企業開源域名服務安全防護策略及實戰(5)

　　上述六條資源記錄的具體含義為：在 DNS 服務器中為 www.feixiang.com 設定了三臺服務器響應客戶的訪問請求。這三臺服務器分別為 web_server1、web_server2 和 web_server3，而他們均為 www 服務器的別名。因此，在訪問 www 服務器時，DNS 服務器將依次循環地將訪問請求均衡到三臺服務器中去，以達到負載均衡的目的。

　　配置智能 DNS 高速解析

　　隨著原中國的互聯網骨干網被一分為二了，北有聯通、南有電信。從此，細心的網民可以發現，有些經常訪問的網站速度一下子慢了下來，有時候還有訪問不到的情況出現。例如北方地區的網絡用戶訪問中國聯通的服務器會非?？?，而訪問中國電信的服務器時，感覺非常慢。這種現象不僅影響了網站的訪問量，更嚴重的是它直接影響了一些經營性網站的經濟效益。據分析，產生這個問題的根本原因是中國電信分家之后，電信與聯通之間的互連存在問題。雖然信息產業部已經在規劃南北互通計劃，但在今后相當長的一段時期內，南北方網互連的問題還會長期存在。

　　智能 DNS 策略解析很好的解決了上面所述的問題。DNS 策略解析最基本的功能是可以智能的判斷訪問網站的用戶，然后根據不同的訪問者把網站的域名分別解析成不同的 IP 地址。如訪問者是聯通用戶，DNS 策略解析服務器會把網站域名對應的聯通 IP 地址解析給這個訪問者。如果用戶是電信用戶，DNS 策略解析服務器會把網站域名對應的電信 IP 地址解析給這個訪問者。

　　除此之外，智能 DNS 策略解析還可以實現就近訪問機制。有些用戶在國外和國內都放置了服務器，使用 DNS 策略解析服務可以讓國外的網絡用戶訪問國外的服務器，國內的用戶訪問國內的服務器，從而使國內外的用戶都能迅速的訪問到網站的服務器。另外，智能 DNS 策略解析還可以給網站的多個主機實現負載均衡，這時來自各地的訪問流量會比較平均的分布到服務器的每一個主機上。

　　下面以一個簡單的例子來說明如何實現智能 DNS 的配置。在配置之前，我們需要使用前面小節介紹的有關知識生成針對電信網(telecom_feixiang.com)和聯通網(cnc_feixiang.com)的區文件：

 // 在 named.conf 文件的
 options { 
 directory "/var/bind"; 

 }; 

 // 后添加如下控制網段：
 acl "CNC" { 
 58.16.0.0/16; 
 58.17.0.0/17; 
 58.17.128.0/17; 
 58.18.0.0/16; 
 58.19.0.0/16; 
 58.20.0.0/16; 
 58.21.0.0/16; 
 58.22.0.0/15; 
 58.240.0.0/15; 
 221.13.128.0/17; 
 221.14.0.0/15; 
 221.192.0.0/15; 
 221.194.0.0/16; 
 221.195.0.0/16; 
 221.196.0.0/15; 
 221.198.0.0/16; 
 221.207.0.0/18; 
 }; 

 // 修改原來的 dns 配置，讓電信和聯通訪問不同的配置文件
 view "view_cnc" { 

 match-clients { CNC;}; 

 zone "." { 

 type hint; 

 file "named.ca"; 

 }; 

 zone "localhost" { 

 type master; 

 file "db.local"; 

 }; 

 zone "0.0.127.in-addr.arpa" { 

 type master; 

 file "127.0.0.zone"; 

 }; 

 zone "feixiang.com" { 

 type master; 

 file "cnc_feixiang.com"; 

 }; 

 zone "10.42.59.in-addr.arpa" { 

 type master; 

 file "59.42.10.zone"; 

 }; 

 zone "110.21.210.in-addr.arpa" { 

 type master; 

 file "210.21.110.zone"; 

 }; 
 }; 

 view "view_any" { 

 match-clients { any; }; 

 zone "." { 

 type hint; 

 file "named.ca"; 

 }; 

 zone "localhost" { 

 type master; 

 file "db.local"; 

 }; 

 zone "0.0.127.in-addr.arpa" { 

 type master; 

 file "127.0.0.zone"; 

 }; 

 zone "feixiang.com" { 

 type master; 

 file "telecom_feixiang.com"; 

 }; 

 zone "10.42.59.in-addr.arpa" { 

 type master; 

 file "59.42.10.zone"; 

 }; 

 zone "110.21.210.in-addr.arpa" { 

 type master; 

 file "210.21.110.zone"; 

 }; 

 }; 

　　合理配置 DNS 的查詢方式提高效率

　　DNS 的查詢方式有兩種，遞歸查詢和迭代查詢。合理配置這兩種查詢方式，能夠在實踐中取得較好的效果。

　　其中，遞歸查詢是最常見的查詢方式，工作方式是：域名服務器將代替提出請求的客戶機(下級 DNS 服務器)進行域名查詢，若域名服務器不能直接回答，則域名服務器會在域各樹中的各分支的上下進行遞歸查詢，最終將返回查詢結果給客戶機，在域名服務器查詢期間，客戶機將完全處于等待狀態。具體流程示意請見圖 2：

　　圖 2.DNS 遞歸查詢流程示意

　　迭代查詢又稱重指引查詢。其工作方式為：當服務器使用迭代查詢時能夠使其他服務器返回一個最佳的查詢點提示或主機地址，若此最佳的查詢點中包含需要查詢的主機地址，則返回主機地址信息，若此時服務器不能夠直接查詢到主機地址，則是按照提示的指引依次查詢，直到服務器給出的提示中包含所需要查詢的主機地址為止，一般的，每次指引都會更靠近根服務器(向上)，查尋到根域名服務器后，則會再次根據提示向下查找。具體流程示意如圖 3 所示：

　　圖 3.DNS 迭代查詢流程示意

　　綜合上面兩點，我們可以看出來，遞歸查詢就是客戶機會等待最后結果的查詢，而迭代查詢是客戶機等到的不一定是最終的結果，而可能是一個查詢提示。因而存在如下兩個問題：

原文轉自：http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/