Содержание
часто задаваемых вопросов | Quad9
Общие вопросы
Что такое ДНС?
Система доменных имен (DNS) — это Интернет-эквивалент телефонной книги. Он поддерживает каталог доменных имен и переводит их в адреса Интернет-протокола (IP). Несмотря на то, что доменные имена более удобны для запоминания, компьютеры и другие устройства получают доступ к веб-сайтам на основе IP-адресов.
Использует ли мой компьютер DNS?
Для доступа к веб-сайтам в Интернете ваш компьютер должен использовать службу DNS, которая обычно настраивается вашим интернет-провайдером или сетевым администратором.
Как настроить/использовать Quad9?
Ваши системы уже используют службу DNS через вашего интернет-провайдера или другого стороннего поставщика. Переход на Quad9 занимает всего несколько минут и является очень простым процессом. Конкретная конфигурация будет зависеть от конфигурации вашей сети, и мы будем рады помочь вам в процессе адаптации.
Свяжитесь с нами через нашу контактную страницу.
У нас есть видеоруководства по настройке Quad9 на Mac и Windows.
Сколько стоит моей организации использование Quad9?
Использование Quad9 не требует дополнительных затрат для организации и не требует установки дополнительного программного или аппаратного обеспечения. Если вам нужна дополнительная информация об использовании Quad9 в вашей организации или вы хотите узнать о настройке выделенного экземпляра, если вы являетесь более крупным предприятием, свяжитесь с нами через нашу контактную страницу.
Есть ли URL-адрес, по которому я могу проверить, настроен ли я на использование Quad9, и что я увижу, если настрою на использование Quad9?
Пользователи получают ответ «NXDOMAIN», если сайт заблокирован; система конечного пользователя действует так, как будто домен не существует. Это поведение может быть изменено в будущем, чтобы направлять отдельные запросы на информационную страницу Quad9, информирующую пользователя о снижении угрозы и дополнительную информацию.
Мы находимся в процессе настройки тестовой страницы для пользователей.
Перенаправляет ли Quad9 доменные имена с ошибками?
Нет. Поиск доменов с ошибками не перенаправляется. Ответы NXDOMAIN предоставляются для поиска DNS, которые не существуют.
Реализует ли Quad9 DNSSEC?
Да. Quad9 обеспечивает проверку DNSSEC на наших основных преобразователях.
9.9.9.9, 149.112.112.112
2620:fe::fe, 2620:fe::9
Кроме того, мы проверяем DNSSEC в нашей службе с поддержкой EDNS.
9.9.9.11, 149.112.112.11
2620:fe::11, 2620:fe::fe:11
Это означает, что для доменов, реализующих безопасность DNSSEC, Quad9система криптографически гарантирует, что предоставленный ответ соответствует предполагаемому ответу оператора домена. В случае криптографического сбоя наша система вообще не вернет ответ. Это обеспечивает защиту от спуфинга домена или других атак, которые пытаются предоставить ложные данные.
Узнайте больше о DNSSEC здесь: https://www.icann.org/resources/pages/dnssec-qaa-2014-01-29-en
Есть ли услуга, которую предлагает Quad9, без черного списка или других средств защиты?
Основной IP-адрес для Quad9 — 9.9.9.9, который включает черный список, проверку DNSSEC и другие функции безопасности. Тем не менее, мы предоставляем незащищенную услугу, и это может быть полезно для определения наличия ложных срабатываний в ленте угроз Quad9 или ошибок DNSSEC для определенного домена.
Незащищенный IP-адрес: 9.9.9.10 Обеспечивает: нет черного списка безопасности, нет DNSSEC, клиент-подсеть EDNS не отправляется. Пожалуйста, используйте незащищенный дополнительный адрес 149.112.112.10
IPv6: 2620:fe::10, 2620:fe::fe:10
Примечание. Не рекомендуется смешивать безопасные и незащищенные IP-адреса в одной конфигурации. Ваши устройства не будут защищены в 100% случаев, что приводит к путанице при отладке потенциальных проблем.
Есть ли поддержка IPv6 для Quad9?
Да. Quad9 работает с идентичными службами на наборе IPv6-адресов, которые находятся в той же инфраструктуре, что и системы 9.9.9.9.
Безопасный IPv6 Первичный: 2620:fe::fe Черный список, DNSSEC, без клиентской подсети EDNS
Безопасный IPv6, вторичный: 2620:fe::9 Черный список, DNSSEC, без клиентской подсети EDNS
Незащищенный IPv6, основной: 2 620:фе ::10 Без черного списка, без DNSSEC, без клиентской подсети EDNS
Незащищенный вторичный IPv6: 2620:fe::fe:10 Без черного списка, без DNSSEC, без клиентской подсети EDNS
Первичный безопасный IPv6 (EDNS) : 2620:fe::11 Черный список, DNSSEC, клиентская подсеть EDNS отправлены.
Защищенный вторичный IPv6 (EDNS): 2620:fe::fe:11 Черный список, DNSSEC, клиентская подсеть EDNS отправлены.
Примечание: Если вам нужны расширенные адреса для IPv6, они следующие:
2620:fe::fe – 2620:fe:0:0:0:0:0:fe
2620:fe::9 – 2620:fe:0:0:0:0:0:9
2620:fe::10 – 2620:fe:0:0:0:0:0:10
2620:fe::fe:10 – 2620:fe:0:0:0:0:fe:10
2620:fe::11 – 2620:fe:0:0:0:0:0:11
2620:fe::fe:11 – 2620:fe:0:0:0:0:fe:11
Что такое клиентская подсеть EDNS?
Клиентская подсеть EDNS — это метод, который включает компоненты данных IP-адреса конечного пользователя в запросы, отправляемые на авторитетные DNS-серверы.
Это означает, что существует «утечка» конфиденциальности для рекурсивных распознавателей, которые отправляют данные клиентской подсети EDNS, где компоненты IP-адреса конечного пользователя передаются на удаленный сайт. Хотя это обычно используется для повышения производительности сетей распространения контента, мы определили, что данные клиент-подсети попадают в серую зону личной информации, и мы не передаем эти данные в нашей службе по умолчанию. В некоторых случаях это может привести к неоптимальной маршрутизации между источниками CDN и конечными пользователями. Мы поддерживаем безопасную службу, которая отправляет данные клиент-подсеть.
Безопасный IPv4: 9.9.9.11 Предоставляет: черный список безопасности, DNSSEC, клиент-подсеть EDNS отправлены. Если вашему программному обеспечению DNS требуется вторичный IP-адрес, используйте безопасный вторичный адрес 149.112.112.11
Безопасный IPv6: 2620:fe::11 Предоставляет: черный список безопасности, DNSSEC, клиентскую подсеть EDNS отправлено.
Если для вашего программного обеспечения DNS требуется вторичный IP-адрес, используйте безопасный вторичный адрес 2620:fe::fe:11
Надежность и обслуживание
Насколько устойчива DNS-инфраструктура Quad9?
Ни одна инфраструктура не защищена на 100% от атак или сбоев. Тем не менее, Quad9 построила и поддерживает очень надежную и отказоустойчивую инфраструктуру DNS, основанную на многолетнем опыте и партнерских отношениях в отрасли. Большая часть платформы Quad9 размещена в инфраструктуре, поддерживающей авторитетный DNS примерно для одной пятой мировых доменов верхнего уровня, двух корневых серверов имен и обрабатывающей миллиарды запросов в день. На эту сеть постоянно воздействуют преднамеренные и непреднамеренные нагрузки, и для предотвращения сбоев успешно используются несколько стратегий. Предоставление избыточной пропускной способности и емкости, разработка нескольких уровней кэширования и методов распределения запросов, а также изоляция или отклонение нежелательного трафика для конкретных приложений — все это методы, используемые для обеспечения высокого времени безотказной работы.
Как долго работает служба DNS?
Сервис был запущен в августе 2016 года с первыми бета-пользователями. С тех пор было добавлено больше сведений об угрозах, подключено больше распознавателей, а в систему добавлено больше пользователей.
Каково было время безотказной работы вашего DNS?
Quad9 — это глобальная служба Anycast. Несколько точек присутствия по всему миру означают, что в систему заложена избыточность. Если резолвер выходит из строя, трафик автоматически направляется к следующему ближайшему резолверу. На сегодняшний день наше время безотказной работы составляет 99,999%.
Если необходимо провести техническое обслуживание вашей DNS, как это координируется и сколько времени предоставляется конечным пользователям?
Техническое обслуживание службы осуществляется постоянно, и пользователи не должны сталкиваться с перебоями в работе службы.
Безопасность
Как Quad9 защищает меня от вредоносных доменов?
Quad9 объединяет информацию о киберугрозах о вредоносных доменах из различных общедоступных и частных источников и блокирует доступ к этим вредоносным доменам, когда ваша система пытается связаться с ними.
Как Quad9 предотвратит случайную блокировку законных доменов?
Quad9 реализует алгоритмы белого списка, чтобы убедиться, что законные домены не заблокированы случайно. Однако в редких случаях блокировки законного домена Quad9 работает с пользователями, чтобы быстро внести этот домен в белый список. Пожалуйста, используйте нашу страницу поддержки, если вы считаете, что мы блокируем домен по ошибке.
Как Quad9 обеспечивает наличие последней информации об угрозах?
Quad9собирает информацию об угрозах от всех своих поставщиков и общедоступных источников и обновляет инфраструктуру Quad9 этой информацией. Это обновление происходит регулярно (несколько раз в день) или почти в режиме реального времени, в зависимости от способности поставщика предоставлять данные об угрозах.
Почему поставщики информации об угрозах (TI) делятся своими данными с Quad9 и что они от этого получают?
Quad9 возвращает анонимную телеметрию поставщикам TI только для вредоносных доменов, которые они используют совместно с Quad9.
Эта телеметрия никогда не включает информацию об исходном IP-адресе пользователя.
Что я увижу, если домен заблокирован Quad9?
Пользователи получают ответ «NXDOMAIN», если сайт заблокирован; система конечного пользователя действует так, как будто домен не существует. Это поведение может быть изменено в будущем, чтобы направлять отдельные запросы на информационную страницу Quad9, информирующую пользователя о снижении угрозы и дополнительную информацию.
Какие типы доменов поддерживает Quad9блокировать?
В Quad9 мы блокируем «вредоносные» имена хостов, которые каким-то образом предназначены для прямого поведения или результатов, которые разумный конечный пользователь счел бы вредными. В настоящее время сюда не входят спам-сайты, которые повторно рассылают рекламную информацию или, в некоторых случаях, могут даже рассылать электронные письма, содержащие фишинговые запросы. URL-адреса контента — это то, где мы принимаем решение о включении в черный список, а не источник электронных писем.
Хотя спам может быть раздражающим и даже дорогостоящим, он не обязательно представляет угрозу безопасности. Quad9может защитить почтовые серверы от вредоносных хостов и фишинговых доменов, которые фигурируют в нашем смешанном списке аналитики угроз, но не от спамеров. Существуют и другие списки на основе DNS, которые специально настроены для борьбы со спамом, хотя мы не можем рекомендовать какой-либо конкретный список для использования в настоящее время
Как сообщить о вредоносных доменах?
Если вы считаете, что существует вредоносный домен, который мы не блокируем, сообщите об этом через нашу контактную страницу. Мы будем работать с нашими вышестоящими поставщиками информации об угрозах, чтобы исследовать домен.
Поддерживает ли Quad9 DNS через TLS?
Мы поддерживаем DNS через TLS на порту 853 (стандарт) с использованием имени аутентификации dns.quad9.net.
Мой провайдер захватывает порт 53, есть ли другой порт, который я могу использовать для Quad9?
Мы поддерживаем стандартные DNS-запросы на портах 9953 и 53.
Кроме того, мы поддерживаем DNS-over-TLS на стандартном порту 853 с использованием имени аутентификации dns.quad9.net. Дополнительные сведения о настройке DNS-over-TLS см. в проекте конфиденциальности DNS.
Поддерживает ли Quad9 dnscrypt?
Мы поддерживаем dnscrypt. Для получения дополнительной информации о настройке dnscrypt см. информационную страницу DNSCrypt. Quad9 включен в список общедоступных распознавателей.
Конфиденциальность и защита данных
Как Quad9 защитит мои данные?
Когда вы используете Quad9, злоумышленники и вредоносные программы не могут использовать известные вредоносные домены для управления вашими системами, и их возможности украсть ваши данные или причинить вред будут ограничены. Quad9— это эффективный и простой способ бесплатно добавить дополнительный уровень безопасности в вашу инфраструктуру.
Будет ли Quad9 фильтровать контент?
Нет.
Quad9 не будет предоставлять компонент цензуры и ограничит свои действия исключительно блокировкой вредоносных доменов вокруг фишинговых, вредоносных и эксплойтных доменов.
Собирает ли Quad9 персональные данные?
Инфраструктура Quad9 не хранит никаких личных данных о своих пользователях. Пожалуйста, ознакомьтесь с нашей полной Политикой данных, так как существуют исключения для вредоносных атак на нашу инфраструктуру.
Как Quad9 обеспечивает мою конфиденциальность?
Когда юридическое или физическое лицо использует инфраструктуру Quad9, их IP-адрес не регистрируется в нашей системе. Однако мы регистрируем геолокацию системы (город, штат, страна) и используем эту информацию для анализа вредоносных кампаний и участников, а также в качестве компонента данных, которые мы предоставляем нашим партнерам по анализу угроз.
Что Quad9 регистрирует/хранит о DNS-запросах?
Quad9 не сохраняет данные об IP-адресах клиентов.
Подробное объяснение того, как Quad9обрабатывает данные запроса DNS, см. страницу Политики данных и конфиденциальности
Делится ли Quad9 сгенерированными данными DNS с маркетологами?
Quad9 не делится и никогда не будет делиться своими данными с маркетологами, а также не будет использовать эти данные для демографического анализа. Наша цель — борьба с киберпреступностью в Интернете и обеспечение большей безопасности физических и юридических лиц. Мы делаем это, повышая видимость ландшафта угроз, предоставляя общую телеметрию нашим партнерам по безопасности, которые предоставляют данные для блокировки угроз.
Как нам стать партнером производителя бытовой техники?
Напишите нам через нашу контактную страницу с информацией о вашей организации и контактной информацией.
Служба доменных имен (DNS) | Убунту
Служба доменных имен (DNS) — это интернет-служба, которая сопоставляет IP-адреса и полные доменные имена (FQDN) друг с другом.
Таким образом, DNS избавляет от необходимости запоминать IP-адреса. Компьютеры, на которых работает DNS, называются серверами имен . Ubuntu поставляется с BIND (Berkley Internet Naming Daemon), наиболее распространенной программой, используемой для поддержки сервера имен в Linux.
Установка
В командной строке терминала введите следующую команду для установки DNS:
sudo apt установить bind9
Очень полезным пакетом для тестирования и устранения проблем с DNS является пакет dnsutils . Очень часто эти инструменты уже установлены, но для проверки и/или установки dnsutils введите следующее:
sudo apt установить dnsutils
Конфигурация
Существует множество способов настройки BIND9.. Некоторые из наиболее распространенных конфигураций — это кэширующий сервер имен, первичный сервер и вторичный сервер.
При настройке в качестве кэширующего сервера имен BIND9 найдет ответ на запрос имени и запомнит ответ при повторном запросе домена.
В качестве основного сервера BIND9 считывает данные для зоны из файла на своем хосте и является авторитетным для этой зоны.
В качестве вторичного сервера BIND9 получает данные зоны от другого сервера имен, уполномоченного для этой зоны.
Обзор
Файлы конфигурации DNS хранятся в каталоге /etc/bind . Основной файл конфигурации — /etc/bind/named.conf , который в макете, предоставляемом пакетом, включает только эти файлы.
-
/etc/bind/named.conf.options: глобальные параметры DNS -
/etc/bind/named.conf.local: для ваших зон -
/etc/bind/named.conf.default-zones: зоны по умолчанию, такие как localhost, его реверс и корневые подсказки
Раньше корневые серверы имен описывались в файле /etc/bind/db.root . Вместо этого теперь он предоставляется файлом /usr/share/dns/root.
hints , поставляемым с пакетом dns-root-data, и упоминается в файле конфигурации named.conf.default-zones выше.
Один и тот же сервер можно настроить как кеширующий сервер имен, первичный и вторичный: все зависит от обслуживаемых им зон. Сервер может быть начальным органом (SOA) для одной зоны, одновременно предоставляя вторичную службу для другой зоны. Все время предоставляя услуги кэширования для хостов в локальной сети.
Кэширующий сервер имен
Конфигурация по умолчанию действует как сервер кэширования. Просто раскомментируйте и отредактируйте /etc/bind/named.conf.options , чтобы установить IP-адреса DNS-серверов вашего интернет-провайдера:
экспедиторов {
1.2.3.4;
5.6.7.8;
};
Примечание
Замените
1.2.3.4и5.6.7.8IP-адресами фактических серверов имен.
Чтобы включить новую конфигурацию, перезапустите DNS-сервер.
Из командной строки терминала:
sudo systemctl перезапустить bind9.service
См. dig для получения информации о тестировании кэширующего DNS-сервера.
Основной сервер
В этом разделе BIND9 будет настроен как Основной сервер для домена example.com . Просто замените example.com своим полным доменным именем (Fully Qualified Domain Name).
Файл зоны переадресации
Чтобы добавить зону DNS в BIND9, превратив BIND9 в основной сервер, сначала отредактируйте /etc/bind/named.conf.local :
зона "example.com" {
тип мастер;
файл "/etc/bind/db.example.com";
};
Примечание
Если bind будет получать автоматические обновления файла, как с DDNS, используйте
/var/lib/bind/db.example.comвместо/etc/bind/db.example.comкак здесь, так и в скопировать команду ниже.
Теперь используйте существующий файл зоны в качестве шаблона для создания файла /etc/bind/db.:
example.com
sudo cp /etc/bind/db.local /etc/bind/db.example.com
Отредактируйте новый файл зоны /etc/bind/db.example.com и измените localhost. на полное доменное имя вашего сервера, оставив дополнительный . в конце. Измените 127.0.0.1 на IP-адрес сервера имен и root.localhost на действительный адрес электронной почты, но с . вместо обычного символа @ , снова оставив . в конце. Измените комментарий, чтобы указать домен, для которого предназначен этот файл.
Создайте запись A для базового домена, example.com . Кроме того, создайте запись A для ns.example.com , сервер имен в этом примере:
.
;
; Файл данных BIND для example.com
;
$TTL 604800
@ В SOA example.com. root.example.com. (
2; Серийный
604800 ; Обновить
86400 ; Повторить попытку
2419200 ; Срок действия
604800 ) ; Отрицательный TTL кэша
@ В NS ns. example.com.
@ В А 192.168.1.10
@ В АААА ::1
нс В А 192.168.1.10
example.com.
@ В А 192.168.1.10
@ В АААА ::1
нс В А 192.168.1.10
Вы должны увеличивать серийный номер каждый раз, когда вы вносите изменения в файл зоны. Если вы вносите несколько изменений перед перезапуском BIND9, просто увеличьте серийный номер один раз.
Теперь вы можете добавить записи DNS в конец файла зоны. Дополнительные сведения см. в разделе Общие типы записей.
Примечание
Многие администраторы предпочитают использовать дату последнего редактирования в качестве серийного номера зоны, например 9.0215 2020012100 , что соответствует ггггммддсс (где сс — серийный номер)
После внесения изменений в файл зоны необходимо перезапустить BIND9, чтобы изменения вступили в силу:
sudo systemctl перезапустить bind9.service
Файл обратной зоны
Теперь, когда зона настроена и преобразует имена в IP-адреса, необходимо добавить обратную зону , чтобы DNS могла преобразовывать адрес в имя.
Редактировать /etc/bind/named.conf.local и добавьте следующее:
зона "1.168.192.in-addr.arpa" {
тип мастер;
файл "/etc/bind/db.192";
};
Примечание
Замените
1.168.192первыми тремя октетами той сети, которую вы используете. Также назовите файл зоны/etc/bind/db.192соответствующим образом. Он должен соответствовать первому октету вашей сети.
Теперь создайте файл /etc/bind/db.192 :
sudo cp /etc/bind/db.127 /etc/bind/db.192
Следующее редактирование /etc/bind/db.192 изменение тех же параметров, что и /etc/bind/db.example.com :
;
; Файл обратных данных BIND для локальной сети 192.168.1.XXX
;
$TTL 604800
@ В SOA ns.example.com. root.example.com. (
2; Серийный
604800 ; Обновить
86400 ; Повторить попытку
2419200 ; Срок действия
604800 ) ; Отрицательный TTL кэша
;
@ В НС нс.
10 В PTR ns.example.com.
10 В PTR ns.example.com.
Серийный номер в обратной зоне также необходимо увеличивать при каждом изменении. Для каждой записи , которую вы настраиваете в /etc/bind/db.example.com , то есть для другого адреса, вам необходимо создать запись PTR в /etc/bind/db.192 .
После создания файла обратной зоны перезапустите BIND9:
sudo systemctl перезапустить bind9.service
Дополнительный сервер
После настройки основного сервера настоятельно рекомендуется использовать вторичный сервер , чтобы обеспечить доступность домена в случае, если основной сервер станет недоступным.
Во-первых, на основном сервере необходимо разрешить передачу зоны. Добавьте параметр allow-transfer в примеры определений зон Forward и Reverse в /etc/bind/named.conf.local :
зона "example.com" {
тип мастер;
файл "/etc/bind/db.example. com";
разрешить передачу {192.168.1.11; };
};
зона "1.168.192.in-addr.arpa" {
тип мастер;
файл "/etc/bind/db.192";
разрешить передачу {192.168.1.11; };
};
com";
разрешить передачу {192.168.1.11; };
};
зона "1.168.192.in-addr.arpa" {
тип мастер;
файл "/etc/bind/db.192";
разрешить передачу {192.168.1.11; };
};
Примечание
Замените
192.168.1.11на IP-адрес вашего вторичного сервера имен.
Перезапустите BIND9 на основном сервере:
sudo systemctl перезапустить bind9.услуга
Далее на вторичном сервере установите пакет bind9 так же, как и на первичном. Затем отредактируйте /etc/bind/named.conf.local и добавьте следующие объявления для зон Forward и Reverse:
зона "example.com" {
тип вторичный;
файл "db.example.com";
мастера { 192.168.1.10; };
};
зона "1.168.192.in-addr.arpa" {
тип вторичный;
файл "db.192";
мастера { 192.168.1.10; };
};
Примечание
Замените
192.168.1.10на IP-адрес вашего основного сервера имен.
Перезапустите BIND9 на вторичном сервере:
sudo systemctl перезапустить bind9.service
В /var/log/syslog вы должны увидеть что-то похожее на следующее (некоторые строки были разделены, чтобы соответствовать формату этого документа):
клиент 192.168.1.10#39448: получено уведомление для зоны «1.168.192.in-addr.arpa» зона 1.168.192.in-addr.arpa/IN: Начата передача. перенос '100.18.172.in-addr.arpa/IN' с 192.168.1.10#53: подключен через 192.168.1.11#37531 зона 1.168.192.in-addr.arpa/IN: передан серийный номер 5 передача '100.18.172.in-addr.arpa/IN' с 192.168.1.10#53: Перевод завершен: 1 сообщения, 6 записей, 212 байт, 0,002 с (106000 байт/с) зона 1.168.192.in-addr.arpa/IN: отправка уведомлений (серийный номер 5) клиент 192.168.1.10#20329: получено уведомление для зоны «example.com» зона example.com/IN: Передача началась. передача 'example.com/IN' с 192.168.1.10#53: подключено через 192.168.1.11#38577 зона example.com/IN: передан серийный номер 5 перенос 'example.
com/IN' из 192.168.1.10#53: Передача завершена: 1 сообщения,
8 записей, 225 байт, 0,002 с (112500 байт/с)
Примечание
Примечание. Зона передается только в том случае, если серийный номер на основной зоне больше, чем на дополнительной. Если вы хотите, чтобы ваш основной DNS-сервер уведомлял другие вторичные DNS-серверы об изменениях зоны, вы можете добавить
also-notify { ipaddress; }; отдо/etc/bind/named.conf.local, как показано в примере ниже:
зона "example.com" {
тип мастер;
файл "/etc/bind/db.example.com";
разрешить передачу {192.168.1.11; };
также-уведомить { 192.168.1.11; };
};
зона "1.168.192.in-addr.arpa" {
тип мастер;
файл "/etc/bind/db.192";
разрешить передачу {192.168.1.11; };
также-уведомить { 192.168.1.11; };
};
Примечание
Каталог по умолчанию для неавторизованных файлов зон —
/var/cache/bind/.
Этот каталог также настроен в AppArmor, чтобы позволить демону named писать в него. Дополнительные сведения о AppArmor см. в разделе «Безопасность — AppArmor».Поиск и устранение неисправностей
В этом разделе рассматривается диагностика проблем с конфигурациями DNS и BIND9.
Тестирование
разрешение.conf
Первым шагом в тестировании BIND9 является добавление IP-адреса сервера имен в преобразователь хостов. Первичный сервер имен должен быть настроен так же, как и другой хост для двойной проверки. Подробную информацию о добавлении адресов серверов имен к сетевым клиентам см. в разделе Конфигурация DNS-клиентов. В конце концов, ваш сервер имен 9Строка 0226 в /etc/resolv.conf должна указывать на 127.0.0.53 , и у вас должен быть параметр search для вашего домена. Что-то вроде этого:
сервер имен 127.0.0.53 поиск example.com
Чтобы проверить, какой DNS-сервер использует ваш локальный преобразователь, выполните:
systemd-разрешение --статус
Примечание
Вам также следует добавить IP-адрес вторичного сервера имен в конфигурацию клиента на случай, если первичный станет недоступен.
копать
Если вы установили пакет dnsutils, вы можете проверить свои настройки с помощью утилиты поиска DNS dig:
После установки BIND9 используйте dig против интерфейса loopback, чтобы убедиться, что он прослушивает порт 53. Из командной строки терминала:
копать -x 127.0.0.1
В выводе команды вы должны увидеть строки, подобные приведенным ниже:
;; Время запроса: 1 мс ;; СЕРВЕР: 192.168.1.10#53(192.168.1.10)
Если вы настроили BIND9 в качестве сервера имен с кэшированием , «выкопайте» внешний домен, чтобы проверить время запроса:
копать ubuntu.com
Обратите внимание на время запроса в конце вывода команды:
;; Время запроса: 49 мс
После второго раскопа должно быть улучшение:
;; Время запроса: 1 мс
эхо-запрос
Теперь, чтобы продемонстрировать, как приложения используют DNS для разрешения имени хоста, используйте утилиту ping для отправки эхо-запроса ICMP:
пинг example.
com
Проверяет, может ли сервер имен преобразовать имя ns.example.com в IP-адрес. Вывод команды должен выглядеть так:
.
PING ns.example.com (192.168.1.10) 56 (84) байт данных. 64 байта от 192.168.1.10: icmp_seq=1 ttl=64 время=0,800 мс 64 байта от 192.168.1.10: icmp_seq=2 ttl=64 время=0,813 мс
именованная контрольная зона
Отличный способ проверить файлы зон — использовать утилиту named-checkzone , установленную вместе с bind9 пакет. Эта утилита позволяет убедиться в правильности конфигурации перед перезапуском BIND9 и внесением изменений.
Чтобы проверить наш пример файла зоны пересылки, введите в командной строке следующее:
name-checkzone example.com /etc/bind/db.example.com
Если все настроено правильно, вы должны увидеть примерно такой вывод:
зона example.com/IN: загружен серийный номер 6 ХОРОШО
Аналогично, для проверки файла обратной зоны введите следующее:
именованная контрольная зона 1.
168.192.in-addr.arpa /etc/bind/db.192
Вывод должен быть похож на:
зона 1.168.192.in-addr.arpa/IN: загружен серийный номер 3 ХОРОШО
168.192.in-addr.arpa /etc/bind/db.192
Примечание
Серийный номер вашего файла зоны, вероятно, будет другим.
Быстрая регистрация временных запросов
С помощью инструмента rndc можно быстро включать и выключать ведение журнала запросов без перезапуска службы или изменения файла конфигурации.
Чтобы включить ведение журнала запросов на , выполните:
sudo rndc queryвойти в систему
Аналогично, чтобы отключить, введите:
sudo rndc querylog отключен
Журналы будут отправлены в системный журнал и будут отображаться в /var/log/syslog по умолчанию:
, 20 января, 19:40:50 new-n1 named[816]: получена команда канала управления «querylog on» 20 января 19:40:50 new-n1 named[816]: ведение журнала запросов включено 20 января 19:40:57 new-n1 named[816]: client @0x7f48ec101480 192.
168.1.10#36139 (ubuntu.com): запрос: ubuntu.com IN A +E(0)K (192.168.1.10)
Примечание
Количество журналов, созданных при включении
querylog, может быть огромным!
Регистрация
BIND9 имеет множество доступных параметров конфигурации ведения журнала, но два основных из них — это канал и категория , которые настраивают, куда направляются журналы и какая информация регистрируется соответственно.
Если параметры ведения журнала не настроены, конфигурация по умолчанию:
ведение журнала {
категория по умолчанию { default_syslog; default_debug; };
категория не имеет себе равных { ноль; };
};
Вместо этого давайте настроим BIND9 для отправки отладочных сообщений , связанных с DNS-запросами, в отдельный файл.
Нам нужно настроить канал , чтобы указать, в какой файл отправлять сообщения, и категорию .
В этом примере категория будет регистрировать все запросы. Отредактируйте /etc/bind/named.conf.local и добавьте следующее:
ведение журнала {
канал query.log {
файл "/var/log/named/query.log";
отладка серьезности 3;
};
запросы категорий { query.log; };
};
Примечание
Параметр debug может иметь значение от 1 до 3. Если уровень не указан, по умолчанию используется уровень 1.
Поскольку демон named работает от имени пользователя bind , необходимо создать каталог
/var/log/namedи изменить владельца:sudo mkdir /var/log/named sudo chown bind:bind /var/log/named
Теперь перезапустите BIND9, чтобы изменения вступили в силу:
sudo systemctl перезапустить bind9.service
Вы должны увидеть файл /var/log/named/query.log , заполненный информацией о запросе.
Это простой пример параметров ведения журнала BIND9. Дополнительные сведения о расширенных параметрах см. в разделе Дополнительная информация.
Каталожные номера
Общие типы записей
В этом разделе рассматриваются некоторые из наиболее распространенных типов записей DNS.
Запись: Эта запись сопоставляет IP-адрес с именем хоста.www IN A 192.168.1.12
Запись CNAME: используется для создания псевдонима существующей записи A. Вы не можете создать записьCNAME, указывающую на другую записьCNAME.веб В CNAME www
МХ 9Запись 0226: используется для определения адреса электронной почты. Должен указывать на записьA, а не наCNAME.@ IN MX 1 mail.example.com. почта ИН А 192.168.1.13
Запись NS: используется для определения того, какие серверы обслуживают копии зоны.
