DNS support edns-client-subnet

最新推荐文章于 2021-11-12 16:02:43 发布
最新推荐文章于 2021-11-12 16:02:43 发布
阅读量419 收藏
点赞数
分类专栏: DNS

看了2天RFC,终于让DNS支持edns-client-subnet协议,通过google dns resolver的请求,可以获取用户的ip地址。 
国内很多CDN和DNS提供商都已经实现了,但网上的中文资料比较少,所以在这里分享一下,能力有限,错误之处还请谅解。

问题

CDN使用DNS获取查询IP,根据IP对用户进行地域调度。但这里获取的IP地址是DNS地址,而不是用户真实的IP地址。 
大多数情况下,我们假设用户通过会使用离自己网络最近的DNS resolver,CDN调度基本还是准确的。 
但也有很多nameserver设置错误,或者用户使用google public dns(nameserver 8.8.8.8/8.8.4.4)或opendns进行DNS resolver 
比如: 
国内用户设置namserver 8.8.8.8 (dig xxx.com @8.8.8.8) 
我们得到的DNS query IP是74.125.16.208,判断IP属于 美国,,,加利福尼亚州山景市谷歌公司 
这个时候,我们的DNS会返回离美国加州最近的CDN节点IP给用户。 
国内用户错误的调度到美国节点…… :(

edns-client-subnet

google提交了一份DNS扩展协议, 文档地址 
允许DNS resolver传递用户的ip地址给authoritative DNS server. 
CDN的DNS支持该协议,就可以获取用户真实的IP地址,进行准确的调度。 
图片1
OpenDNS和Google Public DNS已经支持了该协议,如果希望他们的query中带有用户IP,需要联系他们添加白名单。 
提供nameserver的hostname、ip以及可以用来测试解析的域名即可,一般几天就可以搞定。(注:我是晚上22:l00提交的申请,第二天10:00就已经生效了)

实现

一. 支持发送和接收edns-client-subnet的dig

bind-9.7.3下载 
支持edns-client-subnet的dig path 
下载上述2个包,将patch打进bind,编译出dig进行测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
. / dig www . baidu . com @ 8.8.8.8 + client = 104.119.200.200
 
; << >> DiG 9.7.3 << >> www . baidu . com @ 8.8.8.8 + client = 104.119.200.200
; ; global options : + cmd
; ; Got answer :
; ; -> > HEADER << - opcode : QUERY , status : NOERROR , id : 1068
; ; flags : qr rd ra ; QUERY : 1 , ANSWER : 3 , AUTHORITY : 0 , ADDITIONAL : 1
 
; ; OPT PSEUDOSECTION :
; EDNS : version : 0 , flags : ; udp : 512
; CLIENT - SUBNET : 104.119.200.200 / 32 / 0
; ; QUESTION SECTION :
; www . baidu . com .          IN    A
 
; ; ANSWER SECTION :
www . baidu . com .        1030      IN    CNAME   www . a . shifen . com .
www . a . shifen . com .    130 IN    A    220.181.112.143
www . a . shifen . com .    130 IN    A    220.181.111.148
 
; ; Query time : 42 msec
; ; SERVER : 8.8.8.8 #53(8.8.8.8)
; ; WHEN : Wed Jun 26 14 : 38 : 13 2013
; ; MSG SIZE   rcvd : 113

注意上面的OPT PSEUDOSECTION ,已经可以发送和接收edns-client-subnet请求了

二. 协议

DNS协议 
DNS query会包含header和RR 2部分,这里只介绍我们关注地方,网上可以搜到很多协议的介绍,比如这个http://archercai.blog.sohu.com/60779796.html 
header会描述本次请求中Questions、Answer RRs、Authority RRs和Additional RRs的数量 
RR部分会详细描述每个资源的内容,所有的RR格式是相同的,如下: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
                                     1    1    1    1    1    1
       0    1    2    3    4    5    6    7    8    9    0    1    2    3    4    5
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +
     |                                                |
     /                                                /
     /                        NAME                      /
     |                                                |
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +
     |                        TYPE                      |
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +
     |                      CLASS                      |
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +
     |                        TTL                        |
     |                                                |
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +
     |                    RDLENGTH                      |
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- |
     /                      RDATA                      /
     /                                                /
     + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- + -- +

个人理解edns-client-subnet是对edns协议的扩展,附加在一个DNS请求的Additional RRs区域,这里 重点描述edns-client-subnet的结构 
EDNS协议 Extension mechanisms for DNS (EDNS0):http://tools.ietf.org/html/draft-ietf-dnsind-edns0-01 
每个字段的结构和描述如下:

1
2
3
4
5
6
7
8
   Field Name   Field Type     Description
   -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
   NAME         domain name     empty ( root domain )
   TYPE         u_int16_t       OPT
   CLASS          u_int16_t       sender ' s UDP payload size
   TTL            u_int32_t        extended RCODE and flags
   RDLEN          u_int16_t        describes RDATA
   RDATA          octet stream    { attribute , value } pairs

OPT 的值41,详细的协议值如下:

1
2
3
4
5
6
7
8
9
( A , NS , MD , MF , CNAME , SOA , MB , MG , MR , NULL , WKS , PTR , HINFO ,MINFO , MX , TXT ,
RP , AFSDB ) = range ( 1 , 19 )
AAAA = 28
SRV = 33
NAPTR = 35
A6 = 38
DNAME = 39
SPF = 99
OPT = 41

RDLENGTH描述RDATAD的长度,edns-client-subnet的详细格式存在RDATA中,如下:

1
2
3
4
5
6
7
8
9
10
11
12
                 + 0 ( MSB )                              + 1 ( LSB )
     + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +
   0 : |                            OPTION - CODE                            |
       + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +-- - + -- - + -- - +
   2 : |                          OPTION - LENGTH                          |
       + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +-- - + -- - + -- - +
   4 : |                              FAMILY                              |
       + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +-- - + -- - + -- - +
   6 : |            SOURCE NETMASK        |          SCOPE NETMASK            |
       + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +-- - + -- - + -- - +
   7 : |                            ADDRESS . . .                            /
       + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - + -- - +-- - + -- - + -- - +
  • OPTION-CODE 2个byte
  • OPTION-LENGTH 2个byte,它之后的内容长度
  • FAMILY 2个byte,1表示ipv4, 2表示ipv6
  • ADDRESS 实际存放IP地址的地方,ipv4长度为4,google发送过来的长度一般为3,隐藏了ip地址最后一位

三. 开发

完成前2个步骤,就可以开搞了,逻辑很简单: 
1. 判断dns query是否包含Additional RRs,读取NAME部分 
2. 读取10个字节(byte),判断TYPE是否为41,rdlength > 8 
3. 如果rdlength > 8,再读取8个字节,对应OPTION-CODE(2)–>OPTION-LENGTH(2)–>FAMILY(2)–>SOURCE NETMASK(1)–>SCOPE NETMASK(1) 
4. 读取剩下的address,长度 rdlength – 8 或者 option-length – 4都行 
注:读取到的地址长度为4,可以直接用socket.inet_ntoa变成ip地址,如果不够4个字节,需要后面补\x00
5. 获取到的IP地址就可以用来进行判断调度了 
6. respond时也需要增加一个Additional RRs区域,直接把请求的Additional内容原封发过去就可以

四. 抓包

  1. 发包
    • 发送dns query请求时,可以看到Questions:1, Additional RRs: 1
    • Additional RRs中,type: 41(OPT), rdlength: 12 (google发过来的包,长度为11,没有IP地址最后一位)
    • 12 – OPTION-CODE(2) – OPTION-LENGTH(2) – FAMILY(2) – SOURCE NETMASK(1) – SCOPE NETMASK(1) = 4,IPV4 地址的大小 
      图片2
  2. 回包
    • 发送dns query请求时,可以看到Questions:1, Answer RRs:1, Additional RRs: 1 
      图片3

penny_ren
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
智能DNS解析之edns-client-subnet
weixin_30405421的博客
08-17 1368
  摘要:智能DNS解析是CDN的重要组成部份,所谓的智能也就是根据请求用户来对同一域名作出相应不同解析(目前大多数域名注册商还没提供线路解析的服务),所以CDN的调度准确性也就完全依靠DNS智能解析,但于由DNS是互联网上较早设计的协议但没有考虑到今天网络的情况于应用。   一、前言   智能DNS解析是CDN的重要组成部份,所谓的智能也就是根据请求用户来对同一域名作出相应不同解析(目前...
DNS服务搭建
weixin_42859372的博客
08-19 2175
DNS:Domain Name System 域名系统 它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为...
深入浅出DNS系列(八)- subnet
jiangsd198的博客
03-13 1684
由于实践中,由localdns代客户进行DNS查询,所以在大型互联网应用的全局调度和CDN应用中,不能准确的定位客户的区域; 为了解决这一问题,Google联合一些互联网基础服务提供商提交了名为edns-client-subnet的RFC草稿,使的DNS消息可以携带客户的子网信息
DNS
xiaoyao25qq的博客
04-18 518
######DNS### 服务端 [root@server ~]#yum install bind -y [root@server ~]#systemctl restart named 重启named [root@server ~]#systemctl status firewalld 查看防火墙状态 [root@server ~]#systemctl stop fir
支持edns-client-subnet的dig和queryperf
09-22
其中,EDNS-Client-Subnet(EDNS-CS)是EDNS的一个重要特性,它提供了客户端网络位置的子网信息给DNS解析器,以便于实现更精确的地理路由和负载均衡。本文将深入探讨支持EDNS-Client-Subnet的两个工具——dig和...
dig 支持edns_client_subnet的dig
11-28
修改了的dig,支持edns_client_subnet
encrypted-dns:DNS-over-HTTPS和DNS-over-TLS服务器和转发器。 (RFC 8484,RFC 7858,RFC 7871)
05-22
使用EDNS-Client-Subnet提高准确性 使用DNSSEC验证DNS响应 将特定域透明重定向到特定解析器 通过HTTP代理发送查询 使用默认或自定义的TTL缓存DNS响应以减少延迟 在Google,Bing,DuckDuckGo等搜索引擎上强制进行...
dig 没有edns_client_subnet的pcap包
11-28
dig时,没有edns_client_subnet的pcap包。 与有edns_client_subnet的pcap包,形成对比。
dig 有edns_client_subnet的pcap包
11-28
dig 有edns_client_subnet的pcap包。可以与没有edns_client_subnet的pcap包形成对比。 执行命令:dig www.baidu.com @8.8.8.8 +client=104.119.200.200生成的。
gdnsd:权威DNS服务器-
02-24
gdnsd是仅授权DNS服务器。 最初的g代表地理,因为gdnsd提供了一个用于地理(或其他类型)平衡,重定向和对服务状态敏感的故障转移的插件系统。 插件系统还可以执行加权地址/名称记录之类的操作。 如果您不关心这些...
BIND资源记录类型和value
aischang
06-03 890
TYPE Value Meaning Reference A 1 a host address [RFC1035] NS 2 an authoritative name server [RFC1035] MD 3 a mail destination(OBSOLETE - use MX) [RFC1035] M...
测试服务器支持edns,【实验问题记录】DNS EDNS0 IP分片
weixin_36433781的博客
07-29 1094
为了测量一个 DNS 服务器的放大性能,使用dig命令向能够放大的 DNS 服务器请求某个具有大量回复的域名的 ANY 资源,并利用 tcpdump 进行捕包。dig @x.x.x.x xxx.gov ANYtcpdump -i interface -n -vv '(udp) and (port 53) and (host x.x.x.x)'问题1:问题描述:收到了一个 IP 包长度为1500的分...
使用python进行EDNS Client Subnet(ECS)解析
Pencil的博客
07-13 1036
使用python进行EDNS Client Subnet(ECS)解析1. ECS是什么?2. python 解析域名3. 使用python进行edns解析 1. ECS是什么? EDNS的一个字段,网上资料很多,不详细解释 2. python 解析域名 使用dnspython中的resolver进行解析域名即可,这里不在赘述 下面是解析一个域名A记录的例子 import dns.resolver dns_ret = dns.resolver.query("www.qq.com", 'A') for
dig,支持edns client subnet,及其pcap包分析
kanguolaikanguolaik的专栏
11-28 9559
一、edns_client_subnet简介 二、dig支持edns_client_subnet       dig默认不支持edns_client_subnet。可以通过以下2种方法支持: 1. 下载修改过的,支持edns_client_subnet的dig: http://download.csdn.net/detail/kanguolaikanguolaik/66232
bind9支持edns-client-subnet
zhiyuan_2007的专栏
10-06 8071
基于bind9的edns-client-subnet, 服务器和dig都已经实现,同时提供了测试配置和结果。
DNS智能解析
lsj1342的博客
09-13 1190
智能解析 传统DNS解析,不判断访问者来源,会随机选择其中一个IP地址返回给访问者。 智能 DNS 会判断访问者的来源,也就是说,它会对访问者的 IP 地址做判断,对不同的访问者它会返回不同的 IP 地址。智能 DNS 可以根据用户的 IP 地址找到它所在的地区、使用的运营商等。通过这些信息,它就可以让访问者在访问服务的时候,获得最优的 CDN 边缘节点,从而提升服务的质量。 实现 阿里云解析: DNS解析,通过识别LocalDNS的出口IP,来判断访问者来源。具体可分为三种情况: 客户端LocalDNS
带你深入了解 DNS 解析原理-递归与迭代
wangzan18的博客
11-12 8640
一、什么是DNS 域名系统 (DNS) 将人类可读的域名 (例如,www.amazon.com) 转换为机器可读的 IP 地址 (例如,192.0.2.44)。 DNS 服务的类型 权威 DNS(Authoritative DNS):处于 DNS 服务端的一套系统,该系统保存了相应域名的权威信息。权威 DNS...
options edns0 trust-ad
最新发布
04-06
b'options edns0 trust-ad' 是 BIND DNS 服务器的配置选项,启用该选项可以提高 DNS 安全性。 edns0 表示启用了 EDNS 扩展,这样可以支持更高级的 DNS 请求,以及避免一些 DNS 恶意攻击。 trust-ad 表示信任 DNS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值