DNS分析范文

DNS分析范文（精选9篇）

DNS分析 第1篇

关键词：DNS攻击方式,风险,重定向

0 引言

2014年6月8日至6月9日, 人民网DNS服务器被他人恶意攻击, 断网时间1个小时, 攻击时间持续30多个小时, 造成严重经济损失和恶劣的社会影响。这次攻击事件使得DNS安全再次成为关注的焦点。DNS一直都是网络安全中薄弱的一个环节, 针对DNS的攻击频繁发生, 近几年暴风影音DNS DDOS攻击事件、百度域名被劫持事件、.CN根域服务器内攻击。由此可见, DNS的安全风险已经影响到了每个互联网的用户。

1 DNS协议缺陷及攻击方式

DNS域名解析是网络基础服务, 其原理相对比较简单, 分析DNS解析过程, 其在安全方面存在以下风险:

1.1 DNS的解析过程缺乏认证机制, 易被欺骗攻击

客户端和服务器之间采取C/S方式进行信息交互, 但是该交互过程并没有提供认证机制, 这样也为DNS的欺骗攻击创造了条件。DNS欺骗 (DNS Spoofing) 是比较常见的一种攻击形式, 利用DNS协议缺少认证的特点, 在客户端发出DNS请求后, 攻击者假冒成DNS服务器并发送包含错误的IP地址的DNS响应报文, 用户在获得该错误的地址后, 其访问请求会指向假冒的非法网站。攻击者还可以通过技术手段欺骗下游的递归服务器, 使得下游的递归服务器相信这个假冒的服务器是其的权威服务器, 这样攻击者通过在假冒服务器上添加虚假的DNS信息来欺骗下游服务器, 最终欺骗客户端。

1.2 缓存机制有被篡改的风险

为了减少internet上的DNS的通信流量, 提供DNS解析速度, 所有的DNS服务器都使用高速缓存, 保存着主机域名和IP地址的映射, 当本地服务器在解析过程中收到域名和IP地址的对应关系时, 这种映射关系的缓存具备时间戳, 因此存在这下次缓存更新之前被篡改的风险, 即DNS缓存中毒 (DNS CachePoisoning) 。

攻击者使用DNS请求, 将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户, 从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上, 或者通过伪造的邮件和其他的server服务获取用户口令信息, 导致客户遭遇进一步的侵害。当然这种缓存中毒修改需要攻击者获取DNS服务器的管理权限, 这个需要借助于服务器的漏洞或社会工程学等手段。

1.3 DNS服务器的管理软件本身也存在相应的安全漏洞, 导致DDOS攻击

以目前主流的DNS服务器软件BIND为例, 在2013年其陆续暴露出一些安全漏洞, 如1月份的在BIND9的版本中, 针对DNS64的响应策略区域缺少AAAA重写规则, 远程攻击者通过AAAA记录查询, 可造成DNS拒绝服务。拒绝服务攻击又两种方式:

一种攻击针对DNS服务器软件本身, 常见攻击方式是利用僵尸网络向域名服务器发送大量查询报文, 使DNS服务器崩溃或拒绝服务。如暴风影音事件, 直接的导致了南方多省的互联网故障。另一种攻击是针对具体目标用户的DDOS攻击, 黑客利用正常的DNS服务器递归查询过程形成对目标用户的DDOS攻击。攻击者使用被攻击机器的IP地址作为发送解析命令的源地址, 如果攻击者控制了足够多的僵尸网络的"肉鸡"发送大量的解析请求, DNS服务器递归查询后响应给最初用户, 实现DDOS攻击。

1.4 DNS信息劫持和重定向 (DNS Hijacking)

DNS协议报文, 采用的是UDP无状态连接的协议, 为了能够识别来自不同服务器的回应, DNS协议利用端口号和一个TXID (Transaction ID) 的识别符来区分不同的DNS用户源请求。入侵者如果通过监听客户端和DNS服务器的对话, 可以猜测服务器响应给客户端的DNS查询ID, 获取该ID信息后攻击者伪造虚假的响应报文, 在DNS服务器之前将虚假的响应交给用户, 从而欺骗客户端去访问恶意的网站, 或者重定向到事先预设的钓鱼网站。

1.5 利用本机的hosts文件进行本机劫持

HOSTS文件是存储计算机网络节点信息的文件, 其中也包含了部分主机域名和IP地址的对应关系, HOSTS文件可以提升提高解析效率, 但是在HOSTS被修改后也带来了安全隐患。攻击者可以在HOSTS文件中添加了虚假的DNS解析记录。在这种情况下, 当用户访问某个域名时, 因为本地HOSTS文件的优先级高于DNS服务器, 所以操作系统会先检测HOSTS文件, 从而得到虚假的IP, 这就是本机劫持。

2 如何有效防范DNS的攻击

根据DNS的协议缺陷和攻击方式的分析可以从如下三个方面来加强DNS的安全:

2.1 加强DNS服务器本身的安全

完善DNS服务器内部的安全, 针对DNS服务器设定高优先级的防护策略。如及时升级操作系统的漏洞补丁、关闭服务器上不必要的服务端口、隐藏DNS服务器软件版本信息等, 降低针对漏洞进行的攻击。

2.2 部署专业的网络安全设备

通过部署专业的安全设备, 也可以有效的防止DNS攻击的发生, 具体来说可以分为2个层次。

2.2.1 通过防火墙保证 DNS 区域的安全

在网络设计过程中, 应通过部署防火墙保证DNS服务器的安全。□在DMZ区域划分DNS安全域, 配置严格的访问控制策略。针对DNS服务器安全设定高优先级防护策略, 通过防火墙来严格控制限制用户对DNS服务器的访问, 避免有人窃取权限篡改DNS记录。

内部和外部的DNS服务器相分离。对于内部DNS服务器, 严格禁止外部用户的主动访问, 对外部DNS服务器, 严格禁止内部IP地址的访问请求。这种模式也可以较好的隐藏内部关键服务器的相关信息, 在外部DNS服务器遭受到攻击后, 通过修改内外部服务的IP映射关系也可以较快的恢复业务提供。

除了进去区域隔离外, 现在的防火墙等还有一定防DDOS攻击的功能, 配置访问速率和每秒连接数的限制, 避免DDOS的冲击。如果部署具有较强的防DDOS攻击的新一代防火墙, 那能更好地抵御DNS DDOS攻击。

2.2.2 部署入侵防御系统

如前所述DNS的攻击离不开对系统漏洞的利用, 通过安全漏洞黑客可以登陆到DNS服务器并获取相应的管理权限, 从而实现对诸如DNS缓存中毒等攻击。为此在DNS的服务器前端, 有必要部署专业的入侵防御系统, 针对DNS服务器本身存在的操作系统漏洞, DNS应用程序本身的安全漏洞, IPS设备都有相应的特征库代码。部署入侵防御系统是提高DNS服务器安全性的重要手段。

2.3 加快部署DNSSEC, 解决DNS缺乏认证导致的安全风险

为了解决DNS协议设计缺少认证的缺陷带来的安全问题, IETF成立了DNSSEC工作组, 目的是在原协议上增添附加的DNSSEC (DNS Security Extensions) 部分, 其利用哈希算法计算报文摘要, 从而实现数据完整性验证;同时利用公钥机制实现对数据源的认证。在实际的交互过程中, 部署了DNSSec的权威域名服务器在应答查询请求时, 首先使用哈希算法计算应答报文的摘要, 再将此摘要用自己的私钥加密生成签名后存储到报文中;查询方收到应答报文, 利用该服务器的公钥解密签名获得摘要, 再将此摘要与从报文数据计算出的摘要进行对比来完成数据的完整性的验证。如果数据完整性验证成功, 则也同时完成了对数据源 (权威域名服务器) 的身份认证, 否则认识身份认证失败。通过DNSSEC的部署, 可以增强对DNS域名服务器的身份认证, 进而帮助防止DNS缓存污染等攻击。当然, 由于涉及中间网络安全设备需要支持并识别该协议报文, 在现有网络的基础上升级部署该认证协议, 如同IPV4到IPv6的迁移一样需要一个比较长的过程, 因此目前DNS服务器。同时DNSSEC的部署也不是万能的, DNS的安全需要采用多种手段结合的方案来解决。

3 结束语

DNS协议的缺陷和DNS软件的漏洞使得对DNS的攻击难度低影响力大, 使得其成为近年来的网络安全的主要攻击对象之一。但针对DNS攻击并不是不可防范的, 只要我们认真实施上述相关防护措施, 可以极大地提高DNS的安全性和可靠性。

参考文献

[1]牧童.DNS攻击的几个主要方式.计算机与网络, 2013 (12) :45

DNS分析 第2篇

基于DNS的流动稳定性数值分析方法在双柱绕流中的应用

基于非结构谱元法对横向排列双圆柱绕流在固定间距情况下进行了整体线性稳定性分析,首先用Newton方法求得某个Re数的定常解,再以Arnoldi方法处理线化小扰动方程,进一步得到定常解的若干优势特征值及其特征向量.通过计算首次给出了无量纲圆心距T/D=1.2时系统的.临界ReC数,并根据超临界情况下优势特征向量重构了周期流动.

作 者：刘坤 马东军 孙德军 尹协远 LIU Kun MA Dong-jun SUN De-jun YIN Xie-yuan  作者单位：中国科学技术大学力学和机械工程系,安徽合肥,230027 刊 名：中国科学技术大学学报  ISTIC PKU英文刊名：JOURNAL OF UNIVERSITY OF SCIENCE AND TECHNOLOGY OF CHINA 年，卷(期)：2007 37(7) 分类号：V214.3+4 关键词：非结构谱元法   整体稳定性   横向双圆柱绕流   临界Reynolds数  

电信DNS系统安全分析 第3篇

1.1 DNS体系的安全缺陷

DNS系统在设计之初, 由于受当时条件所限, 并没有充分考虑安全问题, 作为一个开放系统, DNS系统先天就存在诸多缺陷。

(1) 单点隐患。DNS采用的是分层结构, 由子域名走向根域名就可以形成个全域名 (FQDN) 。DNS根域名服务器作为全域名内唯一的域名数据库系统, 同时对内部提供递归查询的服务, 一旦遭受攻击无法提供服务, 就会造成大面积用户无法正常上网。

(2) 认证机制缺乏。DNS系统因其开放性, 并没有认证机制, 会造成查询者在收到域名查询结果时根本无法判断信息的真假。攻击者可以用各种手段冒充域名服务器, 将错误的应答信息返回给客户端, 造成客户端可能会登陆到假的“钓鱼”网站。

(3) DNS域名软件的漏洞。目前, 大多数DNS系统都采取免费的的BIND域名软件, 但是该软件存在着严重的安全漏洞。这种安全漏洞主要有两类。一类是缓冲区溢出, 会造成服务器权限被盗取滥用;另一类是拒绝服务 (Do S) , 会造成DNS系统无法响应正常的应查询请求, 服务瘫痪。

除此之外, 目前的服务器操作系统如UNIX、Linux也存在着一些程度不一的系统漏洞和安全隐患, 因此针这部分的漏洞防护也是DNS安全防护工作中的一个重要方面。

1.2 DNS系统面临的常见攻击手段

(1) 通过DNS响应接收指令的恶意软件。当DNS查询从一台DNS服务器被传递到另一台, 在它们到达各自域的授权服务器之前, 网络及IP阻止列表都不能阻止它们。

(2) 序列号伪装攻击。攻击者利用伪装序列号的方式, 模拟DNS服务器向查询客户端发送DNS响应报文, 并且在真实的DNS响应报文之前到达客户端, 从而达到欺骗客户端, 使其访问到攻击者所希望访问网站的目的。

(3) 缓存中毒。DNS系统为提高响应速率, 都会使用缓存, 即每当服务器查询到一个域名和IP的映射信息时, 它会将该信息记录下来, 存放到缓存中, 形成一张域名和ip地址的映射表, 该表是动态更新的, 在更新周期内, 如果有攻击者用某种方式修改了这个映射表, 就可以进行DNS欺骗。

(4) Do S攻击

Do S攻击的方式有很多种, 其基本原理是利用合理的服务请求来占用过多的服务资源, 从而使服务器无法处理合法用户的指令。目前最流行的Do S类攻击方式是分布式拒绝服务攻击 (DDOS) , 黑客通过操纵大量僵尸电脑, 对目标服务器发动攻击。当前各大城市之间的连接可以达到10G甚至更高, 黑客选择僵尸电脑的范围也随之变得更加灵活广泛。

(5) 动态更新隐患。随着 (DHCP) 动态主机配置协议的出现, 越来越多的客户端开始采用DHCP服务器动态分配IP地址的方式, 为了方便管理A (Address) 记录和PTR (反向解析) 记录, DNS系统采用了动态更新的方式, 即客户端在IP地址或域名有更改的时候会利用DNS服务器来动态更新其资源记录。虽然DNS的动态更新协议规定:只有经过授权的主机才可以进行动态更新, 但是攻击者还是可以利用IP欺骗等方式伪装成受信任的主机对地址域名进行增删改等操作。

2 DNS安全防护建议和方案

根据上述的DNS存在的安全威胁, 作为电信服务的运营商, 可以采取以下针对性的措施来进行DNS系统的安全防护。

2.1 使用网络嗅探器来定期捕捉样本进行分析

对所有通过本地服务器的DNS查询进行日志记录是不切实际的, 网络管理员应当利用网络嗅探器定期对流过网卡的数据包捕捉分析, 查找包含怪异名称和编码数据的查询或者响应。特别是每隔几分钟就出现相同的查询, 极可能是DNS命令和控制活动的迹象, 因为被感染计算机会定期检查新命令。

2.2 加强BIND软件管理

通常软件的漏洞是和软件的版本相关的。因此, 一方面要指定内部人员/部门或第三方负责DNS软件版本更新监控和检测, 建立漏洞评估机制, 评估版本漏洞是否与当前应用相关及漏洞威胁严重程度, 判断是否需要升级。将DNS软件安全漏洞的检测和升级修补工作需形成备查的报告/记录。另一方面, 最好修改配置文件, 将BIND的版本号信息进行覆盖。

2.3 正确配置DNS查询方式

DNS的查询方式分为两种:递归查询和迭代查询。一般下级DNS向上一级DNS发起递归查询请求, 会对上级DNS造成性能压力。并且只要是跨域的查询都会由上级DNS响应给下级DNS, 从而造成响应延时。因此, 对于流量大的DNS服务器应该禁止使用递归查询, 防止压力过大造成服务质量下降。

2.4 DNS隔离

对DNS服务进行分类隔离, 将DNS系统划分为内外两部分。其中位于公共服务区, 负责对外解析工作的作为外部DNS系统。而专门负责解析内部网络主机的DNS作为内部DNS系统。如果内部要查询外网Internet上的域名, 内部DNS系统就把查询任务转发到外部DNS服务器上, 然后由外部DNS服务器完成查询任务。进行这样的DNS隔离后, 外网上的用户 (包括攻击者) 就只能看到外部DNS系统中的服务器, 而无法知道内部的DNS服务器情况, 而且DNS查询信息的

移动通信基站节能减排低成本建设措施探讨

李奇

(中国移动通信集团设计院有限公司北京分公司, 北京100038)

摘要:随着社会经济的迅速发展, 移动通信基站作为推动我国社会发展的核心部分之一, 在我国信息传递以及人们的日常生活中有着极其重要的作用。据相关数据统计, 我国目前共建成100多万个基站, 在其整体运行的过程中, 年总耗电量约300亿度, 并随着社会的发展呈现上升趋势。随着用户规模的日益扩大, 通信业务量的增长, 移动通信基站采取节能减排的措施已经刻不容缓, 换而言之, 节能减排与低成本运营之间有着相辅相成、缺一不可的联系。在此, 本文针对移动通信基站节能减排低成本建设措施这一问题, 做以下论述。

关键词:移动通信基站;节能减排;低成本建设;存在问题;措施

中图分类号:F426文献标识码:A

本文从移动通信基站绿色节能建设方案的组成部分、移动通信基站建设中存在的问题以及移动通信基站节能减排低成本建设措施三个方面出发, 针对移动通信基站节能减排低成本建设中存在的问题及完善措施, 做以下简要分析。

1移动通信基站绿色节能建设方案的组成部分

在移动通信基站日常运行的过程中, 绿色节能建设方案的实施运行, 能够在一定程度上减少移动通信基站的耗电量, 在节省电力资源的同时, 还减少了基站成本的整体投入。在整个绿色节能建设方案组成的过程中, 主要包括以下几个方面:

1.1冷却系统节能

在当前移动通信基站建立的过程中, 依据基站机房内部设备对环境温度的要求, 在其使用的过程中, 主要分为以下两类:即对工作环境温度有较高要求的设备与对工作环境温度要求不高的设备。当工作环境温度升高8℃10℃时, 基站内部的蓄电池浮充寿命将会在原有的基础上缩短一半, 由此

交换只存在于内外DNS服务器之间, 可以极大地保护DNS系统的安全性, 并有效地防止信息泄漏。

2.5 拓扑安全

(1) 访问控制:在域名系统边界处部署并启用访问控制设备并通过访问控制设备, 一方面限制只在TCP和UDP 53端口上向公众提供域名解析服务, 除此之外, 不对公众开放任何服务;另一方面限制只有特定的管理终端能够登录解析服务器进行管理操作。

(2) 网络设备性能和服务水平监控:定期监控网络设备的性能和流量, 监控频率不低于5分钟一次, 设定报警阈值, 在监测到性能或流量超过阈值时进行报警。

(3) 流量控制:对系统最大流量和解析系统的最大解析请求数量进行限制。

(4) 其他:包括网络拓扑、设备口令安全等等。

2.6 灾难备份及恢复

(1) 设备及链路冗余:包括网络设备冗余、接入链路冗余、解析服务器冗余、解析服务器重要部件冗余。在确保冗余的同时, 需要利用负载均衡设备进行解析流量负荷分担设计。

(2) 地理冗余:解析系统在异地 (同城不同址或不同城) 进

文章编号:1673-1131 (2012) 03-0226-02

就需要在建立节能减排低成本的移动通信基站时, 能够将蓄电池的最佳工作温度控制为15℃25℃, 且温度越高, 蓄电池的工作寿命越短, 其使用的整体性能也会有所下降, 由此就需要在其运行使用的过程中, 必须保持蓄电池的工作环境。在整个冷却系统中, 除了蓄电池外, 其他设备在日常运行的过程中, 对环境温度并没用严格的要求。按照相应的技术规范, 这些设备在运行的过程中, 能够在4O℃55℃的环境中正常运行, 一般在其环境设置的过程中, 将机房温度控制在35℃以下是绝对安全的。

在基站冷却系统运行的过程中, 其基站机房环境由蓄电池工作区与非蓄电池工作区两个区域组成。在蓄电池工作区域的温度控制中, 管理人员一般将其控制在25℃以下, 且在控制实施的过程中, 通常采取单独的控制模式。而对于基站的其它工作区域, 其温度控制主要取决于基站内部的智能通风系统。在其运行的过程中, 需要结合着室外温度。当室外温度低于35℃时, 可以通过小功率风机替代大功率空调来实现机房内部降温。这样就在很大程度上限制了机房空调的工作时间, 也大幅度地降低了空调的启动频率, 使机房空调耗能大

行分布式部署, 建立异地全业务备份系统, 并通过定期的实战演练确保异地业务备份系统可以随时启用。

(3) 数据备份和恢复:需要备份的数据包括解析软件及其配置、域名解析日志和域名系统监测数据等。备份频率不低于一天并将备份进行异地保存, 保存时间不低于3个月, 同时, 定期检查备份数据的可用性。

3 结语

DNS服务的安全性已经受到人们越来越多的关注。然而DNS系统本身的复杂性以及全球性特点给DNS系统的安全部署又带来了很多的问题, 而目前已有的安全方案仍然很不成熟, 部署应用中也还有很多问题没有解决, 如何面对这些挑战, 仍然是一个尚未解决又急需解决的难题。

摘要：DNS (域名系统) 作为互联网的基础设施, 在互联网服务中占据着越来越重要的地位。保障DNS系统的安全运行对运营商来说具有极其重要的意义。本文主要介绍了DNS系统面临的主要安全问题和相应的安全防护方案。

关键词：电信DNS,系统安全,防护方案

参考文献

[1]郭大兴, 周向荣《.DNS缓存中毒攻击与防范》[J].绿盟科技开发中心

[2]《TechTarget展望2010年五大安全主题》, 中国信息安全认证中心

DNS分析 第4篇

DNS服务器所使用的文件并不复杂，一个是Boot文件，负责存储DNS服务器的启动信息；一个是Cache.dns，负责存储根服务器的域名和IP地址；还有一个最重要的文件就是区域数据文件，负责存储区域内的所有DNS记录。这些文件都在WindowsSystem32DNS目录下，我们找到负责解析hexun.com区域的DNS服务器202.99.16.1，来分析一下这个DNS服务器所使用的上述文件。

一 Boot文件

首先来 看看Boot文件，奇怪的是，在DNS服务器C:WindowsSystem32DNS目录下，我们并没有发现Boot文件，具体如下图所示，这时为什么呢？

这时因为DNS的引导 信息可以有三种保存的途径，一是可以保存在Boot文件，二是可以保存在注册表，三是可以保存在Active Directory。微软可能是怕用户误删除了Boot文件，因此默认情况下把引导信息用另外两种方式保存。如果我们想查看Boot文件的内容，首先要修改DNS服务器引导信息的保存方式。如下图所示，在DNS管理器中选择查看DNS服务器的属性。

在DNS服务器属性中切换到“高级”标签，如下图所示，选择从文件加载区域数据，这样DNS服务器就会把启动信息写到Boot文件中。

如下图所示，Boot文件终于出现了！

用记事本打开boot文件查看一下，其实内容很简单，Primay代表DNS服务器是当前区域的主服 务器，从Boot文件可以看到，当前的DNS服务器是hexun.com区域的主服务器，同时也是16.99.202.in- addr.arpa区域的主服务器。但并不是根域的DNS服务器，要想解析根域，需要依靠cache.dns， chache.dns中记录了13个根服务器的域名和IP地址。

202.99.16.2是hexun.com的辅助服务器，我们看看它的Boot文件内容是什么。如下图所示，secondary表示是当前区域的辅助服务器，主服务器是202.99.16.1，根域的解析也是要依靠cache.dns中的13个根服务器。

总结：看了两个例子，我们发现DNS服务器中的Boot文件其实很简单，就是描述了当前的DNS服务器负责哪些区域，是区域的主服务器还是辅助服务器，区域数据文件放在哪里等问题。我们完全可以利用Boot文件控制DNS启动时加载的区域数据，也可以改变DNS服务器的角色，例如从辅助服务器改为主服务器。

二 Cache.dns

以前我们介绍DNS体系结构时曾经描述过域名解析的过程：DNS服务器发现一个域 名自己不能解析，就会把这个查询提交给根服务器，根服务器通过迭代方式可以让DNS服务器最终找到答案。这个过程中有个关键问题，DNS服务器怎么知道谁是互联网上的根服务器呢？答案现在就可以揭晓了 ，Cache.dns中存储了13个根服务器的域名和IP地址！这13个根服务器除了在东京，伦敦，斯德哥尔摩各有一台，其余都在美国，

如下图所示，Cache.dns中描述了13台服务器的完全合格域名以及IP地 址，其中@是个缩写，代表当前区域，也就是根域。每个服务器用两条记录描述，一条记录是NS记录类型 ，一条是A记录类型。NS记录说明谁是根域的DNS服务器，A记录说明这台DNS服务器的IP地址是多少。

Cache.dns的内容也可以通过DNS服务器属性中的“根提示”来查看，如下图所示， 我们查看DNS服务器的属性，在属性中切换到“根提示”标签，所看到的内容就是cache.dns 中所描述的13个根服务器。

总结：Cache.dns中记录了互联网上13个根服务器的域名和IP，我们有很多地方需要利用Cache.dns，例如北京新增加了一个DNS根服务器，但Win并不知道这个变化，这时我们就需要通过修改Cache.dns来完成这个工作。或者是假设一个大企业使用了私有根，自己做了一个根服务器，这时也要修改Cache.dns才能让DNS服务器知 道这个私有根的存在。

三 区域数据文件

接下来我们要介绍的就是最重要的区域数据文件 了，区域数据文件保存了区域中所有的DNS记录，是DNS服务器的核心数据。从前面的Boot文件可以看出 ，hexun.com区域的数据都存放在了hexun.com.dns文件中，接下来我们就用记事本打开 C:windowssystem32dnshexun.com.dns，结果如下图所示。

我们从区域数据文件 中可以看出DNS记录的具体存储方式，首先我们来分析一下文件中的SOA记录，记录内容如下图所示。@是 缩写，代表当前区域，相当于hexun.com. ，SOA是记录类型，ns1.hexun.com.表示的是hexun.com的主服 务器，12是记录的更新序列号，900秒是15分钟的刷新间隔，辅助服务器和主服务器每隔900秒联系一次 ；600秒是10分钟的重试时间，如果辅助服务器和主服务器失去了联系，就每隔10分钟联系一下主服务器 ；86400是过期时间，如果辅助服务器过了一天都没和主服务器联系上，辅助服务器就认为自己的数据过 期了；3600秒是DNS记录在缓存中的生存时间。

刚才分析的内容其实和下图中的SOA记录是完全一致的。

再来看看其他的几条记录，如下图所示，注意其中的A记录。DNS中的记录是要以完全合格域名的形式存在的，如果域名不以 点结尾，那么DNS会自动在域名的最后追加上当前区域，把格式补充为完全合格域名的形式。例如mail就 会被补充为mail.hexun.com.

我们利用DNS的区域 数据文件完成两项常见任务，DNS的空域名解析和泛域名解析。空域名解析就是解析hexun.com，泛域名 解析就是把所有以hexun.com结尾但又没有出现在DNS区域中的域名进行解析，例如ww.hexun.com。一般 情况下网站对这两种域名解析会进行处理，因为有时访问者喜欢省事在浏览器中直接输入hexun.com就进 行访问，而且也可能把www.hexun.com误输为ww.hexun.com。

空域名解析比较简单，如果我们想把空域名解析成202.99.16.80，那就可以在区域数据文件中输入 @ A 202.99.16.80，刚才我们提到了 ，@代表了当前区域，相当于hexun.com. 。

DNS分析 第5篇

1 内网服务器访问

在进行网络用户的快速访问时, 应根据现有的网络服务器进行关键技术的研究, 并根据网络客户端的网络范围控制公网网络的范围, 在确定客户端的IP请求后, 根据路由的表面特征确定网络的使用范围。在使用网络服务器过程中, 根据IP包确定最佳的路由途径, 并应对公网的客户请求, 设计公网的接入点, 确定访问路径, 完成对客户端的访问请求。

经过NAT的隐藏网络结构降低网内供给风险, 在完成了正向NAT的访问对比后, 转变封包的源地址, 在反向NAT的应用中, 通过改变IP封包, 掩盖IP封包的地址。在充分利用NAT的功能访问上, 为后续的网站访问提供有效的网络服务。

DNS的主要功能是通过网上的主机分配IP地址以及域名, 在经过层次上的结构分析后, 可根据主机的访问确定网络的每一台服务器工作任务, 确保主机的区域名称可以完成访问服务器的目标。

在进行NAT的策略认识中, 可根据公网的客户端发出请求, 在应用公网的链接通道通过路由器到达网络内的端口链接。使用边界路由器的网口策略进行网络终端服务。在避开边界路由器进行内网的端口链接中, 根据内网交换机制来实现双向路由器的连接。而在公网的终端提示上, 可以通过互联网来实现多端口的网络连接。在IP网络服务器请求方面, 可以根据网络服务器来实现内置IP地址多端口的校园服务连接。

2 出口访问控制对负载均衡问题的处理措施

针对Outbound流量的负载均衡认知中, 可以根据校园网络的内部访问来确定外网情况。通过智能DNS技术解决校园网内的多用户访问现象。

第一, 校园网内的用户在访问中, 针对外网网站的各项机能进行用户的需求域名地址分析。

第二, 用户可随机选择校园网的某一个出口, 确定DNS的解析请求。

第三, DNS服务器在接收到网内的解析请求后, 可在服务器的服务区域内进行IP地址确认。而在应用IP方面, 可以根据服务器的最终域名设置, 完成最终的IP域名设置。

第四, 根据DNS的服务器IP地址, 确定ISP的内网分配IP, 对每一个网站内IP均可做到监管。

第五, 用户获得DNS返还的IP地址。

第六, 根据DNS服务返回IP对网站进行访问。

分析现有的步骤, 当校园的网络出口面临多个ISP和多出口时, 根据服务器同在的ISP拟定用户所获得的解析手段分析DNS服务器, 对ISP的链接路进行用户明域分析, 可根据链接的端口进行选择。当两者的配合得到对ISP进行链口, 则可以根据实际情况进行错误分析, 通过选择链接口, 得出两者配合的不一致性, 选择出口的设备。

在出口设备和链接对不同端口的访问来确定控制的分辨, 通过对允许DNS数据包请求, 在访问中可根据用户随机分配出口DNS。同时, 分析出均衡度。

3 结语

分析校园的网络结构, 在通过校园架构智能DNS系统, 分析外网用户分配网络的范围, 对保证用户的访问网服务器进行最佳快速网络分析。通过分析校园网进行设备链接ISP的网络端口, 确定DNS服务器的服务数据, 实现现代校园网内的用户数据连接。在用户使用DNS服务时, 也保证了用户访问的最佳路由走向, 大大减少了跨越中的连接缓慢问题, 为实现现代校园网的多出口均衡提供了有效的发展途径。

摘要：校园内网络服务是给予教育网链接和共用网络提供访问的网络结构保障, 建立双向NAT策略, 实现公网用户的IP封包, 并完成运转。而在IP封包的公共网络转向中, 根据网源和目的地地址进行管理, 能够有效确保整个网络服务结构的合理完整。根据路由指标进行分析, 通过公网用户之间的相互连接, 提供服务器的访问。

关键词：路由,校园网,DNS访问,NAT正反向链接

参考文献

[1]孙峥嵘.基于DNS服务的校园网多出口负载均衡研究与实现[J].当代教育理论与实践, 2011, 3 (7) .

[2]田桂丰, 尹帮治.基于防火墙策略路由的校园网多出口解决方案[J].电脑知识与技术, 2010, 6 (20) .

[3]侯冬青.智能DNS在多出口局域网中的应用研究[J].西昌学院学报 (自然科学版) , 2015 (1) .

[4]陈松, 战学刚.基于双向NAT和智能DNS内网服务器安全快速访问策略[J].计算机工程与设计, 2009, 30 (12) .

DNS分析 第6篇

网页挂马是一类不良木马程序的散播形式, 为了有效杜绝该挂马攻击的恶性循环, 行业人员进行了深入探析, 并制定了有效的解决方案。当前普遍应用的方案有, 在浏览器内部增设过滤功能、增设插件进行过滤以及发挥反病毒软件的木马过滤功能等。当前人们常用的浏览器例如ie7.0、火狐2.0、360浏览器及Opera浏览器等均内置了相应的针对挂马网页的过滤功能。其中火狐浏览器主体应用google搜索引擎提供的有价值反挂马数据, 而Opera则应用GeoTrust提供的相关数据进行检测防护。利用浏览器进行挂马网页的检测过滤包含一定的缺陷性, 即依赖浏览器实施网页过滤密切相关于操作系统, 且无法对计算机中安装的他类浏览器或软件实施必要保护。同时浏览器在检测中需将用户相关访问页面的具体地址发送于服务器中实施比对, 这一环节令网络消耗带宽不良增加、导致页面处理出现延迟并极有可能造成用户隐私的泄露。利用浏览器插件实施网页挂马过滤中, 其同时还包含了针对搜索引擎相关搜索结果的安全性标注, 可合理帮助用户对搜索结果网页的安全性进行甄别。与前者相比, 该方式具有更强级别的安全防护效能, 同时插件的安装同样依赖于浏览器, 可供安装的浏览器种类有限且需要联网对用户访问的内容进行检查。当前反病毒软件越来越多的引入了反挂马过滤功能, 其做法与针对网页内含的恶意代码查杀做法较为相近, 通过对网页URL地址的过滤达到屏蔽挂马网页的目的。与前两类反挂马功能有所不同, 该反病毒软件同时适用于计算机中安装的不同软件且挂马数据库会在反病毒软件进行病毒定义更新时同时下载, 令网址检测过程不需进行连网, 只在本地便可完成。同时该类方法的实现需耗费较大系统资源, 且挂马网址数据库需要实施频繁的更新才能准确应对不断变化的网页挂马威胁。

2 基于云计算与多扫描引擎技术构建DNS网页挂马过滤系统

以上反挂马过滤解决方案虽具有各自的优势, 但同时也包含一定的缺陷性与弊端, 综合网页挂马攻击特征构建基于DNS (域名系统) 的网页挂马过滤系统则能更好的预防不安全因素、解决网页挂马问题。每一位用户在访问网页过程中都必须经历域名解析过程, 通过DNS服务器实现网页挂马的过滤并不会对用户的网络访问进程产生任何附加影响或增加额外步骤。同时DNS适应众多接入网络及计算机系统设备, 因而与运行客户端操作系统及浏览器没有一定的关联性, 无需在系统中安装任何插件或客户端程序, 具有广泛的适用性及便捷性。网页挂马的主体识别任务统一由DNS服务器履行, 担负降低客户端消耗资源压力的重要职能。同时我们配合周密的云计算技术, 便可令客户在不需保存或下载任何挂马网页数据的前提下通过DNS端完成所有数据的更新过程, 省略了客户端进行数据库的下载及更新步骤, 也避免了在客户端对数据库的更新操作不及时给整体系统带来不良安全隐患。再者DNS中合理融入多扫描引擎的查杀技术, 可为客户端提供实时的反挂马保护, 针对时下最新的网页、系统威胁提供最完善的保护措施。由此不难看出, 相比于前文所述的三类反挂马技术方案, 显然基于DNS实现的网页挂马过滤系统具有综合优势, 不仅包含其他三类反挂马方案的保护能力与性能优势, 同时还兼具无需资源开销、采用多引擎扫描、保护能力高, 抛开客户系统过分依赖于客户端的不良弊端, 维护及部署便利、高效等特征。

在众多网络安全维护解决方案中, 我们无法仅用单一的杀毒引擎快捷、高效的识别更新多变的木马威胁, 倘若用多引擎病毒扫描技术则可有效降低网络系统感染病毒的机率。众多研发的扫描引擎中, 其核心技术均各不相同, 同时又有各自的优势及劣势。防毒软件一般会采用混合技术对病毒进行检测并击败, 其中最显著的方法为特征文件、沙箱以及启发式检测。每一类技术方式均能有效检测到系统病毒, 然而却不能保证百分之百的成功, 因而一些反病毒新型产品集合了多重检测技术方式, 这其中最有效的高级别病毒防护技术便是采用多层深度防御模式的多扫描引擎技术。其应用并非一个叠加过程, 而是为我们提供了多次准确、规范应对各类网络威胁的机遇, 网络会通过多道安检程序, 每一道安检方式或内容均会有所区别, 在反挂马网页的检测系统中我们引入该类多扫描引擎防病毒技术便可令系统反挂马可靠性切实增加。

3 系统分析与设计

用户访问网站进程中均会发送域名查询至DNS服务器, 当然发送内容仅包含网址域名部分, 基于只有网站的部分网页存在挂马或欺骗信息, 因而仅对域名进行过滤的系统机制常常产生误报现象, 令网站中包含的正常内容也会访问受限。为有效解决该类问题我们基于DNS服务器、Web、HTTP代理服务器及相关数据库群设计挂马过滤系统的架构, 从而合理创设基于域名及URL两类过滤方式。同时我们将BIND服务器反挂马模块作为挂马过滤系统的核心基础, 相关挂马网页的记录以哈希表链式结构储存于内存从而提升了用户查询的效率, 反挂马的模块则提供了数据文件的读入、域名查询、重新载入数据等接口函数。系统会对所查询的函数做出返回三类结果的处理, 即被查询域名对象非挂马网页、域名被拦截以及需进一步对域名进行针对URL的过滤。系统通过提供数据转换及整合程序, 可令来源不同的挂马网站相关数据转化为便于代理服务器以及DNS服务器快捷读取的统一格式数据, 同时我们可采用相关病毒扫描接口提供必要的数据过滤服务。其中数据的整合程序应由五类模块构成, 即数据文件的写入模块、哈希表模块、读取存储文本格式的数据模块、连接读取模块、处理、解析数据模块等。该整合程序可通过方便定义配置文件并对数据来源进行添加。系统中对挂马网页内容的过滤警告页面则由Web服务器进行提供, 同时网页中含有的不同文件类型我们可通过mod_rewrite依据路径文件包含的后缀重写URL。

4 结语

总之, 基于云计算与多扫描引擎技术构建DNS网页挂马过滤系统为用户提供了针对挂马网页、包含恶意代码及各类有害信息的综合防护, 倘若用户在无意中访问了该类网站, 则系统可通过有效的禁止, 保护用户各项利益的安全。因此我们应继续深入研发, 拓展更新, 完善系统的研发设计从而为营造良好、安全的网络运营环境做出必要贡献。

摘要：网络应用需求的多样化发展令各类网页的交互性及开放性日益突出, 随之而来的安全问题也逐步显现并呈现持续上升势头。面对这一发展现状, 本文依据云安全模式基于DNS网页的挂马检测科学模式展开了深入探析研究, 对构建安全、有序的网络运营环境, 提升网页检测系统安全防御能力有积极有效的推进作用。

关键词：云安全,DNS,网页检测

参考文献

[1]胡双双.搜索引擎技术及其发展趋势[J].福建电脑, 2008 (3) .

DNS攻击和防护 第7篇

关键词：DNS,攻击手段,防护技术

一、DNS基础概念

DNS:全称为Domain Name System,即域名服务系统,是互联网的重要基础设施,完成了域名到IP地址的映射功能。IP地址作为因特网识别个人电脑和服务器等网络设备的身份标识,大家都知道其组成是一串阿拉伯数字,如:192.168.1.2/24(IPv4),如果是IPv6则更长,如:2002:DB8:0:0:8:800:200C:417A。我们要记住一个数字比较容易,但是要长期记住一长串数字将对每个人来说是一个很大的考验,因此域名服务器就显得非常重要,当域名服务器把一个IP地址映射成如:www.taobao.com.cn我们会很容易记住的。我们来看看因特网发展情况:

从图1可以看出来,中国的互联网用户数量发展神速,从2005年到2010年5年间,用户翻了4倍,达到了4亿多。

整个DNS系统采用分布式多级树状结构,1.用户,域名查询的发起端;2.域名缓存服务器,接受用户请求;3.域名服务器,包括根域服务器,提供域名与IP对应信息。

接下来我们来看个人用户访问因特网的某个网站的整个流程,个人用户访问某个网站,如:www.test.com,首先向企业或电信的DNS服务器请求www.test.com的IP地址,域名服务器在自己缓存中进行查找,如果存在则返回地址,否则往上级域名服务器进行查询,一直到根域名服务器;用户获得IP地址后才能继续访问。

我们从以上可以看出DNS服务器在网络中占有非常重要的作用,不可或缺,因此其安全性显得非常的重要。但是DNS由于其技术原理存在许多的缺点:

1、DNS主要使用无连接的UDP协议明文传送,很容易伪造投毒

2、INTERNET的DNS体系无法承受加密带来的开销和技术升级的成本

3、DNS服务器软件漏洞

4、明文传输的DNS不具备任何保密性

5、DNS易成为暴露用户行为的工具

6、迭代查询,对根域与顶级域服务器依赖非常严重

大面积网络中断,或者因为DNS变慢,上网变慢;用户被欺骗,丢失机密信息(身份、账号、密码)或者中木马,都会影响到企业或者运营商的服务质量和信誉,因此保障DNS服务器的安全是作为企业和运营商必不可少的部署设备和技术手段之一,保障DNS服务器的稳定是维护信誉的重要措施。

二、DNS安全威胁

我们来看看几件造成比较大的影响的域名安全事件:

-2009年5月19日,域名免费托管组织DNSPod遭受DDo S攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件。

-2009年10月12日,瑞典当地时间21点45分,由于在日常维护中不正确的软件升级,顶级域名.se出现故障,导致整个瑞典互联网几乎完全瘫痪,所有的.se网站都无法访问。

-2009年8月26日,波多黎各主要的域名注册机构遭受长达几个小时的攻击,造成Google,Microsoft,Yahoo,Coca-Cola等多家大公司的网站被重定向到某恶意网站。

-2010年1月12日,知名搜索引擎公司百度DNS被劫持,造成其网站数小时内无法被访问。

-2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。

-2010年8月7日,国际知名DNS服务提供者DNS Made Easy遭受DDo S攻击,造成1.5小时的服务宕机。分析发现DDo S的攻击流量高达50Gbps,而针对DNS的攻击流量历史最高为49Gbps。

DNS的攻击有以下几种方法:

1、DNS欺骗

>缓存投毒

>DNS劫持

2、拒绝服务

>DDOS攻击

>流量异常

3、系统渗透

>溢出攻击

>信息收集

DNS的攻击分类:

1、传统DDOS

2、DNS特定DDOS攻击

3、DNS投毒

DNS的攻击不管利用哪种手段,就是消耗服务器的资源,造成正常网络流量服务滞缓,用户请求丢失或者不能得到及时的回应。

三、DNS的传统防护

对DNS服务器的防护传统上有以下几种方法:

1、DNS扩容,增加DNS QPS

2、负载均衡设备

3、DNS系统评估和补丁加固

4、防火墙

5、安全的DNS BIND服务器

6、DNSSEC

传统的防护手段有不足之处,如:当DNS服务器服务能力不足采取扩容的手段,暂时能缓解服务能力的问题,但是对于攻击者来说,对付扩容只需加大攻击流量,调动更多的肉机和僵尸网络即可。对系统进行加固和补丁非常必要,有效加强系统的健壮性;但首先需要维护人员主动发现漏洞后进行修复,无法应对0day攻击,更无法根本解决投毒等攻击;对DDo S防护根本不起作用。防火墙等设备主要定位是企业网分域隔离,可以对DNS做ACL等访问控制,但对DNS投毒等专门的攻击无能为力,相反其连接表等机制本身是DDo S攻击的目标之一。而负载均衡设备基本没有安全功能,所有安全攻击都可以进入;复杂的负载均衡分配算法所限,很多时候首先被DDo S攻瘫痪的不是DNS服务器,而是负载均衡设备自身。

目前来讲安全DNS有一定的作用,但是依赖厂商的安全能力,现阶段做DNS服务器的厂商还没有一家安全厂商;抗DDo S很难由DNS服务器自身增加模块进行防护。DNSSEC有效的解决DNS之间安全互信的问题,但种种原因导致尚不能大规模统一部署,从攻防角度上,软件新模块的引入,本身会增加新的攻击机会。

四、安全产品厂商的DNS防护技术

DNS安全防护应该是一个系统的、全方位的概念,延事件轴,可以分为采用事前评估加固、事中实时防御、事后分析取证的三个阶段。从纵深防护来说,如下图,从物理层到应用数据层,以及安全评估、安全防护和安全运维的多个维度。

这些技术主要包括:

1、DNS专项DDo S防护模块

在5.19的全国性的DNS中断事件之后,大量新型的针对DNS的DDo S攻击开始出现,例如伪造源IP DNS攻击、DNS畸形包Do S攻击、随机域名DNS Query Flood等攻击,这类攻击通常流量非常小,攻击特征不明显,对于广泛部署于城域网的DDo S流量清洗系统来说,其部署位置的限制,很难有效的处理此类DDo S攻击。但是这种攻击对于DNS服务器来说,由于自身的查询容量有限,这些小流量的DNS专项攻击则可以产生同大流量攻击同等的效果。

2、安全域名缓存

如某厂商的ADS-D系列的DNS专项防护系统,内置了安全域名缓存模块,这是DNS专项防护产品中重要的一项安全技术。ADS-D对于旁路镜像或者分光的DNS数据流量进行解析,在系统中存储包括客户端域名查询过程的相关信息(如域名、IP地址、时间、数量等)、服务器域名请求过程信息(如迭代服务器名称、查询路径、结果信息等)以及包括流量信息等其他DNS相关信息,形成DNS域名安全数据缓存数据库,这也是DNS专项防护设备同其他非专项防护产品的重要区别之一。

利用安全域名缓存,可以协助进行DNS应用层DDo S攻击判断、对DNS的ID/Port等碰撞投毒攻击的检测,同时还可以实现诸如域名解析加速、Fast Flux检测、域名锁定和控制、域名分析、域名保护、重点域名容灾等功能,从而实现域名容错类安全问题的防护。

3、DNS投毒检控

DNS投毒是继DDo S之后的,DNS服务器面临的第二大安全威胁,现阶段DNS投毒包括如ID检查机制投毒、源端口非随机性投毒、生日攻击投毒、粘合投毒等各种攻击手法,绿盟科技的ADS-D系列的DNS专项防护系统利用安全域名缓存、缓存锁定机制、以及特征库识别等方式可以有效的检测、防御DNS投毒过程,从而为DNS的域名安全和正确解析提供保障。

4、DNS监控模块

DNS监控模块可以让DNS服务器的运维人员轻松的获取DNS的运行信息,并随时分析DNS运行中的安全威胁趋势变化,接受DNS安全事件的告警,从而全面掌控DNS的运行安全问题。其监控内容包括DNS查询监控和报表、DNS回应监控和报表、DNS查询类型的监控报表、DNS流量监控和报表、接口监控和报表、DNS TOPN查询、异常流量检测、投毒监测、Fast-Flux监测报告、cache命中率统计、某时间段内域名-IP数据报告等。

除了可以实现上述安全机制外,利用安全域名缓存的数据信息,DNS监控模块可以进一步分析实现域名数据发掘,例如分析用户上网行为特征、某网站的访问倾向性和访问统计等,为未来的广告推送、网站改进等增值业务提供数据支撑。

损失,因此压缩方案必须选择无损的。如果在基于网络传输的系统中,受到诸如带宽、功率和物理存储器的限制,则只需要保证文本可读性,使用有损压缩来提高压缩比。COT方法提供了有损和无损自由选择的灵活度。

五、DNS安全产品的部署方式

专项防护产品可以支持串联模式,也可以支持旁路部署方式。特别是旁路部署模式可以避免引入新设备造成的软件和硬件故障点的问题。在正常情况下,DNS安全产品主要用来作为安全监控设备,一旦发生安全问题,可以由管理员手工或者自动的方式将DNS流量牵引到DNS安全防护设备上,并进行威胁的清除和清洗。

参考文献

[1]ADS-D产品白皮书.

DNS解析错误处理方法 第8篇

例如当我们访问www.baidu.com等网站时,这些地址就叫做域名,而域名并不是来标识网站所对应主机的,真正标识主机是网站主机的IP地址,只有知道了正确的IP地址才能顺利的对网站进行浏览操作。

IP地址信息是由4组数字组成的, 并不容易让使用者记忆,因此网络中出现了与IP地址对应且方便记忆的地址,这就是域名。域名解析服务器(DNS服务器) 的工作就是将网站的域名与对应的IP地址一一对应起来。这样当我们浏览网站时,就不需要输入并且记住繁琐的IP地址,只要记住简单方便的域名就可以了, 例如:百度网站的域名是www.baidu.com但是它对应的IP是61.135.169.105或者119.75.217.56或者119.75.218.77等(这里需要说明的是,网站多一般对应多个IP地址,这样就不至于其中某几个出现瘫痪时,而影响到网站浏览)。当DNS服务器解析出现错误时,我们就无法通过输入域名对相应的网站进行浏览了。

2解决DNS解析错误解决:

2.1用NSLOOKUP来判断通过域名上网是不是DNS解析错误

让计算机进入DOS模式(windowsxp以上的操作系统,单击“开始-- 运行-- 输入CMD),然后输入命令NSLOOKUP,进入DNS解析查询界面。DOS命令行中会显示出当前系统所使用的DNS服务器IP地址。

在DOS模式下,输入任意一个网站域名。例如www.baidu.com,假设不能够正常访问,我们会看到计算机对话框中显示域名解析工作超时的英文字样,这就证明了计算机域名解析出现错误。如果计算机域名解析正常,就会反馈回正确的IP地址,例如之前输入的域名www. baidu.com网址,解析正常的话就会得到name:www.a.shifen.com,addresses : 119.75.217.56,119.75.218.77的信息。

2.2查询DNS服务器是否能够正常工作

第一步:同上面说的,进入计算机DOS。

第二步:进行网络参数的查询,在DOS对话框里输入IPconfig /all。

第三步:在DOS显示的网络信息中找到DNSSERVERS,DNSSERVERS显示的信息就是本地计算机的DNS服务器地址。通过显示的IP地址,我们可以分辨出我们计算机使用的是外网域名服务器还是自己的计算机作为服务器,如果使用外网域名服务器出现解析错误时,我们可以更换一个其他的域名服务器地址即可解决问题,目前360公司提供了一组免费的外网DNS服务器地址114.114.114.114, 我们可以把本地网络连接的DNS改为114.114.114.114,这样就可以解决问题。

如果在DNSSERVERS处显示的是自己计算机的IP网络地址,那就是说明计算机的域名解析工作是由自己内部的服务器来完成的,找到作为自己域名服务器的微机,重复上述的操作步骤,就可以解决解析错误问题。

2.3清除域名服务器DNS缓存信息

一般来说,当我们输入域名进行网站浏览时,只要DNS服务器第一次解析成功后,就会把相应域名的解析条目保存在本地计算机的DNS缓存文件中,也就是说并不是我们每次访问同一个域名网站时都会向DNS服务器发送DNS解析指令。存在这样的情况,如果DNS解析对应的IP改变时,由于DNS缓存文件中并不会改变,在输入相应域名访问网站时计算机仍然不会连接DNS服务器发送指令来获取最新的IP地址,本地计算机会根据在DNS缓存文件中保存的旧信息进行网站访问,这样就会出现DNS解析错误。清除本地计算机中的DNS缓存信息就可以解决这种情况。方法如下:

第一步:单击“开始-- 运行-- 输入CMD”进入DOS模式。

第二步:输入IPconfig /flushdns命令令,如果DOS模式下出现“successfully flushed the dns resolvercache”的英文字样是,就表明DNS缓存信息已被清除。

这样我们就可以进行正常的网站浏览工作了,由于DNS缓存信息被清除,我们第一次访问域名时,计算机就会重新进行DNS解析工作,从而获取正确的IP地址。

2.4修改HOSTS文件

此方法就是修改计算机DNS缓存文件中域名对应的IP地址。从而达到输入特定域名时可以进行我们认为修改的IP地址的访问。我们可以通过在HOSTS文件中增加解析指令来完成某个域名与某个IP地址的绑定。方法如下:

(1)找到路径c:windowssystem32 driversetc目录中找到HOSTS文件。

(2)使用记事本打开HOSTS文件,即选择打开方式为记事本。

(3)在HOSTS文件里,把要浏览并修改的网站域名与其正确的IP地址对应起来,编写方法为:域名对应的IP地址+ 空格+ 域名信息。

(4)设置完成后,当我们再次浏览修改过的域名时,计算机就会读取HOSTS文件里的信息,作出相应的解析。

3总结

实现基于DNS的负载均衡 第9篇

关键词：DNS,负载均衡,服务器

由于目前现有网络的各个核心部分随着业务量的提高, 访问量和数据流量的快速增长, 其处理能力和计算强度也相应地增大, 使得单一的服务器设备根本无法承担。在此情况下, 如果扔掉现有设备去做大量的硬件升级, 这样将造成现有资源的浪费, 而且如果再面临下一次业务量的提升时, 这又将导致再一次硬件升级的高额成本投入, 甚至性能再卓越的设备也不能满足当前业务量增长的需求。为了解决这个问题, 通常是在企业网中部署多台内容相同的服务器, 通过DNS服务器来实现网络负载均衡。

负载均衡有两方面的含义:首先, 大量的并发访问或数据流量分担到多台节点设备上分别处理, 减少用户等待响应的时间;其次, 单个重负载的运算分担到多台节点设备上做并行处理, 每个节点设备处理结束后, 将结果汇总, 返回给用户, 系统处理能力得到大幅度提高。

DNS负载均衡技术的实现原理是在DNS服务器中为同一个主机名配置多个IP地址, 在应答DNS查询时, DNS服务器对每个查询将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果, 将客户端的访问引导到不同的机器上去, 使得不同的客户端访问不同的服务器, 从而达到负载均衡的目的。其主要优点有:

第一, 技术实现比较灵活、简单易行、成本低, 适用于大多数TCP/IP应用, 不需要网络专家来对之进行设定, 或在出现问题时对之进行维护。

第二, 对于Web应用来说, 不需要对代码作任何的修改。

第三, Web服务器可以位于互联网的任意位置上。

但其缺点也非常明显, 主要表现在:

第一, DNS负载均衡采用的是简单的轮循负载算法RR-DNS (Round-Robin Domain Name System) , 不能区分服务器之间的差异, 不能反映服务器的当前运行状态。因为域名服务器是一个分布式系统, 是按照一定的层次结构组织的。当用户将域名解析请求提交给本地的域名服务器, 它会因不能直接解析而向上一级域名服务器提交, 上一级域名服务器再依次向上提交, 直到RR-DNS域名服务器把这个域名解析到其中一台服务器的IP地址。

可见, 从用户到RR-DNS间存在多台域名服务器, 而它们都会缓冲已解析的名字到IP地址的映射, 这会导致该域名服务器组下所有用户都会访问同一Web服务器, 出现不同Web服务器间的负载不平衡。为了保证在域名服务器中域名到IP地址的映射不被长久缓冲, RR-DNS在域名到IP地址的映射上设置一个TTL (Time To Live) 值, 一段时间后, 域名服务器将这个映射从缓冲中淘汰。当用户请求, 它会再向上一级域名服务器提交请求并进行重新映射。这就涉及到如何设置这个TTL值, 若这个值太大, 在这个TTL期间, 很多请求会被映射到同一台Web服务器上, 同样会导致负载不平衡。若这个值太小, 导致本地域名服务器频繁地向RR-DNS提交请求, 增加了域名解析的网络流量, 同样会使RR-DNS成为系统中一个新的瓶颈。

所以DNS服务器将Http请求平均地分配到后台的Web服务器上, 而不考虑每个Web服务器当前的负载情况。如果后台的Web服务器的配置和处理能力不同, 则不能做到为性能较好的服务器多分配请求, 甚至会出现客户请求集中在某一台服务器上的情况。

第二, 若一台服务器失效, 会导致将域名解析到该服务器的用户看到服务中断, 即使用户按“Reload”按钮, 也无济于事。系统管理员也不能随时地将一台服务器切出服务进行维护, 这需要修改服务器中的IP地址列表, 即把该服务器的IP地址从中划掉, 这需要等上一段时间, 等所有域名服务器将该域名到这台服务器的映射淘汰, 和所有映射到这台服务器的客户机不再使用该站点为止。这期间DNS服务器仍然会把DNS请求分配到这台故障服务器上, 导致不能响应客户端。所以DNS负载均衡技术没有考虑容错, 缺乏高可靠性

第三, 为了使本DNS服务器和其他DNS服务器及时交互, 保证DNS数据及时更新, 使地址能随机分配, 一般都要将DNS的刷新时间设置的较小, 但这样可能会使DNS流量大增造成额外的网络问题。

第四, 一旦某个服务器出现故障, 即使及时修改了DNS设置, 还是要等待足够的时间才能发挥作用, 在此期间, 保存了故障服务器地址的客户计算机将不能正常访问服务器。

下面我们详细介绍在win2000 server下实现DNS负载均衡的过程:为了减轻某台服务器的负载, 我们可以在网络中安装多台服务器。例如, 原来网络中只有一台WEB服务器, 其主机名为www.localhost.com, IP地址为192.168.1.1。为了减轻这台WEB服务器的负载, 我们可以在网络中安装多台机器来提供WEB服务, 并保证每台WEB服务器的内容都是一致的。如果可以实现让客户端分别访问不同的WEB服务器, 这样就达到了分担负载的目的。

启用循环:a.在Windows200中, 依次点击“开始程序管理工具DNS”选项, 进入DNS管理器窗口。b.鼠标右键点击DNS服务器图标, 在弹出的快捷菜单中选择“属性”选项, 接着在属性对话框中切换到“高级”选项卡, 确保“服务器选项”列表框中的“启用循环” (Round roubin) 选项处于选中状态。

添加主机记录:a.打开管理工具中的DNS管理器。b.用鼠标右键点击将要创建记录的区域, 在弹出的菜单中选择“新建主机” (New host) , 然后依照向导提示输入必要的信息。例如:

在这里我们注意到, 添加的四条主机记录是同一个主机名对应着不同的IP。这些不同的IP即为网络中安装的多台WEB服务器的实际IP, 他们对应着同一个主机名www.localhost.com。

这样当客户端们在浏览器的地址栏中输入:www.localhost.com去访问WEB服务器时, 就会向DNS服务器发出名称解析请求。当DNS服务器收到第一个客户端的请求时, 会把第一个IP192.168.1.1响应给客户端, 当第二个客户端要求解析时, 服务器把第二个IP192.168.1.2响应给客户端, 以此类推。通过这样的循环分配IP地址, 就可以让不同的客户器访问不同的服务器, 从而达到分担服务器的负载的功能。

启用子网优先

如果公司的网络是由多个子网构成的, 为了使用户能够更有效地访问服务器中的资源, 例如WEB服务器上的资源, 我们可以在每个子网中都安装一台WEB服务器, 这些WEB服务器保存的数据是完全一样的并且都使用同一个主机名, 例如:www.localhost.com。那么如何让用户在其浏览器的地址栏中输入主机名www.localhost.com时, 访问的是本子网的WEB服务器, 而不是其他子网的web服务器呢?我们可以通过设置Enable netmask ordering启用子网优先来实现这一功能。可以按以下步骤操作:a.在DNS管理中, 用鼠标右键点击该DNS服务器图标, 在弹出的菜单中选择属性 (Properties) 菜单。b.在弹出的窗口中, 选择高级 (Advanced) 选项卡。确保启用网络掩码排序 (Enable subnet ordering) 选项是处于被选中的状态。c.当设定好后, 需要在区域中添加主机记录, 如上操作。

这样我们在DNS服务器中添加了多条主机记录:同一个主机名对应着不同的IP。这些不同的IP即为不同子网中安装的WEB服务器的实际IP地址, 他们对应着同一个主机名www.localhost.com。