DNS扫盲系列之八:关于域名解析的授权

最新推荐文章于 2024-07-13 18:10:57 发布
最新推荐文章于 2024-07-13 18:10:57 发布
阅读量6.4k 收藏
点赞数
文章标签: dns
首先是两个相关的概念:
域名授权: 指定谁是该域名的权威DNS,即由谁负责解析该域名(由NS记录操作完成)。
权威DNS: 特指对特定域名具有权威发布能力的DNS;互联网上域名(域名记录)解析结果的原出处。  
目前域名解析授权状况:
目前在互联网上域名解析授权大体上是谁出售域名就把域名的权威DNS授权给谁并由其提供域名的权威DNS来完成域名解析工作,如购买了新网域名默认就是由新网的权威DNS(nsx.xinnetdns.com、nsx.xinnet.cn)负责所售域名解析:
 
[root@test root]#dig @a.gtld-servers.net xinnet.com ns
;; ANSWER SECTION:
xinnet.com. 172800 IN NS ns.xinnet.cn.
xinnet.com. 172800 IN NS ns.xinnetdns.com.
xinnet.com. 172800 IN NS ns2.xinnet.cn.
xinnet.com. 172800 IN NS ns2.xinnetdns.com.
域名解析授权是怎么实现的:
域名解析授权是个树状的,从上而下的分层体系,简图如下:
xxa.jpg
 
首先“.”DNS把COM/NET/CN/ORG/TV等等域名按后缀的不同分别授权给不同的DNS,以利于分别管理。如COM/NET域名被授权给了如下几个权威DNS。
这里不难想像要修改COM/NET的授权DNS要到“.”DNS上去操作才能完成。
[root@test root]#dig com. ns
;; ANSWER SECTION:
com. 96045 IN NS d.gtld-servers.net.
com. 96045 IN NS g.gtld-servers.net.
com. 96045 IN NS b.gtld-servers.net.
com. 96045 IN NS k.gtld-servers.net.
com. 96045 IN NS f.gtld-servers.net.
com. 96045 IN NS l.gtld-servers.net.
com. 96045 IN NS j.gtld-servers.net.
com. 96045 IN NS a.gtld-servers.net.
com. 96045 IN NS i.gtld-servers.net.
com. 96045 IN NS m.gtld-servers.net.
com. 96045 IN NS e.gtld-servers.net.
com. 96045 IN NS h.gtld-servers.net.
com. 96045 IN NS c.gtld-servers.net.
同理可知,要指定或修改ABC.COM的权威DNS要去顶级DNS上操作。通常来说一般的域名所有者是无权登录顶级DNS进行操作的。只能通过域名提供商(如新网,万网等)的专用接口(位于域名商的域名管理平台上)来间接操作顶级DNS上的记录。
以ABC.COM为例简要说明怎么指定自己的权威DNS,假设ABC.COM是在新网购买,那么默认该域名的权威DNS就是nsx.xinnetdns.com、nsx.xinnet.cn。这时候要修改默认权威DNS。首先登录新网的域名管理后台,找到修改域名DNS页面即可完成操作(详细过程这里有: http://www.2cto.com/net/201210/161851.html)。操作完成后要验证一下是否修改成功:
[root@test root]#dig @a.gtld-servers.net abc.com ns
;; ANSWER SECTION:
abc.com. 172800 IN NS ns1.ai-dns.com.
abc.com. 172800 IN NS ns2.ai-dns.com.
abc.com. 172800 IN NS ns3.ai-dns.com.
这里我们把ABC.COM授权给了nsx.ai-dns.com了。
关于域名权威DNS的再授权:
以ABC.COM为例,再授权是指在nsx.ai-dns.com上面再次指定该域名的权威DNS,再授权的意义有这么几个:
 
1. 扩展现有的权威DNS数量,如现有ns1,ns2,ns3.ai-dns.com共三台DNS,现在要增加到4台,则可以在原3台DNS上abc.com的ZONE文件内增加
ns4这个NS记录。
原来的ZONE内容:
$TTL 2d
$ORIGIN abc.com.
@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
2288091841 1h 600 1w 900 )
@ 2d IN NS ns1.ai-dns.com.
@ 2d IN NS ns2.ai-dns.com.
@ 2d IN NS ns3.ai-dns.com.
增加ns4这个NS记录后为:
$TTL 2d
$ORIGIN abc.com.
@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
2288091841 1h 600 1w 900 )
@ 2d IN NS ns1.ai-dns.com.
@ 2d IN NS ns2.ai-dns.com.
@ 2d IN NS ns3.ai-dns.com.
@ 2d IN NS ns4.ai-dns.com.
当然增加NS4的操作也可以在顶级DNS上完成,不再赘述。
2. 把权威DNS重新授权给其他DNS,如把原来的权威DNS(nsx.ai-dns.com)重新授权给别人(nsx.ddd.com)。操作过程同上,不再赘述。
  再授权可能存在的潜在问题:
再授权无疑使得域名解析授权变得更灵活,但是存在以下潜在的隐患。当原授权的权威DNS(即在顶级DNS定义的权威DNS)故障时,这时再授权的D
NS将无法工作,导致域名无法解析(这是由域名解析过程是自上而下的这个特性决定的)。同时也增加了安全隐患。
附加部分1:慎用WHOIS来查看域名权威DNS。
对于域名的Whois 数据库是由域名销售商控制的,即每个域名销售商都有自己的WHOIS服务器,这些服务器用来存储自身出售的域名信息,如域名所有人,联系方法,到期时间等内容。WHOIS信息中显示的域名当前权威DNS信息很可能没有及时与域名实际的权威DNS信息同步而导致错误的判断。
附加部分2:“.”根DNS是怎么被授权的?
由于“.”根DNS所处域名解析体系的顶端,无法按照常规方法对其授权。到目前为止其授权方法是把所有“.”DNS列表存放在一个文本文件内(自己授权给自己),名字通常为root.hint内容如下(部分节选):
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201
天天向上99
关注
HVV蓝队扫盲,关于HVV你不知道的全在这·HVV专题
大河之犬的博客
06-27 1026
资产及应用发现:通过数据挖掘和调研的方式确定企业资产范围,之后基于IP或域名,采用Web扫描技术、操作系统探测技术、端口探测技术、服务探测技术、Web爬虫技术等各类探测技术,对参演单位信息系统内的主机/服务器、安全设备、网络设备、工控设备、Web应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)Web应用防火墙是以网站或应用系统为核心的安全产品。
3-10DNS子域授权
weixin_42508243的博客
10-31 914
文章目录说明3.10.1配置子域授权3.10.2递归/迭代查询 说明 本节主要介绍DNS的子域授权及配置,介绍DNS递归查询和迭代查询的过程和配置方法 3.10.1配置子域授权 一、子域授权介绍 -适用于同一个DNS组织 -父/子域的解析工作由不同的DNS服务器负责 -父DNS服务器应该有为子域迭代的能力 二、启用子域授权 虚拟机B(开启虚拟机B的DNS服务) [root@pc207 ~]# yum -y install bind bind-chroot.x86_64 #安装DNS的软件包 [root@p
DNS域名解析服务器), DNS子域授权
weixin_34115824的博客
11-07 346
DNS域名解析服务器) DNS服务器的功能: 1.正向解析:根据注册的域名查找其对应的IP地址。 2.反响解析:根据IP地址查找对应的注册域名。 BIND服务器端程序 主要执行程序:/usr/sbin/named 系统服务:named 默认端口:TCP/UDP 53 运行时的虚拟根环境:/var/named/chroot 主配置文件路径:/etc/...
如何将HTTP升级成HTTPS / 免费获取(FreeSSL、OHTTPS)SSL证书 / KeyManager中一直处于证书正在验证中无法成功获取证书 / 华为云配置CNAME类型的域名解析记录
最新发布
wwxb_06的博客
07-13 1152
如何将HTTP升级成HTTPS?总的可以分为两个步骤:一是获取SSL证书(免费/收费 | DV、OV、EV 三种证书);二是将证书部署在服务器上。 获取免费的SSL证书: 1.获取SSL证书——FreeSSL(免费/有效期一年) 2.获取SSL证书——OHTTPS(免费/有效期90天) 如何在Tomcat上部署SSL证书: 1)上传jks证书文件至服务器的omcat内 2)修改tomcat的server.xml 3)修改web.xml将HTTP请求自动转换为HTTPS请求(可选) 4)重启Tomcat
DNS子域授权过程
weixin_34278190的博客
10-21 125
子域授权就相当于是划片管理,是由上至下的授权。由根开始"."。 例如:.com .net 就是由根授权名称空间,其实就是由.决定要划分什么的名称空间,由它委派子名称空间。 DNS中最重要的就是NS记录,其中每个NS里面的负责人就是SOA,在父域上定义一条NS记录和一条A记录就可以完成子域授权了 .com IN NS wd.com. wd.com IN A 10...
linux dns子域授权(一),DNS子域授权_Sueking Linux Blog的技术博客_51CTO博客
weixin_33205735的博客
05-13 289
实现DNS子域授权功能:实验环境:主DNS服务器,IP:192.168.1.132从DNS服务器,IP:192.168.1.133MAIL服务器, IP:192.168.1.135WWW服务器, IP:192.168.1.128子域DNS服务器,IP:192.168.1.200实现过程如下:首先在父域的区域解析库中添加“胶水记录”,同时将序列号数值增加1;准备子域DNS服务器192.168.1....
DNS子域授权,转发,ACL篇(三)
01-26 1017
服务器三台 master: ip: 192.168.1.10 主域:angrybeans.com 子域的master:由master授权 ip : 192.168.1.9 主域:ops.angrybeans.com    子域的slave从服务器: ip: 192.168.1.11 子域授权 master配置: 1./etc/named.conf lis
DNS 扫盲实现智能DNS
08-30
扫盲系列之八:关于域名解析授权.pdf,这可能涉及了DNS区域传输的授权机制,以及如何保护DNS服务器免受未经授权的访问。 扫盲系列之一:有关公网DNS.pdf,此文档可能涵盖了公共DNS服务器的使用和其与私有DNS的...
网络知识扫盲,一文搞懂DNS
01-27
【网络知识扫盲,一文搞懂DNS】 网络知识在面试中扮演着至关重要的角色,尤其是在IT行业。本文旨在帮助那些在网络知识上遇到困难的同学,尤其是关于DNS的基础知识。DNS,全称为Domain Name System,是一种分布式...
网络知识扫盲,一文搞懂 DNS
08-07 510
在找工作面试的过程中,面试官非常喜欢考察基础知识,除了数据结构与算法之外,网络知识也是一个非常重要的考察对象。 而网络知识,通常是很抽象,不容易理解的,有很多同学就在这里裁了跟头。为了更好地通过面试,本文讲进行一次网络知识大扫盲,聊一聊网络知识最基本的DNS。 网络知识扫盲,一文搞懂 DNS DNS 是什么? DNS是 Domain Name System 的缩写,也就是 域名解析系统,它的作用非常简单,就是根据域名查出对应的 IP地址。 你可以把它想象成一本巨大的电话本,比如当你要访问域名www.163.
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
Bind:配置成dns授权服务器
kanguolaikanguolaik的专栏
09-08 1920
Bind安装、配置递归:http://blog.csdn.net/guowenyan001/article/details/19194877 一、name.conf配置文件 /etc/name.conf options { listen-on port 53 { any; }; directory "/var/named"; dum
DNS 缓存&授权服务器攻击简介
focus on security
04-15 3085
DNS架构 当用户上网访问某个网站时,会向DNS缓存服务器发出该网站的域名,以请求其IP地址。当DNS缓存服务器查找不到该域名与IP地址对应关系时,它会向授权DNS服务器发出域名查询请求。为了减少Internet上DNS的通信量,DNS缓存服务器会将查询到的域名和IP地址对应关系存储在自己的本地缓存中。后续再有主机请求该域名时,DNS缓存服务器会直接用缓存区中的记录信息回应,直到该记录老化,被删除,互联网的dns模拟结构如下图: 常见的dns服务器主要是缓存服务器和授权服务器,一个典型的解析过程如下
【http 请求返回状态码 500 】 Spring Boot 模拟http请求
piano_diano的博客
08-28 8471
背景 最近弄的项目中要求给另外一个服务器传送数据,预定是用http的方式,在开始动手之前我打算用Spring Boot模拟下服务器之间的请求 流程: 服务器A发起POST请求将Json格式的数据发送到服务器B,服务器B要回传"success",当服务器A接收到"success"后表示数据发送成功 @Controller public class MyController { /* ** 服务器A */ @ResponseBody @RequestMap.
DNS 取得授权
weixin_33957648的博客
05-14 154
1、阿里云上cnroot.cn申请DNS解析服务器 也就是cnroot.cn下的子域名都从这个DNS上获取。 如www.cnroot.cn 如 handle.cnroot.cn 2、vi /home/wkubuntu/named/etc/named.conf zone "cniotroot.cn" IN { type master; file "/home/wk...
DNS授权DNS、Local DNS
kanguolaikanguolaik的专栏
11-21 6576
一、授权DNS 1.1 定义       授权DNS:提供DNS的解析,即保存IP、域名的对应关系(XNS)。 1.2 如何使一个机器成为授权DNS的?       1. 部署XNS(或类似的软件),使该机器具有授权DNS服务器的功能。       2. 将域名www.163.com及其对应的IP(假如是101.26.37.107)放入授权DNS服务器即可。             1
DNS扫盲系列之八:关于域名解析授权
weixin_30824479的博客
12-22 409
DNS扫盲系列之八:关于域名解析授权 首先是两个相关的概念: 域名授权: 指定谁是该域名的权威DNS,即由谁负责解析该域名(由NS记录操作完成)。 权威DNS: 特指对特定域名具有权威发布能力的DNS;互联网上域名(域名记录)解析结果的原出处。 目前域名解析授权状况: 目前在互联网上域名解析授权大体上是谁出售域名就把域名的权威DNS授权给...
授权dns(CloudXNS)的学习使用
program is a art
06-24 752
授权就是将你的一部分域的责任分配给另一个组织,实际操作就是将你子域的权威分配给其他一些名字服务器. 在每个域中,会有一台或多台服务器用来保存这个域名空间的所有信息,并且响应关于该域名空间的所有请求.这种服务器就叫作这个域的权威域名服务器(也常称为授权域名服务器),它拥有这个域所有的域名信息.每个域都可以分为多个子域,而每个权威域名服务器可以给一个或多个区域进行解析.但即使各个区域被授权给同一个权...
IPv6转换难点分析之一:国家监测指标(国科云)
weixin_53018687的博客
09-26 902
的一项重要要求便是通过国家IPv6发展监测平台(以下简称监测平台)的检测标准,共包括8项指标:DNS记录、首页可达、域名授权体系、域名解析时延、TCP时延、服务器响应首包时延、首页响应时延、下载速度,今天就为大家逐一分析监测平台的各项检测指标对应的要求内容。较低的TCP时延和正常的数据发送接收速度,是IPv6监测的重要指标。首页可达表示了不同网络环境下客户访问网站首页的响应情况,IPv6的首页可达便证明IPv6网络环境下的客户可以访问到网站的首页,网站在IPv6环境中是有效的。对于广大网站管理员来说,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值