http://www.study-area.org/phorum/index.php/topic,17498.0.html
1. 上層 DNS 中 .tw 及 .com.tw 的 DNS 查詢量那一個較多 ? 為什麼 ?
答案:
com.tw 較多, 因為 .tw 的 DNS 只有六部, 很容易就被 Cache,
且其下的 .tw 其下的 record 僅有 net/org/gov/…tw,所有資料亦不過十幾筆
但 com.tw. 下的資料會有數萬筆以上,所以,當有人查詢
x1.com.tw. 時,沒有 cache 就會問到 .tw 及 com.tw., 再查
x2.com.tw. 時,因為巳有 cache, 短期內就不會再去問 .tw 了
而是問 .com.tw , x2.com.tw. 在那裏,
所以 com.tw. 的量會較多,且多好幾倍 !2. 依據 ISC 及 CERT/CC 組織的說明,建議使用 BIND 運行 DNS 的人,為了安全的理由,最好都換到 BIND 9.X 版,為什麼像 HINET/SEEDNET 這些 ISP 都不願意換呢 ?
答案:
因為 BIND 9.x 對 DNS 資料的檢查較 8.X嚴謹,一般 ISP 的 DNS 都用於 Client
端指定,有很多設定錯誤的 Zone File 可能會查不到,但用 8.x 就可以查得到之故
國內曾有 ISP 單位換到 BIND 9.x , 但是 User 反應有些網域名稱查不到, 換回來
8.X 後就可以查得到了3. BIND 8.X 與 BIND 9.X 何者查詢效能較好 ? 為什麼 ?
ans:
這題大家可能較難找資料吧 ~~答案是 Bind 8.X
why ? 因為 Bind 8.X 在處理資料時是以 Hash Table 來儲存的
而 BIND 9.x 是用二元樹 (binary tree, 正確一點的說法是紅黑二元樹,red-black binary tree,較能達到 Balance),不了解這兩種演算法的可以參考這篇
http://ciips.ee.uwa.edu.au/~morris/Year2/PLDS210/niemann/s_man.pdf
而實作出來的 BIND 8.x 及 9.x 在處理查詢效率上差了近一倍, 如果 8.x 是一萬次/每秒,但 9.x 大概只能到 5000
為什麼 9.x 反而退步了 :roll:
因為 BIND 9 要和資料庫結合及驗證 DNS tree 的結構性(所以較嚴謹)….
DB 本來就是 Tree 結構不是嗎4. 當我們網路分 “內網 (192.168/24)” 與 “外網” 時,在過去的時代,都說要內外都要建一個 DNS , 讓內對內,外對外,以保護一些資訊,但是多一部機器或多一個 Server 都是成本,這種狀況在 BIND 9.X 是可以解決的,如何實現 ?
答案: 用View
5. 有人在 TWNIC 指定了其 xxx.com.tw 的資料如下:
ns1.xxx.com.tw 1.2.3.4
ns2.xxx.com.tw 1.2.3.5
而在其自身 DNS 的 xxx.com.tw 的 zone file 中的 ns rr 如下
ns1.xxx.com.tw 11.22.33.44
ns2.xxx.com.tw 11.22.33.55
5.1試問 當 dns.seed.net.tw 去查詢時其會named會產生什麼 log (一般的 log level) 及 cache 什麼資料 ?
5.2 而又當 ns.nctu.edu.tw 去查詢時,其 log 及 cache 情形又為何 ?ans:
5.1 seednet 用的是 BIND 8.x (其實嚴格說起來,它用的那個版本是有問題的)
BIND 8 在 Cache 資料時,是一第一個碰到記錄為主,所以會 Cache 到
1.2.3.4 1.2.3.5 的結果
5.2 NCTU 用的是 9.X, 其 cache 資料預設是以權威主機為主,所以是另外一個狀況 (11.22.33.44 ..)
是都會有 lame 的情形,但是顯然 BIND 9 的 Cache 結果較正確6. 有一個網域名稱叫 tw.com.tw , 為什麼他的查詢是高達每小時數萬次 ?
管理人員覺得很困擾,用 FireWall 將 DNS query 給檔下來又會發生什麼事 ?ans:
請從 default domain/search , reslover 去想…
block port 53, 除非他的頻寬超過 T1, 不然一定塞 ( timeout/retry 去想)
這是一個 real case7. DNS 欺騙有那幾種狀況 ? 如何預防 ?8. 以下這兩行訊息,如何在實作上表現 ? 意義為何 ?
Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for “37.103.74.204. in-addr.arpa IN PTR” , got type “CNAME”
Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for “37.103.74.204.in-addr.arpa”, got “37.32/27.103.74.204.in-addr.arpa”9. 這一行 log 有那些可能性存在 ?
Jun 11 11:36:07 pc071 named[6103]: Response from unexpected source ([168.95.1.24].53) for query “_ldap._tcp.tmt.gtmt.com.tw IN SOA”ans:
字面解釋是 查詢 “_ldap._tcp.tmt.gtmt.com.tw” 的 SOA 時,意外的從
168.95.1.24 來了回應,也就是原來這部 Local DNS 去問的不是 168.95.1.24
而是另有其人,但結果卻從 .24 回來了
log 原意我巳解釋了, 也給了大家參考 log 訊息的網址囉 ~~
不過這個 IP 還有一個可能,就是 HINET DNS cluster 的狀況
當然,我們不知道 HINET DNS 共有幾部 (大家都知道的是 168.95.1.1 168.95.192.1 , 但這只是代表號而以)10. Windows DNS 可以在 GUI 的介面上顯示 Cache 資料, 那在 BIND 要如何知道現在的 DNS Cache 了那些資料 (BIND 8.x 與 9.x 方法各為何 )?
ans:
BIND 9 是用 rndc, 但 BIND 8 是不一樣的哦
http://www.study-area.org/phorum/index.php/topic,17564.0.html
1. DNS 分正解與反解查詢, 請問網路上的 DNS Query 是正解還是反解查詢多 ? 為什麼 ?
ans:
答案確實是反解, 因為太多服務都會將 IP 再做反查, 如 Mail/Syslog/Web/Proxy 等,所以,據一般的統計,正查:反查=4:6 的比例
只是反查在多數的系統上皆可有可無,所以一般人較感覺不到2. 何謂負面答案(nagitive answer) ? 對 DNS 的運作有什麼作用 ? 下列狀況:
xxx.com.tw 在TWNIC的指定內容:
ns1.xxx.com.tw 1.2.3.4
ns2.xxx.com.tw 1.2.3.5
ns3.xxx.com.tw 1.2.3.6
xxx.com.tw 自身的 DNS Zone File 內容:
$ORIGIN xxx.com.tw.
IN SOA ns1 abelyang.mail ( 2001 86400 3600 864000 10800)
IN NS ns1
IN NS ns2
IN NS ns3
ns1 IN A 1.2.3.4
ns2 IN A 1.2.3.7
ns3 IN CNAME dns.hinet.net.
www IN A 1.2.3.6請問:以 BIND 9 (現在大多數人用)來的預設值來查:
1. NS RR 的 lame server 會 Cache 多久 ?
2. 查不到 ftp.xxx.com.tw. 會 Cache 多久 ?
3. 假設這個網域名稱不存在, 會 Cache 多久 ?
4. CNAME and other datas 會 Cache 多久 ?
5. CNAME Chain (A Cname B, B Cname C,C cname D..) 的狀況 Cache 多久 ?或以什麼為參考 ?
6. 若 .com.tw. DNS 掛了會 Cache 多久 ?ans:
這個答案請參考 RFC 2308, 裏面寫得很詳細哦, 重點只有兩部份:
NXDOMAIN(找不到網域名稱) BIND 預設是 ncache:3h
NXRRSET (找不到記錄) SOA 中的第五個數字
3. DNS 時的 Port 變化 (BIND 8 與 Bind 9 是不同的哦) ?
Query: DNS <-> DNS (Recursive) 時用什麼 Port/Protocol ?
Zone Transfer: DNS <-> DNS 用什麼 Port/Protocol ?ans:
BIND 8.x Query 53/udp<-> 53/udp
zone Transfer 53/tcp <->53/tcp
BIND 9.x Query >1023/udp <->53/udp
Zone Transfer >1023/TCP<->53/TCP4. 若單位有十個網域名稱 (Ex: x1.com.tw,x2.com.tw…..x10.xom.tw),
其意欲每個網域名稱內的相同之 Host 皆指向同一IP
EX: www.x1.com.tw. 1.2.3.4
www.x2.com.tw. 1.2.3.4
….
www.x10.com.tw. 1.2.3.4
而當 x10.com.tw. 欲加一部 netman.x10.com.tw. 時,其他九個網域名稱皆可同時加上,
請問該如何設定 ? (十個網域名稱可能在同一部,也有可能是不同部主機哦)ans:
答案在這裏, 是 DNAME, 和 CNAME 不同的是將 Domain 別名化了
http://www.isc.org/tn/isc-tn-2002-1.html
我本來想出 IPv6 的,但這個領域 “目前為止” 好像還有點冷門…
至於 netman 兄提到的以設定十個 Zone ,但只有一個 Zone File 之問題
在 Bind 8 上我實驗過會有問題.但 BIND 9 我就不知道,不過看你的意思應是可以才是
DNAME 是 BIND 9 新的類型(TYPE)~~
EX:
$ORIGIN xxx.com.tw.
IN NS ns1
IN NS ns2
IN DNAME yyy.com.tw.
如此當有人查詢 www.xxx.com.tw. 實, DNS Query 發現這個網域名稱有 DNAME,
則會將 xxx.xom.tw. 換成 yyy.com.tw. , 所以即使在不同的機器以 DNAME
仍然還是可以運作的5. 有一單位 (xxx.com.tw. )遭受來自網路上的 DNS Query 的 DDOS 攻,造成其 T1 的頻寬完全塞滿,
其每秒查詢萬次以上,幾乎全世界的 DNS Server 皆向其詢問, xxx.com.tw. AAAA 的內容,
但該網域名稱並無 AAAA 之 Record, 請問如何解決 ?ans:
將 AAAA 設為 127.0.0.16. 某人在 TWNIC 指定其 xxx.com.tw. 之 DNS Server 如下面內容:
mail.xxx.com.tw. 1.2.3.4
xxx.com.tw. 1.2.3.4
而其本身並沒有在這兩個 IP 上架設 DNS Server (有 MailServer), 請問別人以
[email protected] 寄信給他們時, 收得到嗎 ? 為什麼 ?ans:
是可以收得到
因為先查mx,mx查不到,會再查A
要看 bind 版本哦, 如果 bind 8 就收得到, bind 9 就收不到,因為 A RR 不是
從 Authority 來的,而是 Addtional7. 以下為 2.6.8.8.8.e164.arpa. 網域名稱的內容:
$ORIGIN 3.1.3.1.1.4.3.2.2.6.8.8.e164.arpa.
IN NAPTR 10 10 “u” “SIP+E2U” “!^.*$!sip:[email protected]!” .
IN NAPTR 20 10 “u” “SMTP+E2U” “!^.*$!mailto:[email protected]!” .
IN NAPTR 30 10 “u” “TEL+E2U” “!^.*$!tel:+886223413300!” .
$ORIGIN 0.0.3.3.1.4.3.2.2.6.8.8.e164.arpa.
IN NAPTR 10 10 “u” “LDAP+E2U” “!^.*$!ldap://ldap.xxx.com.tw?cn=3300!” .
IN NAPTR 20 10 “u” “TEL+E2U” “!^.*$!tel: +886223411313!” .
請問其上之意義 ? 及其解析流程為何 ?ans:
DNS 的新功能,和 VoIP 有關哦, 能解決 Phone to PC 不能對應的問題
http://www.chinagk.org/commend/Enum.htm是這個沒有錯,這個目前在 ICANN 及 ITU 都非常重視
主要用於解決VoIP 在 Phone to PC 不能對應之問題…
不過一言難盡….你指的那一篇文章是我兩年前寫的…
不過現在我們的環境巳經原全實現這些功能了哦
Enum 的東西對這個大家可能較陌生,可以參考 http://www.enum.org.tw 這裏
國內也有很多廠商及電話公司在研究其可行性,上述幾欄的意義可參考 duan 提供的
網址或
http://www.enum.org.tw/enum_cisco.pdf
或 http://www.enum-forum.org 等
我覺得這個領域是研究 VoIP 或 PSTN 的人不可錯之處,
其中 SIP 也是另外一個重點8. 何謂 DNS 的 Referral ? Bad Referral ? Bard Referral 是否會回應答案 ?
ans:
Referral: DNS Query 時,因為不知道達案而要 Search DNS Tree, 此時
像 .com.tw 給出 xxx.com.tw 的 NS 在 ns1 及 ns2 , 這種行為稱為 referral,
bad referral 就是 com.tw. 給出 xxx.com.tw 為 ns1 ns2
但 ns1 ns2 上的有 xxx.com.tw. 的資料,但 Zone 卻不是 xxx.com.tw
此時到底會不會處理查詢呢 ? BIND 8 BIND 9 是不同的處理哦….
我想有看過這一系統討論的人大概就知道達案了吧9. 據聞, .com 的 網域名稱高達 3000 萬筆,而其 .com 的 Roor Server 又多達 13 部,
若您是 .com 的 DNS 網管理人員, 您會如何如做來讓 13 的 .com DNS Server 的同步化?ans:
答案是 FTP, Verisign 將 Zone file 壓縮後再用 FTP 去傳輸10. 實例中, yahoo.com. 的 MX 查詢結果,請問下列結果如何以 DNS 及 Mail Server 來實現 ?
dig mx yahoo.com
; <<>> DiG 9.2.0 <<>> mx yahoo.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2338
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 11;; QUESTION SECTION:
;yahoo.com. IN MX;; ANSWER SECTION:
yahoo.com. 3715 IN MX 5 mx4.mail.yahoo.com.
yahoo.com. 3715 IN MX 1 mx1.mail.yahoo.com.
yahoo.com. 3715 IN MX 1 mx2.mail.yahoo.com.;; AUTHORITY SECTION:
yahoo.com. 172637 IN NS ns2.yahoo.com.
yahoo.com. 172637 IN NS ns3.yahoo.com.
yahoo.com. 172637 IN NS ns4.yahoo.com.
yahoo.com. 172637 IN NS ns5.yahoo.com.
yahoo.com. 172637 IN NS ns1.yahoo.com.;; ADDITIONAL SECTION:
mx1.mail.yahoo.com. 1223 IN A 64.156.215.5
mx1.mail.yahoo.com. 1223 IN A 64.156.215.6
mx1.mail.yahoo.com. 1223 IN A 64.157.4.78
mx2.mail.yahoo.com. 1626 IN A 64.157.4.78
mx2.mail.yahoo.com. 1626 IN A 64.157.4.82
mx2.mail.yahoo.com. 1626 IN A 64.156.215.5
mx4.mail.yahoo.com. 1627 IN A 216.136.129.17
mx4.mail.yahoo.com. 1627 IN A 66.218.86.253
mx4.mail.yahoo.com. 1627 IN A 66.218.86.254
mx4.mail.yahoo.com. 1627 IN A 216.136.129.5
ns1.yahoo.com. 151719 IN A 66.218.71.63ans:
abelyang:
未解答,不過這題我也不知道正確的答案,可能需要多加探討把 !!
這裏面涉及了 MX 的優先權及 Round Robin, 以及 Mail Server 端的資料
處理…netman:
cluster 有很多種方式,在前端的技術上,
可用 L3/L4 switch 或用 round robin name resolving 來作 dispatch 。
當然也有人用專門的 server 來作 dispatcher 。
然後是後端的帳號與資料了,
若是同一個 site ,應該用 database 就可解決。
而 srotrage 方面,SAN/NAS 應是不錯的方案。
要是不同 site ,那 synchronisation 將是首要問題。
要不然,用 virtuser 或 forward 的方式,將不同的 account 分派致不同的 server 也是可行的。
嗯,都是個人想法… 應有更好的 solution 才對…
留言