《RFC1713DNS调试工具》由会员分享,可在线阅读,更多相关《RFC1713DNS调试工具(9页珍藏版)》请在金锄头文库上搜索。
1、RFC1713 Tools for DNS debugging RFC1713 DNS调试工具组织:中国互动出版网(http:/www.china- Working Group A. RomaoRequest for Comments: 1713 FCCNFYI: 27 November 1994Category: InformationalRFC1713 DNS调试工具(RFC1713 Tools for DNS debugging) 本备忘录状态 This memo provides information for the Internet community. It does not s
2、pecify an Internet standard of any kind. Distribution of this memo is unlimited.摘要 DNS(域名服务器)尽管得到了很广泛的应用(绝大多数时间却没有引起人们的注意),但是人们往往却太忽视它的存在。人们的认识,尤其是那些系统管理员的认识存在这样一种倾向,那就是:只要是需要使用由域名向地址映象来工作的应用软件,他们往往忽视可能发生的异常。本文档为DNS管理员提供了一些可利用的工具来诊断和处理异常情况。目录1. 绪论22. DNS 调试32.1. host32.2. Dnswalk42.3. Lamers42.4. DO
3、C52.5. DDT62.6. The Checker Project62.7.其它73. 为什么注意监视DNS?8参考文献8安全事项9作者地址:91. 绪论 今天,联入全球互联网上的计算机超过3,800,000台1,这其中包括了几百万终端用户,他们只通过为其命名的计算机就可以联接到世界各地任何一台计算机上。这种便利条件可能要归功于世界范围的广域分布式数据库,域名系统用于提供分布式、应用于不同服务器的服务,且域名系统最引人注目之处是将域名转化为IP地址并代替IP地址。你可以在很多应用中使用到它,当使用FTP或者Telnet时,当你的客户联接远程服务器时,当你单击一个超文本选项联接到一个由URL
4、(Uniform Resource Locator ,在Internet的WWW服务程序上用于指定信息位置的表示方法)定义的服务器时,当你与其它域的计算机对话时,当你的电子邮件在到达指定的容器之前必须通过一个网关发送时,当你向Usenet(世界性的新闻组网络系统)投递一篇文章并且希望能够向全世界宣传时。所有的这些都是最显而易见的DNS的使用,还有更多的应用程序都需要依靠DNS这个系统才能运行,比如:网络安全,监控和统计工具,前面提到的只是一小部分。 在分布式管理上,DNS取得了很大的成功。每一个组分(称为区,在很多方面与域相同)作为一个独立的实体是可见的,可以很可靠的处理任何发生于权威域上的事
5、件,如信息怎样变化,变成什么,减少子目录结构,创建新的组件等。另一方面,很多矛盾的事情来自这种分布式的特性:许多系统管理员会犯这种错误,他们配置域管理,当他们授权给下一级域时,很多人甚至不知道如何正确的操作,只好让问题持续地存在下去并且越积越多。另外,很多问题与DNS客户机和服务器的错误的操作有关,尤其那种非常古老的客户机和服务器的问题更为突出。他们或者没有按照标准来操作,或者有错误的倾向,使得上述的问题经常发生。 所有的这些异常情况使得DNS不能高效率的运作,并且在相关的网络操作上带来很多不必要的麻烦,因此这有可能会全面的影响整个Internet。本文献将竭尽全力地去说明正确地管理DNS是的
6、重要性,文中还在适当的位置指导系统管理员如何行之有效地更好的管理他们的域名服务。2. DNS 调试为了帮助系统管理员及时的发现DNS配置或者执行时的问题,这里将介绍一系列特定的工具软件。可能有很大一部分人在域名服务部门管理该项服务,但是苦于没有这种相关的工具软件或者根本就不了解这种相关的工具软件(尤为糟糕的是,他们对已经存在的配置和运行上的一些异常情况根本没有任何警觉)。下面即将对这种相关的程序以及适用条件、使用目的和有效性进行描述,作为主要内容DNS调试的一个引子,同时引导那些正在苦苦寻找这种相关工具软件并且希望借助这些软件来判断他们的域名管理服务是否运行得很强健的管理员。假设读者已经了解到
7、了一些相关的比较基础的入门知识,包括DNS的基本知识和一些其它相关工具软件(如 dig和nslookup),这里就不再详述,希望他们已经从日常的使用与维护中已经了解到了大量的知识。2.1. hosthost是一种可以从域名服务器上找到DNS信息的程序。这种信息可能仅仅用于得到一些简单的信息,如:地址域名映射;或者用于一些更高级的目的,如执行数据的强健性检验。该程序是由Rutgers大学开发的,但是后来Nikhef的ric Wassenaar重新改写了源程序,而且现在似乎还在继续修改。本程序可以从如下地址得到:ftp:/ftp.nikhef.nl/pub/network/host_YYMMDD.
8、tar.Z(YYMMDD是最新版本的版本数字)由于疏忽,host只能映射主机名称到Internet地址,查询默认的服务器或者某些特定的服务器。但是,通过以下几种方式使得从任何域名服务器中得到种种数据(源记录)是可能的。这几种方式有通过特定的不同的查询类型和等级,通过详细的或者调试输出。当涉及到使用域名服务器时,你可以支配几个参数,如递归循环、复算时间、超时设定、使用虚拟系统以及数据包(自带寻址信息的,独立地从数据源行走到终点的数据包)等。为了及时发现任何与决策操作(也就是说,任何使用决策库的应用)有关的任何异常,你可以通过这种方式来模仿得出一个解决方案。作为一个查询程序,它可以象其它工具软件一
9、样强劲有力,如nslookup 和 dig。作为一个调试器,host分析DNS空间的一些组(如:整个区),并且生成操作结果的报告。Host是如何作到的?host首先执行一个操作,这种操作可能是递归的,从一个区和它的所有的子区中得到有用的信息。然后,分析作为在命令行上被请求实现的数据。注意:区传输必须通过联接该区的授权域名服务器才能实现,所以必须保证向这些服务器请求会响应;这种服务器中的一些会拒绝区传输(尤其二级服务器)以避免网络拥塞。使用host,你可以找出这样的异常,比如:那些与授权有关的(如下面讨论到的不完全授权)或者一些更为奇特的例子象区域外主机(一台主机的形式为host.some.do
10、m.ain,some.dom.ain不是由dom.ain授权)。这些错误很明显地发生在命令行的请求上,但是host操作后,你可能得到一个其它的错误信息,象是次要因素。这些可能仅仅是警告(可能你会禁用)或者更为严重的错误事实上,警告信息不是那么简单,大多数可以归因于未配置区,所以对警告信息置之不理不是一种明智之举。错误信息必须当作是严重的异常来对待,或者当成与查询服务器之间的信息交换包(大小错误,非法帐户等),或者其它联系DNS的信息(在程序清单中也叫“状态信息”);SOA记录之间矛盾在一个域的不同服务器之间表现出来的,意外的地址域名映射,可能引起域名服务器不响应,不能登陆,不运行或者根本不存在
11、等。Host执行所有的在线查询,它只处理从域名服务器得来的数据,这意味着你与其想要得到特定数据块的种类报告,不如查询一个域名服务器。你可以拿出一些论点来说明你可以通过运行Host来得到你想要得到的所有的信息,但是如果你忘记某些细节或者因为某种原因必须重新运行时,这意味着额外的区传输,域名服务器额外的装载,额外的DNS 通讯量。 如果使用谨慎, Host是一种非常优秀的工具。象一些其它的查询程序,只是通过发出一个简单的命令,而产生了很大的信息量。除此之外,它的解决方案和调试能力会发现许多普通的或者不普通的DNS配置错误,同时生成有关DNS目录的有用地报告和分析结果,这显得很实用。举一个例子,RI
12、PE网络控制中心利用host生成每月的欧洲主机记录报告,从中得出欧洲Internet用户的发展状况。根据这些记录,生成错误信息报告,每个国家一人,而且所有的信息在RIPE文件中是可用的。2.2. DnswalkDnswalk是宾夕法尼亚州立大学的David Barr使用Perl语言开发出来的,你可以在以下地址中找到它的最新的版本。ftp:/ftp.pop.psu.edu/pub/src/dnswalk 与这个软件捆绑在一起的还有一些文档,文档中作者指定了一些有用的文件,很值得去仔细阅读。Dnswalk这个软件可以检查当地存储的域名配置,和各级目录的信息,如DNS域的树状结构。为了得到该信息,d
13、nswalk可以首先从授权的域名服务器执行区传输。你可以递归式的传输域以及它的次级域信息,执行该操作时应该谨慎,因为这可能产生大量的数据流量。如果数据已经存在,而且是最新的,dnswalk可以跳过这一步。Dnswalk在源代码中寻找不相容之处,如:域名MX和别名指向别名或者未知的主机,不连贯的PTR,A和CNAME记录,名称中无效的字符,IP地址中没有圆点,不必要的联接信息等等。Dnswalk同时寻找授权信息,即不完全授权和只有一个域名服务器的域。该软件简单易用,你只需要定义这个要分析的域和一些可选参数,其它的由本软件来做。但是,一次只能检查一个域(或者它的次级域)。当检验数据时,dnswal
14、k使用很多收集和解决方案程序(Perl 库的gethostbyXXXX),为了得到要分析的域的服务器的授权信息的数据,由IP地址映射的域名,如此以致于去检验PTR、别名等记录的存在。所以,仅仅运行了该程序,除了区传输以外,你可能好要依靠一些额外的数据流量(如果你正在调试一个相关的大量的数据并且关心再次查询和超时设置时,可能是不可以忽略的)。2.3. Lamers不完全授权在某种意义上来说,是DNS配置中的一种比较严重的错误,也是比较普通的一种错误。它发生于一个域名服务器正在为一些域列举NS记录时,实际上它不是那个域的服务器。因而查询被发送到了一个错误的服务器上,我们可能得到一些有关的查询域,但不是我们想要的。此外,有时主机(如果存在)甚至不能管理域名服务器。导致的结果是查询超时,只能舍弃,然后产生(更多的)无必要的信息流量。产生不完全授权是很容易的:最为普遍的例子是发生在当系统管理员为域改变NS列表,从列表中抛弃一个或者多个服务器时,没有通知它的上一级域的系统管理员,授权给他的权利超过这个域时。从现在开始,父域名服务器通告该域的一个或者多个服务器接受一些它们所不知道的查询。(另一方面,服务器可能没有得到上一级服务器的同意就加入到列表当中,然后,隐藏他们的重要的信息这不是不完
