DNS 冗余：什么是輔助 DNS 和區域傳輸？

在我們之前的文章中，我們討論了 DNS 的基礎知識。在本文中，我們將介紹一些 DNS 冗余的高級技術：

主域名解析

托管一個或多個區域的主 DNS 服務器充當權威 DNS，DNS 管理員通過該服務器管理區域文件并執行 DNS 更改，例如添加、刪除和更新 DNS 記錄。

區域和區域文件

DNS 服務器中托管的域稱為區域。區域文件是人類可讀的文本文件，其中包含不同類型的 DNS 記錄。

? SOA 記錄：表示授權的開始

? A 記錄：映射到域或子域的 IPv4 地址

? AAAA記錄：映射到域或子域的 IPv6 地址

? 別名記錄：指向規范名稱的規范記錄

? MX 記錄：指向郵件服務器的郵件交換記錄

? TXT記錄：用于各種驗證

? PTR 記錄：反向 DNS 查找記錄

由主 DNS 服務器托管和管理的區域文件稱為主 DNS 區域。DNS 是核心基礎結構組件，它需要 100% 的可用性。為了獲得更高的可伸縮性、安全性和可用性，使用了輔助 DNS 服務器。

輔助域名解析

輔助 DNS 在與主 DNS 相同的網絡中預配；它也可以是第三方 DNS 提供商。輔助 DNS 以只讀格式托管主 DNS 中托管的區域的相同副本。主 DNS 中的區域文件通過區域傳輸同步到輔助 DNS。

區域傳輸

區域傳輸是一種機制，用于將托管區域的主 DNS 服務器的最新信息同步到輔助 DNS。區域傳輸包括兩種類型：

1. 全區域傳輸 （AXFR）：主 DNS 服務器通知輔助 DNS 服務器已對特定區域進行了更改，輔助 DNS 與主 DNS 聯系以檢查發生更改的區域的 SOA 記錄中的序列號。如果主 DNS 上的序列號大于該區域的輔助 DNS 服務器的序列號，則整個區域文件將從主 DNS 服務器復制到輔助 DNS 服務器。

2. 增量區域傳輸 （IXFR）：主 DNS 服務器通知輔助 DNS 服務器已對特定區域進行了更改，輔助 DNS 與主 DNS 聯系以檢查發生更改的區域的 SOA 記錄中的序列號。如果主 DNS 上的序列號大于該區域的輔助 DNS 服務器的序列號，則輔助 DNS 服務器會將上次更改與現有版本進行比較，并僅從主 DNS 復制更改的記錄。

輔助服務器會定期檢查主 DNS 服務器是否有任何更改，并復制最新的區域文件。來自輔助 DNS 服務器的定期檢查基于區域 SOA 記錄中設置的刷新間隔。

保護區域傳輸 

攻擊者可以使用 AXFR 請求將啟用了區域傳輸的區域下載到主 DNS 服務器。以下方法有助于在主 DNS 服務器和輔助 DNS 服務器之間進行安全區域傳輸：

? IP 地址限制：僅允許從輔助 DNS 服務器的 IP 向主 DNS 服務器發出區域傳輸請求。

? DNS 傳輸簽名 （TSIG）：為啟用了區域傳輸的區域啟用 DNS TSIG。TSIG 是主 DNS 服務器和輔助 DNS 服務器之間的預共享對稱加密密鑰。每當在啟用了 TSIG 的主 DNS 服務器和輔助 DNS 服務器之間啟動區域傳輸 （AXFR/IXFR） 時，將使用 TSIG 密鑰驗證參與區域傳輸的兩個服務器之間的通信，并且區域傳輸是安全的。

關于ManageEngine

ManageEngine 是 Zoho Corporation 的企業 IT 管理部門。老牌企業和新興企業（包括每 10 家財富 100 強企業中的 9 家）依靠 ManageEngine 的實時 IT 管理工具來確保其 IT 基礎設施（包括網絡、服務器、應用程序、端點等）的最佳性能。 ManageEngine 在全球設有辦事處，包括美國、阿拉伯聯合酋長國、荷蘭、印度、哥倫比亞、墨西哥、巴西、新加坡、日本、中國和澳大利亞，以及 200 多個全球合作伙伴，幫助組織緊密協調其業務和業務它。欲了解更多信息，請訪問www.ManageEngine.cn官網網站，或關注微信公眾號ManageEngine并進行聯系。