DNS（Domain Name System，域名系統(tǒng)），因特網(wǎng)上作為域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。DNS協(xié)議運行在UDP協(xié)議之上，使用端口號53。在RFC文檔中RFC 2181對DNS有規(guī)范說明，RFC 2136對DNS的動態(tài)更新進行說明，RFC 2308對DNS查詢的反向緩存進行說明。

中文名

域名系統(tǒng)

外文名

Domain Name System

使用協(xié)議

UDP,TCP（當請求大于512字節(jié)時）

使用端口

53

目錄

1DNS功能

2DNS重要性

3DNS冗余

4域名結(jié)構(gòu)

5解析器

6DNS服務器

7SDNS

8DNS查詢方法

?查詢DNS服務器上的資源記錄

?FQDN名的解析過程查詢

?一致性仲裁

9故障解決

10DNS安全問題

11配置DNS

12DNS解析

?靜態(tài)配置主機名和IP/IPV6地址的映射

?清除動態(tài)主機名緩存表

?域名解析信息顯示

13DNS配置舉例

?靜態(tài)域名解析配置舉例

?動態(tài)域名解析配置舉例

14全國DNS信息

15港澳臺dns地址

16熱門事件

DNS功能

每個IP地址都可以有一個主機名，主機名由一個或多個字符串組成，字符串之間用小數(shù)點隔開。有了主機名，就不要死記硬背每臺IP設備的IP地址，只要記住相對直觀有意義的主機名就行了。這就是DNS協(xié)議所要完成的功能。

主機名到IP地址的映射有兩種方式：

DNS(11張)

1）靜態(tài)映射，每臺設備上都配置主機到IP地址的映射，各設備獨立維護自己的映射表，而且只供本設備使用；

2）動態(tài)映射，建立一套域名解析系統(tǒng)（DNS），只在專門的DNS服務器上配置主機到IP地址的映射，網(wǎng)絡上需要使用主機名通信的設備，首先需要到DNS服務器查詢主機所對應的IP地址。[1]

通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。在解析域名時，可以首先采用靜態(tài)域名解析的方法，如果靜態(tài)域名解析不成功，再采用動態(tài)域名解析的方法?？梢詫⒁恍┏Ｓ玫挠蛎湃腱o態(tài)域名解析表中，這樣可以大大提高域名解析效率。

DNS重要性

1、技術角度看

DNS解析是互聯(lián)網(wǎng)絕大多數(shù)應用的實際尋址方式； 域名技術的再發(fā)展、以及基于域名技術的多種應用，豐富了互聯(lián)網(wǎng)應用和協(xié)議。

2、資源角度看

域名是互聯(lián)網(wǎng)上的身份標識，是不可重復的唯一標識資源； 互聯(lián)網(wǎng)的全球化使得域名成為標識一國主權的國家戰(zhàn)略資源。

DNS冗余

為保證服務的高可用性，DNS要求使

dns

用多臺名稱服務器冗余支持每個區(qū)域。

某個區(qū)域的資源記錄通過手動或自動方式更新到單個主名稱服務器（稱為主 DNS服務器）上，主 DNS 服務器可以是一個或幾個區(qū)域的權威名稱服務器。

其它冗余名稱服務器（稱為輔 DNS 服務器）用作同一區(qū)域中主服務器的備份服務器，以防主服務器無法訪問或宕機。輔 DNS服務器定期與主 DNS 服務器通訊，確保它的區(qū)域信息保持最新。如果不是最新信息，輔 DNS服務器就會從主服務器獲取最新區(qū)域數(shù)據(jù)文件的副本。這種將區(qū)域文件復制到多臺名稱服務器的過程稱為區(qū)域復制。

域名結(jié)構(gòu)

通常 Internet 主機域名的一般結(jié)構(gòu)為：主機名.三級域名.二級域名.頂級域名。 Internet 的頂級域名由 Internet網(wǎng)絡協(xié)會域名注冊查詢負責網(wǎng)絡地址分配的委員會進行登記和管理，它還為 Internet的每一臺主機分配唯一的 IP 地址。全世界現(xiàn)有三個大的網(wǎng)絡信息中心： 位于美國的 Inter-NIC，負責美國及其他地區(qū)； 位于荷蘭的RIPE-NIC，負責歐洲地區(qū)；位于日本的APNIC ，負責亞太地區(qū)[1]。

解析器

解析器，或另一臺DNS服務器遞歸代表的情況下，域名解析器，協(xié)商使用遞歸服務，使用查詢頭位。

解析通常需要遍歷多個名稱服務器，找到所需要的信息。然而，一些解析器的功能更簡單地只用一個名稱服務器進行通信。這些簡單的解析器依賴于一個遞歸名稱服務器（稱為“存根解析器”），為他們尋找信息的執(zhí)行工作。

DNS服務器

提供DNS服務的是安裝了DNS服務器端軟件的計算機。服務器端軟件既可以是基于類linux操作系統(tǒng)，也可以是基于Windows操作系統(tǒng)的。裝好DNS服務器軟件后，您就可以在您指定的位置創(chuàng)建區(qū)域文件了，所謂區(qū)域文件就是包含了此域中名字到IP地址解析記錄的一個文件，如文件的內(nèi)容可能是這樣的：primary name server = dns2（主服務器的主機名是 ）

serial = 2913 （序列號=2913、這個序列號的作用是當輔域名服務器來復制這個文件的時候，如果號碼增加了就復制）

refresh = 10800 (3 hours) （刷新=10800秒、輔域名服務器每隔3小時查詢一個主服務器）

retry = 3600 (1 hour) （重試=3600秒、當輔域名服務試圖在主服務器上查詢更新時，而連接失敗了，輔域名服務器每隔1小時訪問主域名服務器）

expire = 604800 (7 days) （到期=604800秒、輔域名服務器在向主服務更新失敗后，7天后刪除中的記錄。）

defaultTTL= 3600 (1 hour) （默認生存時間=3600秒、緩存服務器保存記錄的時間是1小時。也就是告訴緩存服務器保存域的解析記錄為1小時）

SDNS

中國互聯(lián)網(wǎng)絡信息中心(CNNIC)研發(fā)出我國首個面向下一代互聯(lián)網(wǎng)的域名服務平臺——SDNS。

DNS查詢方法

查詢DNS服務器上的資源記錄

在Windows平臺下，使用命令行工具，輸入nslookup，返回的結(jié)果包括域名對應的IP地址（A記錄）、別名（CNAME記錄）等。除了以上方法外，還可以通過一些DNS查詢站點

dns

如國外的國內(nèi)的 查詢域名的DNS信息。

常用的資源記錄類型

A 地址 此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。

CNAME 標準名稱 此記錄指定標準主機名的別名。

MX郵件交換器此記錄列出了負責接收發(fā)到域中的電子郵件的主機。

NS名稱服務器此記錄指定負責給定區(qū)域的名稱服務器。

FQDN名的解析過程查詢

若想跟蹤一個FQDN名的解析過程，在LinuxShell下輸入dig www +trace，返回的結(jié)果包括從根域開始的遞歸或迭代過程，一直到權威域名服務器。

GeniePro DNS 應對DNS劫持和DNS緩存中毒攻擊的關鍵性機制：一致性檢查

每個Geniepro節(jié)點將自身的DNS記錄發(fā)送給工作組內(nèi)其他節(jié)點請求一致性檢查；

每個Geniepro節(jié)點將自身的記錄與收到的記錄進行比較；

每個Geniepro工作組的通信協(xié)調(diào)節(jié)點將獲得的DNS記錄更新發(fā)送給其他組的通信協(xié)調(diào)節(jié)點請求一致性檢查；

每個Genipro工作組的通信協(xié)調(diào)節(jié)點向上一級DNS服務器請求更新記錄并與收到的其他通信協(xié)調(diào)節(jié)點的記錄進行比較。

一致性仲裁

如果一致性檢查發(fā)現(xiàn)記錄不一致情況，則根據(jù)策略（少數(shù)服從多數(shù)、一票否決等）決定是否接受記錄的變化 根據(jù)結(jié)果，各Geniepro節(jié)點將自身記錄進行統(tǒng)一 通信協(xié)調(diào)節(jié)點選舉 選舉出的通信協(xié)調(diào)節(jié)點在任期內(nèi)具有更新組內(nèi)節(jié)點的權限 選舉過程滿足不可預測性和不可重復性DNS資源記錄如前所述，每個 DNS 數(shù)據(jù)庫都由資源記錄構(gòu)成。一般來說，資源記錄包含與特定主機有關的信息，如 IP 地址、主機的所有者或者提供服務的類型。

故障解決

當DNS解析出現(xiàn)錯誤，例如把一個域名解析成一個錯誤的IP地址，或者根本不知道某個域名對應的IP地址是什么時，就無法通過域名訪問相應的站點了，這就是DNS解析故障。出現(xiàn)DNS解析故障最大的癥狀就是訪問站點對應的IP地址沒有問題，然而訪問他的域名就會出現(xiàn)錯誤。

（1）用nslookup(網(wǎng)路查詢)來判斷是否真的是DNS解析故障：

要想百分之百判斷是否為DNS解析故障就需要通過系統(tǒng)自帶的NSLOOKUP來解決了。

第一步：確認自己的系統(tǒng)是windows 2000和windows xp以上操作系統(tǒng)，然后通過“開始->運行->輸入CMD”后回車進入命令行模式。

第二步：輸入nslookup命令后回車，將進入DNS解析查詢界面。

第三步：命令行窗口中會顯示出當前系統(tǒng)所使用的DNS服務器地址，例如筆者的DNS服務器IP為202.106.0.20。

第四步：接下來輸入無法訪問的站點對應的域名。假如不能訪問的話，那么DNS解析應該是不能夠正常進行的，會收到DNS request timed out，timeout was 2 seconds的提示信息。這說明本地計算機確實出現(xiàn)了DNS解析故障。

小提示：如果DNS解析正常的話，會反饋回正確的IP地址。

（2）查詢DNS服務器工作是否正常：

這時候要看本地計算機使用的DNS地址是多少了，并且查詢他的運行情況。

第一步：通過“開始->運行->輸入CMD”后回車進入命令行模式。

第二步：輸入ipconfig/all命令來查詢網(wǎng)絡參數(shù)。

第三步：在ipconfig /all顯示信息中能夠看到一個地方寫著DNS SERVERS，這個就是本地的DNS服務器地址。例如筆者的是202.106.0.20和202.106.46.151。從這個地址可以看出是個外網(wǎng)地址，如果使用外網(wǎng)DNS出現(xiàn)解析錯誤時，可以更換一個其他的DNS服務器地址即可解決問題。

第四步：如果在DNS服務器處顯示的是個人公司的內(nèi)部網(wǎng)絡地址，那么說明該公司的DNS解析工作是交給公司內(nèi)部的DNS服務器來完成的，這時需要檢查這個DNS服務器，在DNS服務器上進行nslookup操作看是否可以正常解析。解決DNS服務器上的DNS服務故障，一般來說問題也能夠解決。

（3）清除DNS緩存信息法：

第一步：通過“開始->運行->輸入CMD”進入命令行模式。

第二步：在命令行模式中我們可以看到在ipconfig /?中有一個名為/flushdns的參數(shù)，這個就是清除DNS緩存信息的命令。

第三步：執(zhí)行ipconfig /flushdns命令，當出現(xiàn)“successfully flushed the dns resolver cache”的提示時就說明當前計算機的緩存信息已經(jīng)被成功清除。

第四步：接下來我們再訪問域名時，就會到DNS服務器上獲取最新解析地址，再也不會出現(xiàn)因為以前的緩存造成解析錯誤故障了。

（4）修改HOSTS（主機）文件法：

第一步：通過“開始->搜索”，然后查找名叫hosts的文件。

第二步：當然對于已經(jīng)知道他的路徑的讀者可以直接進入c:\windows\system32\drivers\etc目錄中找到HOSTS文件。如果你的系統(tǒng)是windows 2000，那么應該到c:\winnt\system32\drivers\etc目錄中尋找。

第三步：雙擊HOSTS文件，然后選擇用“記事本”程序?qū)⑵浯蜷_。

第四步：之后我們就會看到HOSTS文件的所有內(nèi)容了，默認情況下只有一行內(nèi)容“127.0.0.1 localhost”。（其他前面帶有#的行都不是真正的內(nèi)容，只是幫助信息而已）

第五步：將你希望進行DNS解析的條目添加到HOSTS文件中。具體格式是先寫該域名對應的IP地址，然后空格接域名信息。

第六步：設置完畢后我們訪問網(wǎng)址時就會自動根據(jù)是在內(nèi)網(wǎng)還是外網(wǎng)來解析了。[2]

DNS安全問題

1.針對域名系統(tǒng)的惡意攻擊：DDOS攻擊造成域名解析癱瘓。

2.域名劫持：修改注冊信息、劫持解析結(jié)果。

3.國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。

4.系統(tǒng)上運行的DNS服務存在漏洞，導致被黑客獲取權限，從而篡改DNS信息。

5.DNS設置不當，導致泄漏一些敏感信息。提供給黑客進一步攻擊提供有力信息。

配置DNS

不同的網(wǎng)絡設備配置的語法不一樣，這里提供的配置方法是以銳捷網(wǎng)絡設備為例的，一般也適用思科設備。

DNS解析

本節(jié)描述如何打開DNS域名解析功能開關。

R(config)#ip domain-lookup 打開DNS域名解析功能開關

配置DNS Server使用no ip domain-lookup命令關閉DNS域名解析的功能：R(config)#noip domain-lookup

本節(jié)描述如何配置DNS服務器。只有配置了DNS服務器，才能進行動態(tài)域名解析。

如果要刪除DNS服務器，可以使用no ip name-server[ip-address | ipv6-address] 命令。其中參數(shù)ip-address和ipv6-address表示刪除指定的域名服務器，否則刪除所有的域名服務器。

命令

作用

R(config)# ip name-server{ip-address | ipv6-address}

添加DNS Server的IP/IPV6地址。每次執(zhí)行這條命令，設備都會添加一個DNS Server。當無法從第一個Server獲取到域名時，設備會嘗試向后續(xù)幾個Server發(fā)送DNS請求，直到正確收到回應為止。系統(tǒng)最多支持6個域名服務器。

靜態(tài)配置主機名和IP/IPV6地址的映射

如何配置主機名和IP/IPV6地址的映射。本地維護了一張主機名和IP/IPV6地址的對應表，也叫主機名到IP/IPv6地址的映射表。主機名到IP/IPV6地址的映射表內(nèi)容有兩個來源：手工配置和動態(tài)學習。在不能動態(tài)學習的情況下，手工配置就有必要了。

命令

作用

R(config)#ip hosthost-name ip-address

手工配置主機名和IP地址映射

R(config)#ipv6 hosthost-name ipv6-address

手工配置主機名和IPV6地址映射

使用該命令的no形式就可以刪除主機名和IP/IPV6地址的映射。

清除動態(tài)主機名緩存表

本節(jié)描述如何清除動態(tài)主機名緩存表。如果輸入clear host或clear host* 命令將清除動態(tài)緩存表。否則只刪除指定域名的表項。

命令

作用

R#clear host[host-name]

清除動態(tài)主機名緩存表。

該命令不能刪除靜態(tài)配置的主機名。

域名解析信息顯示

本節(jié)描述如何顯示DNS的相關配置信息：

命令

作用

R#show hosts[host-name]

查看DNS的相關參數(shù)

R#show hosts

Name servers are:

192.168.5.134 static

Host type Address TTL(sec)

www.163.com static 192.168.5.243 ---

DNS配置舉例

靜態(tài)域名解析配置舉例

拓撲圖

如右圖靜態(tài)域名解析配置組網(wǎng)圖所示：

靜態(tài)域名解析配置組網(wǎng)圖

應用需求

由于網(wǎng)絡設備R-A經(jīng)常訪問域名為destination.com的主機，可利用靜態(tài)域名解析功能，實現(xiàn)通過destination.com主機名訪問IP地址為1.1.1.20的主機，提高域名解析的效率。

配置要點

1. 確保設備和主機間路由可達

2. 主機名和IP地址間的映射正確

配置步驟

手工配置主機名和IP地址間的映射；本例中，配置主機名為destination.com其對應IP地址為1.1.1.20

R-A(config)#ip host destination.com 1.1.1.20

配置驗證

第一步，查看域名解析信息；關注點主機、IP地址間的映射關系是否正確。

R-A# show host

Name servers are:

Host type Address TTL(sec)

destination.com static 1.1.1.20 ---

第二步，使用pingdestination.com命令，查看執(zhí)行結(jié)果。

R-A# ping destination.com

Translating "destination.com"...[OK]

Sending 5, 100-byte ICMP Echoes to 1.1.1.20, timeout is 2 seconds:

< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

從以上顯示信息可以看出，R-A通過靜態(tài)域名解析，成功實現(xiàn)通過destination.com主機名訪問IP地址為1.1.1.20的主機。

動態(tài)域名解析配置舉例

拓撲圖

動態(tài)域名解析配置組網(wǎng)圖

如右圖動態(tài)域名解析配置組網(wǎng)圖所示。

應用需求

1. DNS域名服務器的IP地址為192.168.31.206/24。

2. 網(wǎng)絡設備為DNS客戶端，通過動態(tài)域名解析功能，實現(xiàn)通過host.com主機名訪問IP地址為10.1.1.2的主機。

配置要點

1. DNS客戶端和DNS服務器端、訪問主機間的路由要可達

2. DNS域名解析開關打開。域名解析功能開關默認開啟。

3. 正確配置DNS域名服務器的IP地址

配置步驟

第一步，配置DNS域名服務器

不同域名服務器的配置方法不同，請根據(jù)實際情況搭建DNS服務器。具體方法在此不做具體說明。

在DNS服務器上添加主機和IP地址的映射。本例中，設置主機名：host.com；IP地址為10.1.1.2/24

第二步，配置DNS客戶端

DNS客戶端和DNS服務器端、訪問主機間的路由要可達。接口IP配置如拓撲圖所示。具體配置過程此處省略。

！打開DNS域名解析功能開關；該功能默認開啟

R(config)#ip domain-lookup

！配置域名服務器的IP地址為192.168.31.206

R(config)#ip name-server 192.168.31.206

配置驗證

第一步，使用pinghost.com命令，查看執(zhí)行結(jié)果。

R# ping host.com

Translating " host.com "...[OK]

Sending 5, 100-byte ICMP Echoes to10.1.1.2, timeout is 2 seconds:

< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

從以上顯示信息可以看出，客戶端設備能ping通主機，且對應的目的IP地址為10.1.1.2。設備通過動態(tài)域名解析，成功實現(xiàn)通過host.com主機名訪問IP地址為10.1.1.2的主機。

第二步，查看域名解析信息；關注點主機名、主機IP地址。

R# show host

Name servers are:

192.168.31.206 static

Host type Address TTL(sec)

host.com dynamic 10.1.1.23503

從以上顯示信息可以看出，主機名同主機IP地址的映射表項正確。

全國DNS信息

電信域名系統(tǒng)列表

（按拼音排序， 共32條）

電信

A安徽

202.102.192.68

202.102.199.68

61.132.163.68

202.102.213.68

電信

A澳門

202.175.3.8

202.175.3.3

電信

B北京

202.96.199.133

202.96.0.133

電信

C重慶

61.128.128.68

61.128.192.68

電信

F福建

218.85.157.99

218.85.152.99

電信

G甘肅

202.100.64.68

61.178.0.93

電信

G廣東

202.96.128.86

202.96.128.166

202.96.134.133

202.96.128.68

電信

G廣西

202.103.224.68

202.103.225.68

電信

G貴州

202.98.192.67

202.98.198.167

電信

H海南

202.100.192.68

202.100.199.8

電信

H河北

222.222.222.222

電信

H黑龍江

219.147.198.230

219.146.0.130

電信

H河南

219.150.150.150

222.88.88.88

222.85.85.85

電信

H湖北

202.103.0.68

202.103.24.68

202.103.0.117

202.103.44.150

電信

H湖南

222.246.129.80

59.51.78.211

電信

J江蘇

61.177.7.1

61.147.37.1

218.2.135.1

221.228.255.1

電信

J江西

202.101.224.68

202.101.226.69

電信

J吉林

219.149.194.55

電信

N寧夏

202.100.96.68

222.75.152.129

電信

Q青海

202.100.128.68

電信

S山東

219.146.0.130

電信

S上海

202.96.209.5

202.96.209.133

電信

S陜西

218.30.19.40

61.134.1.4

電信

S四川

61.139.2.69

202.98.96.68

218.6.200.139

61.139.54.66

電信

T天津

219.150.32.132

電信

X香港

205.252.144.126

218.102.62.71

電信

X新疆

61.128.114.166

61.128.114.133

電信

Y云南

222.172.200.68

61.166.150.123

電信

Z浙江

60.191.244.5

202.96.113.34

聯(lián)通 DNS 列表 （按拼音排序， 共23條）

聯(lián)通

A安徽

218.104.78.2

聯(lián)通

B北京

202.106.0.20

202.106.196.115

聯(lián)通

G甘肅

221.7.34.10

聯(lián)通

G廣東

221.4.66.66

210.21.4.130

221.4.8.1

聯(lián)通

G廣西

211.97.64.129

221.7.128.68

221.7.136.68

聯(lián)通

H海南

221.11.132.2

聯(lián)通

H河北

202.99.160.68

202.99.166.4

聯(lián)通

H黑龍江

202.97.224.68

202.97.224.69

聯(lián)通

H河南

202.102.224.68

202.102.227.68

聯(lián)通

H湖北

218.104.111.122

218.104.111.114

聯(lián)通

H湖南

58.20.127.170

58.20.57.4

聯(lián)通

J江蘇

221.6.4.66

221.6.96.177

218.104.32.106

聯(lián)通

J江西

220.248.192.12

220.248.192.13

聯(lián)通

J吉林

202.98.0.68

202.98.5.68

聯(lián)通

L遼寧

202.96.69.38

202.96.64.68

聯(lián)通

N內(nèi)蒙古

202.99.224.8

202.99.224.67

202.99.224.68

聯(lián)通重慶221.7.92.98221.5.203.98

聯(lián)通

S山東

202.102.152.3

202.102.134.68

聯(lián)通

S上海

210.22.70.3

210.22.84.3

210.52.207.2

聯(lián)通

S山西

202.99.192.66

202.99.192.68

聯(lián)通

S四川

221.10.251.196

聯(lián)通

T天津

202.99.96.68

202.99.104.68

聯(lián)通

Y云南

221.3.131.9

221.3.131.10

聯(lián)通

Z浙江

西寧221.12.1.228

221.207.58.58221.12.33.228

221.207.58.68221.12.65.228

218.108.248.200

移動DNS列表

移動A安徽211.138.180.2

移動河南211.138.24.66211.138.30.66

移動

云南

211.139.29.170211.139.29.150

臺灣DNS列表

中華電信臺灣168.95.192.1

168.95.1.1

港澳臺dns地址

香港

205.252.144.228

208.151.69.65

202.181.202.140

202.181.224.2

澳門

202.175.3.8

202.175.3.3

臺灣

168.95.192.1

168.95.1.1[3]

附送大型企業(yè)的幾個DNS服務器地址

DNS服務器服務器地址備用服務器地址備注

114DNS

114.114.114.114114.114.115.115普通用戶使用

114.114.114.119114.114.115.119攔截釣魚病毒木馬網(wǎng)站

114.114.114.110114.114.115.110攔截色情網(wǎng)站

谷歌DNS8.8.8.88.8.4.4在國內(nèi)使用較差，會降低上網(wǎng)速度

OpenDNS208.67.222.222208.67.220.220在國內(nèi)使用很差，上網(wǎng)會不穩(wěn)定

阿里DNS223.5.5.5223.6.6.6國內(nèi)DNS

熱門事件

北京時間2014年1月21日，下午15時20分左右，全國大范圍出現(xiàn)DNS故障，中國頂級域名根服務器出現(xiàn)故障，大部分網(wǎng)站受影響，此次故障未對國家頂級域名.CN造成影響，所有運行服務正常。