查詢模式
有兩種詢問原理,分為Recursive和Interactive兩種。前者是由DNS代理去問,問的方法是用Interactive方式,後者是由本機直接做Interactive式的詢問。由上例可以看出,我們一般查詢名稱的過程中,實際上這兩種查詢模式都是互動存在著的。遞歸式(Recursive):DNS客戶端向DNS Server的查詢模式,這種方式是將要查詢的封包送出去問,就等待正確名稱的正確回響,這種方式只處理回響回來的封包是否是正確回響或是說是找不到該名稱的錯誤訊息。
交談式(Interactive):DNS Server間的查詢模式,由Client端或是DNS Server上所發出去問,這種方式送封包出去問,所回響回來的資料不一定是最後正確的名稱位置,但也不是如上所說的回響回來是錯誤訊息,他回響回來告訴你最接近的IP位置,然後再到此最接近的IP上去尋找所要解析的名稱,反覆動作直到找到正確位置。
排除故障
伺服器不僅僅是企業網路設備的中樞,也是企業軟體及資料庫套用的主體。在實際運行中伺服器經常會出現這樣或那樣的故障,軟體的或者硬體的。很多故障是沒有規律可言的,我們只能通過經驗去解決。筆者負責公司伺服器的維護工作,在一次實際工作中遇到了伺服器無法登錄的故障,排查起來比較奇特,寫出來和各位讀者分享。
故障現象
筆者公司規模不是很大,有大概50多台計算機,購買了兩台IBM伺服器,型號是X SERⅥCE 200。由於內部使用的某個套用軟體需要Windows域的支持,所以在這兩台IBM伺服器上啟用了windows 2000 server的域。一台作為域控制器DC,另一台設定為備份域控制器BDC。
由於備份域控制器在管理域上主要起輔助作用,所以配置完畢後基本沒有做任何修改和操作。然而前一段卻出現了主域控制器DC那台伺服器無法登錄到系統桌面的故障,每次啟動該域控制器都停留在2000的登錄界面,即在要求輸入管理員帳號和密碼操作之前的界面,下方登錄信息顯示的是“正在連線網路”,等待近一個小時仍然沒有任何進展,始終停留在“正在連線網路”提示處。重新啟動該伺服器按F8可以正常進入安全模式,然而只要一進入正常模式就出現上面提到的問題。
由於系統登錄總是停留在“正在連線網路”處,所以筆者懷疑是網路出現問題,例如主域控制器無法通過DNS解析自己。嘗試進入安全模式將網卡禁用,這樣系統就不會搜尋網路,嘗試連線網路了。果然通過禁用網卡後系統可以正常進入桌面。
不過禁用網卡並不能治本,雖然伺服器可以登錄桌面但是所提供的服務其他客戶機也無法使用了。為什麼沒有了網卡就可以登錄呢?筆者再次將解除故障的思路集中到域名解析上。眾所周知在啟用了域的網路中,DNS解析的域名與計算機是一一對應的,任何一台計算機沒有在主域控制器上保留正確的DNS對應名稱的話都將無法使用網路。
筆者在主域控制器上查看DNS服務的配置,發現主域控制器的DNS地址被設定為備份域控制器的IP位址。看來是備份域控制器上的DNS解析出現了問題。筆者馬上到備份域控制器進行檢查,原來是備份域控制器上的網線與網卡接口連線處鬆動了,也就是說備份域控制器實際上脫離了整個網路。將備份域控制器上的網線插牢後啟動主域控制器上的網卡後就可以正常進入系統了,故障得到排除。
配置規則
本次故障看似是因為備份域控制器上的網線鬆動造成的,實際上是我們在建立域時的配置出現問題的結果,為什麼這么說呢?因為在建立域時我們最好按照以下規則來配置DNS。
⑴DC與BDC上都安裝DNS服務,而不是僅僅一台伺服器上啟用,防止DNS解析錯誤,為DNS解析提供冗餘功能。
⑵DC本機DNS伺服器設定為自己的IP位址,BDC本機DNS伺服器也設定為自己的IP位址。
⑶同時在DC上輔助DNS伺服器地址還要設定為BDC的地址,相應的BDC上的輔助DNS伺服器地址也要設定為DC的IP位址。
這樣我們在進行DNS解析時就不會輕易出問題了,
象本次這樣的故障也不會發生了。因為登錄主域控制器時進行DNS解析並連線網路時就會自動查詢自己本機的DNS設定,即使BDC網線鬆動或關機也不會影響DC的登錄。
處理總結
在Windows系統中配置域控制器是件非常麻煩的事情,
而且故障的發生更沒有規律可言,所以在升級網路為域時這個初始化操作也一定要遵循上面介紹的規則,這樣可以將故障發生機率降到最低。
保護十大技巧
DNS解析是Internet絕大多數套用的實際定址方式;它的出現完美的解決了企業服務與企業形象結合的問題,企業的DNS名稱是Internet上的身份標識,是不可重複的唯一標識資源,Internet的全球化使得DNS名稱成為標識企業的最重要資源。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS高速快取中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自網際網路DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯繫DNS伺服器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩衝DNS伺服器
只緩衝DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩衝DNS伺服器收到一個反饋,它把結果保存在高速快取中,然後把 結果傳送給向它提出DNS查詢請求的系統。隨著時間推移,只緩衝DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS回響的時間。
把只緩衝DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩衝DNS伺服器當作自己的轉發器,只緩衝 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩衝DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一台負責解析域中查詢的DNS伺服器。
除DNS區檔案宿主的其他DNS伺服器之外的DNS廣告者設定,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸 查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括快取中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成遞歸查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一台DNS伺服器,授權內部網路域名伺服器。當網路中的客戶機使用這台DNS伺服器去解析時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析網際網路主機名。DNS解析者可以是未授權DNS域名的只快取DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也 可以讓DNS解析者同時被內、外部用戶使用。
5.保護DNS不受快取污染
DNS快取污染已經成了日益普遍的問題。絕大部分DNS伺服器都能夠將DNS查詢結果在答覆給發出請求的主機之前,就保存在高速快取中。DNS高速快取 能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS伺服器的高速快取中被大量假的DNS信息"污染"了的話,用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS伺服器都能夠通過配置阻止快取污染。WindowsServer 2003 DNS伺服器默認的配置狀態就能夠防止快取污染。如果你使用的是Windows 2000 DNS伺服器,你可以配置它,打開DNS伺服器的Properties對話框,然後點擊"高級"表。選擇"防止快取污染"選項,然後重新啟動DNS伺服器。
6.使DDNS只用安全連線
很多DNS伺服器接受動態更新。動態更新特性使這些DNS伺服器能記錄使用DHCP的主機的主機名和IP位址。DDNS能夠極大地減
輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為台檔案伺服器、Web伺服器或者資料庫伺服器動態更新 的DNS主機記錄,如果有人想連線到這些伺服器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險,通過要求安全連線到DNS伺服器執行動態升級。這很容易做到,你只要配置你的DNS伺服器使用活動目錄綜合區 (Active Directory Integrated Zones)並要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS信息。
7.禁用區域傳輸
區域傳輸發生在主DNS伺服器和從DNS伺服器之間。主DNS伺服器授權特定域名,並且帶有可改寫的DNS區域檔案,在需要的時候可以對該檔案進行更新 。從DNS伺服器從主力DNS伺服器接收這些區域檔案的唯讀拷貝。從DNS伺服器被用於提高來自內部或者網際網路DNS查詢回響性能。
然而,區域傳輸並不僅僅針對從DNS伺服器。任何一個能夠發出DNS查詢請求的人都可能引起DNS伺服器配置改變,允許區域傳輸傾倒自己的區域數據 庫檔案。惡意用戶可以使用這些信息來偵察你組織內部的命名計畫,並攻擊關鍵服務架構。你可以配置你的DNS伺服器,禁止區域傳輸請求,或者僅允 許針對組織內特定伺服器進行區域傳輸,以此來進行安全防範。
8.使用防火牆來控制DNS訪問
防火牆可以用來控制誰可以連線到你的DNS伺服器上。對於那些僅僅回響內部用戶查詢請求的DNS伺服器,應該設定防火牆的配置,阻止外部主機連線 這些DNS伺服器。對於用做只快取轉發器的DNS伺服器,應該設定防火牆的配置,僅僅允許那些使用只快取轉發器的DNS伺服器發來的查詢請求。防火牆策略設定的重要一點是阻止內部用戶使用DNS協定連線外部DNS伺服器。
9.在DNS註冊表中建立訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的註冊表中設定訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些註冊表設定。
HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制許可權。
10.在DNS檔案系統入口設定訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的檔案系統入口設定訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些檔案。
套用服務防火牆
針對以上的問題AX有一個解決方式,就是DNS套用服務防火牆,AX在這問題有三個有力的方法,可以有效的緩解這些攻擊所造成的影響:
1、首先將非DNS協定的封包過濾(Malformed Query Filter)
2、再來將經由DNS伺服器查詢到的訊息做快取(DNS Cache)
3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)
Malformed Query Filter:
這種非正常的封包通常都是用來將對外網路的頻寬給撐爆,當然也會造成DNS伺服器的忙碌,所以AX在第一線就將這類的封包過濾,正確的封包傳遞到後方的伺服器,不正常的封包自動過濾掉避免伺服器的負擔。
DNS Cache:
當DNS查詢的回應回到AX時,AX可以預先設定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當下一個同樣的查詢來到AX時,AX就能從Cache中直接回應,不需要再去DNS伺服器查詢,一方面減輕了DNS伺服器的負擔,另一方面也加快了回應的速度。
再者,當企業選用此功能時更能僅設定公司的Domain做Cache,而非關此Domain的查詢一律不Cache或者拒絕回應,這樣更能有效的保護企業的DNS伺服器。
而ISP之類需提供大量查詢的服務,更適合使用此功能,為DNS服務提供更好更快的回應。
Connection RateLimit:
當查詢的流量大到一定的程度時,例如同一個Domain每秒超過1000個請求,此時在AX上可以啟動每秒的連線控制,控制進入到後端DNS伺服器的查詢量,超過的部分直接丟棄,更嚴格的保護DSN伺服器的資源。
相信許多人期待在日新月異的網際網路中看到創新的網路技術,並能提供更好的網路套用服務。而確保DNS服務的不間斷持續運作並讓DNS服務所提供的資訊是正確的,這也是一切網路套用服務的基礎
熱門事件
北京2014年1月21日,全國大範圍出現DNS故障,下午15時20分左右,中國頂級域名根伺服器出現故障,大部分網站受影響,此次故障未對國家頂級域名.CN造成影響,所有運行服務正常。
伺服器未回響
解決方法一
首先如果你安裝了各大公司的安全軟體的話,你可以使用自帶的網路修復工具進行修復,這是非常方便而有效的解決方案
解決方法二
(1)打開網路和共享中心à當前所用的連線àtcp/ipv4,然後在自動獲取DNS一項中選擇使用下面的DNSs地址,可以使用8.8.8.8,然後看看能不能上網,如果不能請繼續向下看。
(2)使用cmd命令,開始----運行cmd--------輸入ping 127.0.0.1,這是你當前主機的地址,如果成功,則表明說明TCP/IP協定沒一問題不需要重裝,進行(3)步。否則你需要重新安裝這個協定的驅動
(3)如果(2)沒有問題,那你再輸入ping 你的網關地址,即你的路由器地址或者交換機的網關地址,一般為192.168.0(或者1).1。網關具體獲取方法是在命令行輸入ipconfig/all,然後找到你當前連線網路類型對應的網關地址。
(4)如果提示成功,則表明路由器連線正常,不需要重啟或者設定,進入第(4)步。如果不成功,則需要設定路由器,具體設定請搜尋路由器設定引導,記得要選中DHCP。當然最簡單的方法就是重啟路由,這樣一般的問題都會解決。
解決方法三
(1)如果問題還沒有解決,那你最好重啟一下電腦,或者試試別人的電腦。如果還不行的話,並且你又不是很懂電腦的話,可以打電話問一下網路運營商,可能是網路端dns配置錯誤。在確認運營商DNS沒有錯誤的情況下,你可以試試下面的方案。
(2)使用ipconfig/all命令,查看下你的ipv4地址是多少,如果是以169開頭,那這可能就是問題所在。由於ip一般設定為自動獲取,但是在DHCP未啟動或者未更新的情況下,你的ip就只能使用系統默認設定的地址。這時候你需要在服務裡面重啟dhcp client服務,並設定為自動,然後再次重新獲取ip。
解決方法四
(1)如果問題依舊沒有解決,那你就在tcp/ip中手動設定你的ip和dns,設定範例如下:上面紅線1,最後一個數字可以隨便更改,2為你的路由地址或者網關,3為dns伺服器地址,可以隨便找一個。然後看看能不能上網。
(2)如果再不行的話,那可能是你的網卡壞了,或者運營商dns的問題。
站點被屏
近期百度站長平台收到多個反饋,稱網站從百度網頁搜尋消失,site查詢發現連通率為0。
經追查發現這些網站都使用godaddy的DNS伺服器 *.DOMAINCONTROL.COM,此系列DNS伺服器存在穩定性問題,Baiduspider經常解析不到ip,在Baiduspider看來,網站是死站點
此前我們也發現過多起小dns服務商禁止Baiduspider解析請求或者國外dns伺服器不穩定的案例
建議站長儘可能使用國內大型服務商提供的DNS服務,如dnspod等,以保證站點的穩定解析。
熱門事件
北京2014年1月21日,全國大範圍出現DNS故障,下午15時20分左右,中國頂級域名根伺服器出現故障,大部分網站受影響,此次故障未對國家頂級域名.CN造成影響,所有運行服務正常。
業內人士:DNS域名解析系統故障或因黑客襲擊
昨日下午,全國DNS域名解析系統出現了大範圍的訪問故障,全國大半網站不同程度地出現了不同地區、不同網路環境下的訪問故障。此次故障是網路技術故障,還是黑客襲擊?網民訪問這些網站會遇到哪些風險,該如何應對?
探因
目標網站曾有黑客攻擊行為
網路安全專家表示,此次網站無法訪問的原因是網站域名解析錯誤。
百度公司一名技術人員分析認為,網站域名解析錯誤存在幾種可能。一是黑客攻擊國外根伺服器造成國內伺服器域名解析遭到污染。二是由於數據傳輸過程中網路節點較多,節點也可能成為攻擊目標。但如果是攻擊節點的話,此次攻擊比較特殊,“攻擊者既沒有圖名,也沒有圖利,而是指向了一個沒有具體內容的IP位址。”三是黑客在攻擊單個網站的時候,因為節點較多,導致節點污染從而影響了全網。
除此之外,還存在黑客攻擊了國內運營商和網路防火牆,或者國區域網路絡運營商由於某種失誤操作導致故障。