1.3.1. 簡介

????????DNS是一個簡單的請求-響應(yīng)協(xié)議，是將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便地訪問互聯(lián)網(wǎng)。DNS使用TCP和UDP協(xié)議的53端口。

1.3.2. 術(shù)語

1.3.2.1. mDNS

????????Multicast DNS (mDNS)，多播DNS，使用5353端口，組播地址為 224.0.0.251 或 [FF02::FB] 。在一個沒有常規(guī)DNS服務(wù)器的小型網(wǎng)絡(luò)內(nèi)可以使用mDNS來實現(xiàn)類似DNS的編程接口、包格式和操作語義。mDNS協(xié)議的報文與DNS的報文結(jié)構(gòu)相同，但有些字段對于mDNS來說有新的含義。

????????啟動mDNS的主機會在進入局域網(wǎng)后向所有主機組播消息，包含主機名、IP等信息，其他擁有相應(yīng)服務(wù)的主機也會響應(yīng)含有主機名和IP的信息。

????????mDNS的域名是用 .local 和普通域名區(qū)分開的。

1.3.2.2. FQDN

????????FQDN (Fully-Qualified Domain Name) 是域名的完全形態(tài)，主要是包含零長度的根標簽，例如 www.example.com. 。

1.3.2.3. TLD

????????Top-Level Domain (TLD) 是屬于根域的一個域，例如 com 或 jp 。

????????TLD一般可以分為 Country Code Top-Level Domains (ccTLDs) 、Generic Top-Level Domains (gTLDs) 以及其它。

1.3.2.4. IDN

????????Internationalized Domain Names for Applications (IDNA) 是為了處理非ASCII字符的情況。

1.3.2.5. CNAME

????????CNAME即Canonical name，又稱alias，將域名指向另一個域名。

1.3.2.6. TTL

????????Time To Live，無符號整數(shù)，記錄DNS記錄過期的時間，最小是0，最大是2147483647 (2^31 - 1)。

1.3.3. 請求響應(yīng)

1.3.3.1. 響應(yīng)碼

NOERROR

????????No error condition

FORMERR

????????Format error - The name server was unable to interpret the query

SERVFAIL

????????Server failure - The name server was unable to process this query due to a problem with the name server

NXDOMAIN

????????this code signifies that the domain name referenced in the query does not exist

NOTIMP

????????Not Implemented - The name server does not support the requested kind of query

REFUSED

????????Refused - The name server refuses to perform the specified operation for policy reasons

NODATA

????????A pseudo RCODE which indicates that the name is valid, for the given class, but [there] are no records of the given type A NODATA response has to be inferred from the answer.

1.3.4. 域名系統(tǒng)工作原理

????????DNS解析過程是遞歸查詢的，具體過程如下：

????????用戶要訪問域名www.example.com時，先查看本機hosts是否有記錄或者本機是否有DNS緩存，如果有，直接返回結(jié)果，否則向遞歸服務(wù)器查詢該域名的IP地址；

????????遞歸緩存為空時，首先向根服務(wù)器查詢com頂級域的IP地址；

????????根服務(wù)器告知遞歸服務(wù)器com頂級域名服務(wù)器的IP地址；

????????遞歸向com頂級域名服務(wù)器查詢負責example.com的權(quán)威服務(wù)器的IP；

????????com頂級域名服務(wù)器返回相應(yīng)的IP地址；

????????遞歸向example.com的權(quán)威服務(wù)器查詢www.example.com的地址記錄；

????????權(quán)威服務(wù)器告知www.example.com的地址記錄；

????????遞歸服務(wù)器將查詢結(jié)果返回客戶端。

1.3.5. 根服務(wù)器

????????根服務(wù)器是DNS的核心，負責互聯(lián)網(wǎng)頂級域名的解析，用于維護域的權(quán)威信息，并將DNS查詢引導(dǎo)到相應(yīng)的域名服務(wù)器。

????????根服務(wù)器在域名樹中代表最頂級的 . 域， 一般省略。

????????13臺IPv4根服務(wù)器的域名標號為a到m，即a.root-servers.org到m.root-servers.org，所有服務(wù)器存儲的數(shù)據(jù)相同，僅包含ICANN批準的TLD域名權(quán)威信息。

1.3.6. 權(quán)威服務(wù)器

????????權(quán)威服務(wù)器上存儲域名Zone文件，維護域內(nèi)域名的權(quán)威信息，遞歸服務(wù)器可以從權(quán)威服務(wù)器獲得DNS查詢的資源記錄。

????????權(quán)威服務(wù)器需要在所承載的域名所屬的TLD管理局注冊，同一個權(quán)威服務(wù)器可以承載不同TLD域名，同一個域也可以有多個權(quán)威服務(wù)器。

1.3.7. 遞歸服務(wù)器

????????遞歸服務(wù)器負責接收用戶的查詢請求，進行遞歸查詢并響應(yīng)用戶查詢請求。在初始時遞歸服務(wù)器僅有記錄了根域名的Hint文件。

1.3.8. DGA

????????DGA（Domain Generate Algorithm，域名生成算法）是一種利用隨機字符來生成C&C域名，從而逃避域名黑名單檢測的技術(shù)手段，常見于botnet中。一般來說，一個DGA域名的存活時間約在1-7天左右。

????????通信時，客戶端和服務(wù)端都運行同一套DGA算法，生成相同的備選域名列表，當需要發(fā)動攻擊的時候，選擇其中少量進行注冊，便可以建立通信，并且可以對注冊的域名應(yīng)用速變IP技術(shù)，快速變換IP，從而域名和IP都可以進行快速變化。

????????DGA域名有多種生成方式，根據(jù)種子類型可以分為確定性和不確定性的生成。不確定性的種子可能會選用當天的一些即時數(shù)據(jù)，如匯率信息等。

1.3.9. DNS隧道

????????DNS隧道工具將進入隧道的其他協(xié)議流量封裝到DNS協(xié)議內(nèi)，在隧道上傳輸。這些數(shù)據(jù)包出隧道時進行解封裝，還原數(shù)據(jù)。

1.3.10. 參考鏈接

1.3.10.1. RFC

????????RFC 1034 DOMAIN NAMES CONCEPTS AND FACILITIES

????????RFC 1035 DOMAIN NAMES IMPLEMENTATION AND SPECIFICATION

????????RFC 5936 DNS Zone Transfer Protocol

????????RFC 6762 Multicast DNS

????????RFC 6895 DNS IANA Considerations

????????RFC 8082 NXDOMAIN

????????RFC 8482 Providing Minimal-Sized Responses to DNS Queries That Have QTYPE=ANY

????????RFC 8490 DNS Stateful Operations

????????RFC 8499 DNS Terminology

1.3.10.2. 工具

????????Unbound

????????bind9

1.3.10.3. 研究文章

????????DGA域名的今生前世：緣起、檢測、與發(fā)展