DNS的各种记录类型的应用解析

可能很多人平时工作中不会遇到DNS配置相关的问题, 但如果偶尔遇到不同类型DNS记录的配置, 在没有搞清楚它们都是干啥的情况下, 会眼花缭乱, 还记得很多年前实验室配置DNS不太对导致只能访问www.instlink.com, 而无法解析subdomain.instlink.com。

现在回头想起来,可能是将A类记录配置成了www.instlink.com 导致的, 所以无法再CNAME到subdomain.instlink.com,而只能整成subdomain.www.instlink.com。由于网站需要备案,修改起来麻烦,所以只能将二级页面通过/subdomain的形式来展现。

刚好最近所做的工作中涉及到了一些邮箱方面的DNS的配置,使用Amazon Route53托管,这里简单的将不同种DNS记录类型做一些介绍。

A/AAAA

这两种是最基本的DNS记录, 它负责绑定域名与对应的IP地址, 只不过A绑定的IPv4, 而AAAA绑定的IPv6。

例子:

foo.example.com.   A    192.0.2.23 

其中86400是TTL

CNAME

CNAME(canonical name)是A记录的alias或者叫做lieu, 一般用作绑定subdomain,或者其他domain与主domain的关系, 而且它只能指向一个domain。

例子:

bar.example.com.    CNAME  example.net. 

CNAME的查找是单条的, 也就是如果xyz.bar.example.com来了就无法命中这条CNAME记录, 但是还有另外一个叫DNAME的可以映射整个subtree,且DNS服务器在处理DNAME时,其实也是产生对应的CNAME来解析。

所以如果存在一条DNAME,如:

bar.example.com.    DNAME  example.net. 

那么解析的过程是通过如下的CNAME来完成的:

xyz.bar.example.com.  CNAME  xyz.example.net 

MX

Mail Exchange, 这个是专门给邮件用的,依据SMTP协议,通过这个DNS地址找到对应的邮件服务器host,所以这个类型的记录也只能指向一个域名,而不能是IP地址。

例子:

Domain TTL Class Type Priority Host
example.com. 1936 IN MX 10 onemail.example.com.

TXT

TXT就跟他的名字一样, 会返回一段文本, 本来的设计是用来返回人可以阅读的信息, 现在主要用于邮件防Spam, 以及域名所有者声明。

例子:

Domain Type Value TTL
example.com. TXT This is an awesome domain! Definitely not spammy. 32600

关于如何防止Spam, 有三个基于TXT的DNS记录(SPF,DKIM,DMARC)后面会提到。

基于IETF在1993年的规范,如果想在TXT里保存Key/Value值,需要双引号(“”)包裹K=V值,但是这个规范往往没有被采纳,所以如果我们去看防Spam的几种DNS记录,是没有加引号的。

NS

NameServer用来指定DNS解析服务器的域名,它是用来告诉去哪里来找到对应域名的IP地址的。

例子:

example.com. 172800 IN NS ns1.example.com. 

不同的subdomain可以通过NS来指向不同的DNS解析服务器,私有的DNS服务器也可以通过NS指向第三方云服务商提供的地址,这个地址可以是一个IP地址,但是这是一个不好的实践,因为IP地址可能会发生变化,导致DNS无法解析。

SOA

SOA(start of authority)主要用来保存这个域名的一些重要的信息,包括管理员的email地址。

例子:

Domain Type MNAME RNAME SERIAL REFRESH RETRY EXPIRE TTL
example.com. SOA ns.example.com admin.example.com 1 7200 900 120960 86400

这里面的RNAME是管理员的Email,只是没有带@,看起来不像而已。

SRV

这个代表Service记录,一般是为一些特殊的服务提供host与端口的,如VoIP,即时消息,并且只能指向A或者AAAA类地址,不能是一个CNAME。

例子:

_xmpp._tcp.example.com. 86400 IN SRV 10 5 5223 server.example.com. 

如果使用表格来描述,即:

Service Protocal Name Type Class Priority Weight Port Target
XMPP TCP example.com SRV IN 10 5 5223 service.example.com

PTR

PTR是Pointer Record的缩写, 它可以被理解成A/AAAA记录的反向,一般被用于做防Spam,解决邮件发送问题,系统Log IP <-> 域名转换等。

例子:

Host Type Points to TTL
1.0.168.192.in-addr.arpa PTR host1.example.com 86400

这里面之所以要给IP地址加上in-addr.arpa,是因为IP地址存在.apra顶级域名下,如果是IPv6的地址,需要使用.ip6.arpa。

DNSKEY

这条记录内保存了一个公钥,主要是为了用来验证DNSSEC(Domain Name System Security Extensions)的数字签名,保证DNS信息来源于一个真实可靠的DNS服务器。

例子:

Host TTL Class Type Flags Protocal Algorithm Public Key
example.com 3600 IN DNSKEY 257 3 13 ZhCa3rGLofZcndFN2aVd==

这里Protocal只能填3,代表DNSSEC, 而算法可以选多种:

  • 1 = RSA/MD5
  • 2 = Diffie-Hellman (This is not supported by BIND and Infoblox appliances.)
  • 3 = DSA
  • 4 = Reserved
  • 5 = RSA/SHA1
  • 6 = DSA/SHA1/NSEC3
  • 7 = RSA/SHA1/NSEC3
  • 8 = RSA/SHA-256
  • 10 = RSA/SHA-512

Flags相对复杂一些,它是一个2位的长度,并且0-6,8-14都是反向的,bit7表明是否包含DNS Zone Key (ZSK),bit 15表明是否包含KSK(Key signing key),所以只会有两个值,即256说明里面是ZSK,257是KSK。

SPF

这个是邮件防Spam里重要的一员,全称Sender Policy Framework,用来认证发送者。

例子:

mail.example.com   TXT   v=spf1 ip4=192.0.2.0 ip4=192.0.2.1 include:examplesender.net -all 

其中v=spf1表明这是一条SPF记录,ip4说明了可以使用这个host发送邮件的主机IP地址,include:examplesender.net表明可以允许第三方可以以你的域名来发送邮件,-all 表明不在list上的都没有被授权,应当拒收,如果是+all则表示任何人都可以使用该域名来发送。

DKIM

全称为DomainKeys Identified Mail,实际上是也是保存了一个公钥,用来验证邮件的数字签名,保证邮件来路正确。

发送者在发送邮件的时候带上签名与DKIM的selector以及其他的一些字段在邮件头,接收者通过selector来请求DKIM公钥对签名进行验证。

例子:

Name Type Content TTL
selector._domainkey.example.com TXT v=DKIM1 p=76E629F05F70… 6000

其中v=DKIM1表明这是一套DKIM记录,同时也可以看到,通过selector就可以组成DKIM host来请求公钥。

DMARC

全称为Domain-based Message Authentication Reporting and Conformance, 这个记录会告诉邮件服务器在通过SPF,DKIM检测后,还需要做些什么。

例子:

v=DMARC1; p=quarantine; adkim=s; aspf=s; 

v表明这条TXT记录是一条DMARC记录。
p表明在SPF与DKIM失败后,应该怎么做,选项有none,reject,以及quarantine。
adkim表明DKIM检测是strict(s),还是relax(r)。
aspf跟adkim一样,只不过是给spf设定。
其中adkim,aspf都是可选的。

网安零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
DNS的各种记录类型的应用解析_第1张图片
同时每个成长路线对应的板块都有配套的视频提供:

DNS的各种记录类型的应用解析_第2张图片
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网安零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
DNS的各种记录类型的应用解析_第3张图片
同时每个成长路线对应的板块都有配套的视频提供:

DNS的各种记录类型的应用解析_第4张图片
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

你可能感兴趣的:(数据库,缓存)