOTIFY
На рисунке 2 primary master является для обоих slave-серверов master-сервером c точки зрения процедуры передачи зоны. Но в принципе, для одного из серверов он может быть и не определен в качестве master-сервера. В этом случае появляется дополнительное звено в дереве зависимости обмена данными зоны. В этом случае изменения будут передаваться от сервера к серверу так, как это показано на рисунке 3:
Рис.3. Схема работы DNS NOTIFY при двухзвенном оповещении об изменении описания зоны.
Теперь поясним механизм динамического обновления описания зоны (Dynamic Updates или DNS UPDATE). Изначально описание зоны было, да и до сих пор в большинстве случаев остается, статическим. Это значит, что есть на Primary master файл описания зоны, в который администратор вручную или при помощи скриптов изменения содержания файла вносит изменения. Для того чтобы они стали актуальными, т.е. их увидели resolver-ы, необходима перезагрузка сервера. Идея динамического обновления описания зоны состоит в том, чтобы, во-первых, вносить изменения в описание зоны без перезагрузки сервера, а, во-вторых, делать это удаленно, т.е. администратору не нужно получать доступ к файлам описания зон ни для ручного редактирования, ни для скриптов. Тем самым класс клиентов в модели «клиент-сервер» в рамках DNS обмена расширяется на группу клиентов администрирования.
Когда актуально динамическое обновление зоны? Чаще всего необходимость динамического обновления связывают с работой по протоколу DHCP (Dynamic Host Configuration Protocol, RFC-1541). DHCP Позволяет динамически назначать компьютерам IP-адреса, маски, IP-адреса шлюзов, доменные имена и т.п., т.е. передавать хостам данные без которых невозможна работа в сетях TCP/IP.
DHCP существенно облегчает работу сетевого администратора, которому не нужно настраивать каждый компьютер, подключенный к сети, вручную. Динамическое именование влечет за собой постоянное изменение информации в описании зоны.
Динамическое обновление позволяет авторизованным клиентам посылать запросы на динамическое обновление описания зоны серверам, которые являются авторитативными для соответствующей зоны. Обратите внимание, что запросы могут направляться как master-серверам, т.к. slave-серверам.
Если сервер не является Primary master-сервером зоны, то он отправляет (ретранслирует) запрос на обновление своему master-серверу. Таким образом запрос на обнавление достигает Primary master-сервера зоны.
Как только Primary master-сервер совершит обновление описания зоны, он может по механизму DNS NOTIFY оповестить об этом slave-серверы, которые, в свою очередь, обновят свои описания зоны.
В рамках динамического обновления можно удалять и добавлять отдельные записи описания ресурсов в описания зоны, наборы записей описания ресурсов, выделенных по определенному признаку, скажем записи определенного типа, или записи связанные с определенным доменом. Возможно редактирование описания зоны по условию.
Для того, чтобы успешно выполнялись обмены со slave-серверами, при каждом изменении зоны изменяется и номер ее версии. Это позволяет slave-серверам поддерживать свои описания зоны в актуальном, согласованном с Primary master-сервером состоянии.
При этом стоит отметить, что собственно сами изменения описания зоны не столь и велики, т.к., например, при DHCP при каждом изменении добавляется/удаляется одна-две записи описания ресурсов. Каждое такое изменение будет порождать обмен описанием зоны.
При традиционном обмене описанием зоны (AXFR) Между master-сервером и slave-сервером передается полное описание зоны.
Мы более подробно остановимся на этом вопросе в разделе, посвященном настройкам BIND и файлам описания зон.
В контексте рассмотрения обмена описаниями зоны между master-серверами и slave-серверами следует упомянуть о «невидимых» серверах (stealth, см. RFC-1996). Суть такого сервера в том, что он не упоминается в описании зоны. Таким образом, его никто не видит, т.к. в рамках DNS-обмена данными информацию о нем получить нельзя ни путем простых запросов, ни путем копирования описания зоны.
Тем не менее, существуют еще файлы статической настройки (конфигурации) серверов доменных имен, где такой сервер может быть прописан. Его можно прописать в качестве master-сервера для slave или сконфигурировать таким образом, что он будет работать в качестве slave для конкретной зоны.
Для чего нужен такой невидимый сервер. Например, для того, чтобы вносить обновления в зону, находясь под защитой firewall. В этом случае Primary master можно сделать невидимым, а все остальные, в том числе и заявленные при регистрации домена, slave-серверами зоны. Это позволяет нейтрализовать атаки на зону, т.к. обновление всегда будет производиться с «невидимого» Primary master:
Рис.4. Схема организации DNS-серверов с невидимым primary master сервером
Серверы данного вида используют для организации централизованного кеширования соответствий доменных имен и IP-адресов. Идея организации кэширующего сервера состоит в том, чтобы на искать соответствие доменного имени и IP-адреса в сети, а накапливать их в своем локальном кэше и обслуживать от туда запросы relover-ов.
Кэш-сервер не поддерживает описаний зон и, соответственно, не посылает resolver-ам авторитативных откликов:
> www.w3.org
Server: [144.206.192.60]
Address: 144.206.192.60
Non-authoritative answer:
Name: www.w3.org
Addresses: 18.29.1.35, 18.7.14.127, 18.29.1.34
Выше приведен типичный отклик кэширующего сервера на запрос nslookup об адресе www.w3.org. Если бы сервер был авторитативным, то строчки «Non-authoritative answer» в отклике мы бы не увидели.
Список этих серверов можно получить достаточно просто. Ниже приведен отчет программы nslookup:
Non-authoritative answer:
(root)
origin = A.ROOT-SERVERS.NET
mail addr = NSTLD.VERISIGN-GRS.COM
serial = 2002091100
refresh = 1800 (30M)
retry = 900 (15M)
expire = 604800 (1W)
minimum ttl = 86400 (1D)
Authoritative answers can be found from:
(root) nameserver = A.ROOT-SERVERS.NET
(root) nameserver = B.ROOT-SERVERS.NET
(root) nameserver = C.ROOT-SERVERS.NET
(root) nameserver = D.ROOT-SERVERS.NET
(root) nameserver = E.ROOT-SERVERS.NET
(root) nameserver = F.ROOT-SERVERS.NET
(root) nameserver = G.ROOT-SERVERS.NET
(root) nameserver = H.ROOT-SERVERS.NET
(root) nameserver = I.ROOT-SERVERS.NET
(root) nameserver = J.ROOT-SERVERS.NET
(root) nameserver = K.ROOT-SERVERS.NET
(root) nameserver = L.ROOT-SERVERS.NET
(root) nameserver = M.ROOT-SERVERS.NET
A.ROOT-SERVERS.NET internet address = 198.41.0.4
B.ROOT-SERVERS.NET internet address = 128.9.0.107
C.ROOT-SERVERS.NET internet address = 192.33.4.12
D.ROOT-SERVERS.NET internet address = 128.8.10.90
E.ROOT-SERVERS.NET internet address = 192.203.230.10
F.ROOT-SERVERS.NET internet address = 192.5.5.241
G.ROOT-SERVERS.NET internet address = 192.112.36.4
H.ROOT-SERVERS.NET internet address = 128.63.2.53
I.ROOT-SERVERS.NET internet address = 192.36.148.17
J.ROOT-SERVERS.NET internet address = 198.41.0.10
K.ROOT-SERVERS.NET internet address = 193.0.14.129
L.ROOT-SERVERS.NET internet address = 198.32.64.12
M.ROOT-SERVERS.NET internet address = 202.12.27.33
>
Согласно этому отчету Primary master сервером для корневой зоны является сервер A.ROOT-SERVERS.NET. Именно он отвечает за все изменения в описании зоны. Остальные серверы относительно корневой зоны являются slave-серверами. Slave-серверы обновляют свои описания зоны каждые 30 минут. Если в течении недели Primary master будет неработоспособен, то по идее вся система доменных имен потеряет связность. В RFC-2870, где описаны требования к работе root серверов, содержатся общие слова о том, как не допустить такого развития событий, но там нет конкретного плана действий.
Средние цифры таковы:
Исходящий трафик: 600 Kbps
Входящий трафик: 2.2 Kbps
Число пакетов за сутки: 26M
Распределение запросов по типам:
Поиск IP-адреса(A) 77%
Поиск сервера доменных имен (NS) 15%
Поиск почтового шлюза(MX) 5%
Статистика обслуживания запросов, которая названа ужасающей(Scary statistics):
— Только 26% правильных(valid) запросов к корневой зоне.
— 66% запросов к несуществующим доменам верхнего уровня (non existent TLDs)
По поводу последней цифры автор BIND Paul Vixie предположил, что это обращения к группам Windows NT, и при отсутствие негативного кэширования в Windows эти запросы повторяются до 10 раз за секунду.
Приведенные цифры должны дать представление о степени нагрузки на root серверы и цену тиражировании программного обеспечения, содержащего неточности приреализации протоколов.
К слову сказать, в 2002 году на встрече IEGP также обсуждались проблемы DNS, а точнее масштаб ошибок при делегировании и описании зон.