作者 主題: [最佳][DNS]十題,再問大家囉 !  (閱讀 24062 次)

0 會員 與 1 訪客 正在閱讀本文。

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 於: 2003-07-14 15:12 »
DNS 問題再來囉 ~~不過我覺得這一次比較簡單 ~~
大家可以來挑戰看看哦~~

1. DNS 分正解與反解查詢, 請問網路上的 DNS Query 是正解還是反解查詢多 ? 為什麼 ?
2. 何謂負面答案(nagitive answer) ? 對 DNS 的運作有什麼作用 ? 下列狀況:
   xxx.com.tw 在TWNIC的指定內容:
   ns1.xxx.com.tw    1.2.3.4
   ns2.xxx.com.tw    1.2.3.5
   ns3.xxx.com.tw    1.2.3.6
   xxx.com.tw 自身的 DNS Zone File 內容:
      $ORIGIN xxx.com.tw.
           IN SOA ns1 abelyang.mail ( 2001 86400 3600 864000 10800)
           IN NS  ns1
      IN NS  ns2
           IN NS  ns3
      ns1  IN A      1.2.3.4
      ns2  IN A      1.2.3.7
      ns3  IN CNAME   dns.hinet.net.
      www  IN A      1.2.3.6
 
   請問:以 BIND 9 (現在大多數人用)來的預設值來查:
   1. NS RR 的 lame server 會 Cache 多久 ?
   2. 查不到 ftp.xxx.com.tw. 會 Cache 多久 ?   
   3. 假設這個網域名稱不存在, 會 Cache 多久 ?
   4. CNAME and other datas 會 Cache 多久 ?
   5. CNAME Chain (A Cname B, B Cname C,C cname D..) 的狀況 Cache 多久 ?或以什麼為參考 ?
   6. 若 .com.tw. DNS 掛了會 Cache 多久 ?

3. DNS 時的 Port 變化 (BIND 8 與 Bind 9 是不同的哦) ?
   Query: DNS <-> DNS (Recursive) 時用什麼 Port/Protocol ?
   Zone Transfer: DNS <-> DNS 用什麼 Port/Protocol ?

4. 若單位有十個網域名稱 (Ex: x1.com.tw,x2.com.tw.....x10.xom.tw),
   其意欲每個網域名稱內的相同之 Host 皆指向同一IP
    EX: www.x1.com.tw. 1.2.3.4
        www.x2.com.tw. 1.2.3.4
        ....
        www.x10.com.tw. 1.2.3.4
   而當 x10.com.tw. 欲加一部 netman.x10.com.tw. 時,其他九個網域名稱皆可同時加上,
   請問該如何設定 ? (十個網域名稱可能在同一部,也有可能是不同部主機哦)

5. 有一單位 (xxx.com.tw. )遭受來自網路上的 DNS Query 的 DDOS 攻,造成其 T1 的頻寬完全塞滿,
   其每秒查詢萬次以上,幾乎全世界的 DNS Server 皆向其詢問, xxx.com.tw. AAAA 的內容,
   但該網域名稱並無 AAAA 之 Record, 請問如何解決 ?

6. 某人在 TWNIC 指定其 xxx.com.tw. 之 DNS Server 如下面內容:
   mail.xxx.com.tw.   1.2.3.4
   xxx.com.tw.        1.2.3.4
   而其本身並沒有在這兩個 IP 上架設 DNS Server (有 MailServer), 請問別人以
    user@xxx.com.tw 寄信給他們時, 收得到嗎 ? 為什麼 ?

7. 以下為  2.6.8.8.8.e164.arpa. 網域名稱的內容:
   $ORIGIN 3.1.3.1.1.4.3.2.2.6.8.8.e164.arpa.
      IN   NAPTR   10 10 "u" "SIP+E2U" "!^.*$!sip:abelyang@xxx.com.tw!" .
      IN   NAPTR   20 10 "u" "SMTP+E2U" "!^.*$!mailto:abelyang@xxx.com.tw!" .
      IN   NAPTR   30 10 "u" "TEL+E2U" "!^.*$!tel:+886223413300!" .
   $ORIGIN 0.0.3.3.1.4.3.2.2.6.8.8.e164.arpa.
        IN      NAPTR   10 10 "u" "LDAP+E2U" "!^.*$!ldap://ldap.xxx.com.tw?cn=3300!" .
   IN   NAPTR   20 10 "u" "TEL+E2U"  "!^.*$!tel: +886223411313!" .
   請問其上之意義 ? 及其解析流程為何 ?

8. 何謂 DNS 的 Referral ? Bad Referral ? Bard Referral 是否會回應答案 ?

9. 據聞, .com 的 網域名稱高達 3000 萬筆,而其 .com 的 Roor Server 又多達 13 部,
   若您是 .com 的 DNS 網管理人員, 您會如何如做來讓 13 的 .com DNS Server 的同步化?

10. 實例中, yahoo.com. 的 MX 查詢結果,請問下列結果如何以 DNS 及 Mail Server 來實現 ?

 dig mx yahoo.com

; <<>> DiG 9.2.0 <<>> mx yahoo.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2338
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 11

;; QUESTION SECTION:
;yahoo.com.                     IN      MX

;; ANSWER SECTION:
yahoo.com.              3715    IN      MX      5 mx4.mail.yahoo.com.
yahoo.com.              3715    IN      MX      1 mx1.mail.yahoo.com.
yahoo.com.              3715    IN      MX      1 mx2.mail.yahoo.com.

;; AUTHORITY SECTION:
yahoo.com.              172637  IN      NS      ns2.yahoo.com.
yahoo.com.              172637  IN      NS      ns3.yahoo.com.
yahoo.com.              172637  IN      NS      ns4.yahoo.com.
yahoo.com.              172637  IN      NS      ns5.yahoo.com.
yahoo.com.              172637  IN      NS      ns1.yahoo.com.

;; ADDITIONAL SECTION:
mx1.mail.yahoo.com.     1223    IN      A       64.156.215.5
mx1.mail.yahoo.com.     1223    IN      A       64.156.215.6
mx1.mail.yahoo.com.     1223    IN      A       64.157.4.78
mx2.mail.yahoo.com.     1626    IN      A       64.157.4.78
mx2.mail.yahoo.com.     1626    IN      A       64.157.4.82
mx2.mail.yahoo.com.     1626    IN      A       64.156.215.5
mx4.mail.yahoo.com.     1627    IN      A       216.136.129.17
mx4.mail.yahoo.com.     1627    IN      A       66.218.86.253
mx4.mail.yahoo.com.     1627    IN      A       66.218.86.254
mx4.mail.yahoo.com.     1627    IN      A       216.136.129.5
ns1.yahoo.com.          151719  IN      A       66.218.71.63

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
[最佳][DNS]十題,再問大家囉 !
« 回覆 #1 於: 2003-07-14 15:25 »
小弟選擇性作答, 還請前輩幫忙指正一下錯誤的地方^^

1. 正解. 因為一般人大多使用DomainName進行查詢.

3. BIND8 應該是Port53, 採用UDP協定;但是BIND9 就沒研究了 :cry:

5. 小弟想到的做法為, 手動在DNS設定檔案裡面, 定義一個LocalHost, 使非正規之外的查詢全部導引到LocalHost裡面. 外來的既然阻止不了, 那不如讓系統不回應(小弟不才的想法)
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #2 於: 2003-07-14 15:30 »
三子:
1. 不對哦~~不過這樣答案就浮現了 ? 只是為什麼呢 ?
3. 不完整哦...TCP or UDP ? 不同的版本會有點不一樣
5. 這樣只會死的更慘哦 ~~ (retry/timeout 機制,可參考前十題 tw.com.tw. 問題)

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
[最佳][DNS]十題,再問大家囉 !
« 回覆 #3 於: 2003-07-14 16:14 »
還說不難呢,我都做不出來 ~~~  ^_^

好啦,懶得去 google ,先胡亂答一下,等濾出錯誤的再查好了...

1. 好像是反解,因為 dns server 本身就會去作反查...
2. 在 minimum ttl 之前若新增該 record 可能不能察覺。
其它關於 bind 9 的 value 沒去查過,先偷懶...  ^_^
3. 糟,bind 9 跟 bind 8 的差別居然不知呢﹗我只知 zone transfer 用 tcp ,一般 query 用  udp (除非失敗太多),都用 53 。
4. 在多台上我不會(除非是 slave),若在同一台,我會將 RR file 設為同一台,然後不用 FQDN 。
5. 將  AAAA 設為 127.0.0.1(ipv6 用哪個啊?) ,再將 TTL 拉大不知可行否?
6. 之前十題所提到的 bind 版本是否會有差(seednet 跟 nctu 那例)?
要是沒影響,答案是可以的。若 MX 查不到,可下查  A 。
7. 不會
8. 忘記了,好像與 whois 有關?
9. 本想說用 slave 的。 不過太多筆資料反而不容易。
如果是我,或許會:
1) 定時更新
2) 用  rsync ...  ^_^
10. 不是很清楚 yahoo 的方式。看起來是 cluster 的樣子?

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #4 於: 2003-07-14 16:34 »
1. 答案確實是反解, 因為太多服務都會將 IP 再做反查, 如 Mail/Syslog/Web/Proxy 等,所以,據一般的統計,正查:反查=4:6 的比例
只是反查在多數的系統上皆可有可無,所以一般人較感覺不到
2. netman 兄有對一些了,只是 ncache 不同的狀況有不同的處理方式
3. BIND 8.x Query 53/udp<-> 53/udp
                 zone Transfer 53/tcp <->53/tcp
    BIND 9.x  Query >1023/udp <->53/udp
                 Zone Transfer >1023/TCP<->53/TCP
4 再想一下哦~~是新功能 ...,如果 Zone 不同,但 Zone file 相同,基本上是會 error 的
5 yeah~,有一題完全對了, IPv6 的 localhost 是 ::1
6 yeah ~ ,基本上是對了, 如果解釋的更清楚就更好了
7 DNS 的新功能,和 VoIP 有關哦, 能解決 Phone to PC 不能對應的問題...
8 這個資料應很好找~~
9 再想想看~~其實不難
10 它有沒有用到 Cluster 我也不知道 ~~不過如果我們要做應如何來實現較好呢?

duan

  • 榮譽博士
  • 活潑的大學生
  • ***
  • 文章數: 253
    • 檢視個人資料
Re: DNS 十題,再問大家囉 !
« 回覆 #5 於: 2003-07-14 16:36 »
看來又要貢辜了......   ^^;

1.  反解, 剛剛不小心瞄到答案.  ^^
     原因嘛, 因為一般網路連線時, server 都是先知道 client IP, 然後再
     反查 domain name ?  (講的自己都很心虛)

3.  query, 53/udp
      zone transfer , 53/tcp  ?

4.  這題有點不太懂.   @_@
     如果這十個網域的 name server 不在同一台, 那查詢  netman.x1.com.tw
     時, 並不會來問 netman.x10.com.tw , 這時候在 www.x10.com.tw 上面的
     設定回覆  netman.x1.com.tw 應該是沒用的啊? 是弟弄錯了什麼?   ^^;;;

5. 設個多台 secondary server 指向到不同 lan 的 ip 上.  (這算不算是在惡搞啊?)  @_@

6. 收的到, 沒有 mx 記錄時會去查詢 a record
7.  (昏倒, 完全看沒有, 是 ldap 還是 ipv6 ? )
9.  這種 scale 完全的在經驗外.....   :~~
     用 database ?


這次真的有比較容易嗎?   ^^;;;

duan

  • 榮譽博士
  • 活潑的大學生
  • ***
  • 文章數: 253
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #6 於: 2003-07-14 16:57 »
引述: "abelyang"

7 DNS 的新功能,和 VoIP 有關哦, 能解決 Phone to PC 不能對應的問題...


this one?
http://www.chinagk.org/commend/Enum.htm
真是怪東西, 從來不知道啊....  (汗如雨下)

duan

  • 榮譽博士
  • 活潑的大學生
  • ***
  • 文章數: 253
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #7 於: 2003-07-14 17:05 »
引述: "abelyang"

8 這個資料應很好找~~


this one?
http://freebsd.ntu.edu.tw/named/DNS-Comm-Err/Bad-referral-2.html

cschen 寫的, 他的說明應該是正確的.  ^^;

(真要命, 沒有 google 要怎麼活啊.....  @_@)

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #8 於: 2003-07-14 18:00 »
3. 巳解答囉
引用
4. 這題有點不太懂. @_@
如果這十個網域的 name server 不在同一台, 那查詢 netman.x1.com.tw
時, 並不會來問 netman.x10.com.tw , 這時候在 www.x10.com.tw 上面的
設定回覆 netman.x1.com.tw 應該是沒用的啊? 是弟弄錯了什麼? ^^;;;

這一題是指我有 N 個網域名稱, 我希望讓他們的 rr 及 rdata 結果都一致,
應如何做 ? 一般如果以 FQDN 來看,是用 CNAME 來統一, 但是可以統一 DOMAIN 嗎  ? 又要如何做呢 ?
如果都在同一台機器,是可以用 10 個檔案 (一個為主,其他用  link)
但不同台機器這就難解了....

5. netman 兄巳解答了 ~
6. 要看 bind 版本哦, 如果 bind 8 就收得到, bind 9 就收不到,因為  A RR 不是
    從 Authority 來的,而是 Addtional
7.
引用
http://www.chinagk.org/commend/Enum.htm

  是這個沒有錯,這個目前在 ICANN 及 ITU 都非常重視
  主要用於解決VoIP 在 Phone to PC 不能對應之問題...
  不過一言難盡....你指的那一篇文章是我兩年前寫的...
   不過現在我們的環境巳經原全實現這些功能了哦

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #9 於: 2003-07-14 22:29 »
目前的狀況:
1. 巳解答
2. DNS 對負面答案的處理好像較少人在研究的樣子,不過負面快取是一個很重要的功能說...目前尚無人回答子項題目,答案其實在一篇 RFC 裏面,而 bind 9.x 也把它實現了
3. 巳解答
4. 未解答,和 CNAME 很像的東西
5. 巳解答
6. 巳解答
7. Enum 的東西對這個大家可能較陌生,可以參考 http://www.enum.org.tw 這裏
   國內也有很多廠商及電話公司在研究其可行性,上述幾欄的意義可參考 duan 提供的
  網址或
     http://www.enum.org.tw/enum_cisco.pdf
     或 http://www.enum-forum.org
    我覺得這個領域是研究  VoIP 或 PSTN 的人不可錯之處,
    其中 SIP 也是另外一個重點

8 duan 提供的的網址只有說明什麼是 bad referral, 那什麼是 referral ?
   且 DNS 會不會處理 bad referral 的查詢也沒有說明哦
9. 答案是 FTP, Verisign 將 Zone file 壓縮後再用 FTP 去傳輸
10. 未解答,不過這題我也不知道正確的答案,可能需要多加探討把 !!
    這裏面涉及了 MX 的優先權及 Round Robin, 以及 Mail Server 端的資料
    處理...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
[最佳][DNS]十題,再問大家囉 !
« 回覆 #10 於: 2003-07-15 00:29 »
引述: "abelyang"
引用
4. 這題有點不太懂. @_@
如果這十個網域的 name server 不在同一台, 那查詢 netman.x1.com.tw
時, 並不會來問 netman.x10.com.tw , 這時候在 www.x10.com.tw 上面的
設定回覆 netman.x1.com.tw 應該是沒用的啊? 是弟弄錯了什麼? ^^;;;

這一題是指我有 N 個網域名稱, 我希望讓他們的 rr 及 rdata 結果都一致,
應如何做 ? 一般如果以 FQDN 來看,是用 CNAME 來統一, 但是可以統一 DOMAIN 嗎  ? 又要如何做呢 ?
如果都在同一台機器,是可以用 10 個檔案 (一個為主,其他用  link)
但不同台機器這就難解了....

今年初的時侯,我用 redhat 7.3 幫別人設的一台 DNS  ,
是使用同一 file (不是用 link),是可以工作的哦...
關鍵是裡面不用 FQDN (不帶 . 結尾)的  record 就行。
abel 兄說很像 CNAME 的設定,我猜是用 PTR 吧?

9. 嗯,用 ftp 哦?如果是我,我會用 rsync ... (我原本的解答)

10. cluster 有很多種方式,在前端的技術上,
可用 L3/L4 switch 或用 round robin name resolving 來作 dispatch 。
當然也有人用專門的 server 來作 dispatcher 。
然後是後端的帳號與資料了,
若是同一個 site ,應該用 database 就可解決。
而 srotrage 方面,SAN/NAS 應是不錯的方案。
要是不同 site ,那 synchronisation 將是首要問題。
要不然,用 virtuser 或 forward 的方式,將不同的 account 分派致不同的 server 也是可行的。
嗯,都是個人想法... 應有更好的 solution 才對...

duan

  • 榮譽博士
  • 活潑的大學生
  • ***
  • 文章數: 253
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #11 於: 2003-07-15 10:06 »
引述: "abelyang"
目前的狀況:
4. 未解答,和 CNAME 很像的東西
8 duan 提供的的網址只有說明什麼是 bad referral, 那什麼是 referral ?
   且 DNS 會不會處理 bad referral 的查詢也沒有說明哦
9. 答案是 FTP, Verisign 將 Zone file 壓縮後再用 FTP 去傳輸


第 4 題一時之間還沒找到答案.    ^^

第 8 題, Referral 之前只有在 LDAP 的部份看到, 在 google 一時沒看到有關
DNS referral 的說明. 看到有人稱之為轉向服務,  再回頭看原本 link 的文章,
以及這個網址 (提到一個設定的範例)
http://www.google.com.tw/search?q=cache:sBrkGZrfQMMJ:www.linpus.com.tw/nicedoc/ns.nctu.edu.tw/Cases/Rev-192.72.html+dns+Referral&hl=zh-TW&lr=lang_zh-TW&ie=UTF-8
 google 中文的部份看來是沒有完整的資料, 看來要去英文網站找才行.   ^^;;

第 9 題, 如 netman 兄提到 rsync, 一般來說效率會比較好, 不知道用 ftp
是否有什麼優勢的地方?  :)

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #12 於: 2003-07-15 23:01 »
2 這個答案請參考 RFC 2308, 裏面寫得很詳細哦, 重點只有兩部份:
   NXDOMAIN(找不到網域名稱)  BIND 預設是 ncache:3h
   NXRRSET (找不到記錄)                           SOA 中的第五個數字
 
4. 答案在這裏, 是 DNAME, 和 CNAME 不同的是將 Domain 別名化了
    http://www.isc.org/tn/isc-tn-2002-1.html
    我本來想出 IPv6 的,但這個領域 "目前為止" 好像還有點冷門...
    至於 netman 兄提到的以設定十個 Zone ,但只有一個 Zone File 之問題
    在 Bind 8 上我實驗過會有問題.但 BIND 9 我就不知道,不過看你的意思應是可以才是
    DNAME 是 BIND 9 新的類型(TYPE)~~
    EX:
    $ORIGIN xxx.com.tw.
             IN NS ns1
             IN NS ns2
             IN DNAME yyy.com.tw.
   如此當有人查詢 www.xxx.com.tw. 實, DNS Query 發現這個網域名稱有 DNAME,
  則會將 xxx.xom.tw. 換成 yyy.com.tw. , 所以即使在不同的機器以 DNAME
  仍然還是可以運作的

8. Referral:  DNS Query 時,因為不知道達案而要 Search DNS Tree, 此時
   像 .com.tw 給出 xxx.com.tw 的 NS 在 ns1 及 ns2 , 這種行為稱為 referral,
   bad referral 就是 com.tw. 給出 xxx.com.tw 為 ns1 ns2
   但 ns1 ns2 上的有 xxx.com.tw. 的資料,但 Zone 卻不是 xxx.com.tw
   此時到底會不會處理查詢呢 ? BIND 8 BIND 9 是不同的處理哦....
   我想有看過這一系統討論的人大概就知道達案了吧

9. 30000000筆 x 2 NS-RR x 2 A-RR x 15~20 byte =...2xxx MB ...
  十三部機器(可能有 Cluster) , 沒有用過 rsync ,我不知道那種較好,
 
10. 先去睡了,明天再來討論看看囉

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #13 於: 2003-07-17 02:26 »
第十題, netman 兄解釋的差不多了~~我也沒有什麼特別的想法
經過這二十題 DNS 問題,我想大家對 DNS 的問題應更了解了
(可能沒有到達一定程度就沒辨法體會吧),這些問大多數人可能皆
沒有去想過.我只是點出來而以

再十題 ? 哈~我巳有些江郎才盡了,再出可能就走入一般人都很少接觸的領域了
(Enum/IPv6/DNSSEC/DB/IDN...)
反而不適當了, 下次改出點別的好了,待我再好好想想囉 !
經過這些討論, duan 兄及 netman 兄的所得也必較許多人來得豐富許多

最後,二十題都不會是很正常的,會五題以上就巳經對 DNS 非常了解了

jade-rabbit

  • 鑽研的研究生
  • *****
  • 文章數: 833
  • 性別: 男
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #14 於: 2003-07-17 13:09 »
:P 多謝阿伯楊 提出的 20 點 DNS 問題..
我想我也找時間把前些個月 QC 與客戶反應的 DHCP server 相關提問,整理一下好嚕 :roll:
--(中也者天下之大本也,和也者天下之達道也)--

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
[最佳][DNS]十題,再問大家囉 !
« 回覆 #15 於: 2003-07-17 13:43 »
引述: "abelyang"
二十題都不會是很正常的


還好我是正常人......   :oops: