部署EDNS——客户端封装ECS字段并分析

已于 2024-08-22 10:20:52 修改
阅读量1.1k 收藏 14
点赞数 30
分类专栏: DNS 文章标签: php 数据分析 测试工具
于 2024-08-15 18:17:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62081777/article/details/141225238
版权

目录

EDNS

一、前言

1、EDNS的作用

2、举例描述EDNS的使用场景

二、DNS服务器部署EDNS

1、配置 BIND 支持 EDNS

2、注意事项

3、示例架构图

三、客户端封装ECS

使用dig工具插入 ECS 字段

1、dig介绍

2、dig命令插入ECS字段

​编辑

3、查看发出EDNS 信息

四、DNS服务器抓包分析ECS

EDNS

一、前言

1、EDNS的作用

edns-client-subnet是一种扩展DNS(DNS Extensions,简称EDNS)的选项,它允许DNS服务器了解查询的客户端的IP地址范围,以便提供更快和更准确的响应。EDNS客户端子网选项通常可以被用于两种情况:

  • 帮助DNS服务器提供对特定地理区域更准确的解析

       当客户端需要域名解析时,通常是向本地递归服务器或是配置的递归服务器去查询,递归服务器再去向权威DNS服务器发送查询请求时,权威DNS服务器只能递归服务器的IP地址,而没法准确的知道客户端所在的网络。因此,如果客户端使用CDN(内容分发网络)或者在某个大型网络的背后,那么请求将被发送到距离递归服务器最近的节点,而不是最接近用户的节点。这样会导致一些响应时间的延迟,用户可能会不满意。为了解决这个问题,EDNS(扩展DNS)引入了edns-client-subnet选项。

2、举例描述EDNS的使用场景

       简单举一个例子,比如一个客户端在中国,配置了位于欧洲的递归服务器,它查询了位于欧洲的权威dns服务器,权威dns服务器根据递归服务器的地理位置,将返回一个同位于欧洲的最近的IP地址,这时如果位于中国的客户端去访问这个欧洲的ip,势必会有一定的网络延迟,从而影响了用户的体验。但是,如果该客户端使用了edns-client-subnet选项,将自己的客户端ip携带到dns请求包中,则权威DNS服务器就会知道该客户端位于中国区域,因此它将返回一个离客户端地址最近的位于中国数据中心的CDN地址,这样就可以尽可能的减少网络传输上带来的延迟,提高用户的体验。

二、DNS服务器部署EDNS

1、配置 BIND 支持 EDNS

BIND 是最常用的 DNS 服务器之一,它默认就支持 EDNS。但是,为了确保您的 BIND 服务器配置正确地启用了 EDNS,可以按照以下步骤操作:

  1. 确认 BIND 版本 确保您的 BIND 版本支持 EDNS。BIND 9.2 及以上版本默认支持 EDNS。

  2. 检查配置文件 打开 BIND 的主配置文件 named.conf,通常位于 /etc/bind/ 目录下。

  3. 启用 EDNSoptions 块中,确保启用了 EDNS 支持。以下是一个示例配置:

    options {
    directory "/var/cache/bind";

    // 启用 EDNS0
    edns 0;
    edns-buffer-size 1232;

    // 其他配置项...
};
    • edns 0; 表示启用 EDNS0。
    • edns-buffer-size 1232; 设置最大 UDP 数据包大小为 1232 字节。这个值应该略小于 1500 字节(以太网 MTU)以适应大多数网络环境。

  4. 启用 DNSSEC 如果您计划使用 DNSSEC,也需要在配置文件中启用它。以下是一个示例配置:

    options {
    // ...
    dnssec-validation yes;
    // ...
};

  5. 测试配置 使用命令 named-checkconf 来检查配置文件是否有语法错误。

  6. 重启服务 保存更改并重启 BIND 服务以使配置生效。在大多数 Linux 发行版中,可以使用以下命令重启服务:

    sudo systemctl restart named

2、注意事项

  • 确保防火墙规则允许 UDP 端口 53 的通信,因为 DNS 默认使用 UDP 进行传输。
  • 如果您的 DNS 区域文件很大,可能需要增加 edns-buffer-size 的值以适应更大的响应。
  • 如果您还配置了 DNSSEC,确保您的 DNS 区域已经正确签名。

3、示例架构图

以下是一个简化的架构图,展示了使用 BIND 作为 DNS 服务器并支持 EDNS 的典型设置:

1+------------+      +----------------+     +-------------------+
2|  客户端    | ---> | BIND DNS Server | --> | Internet          |
3+------------+      +----------------+     +-------------------+
4              |      |                |     |                   |
5              |      |                |     |                   |
6              |      |                |     |                   |
7              |      |                |     |                   |
8              |      |                |     |                   |
9              |      |                |     |                   |
10              |      |                |     |                   |
11              |      |                |     |                   |
12              |      |                |     |                   |
13              |      |                |     |                   |
14              |      |                |     |                   |
15              |      +----------------+     +-------------------+

在这个架构中,客户端发送 DNS 请求给 BIND 服务器,BIND 服务器处理请求并返回响应,如果需要的话,它还会利用 EDNS 支持来处理更大的数据包。

三、客户端封装ECS

使用dig工具插入 ECS 字段

1、dig介绍

dig 是一个非常有用的 DNS 查询工具,可以用来测试 DNS 服务器的功能,包括 EDNS 支持。

2、dig命令插入ECS字段

使用 dig+edns 参数来启用 EDNS 支持,并使用 +bufsize 参数来指定缓冲区大小。例如,要查询一个域名并启用 EDNS 支持,可以使用以下命令

dig example.com @your-dns-server +subnet=X.X.X.X

这里 example.com 是要查询的域名,@your-dns-server 是您的 DNS 服务器的 IP 地址。+subnet=插入的源地址

3、查看发出EDNS 信息

dig 的输出中,查找 EDNS: version: 0EDNS: flags: 部分,以确认 EDNS 是否被启用。

例如,成功的输出可能类似于这样:

这里的关键部分是 EDNS: version: 0, flags:; udp: 4096,表明 EDNS 已经被启用并且设置了 UDP 缓冲区大小。

四、DNS服务器抓包分析ECS

到这里说明ECS功能已经开启成功!!!

IT小灵通
关注
专栏目录
使用python进行EDNS Client Subnet(ECS)解析
Pencil的博客
07-13 1082
使用python进行EDNS Client Subnet(ECS)解析1. ECS是什么?2. python 解析域名3. 使用python进行edns解析 1. ECS是什么? EDNS的一个字段,网上资料很多,不详细解释 2. python 解析域名 使用dnspython中的resolver进行解析域名即可,这里不在赘述 下面是解析一个域名A记录的例子 import dns.resolver dns_ret = dns.resolver.query("www.qq.com", 'A') for
深入浅出DNS系列(九)- EDNS
jiangsd198的博客
03-13 8188
EDNS0的rfc文档为rfc6891
EDNS协议报文(RFC2671)
jlccwss的专栏
01-06 3611
EDNS协议报文(RFC2671) 一、伪资源记录   1. 一个伪资源记录可以加入到请求或应答报文的附加资源记录字段中,之所以叫做伪记录是因为它属于传输层的消息,而不是关于DNS的,伪资源记录不能被缓存,转发,存储或者从主文件中加载,一个dns报文中要么就不要有,要么有一个伪资源记录,不能多余1个。   2. 伪资源记录包含固定部分和使用{attribute, value}对表示的可变
DNS 之 EDNS机制详解
热门推荐
zhipingxi的博客
08-25 1万+
EDNS   随着业务的复杂化和多样化,RFC1035中定义的DNS消息格式和它支持的消息内容已经不足以满足一些DNS服务器的需求,于是,RFC2671中提出了一种扩展DNS机制EDNS(Extension Mechanisms for DNS),并在其中推荐了一种传递包大小的EDNS0。我将EDNS0中的一些关键内容总结在这篇文章中,以便日后翻阅,同时希望能够帮助到像我这样迷茫过
dig 支持edns_client_subnet的dig
11-28
修改了的dig,支持edns_client_subnet。
EDNS
weixin_34321753的博客
07-13 460
  随着业务的复杂化和多样化,RFC1035中定义的DNS消息格式和它支持的消息内容已经不足以满足一些DNS服务器的需求,于是,RFC2671中提出了一种扩展DNS机制EDNS(Extension Mechanisms for DNS),并在其中推荐了一种传递包大小的EDNS0。我将EDNS0中的一些关键内容总结在这篇文章中,以便日后翻阅,同时希望能够帮助到像我这样迷茫过的、探寻EDNS很久才知道...
支持edns-client-subnet的dig和queryperf
09-22
支持edns-client-subnet的dig和queryperf
bind9支持edns-client-subnet
zhiyuan_2007的专栏
10-06 8162
基于bind9的edns-client-subnet, 服务器和dig都已经实现,同时提供了测试配置和结果。
EDNS基于linux内核模块的实现
04-29
EDNS(Extension Mechanisms for DNS)是DNS协议的一个扩展,旨在增强DNS系统的能力,支持更大的资源记录(RR)数据和更高效的操作。在Linux内核中实现EDNS,通常涉及对DNS解析器和服务器的内核组件进行修改,以便...
edns0-validation
05-09
使用正确的EDNS0,在附加部分中只有一个OPT伪RR,但是在这里我发送了一个违反此规则的查询并比较了响应。 情况0:对常规查询的响应 下面是指向tcpdump在发送常规查询时获取的数据包捕获数据的链接。 情况1:使用两个...
测试服务器支持edns,【实验问题记录】DNS EDNS0 IP分片
weixin_36433781的博客
07-29 1144
为了测量一个 DNS 服务器的放大性能,使用dig命令向能够放大的 DNS 服务器请求某个具有大量回复的域名的 ANY 资源,并利用 tcpdump 进行捕包。dig @x.x.x.x xxx.gov ANYtcpdump -i interface -n -vv '(udp) and (port 53) and (host x.x.x.x)'问题1:问题描述:收到了一个 IP 包长度为1500的分...
DNS support edns-client-subnet
weixin_33985679的博客
03-14 337
转载自:http://noops.me/?p=653 看了2天RFC,终于让DNS支持edns-client-subnet协议,通过google dns resolver的请求,可以获取用户的ip地址。国内很多CDN和DNS提供商都已经实现了,但网上的中文资料比较少,所以在这里分享一下,能力有限,错误之处还请谅解。 问题 CDN使用DNS获取查询IP,根据IP对用...
linux+dns+edns,EDNS 配置, 8.8.8.8 dns缓存问题 | 4os
weixin_39669701的博客
05-14 1191
测试bind-9.8.1-P1 的edns的时候发现,google DNS解析的结果一直在跳,有时候在电信区,有时候在us区于是给它打了第一个patch,让query log 支持edns的client subnet显示,便于排查筛选下日志,发现很多edns请求不在我们的ecs ACL范围内,最终落到了google DNS IP 所在的us区域,推测应该是这个造成了google DNS 的错误缓存...
DNS,edns,httpdns杂谈
mykeylock的博客
03-06 4074
DNS: 1、localDNS查CNAME 2、根据cip与CNAME查A记录 (查询A记录时,使用edns协议访问httpdns服务提供商,包括qq,dnspod等) —————————— 但通常使用localDNS查询CNAME记录时也会有风险,不可靠等 这时需使用edns协议连同A记录、CNAME一块返回,并进行缓存 通过edns查询cname与A记录的一些特点: 通过原始的
DNS服务及基于BIND的实现
weixin_33806300的博客
08-10 630
1、DNS 概述1.1、DNS的出现及演化 网络出现的早期是使用IP地址通讯的,那时就几台主机通讯。但是随着接入网络主机的增多,这种数字标识的地址非常不便于记忆,UNIX上就出现了建立一个叫做hosts的文件(Linux和Windows也继承保留了这个文件)。这个文件中记录着主机名称和IP地址的对应表。这样只要输入主机名称,系统就会去加载hosts文件并查找对应关系,找...
DNS智能解析
lsj1342的博客
09-13 1272
智能解析 传统DNS解析,不判断访问者来源,会随机选择其中一个IP地址返回给访问者。 智能 DNS 会判断访问者的来源,也就是说,它会对访问者的 IP 地址做判断,对不同的访问者它会返回不同的 IP 地址。智能 DNS 可以根据用户的 IP 地址找到它所在的地区、使用的运营商等。通过这些信息,它就可以让访问者在访问服务的时候,获得最优的 CDN 边缘节点,从而提升服务的质量。 实现 阿里云解析: DNS解析,通过识别LocalDNS的出口IP,来判断访问者来源。具体可分为三种情况: 客户端LocalDNS
暗黑网络攻击:EDNS 的崛起与对策
最新发布
m0_72410588的博客
08-23 239
EDNS攻击是一种利用扩展DNS(EDNS)协议漏洞进行的攻击方式。DNS(Domain Name System)是互联网上的一种分布式数据库,它将域名转换为IP地址,使用户可以通过域名访问网站和其他网络资源。EDNSDNS协议的一个扩展,旨在提高DNS的性能和功能。然而,恶意攻击者可以利用EDNS的缺陷,通过发送大量的请求来消耗服务器资源,从而导致服务不可用或网络延迟增加。
options edns0 trust-ad
04-06
b'options edns0 trust-ad' 是 BIND DNS 服务器的配置选项,启用该选项可以提高 DNS 安全性。 edns0 表示启用了 EDNS 扩展,这样可以支持更高级的 DNS 请求,以及避免一些 DNS 恶意攻击。 trust-ad 表示信任 DNS 签名验证结果,防止 DNS 缓存污染攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值