DNS 冗余:什么是辅助 DNS 和区域传输?
在我们之前的文章中,我们讨论了 DNS 的基础知识。在本文中,我们将介绍一些 DNS 冗余的高级技术:
主域名解析
托管一个或多个区域的主 DNS 服务器充当权威 DNS,DNS 管理员通过该服务器管理区域文件并执行 DNS 更改,例如添加、删除和更新 DNS 记录。
区域和区域文件
DNS 服务器中托管的域称为区域。区域文件是人类可读的文本文件,其中包含不同类型的 DNS 记录。
∙ SOA 记录:表示授权的开始
∙ A 记录:映射到域或子域的 IPv4 地址
∙ AAAA记录:映射到域或子域的 IPv6 地址
∙ 别名记录:指向规范名称的规范记录
∙ MX 记录:指向邮件服务器的邮件交换记录
∙ TXT记录:用于各种验证
∙ PTR 记录:反向 DNS 查找记录
由主 DNS 服务器托管和管理的区域文件称为主 DNS 区域。DNS 是核心基础结构组件,它需要 100% 的可用性。为了获得更高的可伸缩性、安全性和可用性,使用了辅助 DNS 服务器。
辅助域名解析
辅助 DNS 在与主 DNS 相同的网络中预配;它也可以是第三方 DNS 提供商。辅助 DNS 以只读格式托管主 DNS 中托管的区域的相同副本。主 DNS 中的区域文件通过区域传输同步到辅助 DNS。
区域传输
区域传输是一种机制,用于将托管区域的主 DNS 服务器的最新信息同步到辅助 DNS。区域传输包括两种类型:
1. 全区域传输 (AXFR):主 DNS 服务器通知辅助 DNS 服务器已对特定区域进行了更改,辅助 DNS 与主 DNS 联系以检查发生更改的区域的 SOA 记录中的序列号。如果主 DNS 上的序列号大于该区域的辅助 DNS 服务器的序列号,则整个区域文件将从主 DNS 服务器复制到辅助 DNS 服务器。
2. 增量区域传输 (IXFR):主 DNS 服务器通知辅助 DNS 服务器已对特定区域进行了更改,辅助 DNS 与主 DNS 联系以检查发生更改的区域的 SOA 记录中的序列号。如果主 DNS 上的序列号大于该区域的辅助 DNS 服务器的序列号,则辅助 DNS 服务器会将上次更改与现有版本进行比较,并仅从主 DNS 复制更改的记录。
辅助服务器会定期检查主 DNS 服务器是否有任何更改,并复制最新的区域文件。来自辅助 DNS 服务器的定期检查基于区域 SOA 记录中设置的刷新间隔。
保护区域传输
攻击者可以使用 AXFR 请求将启用了区域传输的区域下载到主 DNS 服务器。以下方法有助于在主 DNS 服务器和辅助 DNS 服务器之间进行安全区域传输:
∙ IP 地址限制:仅允许从辅助 DNS 服务器的 IP 向主 DNS 服务器发出区域传输请求。
∙ DNS 传输签名 (TSIG):为启用了区域传输的区域启用 DNS TSIG。TSIG 是主 DNS 服务器和辅助 DNS 服务器之间的预共享对称加密密钥。每当在启用了 TSIG 的主 DNS 服务器和辅助 DNS 服务器之间启动区域传输 (AXFR/IXFR) 时,将使用 TSIG 密钥验证参与区域传输的两个服务器之间的通信,并且区域传输是安全的。
关于ManageEngine
ManageEngine 是 Zoho Corporation 的企业 IT 管理部门。老牌企业和新兴企业(包括每 10 家财富 100 强企业中的 9 家)依靠 ManageEngine 的实时 IT 管理工具来确保其 IT 基础设施(包括网络、服务器、应用程序、端点等)的最佳性能。 ManageEngine 在全球设有办事处,包括美国、阿拉伯联合酋长国、荷兰、印度、哥伦比亚、墨西哥、巴西、新加坡、日本、中国和澳大利亚,以及 200 多个全球合作伙伴,帮助组织紧密协调其业务和业务它。欲了解更多信息,请访问www.ManageEngine.cn官网网站,或关注微信公众号ManageEngine并进行联系。
