http://www.study-area.org/phorum/index.php/topic,17498.0.html

1. 上層 DNS 中 .tw 及 .com.tw 的 DNS 查詢量那一個較多 ? 為什麼 ?

答案:
com.tw 較多, 因為 .tw 的 DNS 只有六部, 很容易就被 Cache,
    且其下的 .tw 其下的 record 僅有 net/org/gov/…tw,所有資料亦不過十幾筆
     但 com.tw. 下的資料會有數萬筆以上,所以,當有人查詢
    x1.com.tw. 時,沒有 cache 就會問到 .tw 及 com.tw., 再查
    x2.com.tw. 時,因為巳有 cache, 短期內就不會再去問 .tw 了
    而是問 .com.tw , x2.com.tw. 在那裏,
   所以 com.tw. 的量會較多,且多好幾倍 !

2. 依據 ISC 及 CERT/CC 組織的說明,建議使用 BIND 運行 DNS 的人,為了安全的理由,最好都換到 BIND 9.X 版,為什麼像 HINET/SEEDNET 這些 ISP 都不願意換呢 ?

答案:
因為 BIND 9.x 對 DNS 資料的檢查較 8.X嚴謹,一般 ISP 的 DNS 都用於 Client
 端指定,有很多設定錯誤的 Zone File 可能會查不到,但用 8.x 就可以查得到之故
國內曾有 ISP 單位換到 BIND 9.x , 但是 User 反應有些網域名稱查不到, 換回來
8.X 後就可以查得到了

3. BIND 8.X 與 BIND 9.X 何者查詢效能較好 ? 為什麼 ?

ans:
這題大家可能較難找資料吧 ~~答案是 Bind 8.X
why ? 因為 Bind 8.X 在處理資料時是以 Hash Table 來儲存的
而 BIND 9.x 是用二元樹 (binary tree, 正確一點的說法是紅黑二元樹,red-black binary tree,較能達到  Balance),不了解這兩種演算法的可以參考這篇
http://ciips.ee.uwa.edu.au/~morris/Year2/PLDS210/niemann/s_man.pdf
而實作出來的 BIND 8.x 及 9.x 在處理查詢效率上差了近一倍, 如果 8.x 是一萬次/每秒,但 9.x 大概只能到 5000
為什麼 9.x 反而退步了  :roll:
因為 BIND 9 要和資料庫結合及驗證 DNS tree 的結構性(所以較嚴謹)….
DB 本來就是 Tree 結構不是嗎

4. 當我們網路分 "內網 (192.168/24)" 與 "外網" 時,在過去的時代,都說要內外都要建一個 DNS , 讓內對內,外對外,以保護一些資訊,但是多一部機器或多一個 Server 都是成本,這種狀況在 BIND 9.X 是可以解決的,如何實現 ?

答案: 用View

5. 有人在 TWNIC 指定了其 xxx.com.tw 的資料如下:
   ns1.xxx.com.tw     1.2.3.4
   ns2.xxx.com.tw     1.2.3.5
   而在其自身 DNS 的 xxx.com.tw 的 zone file 中的 ns rr 如下
   ns1.xxx.com.tw     11.22.33.44
   ns2.xxx.com.tw     11.22.33.55
   5.1試問 當 dns.seed.net.tw 去查詢時其會named會產生什麼 log (一般的 log level) 及 cache 什麼資料 ?
   5.2 而又當 ns.nctu.edu.tw 去查詢時,其 log 及 cache 情形又為何 ?

ans:

5.1 seednet 用的是 BIND 8.x (其實嚴格說起來,它用的那個版本是有問題的)
      BIND 8 在 Cache 資料時,是一第一個碰到記錄為主,所以會 Cache 到
        1.2.3.4 1.2.3.5 的結果
5.2 NCTU 用的是 9.X, 其 cache 資料預設是以權威主機為主,所以是另外一個狀況 (11.22.33.44 ..)
       是都會有 lame 的情形,但是顯然 BIND 9 的 Cache 結果較正確

6. 有一個網域名稱叫 tw.com.tw , 為什麼他的查詢是高達每小時數萬次 ?
    管理人員覺得很困擾,用 FireWall 將 DNS query 給檔下來又會發生什麼事 ?

ans:

請從 default domain/search , reslover 去想…
    block port 53, 除非他的頻寬超過 T1, 不然一定塞 ( timeout/retry 去想)
    這是一個 real case

7. DNS 欺騙有那幾種狀況 ? 如何預防 ?
8. 以下這兩行訊息,如何在實作上表現 ? 意義為何 ?
Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for "37.103.74.204. in-addr.arpa  IN  PTR" , got type "CNAME"
Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for "37.103.74.204.in-addr.arpa",    got "37.32/27.103.74.204.in-addr.arpa"
9. 這一行 log 有那些可能性存在 ?
Jun 11 11:36:07 pc071 named[6103]: Response from unexpected source ([168.95.1.24].53) for query "_ldap._tcp.tmt.gtmt.com.tw IN SOA"

ans:
字面解釋是 查詢 "_ldap._tcp.tmt.gtmt.com.tw" 的 SOA 時,意外的從
168.95.1.24 來了回應,也就是原來這部 Local DNS 去問的不是 168.95.1.24
而是另有其人,但結果卻從 .24 回來了
log 原意我巳解釋了, 也給了大家參考 log 訊息的網址囉 ~~
    不過這個 IP 還有一個可能,就是 HINET DNS cluster 的狀況
      當然,我們不知道 HINET DNS 共有幾部 (大家都知道的是 168.95.1.1 168.95.192.1 , 但這只是代表號而以)

10. Windows DNS 可以在 GUI 的介面上顯示 Cache 資料, 那在 BIND 要如何知道現在的 DNS Cache 了那些資料 (BIND 8.x 與 9.x 方法各為何 )?

ans:
BIND 9 是用 rndc, 但 BIND 8 是不一樣的哦

http://www.study-area.org/phorum/index.php/topic,17564.0.html

1. DNS 分正解與反解查詢, 請問網路上的 DNS Query 是正解還是反解查詢多 ? 為什麼 ?

ans:

答案確實是反解, 因為太多服務都會將 IP 再做反查, 如 Mail/Syslog/Web/Proxy 等,所以,據一般的統計,正查:反查=4:6 的比例
只是反查在多數的系統上皆可有可無,所以一般人較感覺不到

2. 何謂負面答案(nagitive answer) ? 對 DNS 的運作有什麼作用 ? 下列狀況:
   xxx.com.tw 在TWNIC的指定內容:
   ns1.xxx.com.tw    1.2.3.4
   ns2.xxx.com.tw    1.2.3.5
   ns3.xxx.com.tw    1.2.3.6
   xxx.com.tw 自身的 DNS Zone File 內容:
      $ORIGIN xxx.com.tw.
           IN SOA ns1 abelyang.mail ( 2001 86400 3600 864000 10800)
           IN NS  ns1
      IN NS  ns2
           IN NS  ns3
      ns1  IN A      1.2.3.4
      ns2  IN A      1.2.3.7
      ns3  IN CNAME   dns.hinet.net.
      www  IN A      1.2.3.6
 
   請問:以 BIND 9 (現在大多數人用)來的預設值來查:
   1. NS RR 的 lame server 會 Cache 多久 ?
   2. 查不到 ftp.xxx.com.tw. 會 Cache 多久 ?  
   3. 假設這個網域名稱不存在, 會 Cache 多久 ?
   4. CNAME and other datas 會 Cache 多久 ?
   5. CNAME Chain (A Cname B, B Cname C,C cname D..) 的狀況 Cache 多久 ?或以什麼為參考 ?
   6. 若 .com.tw. DNS 掛了會 Cache 多久 ?

ans:
這個答案請參考 RFC 2308, 裏面寫得很詳細哦, 重點只有兩部份:
   NXDOMAIN(找不到網域名稱)  BIND 預設是 ncache:3h
   NXRRSET (找不到記錄)                           SOA 中的第五個數字
 

3. DNS 時的 Port 變化 (BIND 8 與 Bind 9 是不同的哦) ?
   Query: DNS <-> DNS (Recursive) 時用什麼 Port/Protocol ?
   Zone Transfer: DNS <-> DNS 用什麼 Port/Protocol ?

ans:
BIND 8.x Query 53/udp<-> 53/udp
                 zone Transfer 53/tcp <->53/tcp
    BIND 9.x  Query >1023/udp <->53/udp
                 Zone Transfer >1023/TCP<->53/TCP

4. 若單位有十個網域名稱 (Ex: x1.com.tw,x2.com.tw…..x10.xom.tw),
   其意欲每個網域名稱內的相同之 Host 皆指向同一IP
    EX: www.x1.com.tw. 1.2.3.4
        www.x2.com.tw. 1.2.3.4
        ….
        www.x10.com.tw. 1.2.3.4
   而當 x10.com.tw. 欲加一部 netman.x10.com.tw. 時,其他九個網域名稱皆可同時加上,
   請問該如何設定 ? (十個網域名稱可能在同一部,也有可能是不同部主機哦)

ans:
答案在這裏, 是 DNAME, 和 CNAME 不同的是將 Domain 別名化了
    http://www.isc.org/tn/isc-tn-2002-1.html
    我本來想出 IPv6 的,但這個領域 "目前為止" 好像還有點冷門…
    至於 netman 兄提到的以設定十個 Zone ,但只有一個 Zone File 之問題
    在 Bind 8 上我實驗過會有問題.但 BIND 9 我就不知道,不過看你的意思應是可以才是
    DNAME 是 BIND 9 新的類型(TYPE)~~
    EX:
    $ORIGIN xxx.com.tw.
             IN NS ns1
             IN NS ns2
             IN DNAME yyy.com.tw.
   如此當有人查詢 www.xxx.com.tw. 實, DNS Query 發現這個網域名稱有 DNAME,
  則會將 xxx.xom.tw. 換成 yyy.com.tw. , 所以即使在不同的機器以 DNAME
  仍然還是可以運作的

5. 有一單位 (xxx.com.tw. )遭受來自網路上的 DNS Query 的 DDOS 攻,造成其 T1 的頻寬完全塞滿,
   其每秒查詢萬次以上,幾乎全世界的 DNS Server 皆向其詢問, xxx.com.tw. AAAA 的內容,
   但該網域名稱並無 AAAA 之 Record, 請問如何解決 ?

ans:
將  AAAA 設為 127.0.0.1

6. 某人在 TWNIC 指定其 xxx.com.tw. 之 DNS Server 如下面內容:
   mail.xxx.com.tw.   1.2.3.4
   xxx.com.tw.        1.2.3.4
   而其本身並沒有在這兩個 IP 上架設 DNS Server (有 MailServer), 請問別人以
    user@xxx.com.tw 寄信給他們時, 收得到嗎 ? 為什麼 ?

ans:
是可以收得到
因為先查mx,mx查不到,會再查A
要看 bind 版本哦, 如果 bind 8 就收得到, bind 9 就收不到,因為  A RR 不是
    從 Authority 來的,而是 Addtional

7. 以下為  2.6.8.8.8.e164.arpa. 網域名稱的內容:
   $ORIGIN 3.1.3.1.1.4.3.2.2.6.8.8.e164.arpa.
      IN   NAPTR   10 10 "u" "SIP+E2U" "!^.*$!sip:abelyang@xxx.com.tw!" .
      IN   NAPTR   20 10 "u" "SMTP+E2U" "!^.*$!mailto:abelyang@xxx.com.tw!" .
      IN   NAPTR   30 10 "u" "TEL+E2U" "!^.*$!tel:+886223413300!" .
   $ORIGIN 0.0.3.3.1.4.3.2.2.6.8.8.e164.arpa.
        IN      NAPTR   10 10 "u" "LDAP+E2U" "!^.*$!ldap://ldap.xxx.com.tw?cn=3300!" .
   IN   NAPTR   20 10 "u" "TEL+E2U"  "!^.*$!tel: +886223411313!" .
   請問其上之意義 ? 及其解析流程為何 ?

ans:
DNS 的新功能,和 VoIP 有關哦, 能解決 Phone to PC 不能對應的問題
http://www.chinagk.org/commend/Enum.htm

  是這個沒有錯,這個目前在 ICANN 及 ITU 都非常重視
  主要用於解決VoIP 在 Phone to PC 不能對應之問題…
  不過一言難盡….你指的那一篇文章是我兩年前寫的…
   不過現在我們的環境巳經原全實現這些功能了哦
Enum 的東西對這個大家可能較陌生,可以參考 http://www.enum.org.tw 這裏
   國內也有很多廠商及電話公司在研究其可行性,上述幾欄的意義可參考 duan 提供的
  網址或
     http://www.enum.org.tw/enum_cisco.pdf
     或 http://www.enum-forum.org
    我覺得這個領域是研究  VoIP 或 PSTN 的人不可錯之處,
    其中 SIP 也是另外一個重點

8. 何謂 DNS 的 Referral ? Bad Referral ? Bard Referral 是否會回應答案 ?

ans:
Referral:  DNS Query 時,因為不知道達案而要 Search DNS Tree, 此時
   像 .com.tw 給出 xxx.com.tw 的 NS 在 ns1 及 ns2 , 這種行為稱為 referral,
   bad referral 就是 com.tw. 給出 xxx.com.tw 為 ns1 ns2
   但 ns1 ns2 上的有 xxx.com.tw. 的資料,但 Zone 卻不是 xxx.com.tw
   此時到底會不會處理查詢呢 ? BIND 8 BIND 9 是不同的處理哦….
   我想有看過這一系統討論的人大概就知道達案了吧

9. 據聞, .com 的 網域名稱高達 3000 萬筆,而其 .com 的 Roor Server 又多達 13 部,
   若您是 .com 的 DNS 網管理人員, 您會如何如做來讓 13 的 .com DNS Server 的同步化?

ans:
答案是 FTP, Verisign 將 Zone file 壓縮後再用 FTP 去傳輸

10. 實例中, yahoo.com. 的 MX 查詢結果,請問下列結果如何以 DNS 及 Mail Server 來實現 ?

 dig mx yahoo.com

; <<>> DiG 9.2.0 <<>> mx yahoo.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2338
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 11

;; QUESTION SECTION:
;yahoo.com.                     IN      MX

;; ANSWER SECTION:
yahoo.com.              3715    IN      MX      5 mx4.mail.yahoo.com.
yahoo.com.              3715    IN      MX      1 mx1.mail.yahoo.com.
yahoo.com.              3715    IN      MX      1 mx2.mail.yahoo.com.

;; AUTHORITY SECTION:
yahoo.com.              172637  IN      NS      ns2.yahoo.com.
yahoo.com.              172637  IN      NS      ns3.yahoo.com.
yahoo.com.              172637  IN      NS      ns4.yahoo.com.
yahoo.com.              172637  IN      NS      ns5.yahoo.com.
yahoo.com.              172637  IN      NS      ns1.yahoo.com.

;; ADDITIONAL SECTION:
mx1.mail.yahoo.com.     1223    IN      A       64.156.215.5
mx1.mail.yahoo.com.     1223    IN      A       64.156.215.6
mx1.mail.yahoo.com.     1223    IN      A       64.157.4.78
mx2.mail.yahoo.com.     1626    IN      A       64.157.4.78
mx2.mail.yahoo.com.     1626    IN      A       64.157.4.82
mx2.mail.yahoo.com.     1626    IN      A       64.156.215.5
mx4.mail.yahoo.com.     1627    IN      A       216.136.129.17
mx4.mail.yahoo.com.     1627    IN      A       66.218.86.253
mx4.mail.yahoo.com.     1627    IN      A       66.218.86.254
mx4.mail.yahoo.com.     1627    IN      A       216.136.129.5
ns1.yahoo.com.          151719  IN      A       66.218.71.63

ans:
abelyang:
未解答,不過這題我也不知道正確的答案,可能需要多加探討把 !!
    這裏面涉及了 MX 的優先權及 Round Robin, 以及 Mail Server 端的資料
    處理…

netman:
cluster 有很多種方式,在前端的技術上,
可用 L3/L4 switch 或用 round robin name resolving 來作 dispatch 。
當然也有人用專門的 server 來作 dispatcher 。
然後是後端的帳號與資料了,
若是同一個 site ,應該用 database 就可解決。
而 srotrage 方面,SAN/NAS 應是不錯的方案。
要是不同 site ,那 synchronisation 將是首要問題。
要不然,用 virtuser 或 forward 的方式,將不同的 account 分派致不同的 server 也是可行的。
嗯,都是個人想法… 應有更好的 solution 才對…

Related posts 相關文章
DNS BIND 9.16 版本將 EOL
More...
在 Windows 上面 Plesk Obsidian 18.0.60 後不再維護 BIND DNS
More...
google 搜尋上的廣告連結 keepass.info 不要亂點
More...
用 DNSSEC 是為了安全,但如果憑證過期了怎麼辦
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。