域名解析

查看及检测网络： 1.使用ifconfig命令查看网络接口： 查看活动的网络接口，活动已激活 ifconfig b. 查看所有网络接口，禁用的接口也可以查出 ifconfig -a c. 查看指定的网络接口，无论接口是否处于激活状态 ifconfig 设备名 ifconfig 命令包含的信息： RX packets 接收数据包 TX packets 发送数据包 2. 使用ip 、ethool命令查看网络接口信息 a. 查看网络接口的数据链路层信息 ip link 查看网络接口层的网络层信息、 ip a （ip address、ip add） 查看指定网络接口速率、模式信息 ethtool mii –tool 查看链路是否通 3. 查看主机名、路由表 A. hostname 查看主机名 B. 查看路由表 1>.使用route查看路由表（route –n =netstat -rn） 2>.使用netstat -r查看路由表 （-n 不执行DNS反向查找，直接显示数字形式的IP地址） 4.查看网络连接情况 netstat -r 显示路由表信息 -l 查看监听（listen）状态下的网络信息 -a 显示当前主机中所有的网络连接信息 -n 以数字的形式显示相关信息 -p 显示与网络连接相关的进程号 5.ping、traceroute、nslookup命令 1>.测试网络连通性：ping -c

一、何为域名恶意解析 外部未知的域名持有者，将域名解析到非其所持有的服务器 公网IP 上，间接或直接造成损害他人利益的行为。 二、借刀杀人 域名的恶意解析，可以用于借刀杀人。 这个手法很骚，轻则可以将对手的SEO排名拉低，重则可以让工信部封杀其站点。 具体实现条件如下： 未备案的域名或已被接入工信部黑名单的域名 获取要攻击的站点，其源服务器使用的公网IP 确认要攻击的网站80端口和443端口可以直接用IP直接访问 将黑域名解析到该公网IP 危害如下： 不同域名解析到同个站点，真身域名权重被降低，SEO排名被假域名挤占 非法域名解析，导致源服务器被工信部封杀，网站停止服务 三、解决方法 将无效域名的HTTP请求，全部拒绝响应 以下是我的个人站点的nginx配置 server{ listen 80 default_server; server_name _; access_log off; return 444; } server{ listen 443 default_server; server_name _; ssl_certificate cert/www.wangxiaokai.vip.pem; ssl_certificate_key cert/www.wangxiaokai.vip.key; access_log off; return 444; } 3.1 筛选无效域名

1. 背景 例如，存在一套redis主从（主从节点在不同的主机上）,应用程序通过主库的ip进行读写操作。 但是，主库一旦出现故障，虽然有从库，且从库提升为主库，但是应用程序如果想使用从库则必须修改配置，重启应用方可生效。如用此情况，则涉及的人员比较多，且应用程序恢复使用的时间比较长。对于此情况，可以采取以下2种解决方式解决： a) 配置VIP 在Redis主库服务器上配置vip,当主库出现问题时，配置脚本将vip自动切换至从节点，并将从节点提升为读写状态。应用程序中配置的是vip,主库异常时，从库自动提升为主库对外提供服务，应用程序无需做任何操作。 b) 使用DNS 应用程序通过配置内网域名连接redis,DNS服务器对应域名映射到redis主库服务器IP。 当redis主库异常时，将redis从节点提升为读写主库,修改DNS域名映射关系至redis从节点ip，此时应用程序也无需进行操作。 注： 以上2种方式均存在缺陷，例如： vip方式存在问题： 当主从节点不在同一个机房或同一网段时,将无法使用相同的vip。 DNS方式： 使用DNS方式将有DNS缓存问题，即修改域名映射后域名仍可能解析到原主库机器的ip。 vip配合哨兵的高可用方式将在后续介绍，本次先介绍DNS服务器配置及dns方式解决方案。 2. DNS服务配置 2.1 安装DNS服务 # 安装bind相关工具 yum

　　1） 浏览器缓存 　　当用户通过浏览器访问某域名时，浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址（若曾经访问过该域名且没有清空缓存便存在）； 　　2） 系统缓存 　　当浏览器缓存中无域名对应IP则会自动检查用户计算机系统Hosts文件DNS缓存是否有该域名对应IP； 　　3） 路由器缓存 　　当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查，以上三步均为客服端的DNS缓存； 　　4） ISP （互联网服务提供商）DNS 缓存 　　当在用户客服端查找不到域名对应IP地址，则将进入ISP DNS缓存中进行查询。比如你用的是电信的网络，则会进入电信的DNS缓存服务器中进行查找； 　　5） 根域名服务器 　　当以上均未完成，则进入根服务器进行查询。全球仅有13台根域名服务器，1个主根域名服务器，其余12为辅根域名服务器。根域名收到请求后会查看区域文件记录，若无则将其管辖范围内顶级域名（如.com）服务器IP告诉本地DNS服务器； 　　6） 顶级域名服务器 　　顶级域名服务器收到请求后查看区域文件记录，若无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器； 　　7） 主域名服务器 　　主域名服务器接受到请求后查询自己的缓存，如果没有则进入下一级域名服务器进行查找，并重复该步骤直至找到正确纪录； 　　8 ）保存结果至缓存 　

问题： nginx启动或者reload的时候，会对proxy_pass后面的域名进行DNS解析，如果解析失败，启动就会失败或者reload失败。 我们是to B的产品，客户的环境可能是不通公网的，因此不能使用公网DNS服务，进而导致在ng启动的时候，对proxy_pass后紧跟域名的dns解析失败，最终导致nginx启动失败。 解决方案： 不直接在proxy_pass后写域名，而通过变量的方式配置，如下： set $target https://www.xxx.com; proxy_pass $target ; 除了上面的配置之外，还要在server属性的平行域下使用resolver指令，如下 resolver 114.114.114.114; Why? 假如proxy_pass后紧跟域名，那么在nginx启动的时候，会使用/etc/resolv.conf下配置的DNS服务器进行域名解析。 采用变量的方式后，nginx启动时不会再去解析变量所对应的域名，但是会在进行代理访问的时候，进行域名解析，此时不会使用/etc/resolv.conf配置的DNS服务器，必须使用reslover指令指定DNS服务地址。 问题： nginx启动或者reload的时候，会对proxy_pass后面的域名进行DNS解析，如果解析失败，启动就会失败或者reload失败。 我们是to B的产品

这个脚本用于快速配置dns，输入域名、ip即可，如果有什么特殊的配置，稍微修改一下就可以了 代码： #!/bin/bash #获取url echo "url:" read url #获取ip echo "ip:" read ip #向/etc/named.rfc1912.zones尾插入 #zone "$url" IN { # type master; # file "$url.zone"; # allow-update{ none; }; #}; cat>>/etc/named.rfc1912.zones<<EOF zone "$url" IN { type master; file "$url.zone"; allow-update{ none; }; }; EOF #复制生成文件 cp -a /var/named/named.localhost /var/named/${url}.zone #向/var/named/${url}.zone中插入 #$TTL 1D #@ IN SOA $url admin.$url. ( # 0 ; serial # 1D ; refresh # 1H ; retry # 1W ; expire # 3H ) ; minimum # NS datav.aliyuncs.com. # A $ip cat>/var/named/${url}

原文: http://106.13.73.98/__/191/ 网络通讯大部分是基于 TCP/IP 协议的，而 TCP/IP 是基于 IP 地址的，所以计算机在网络上进行通讯时只能识别如“202.96.134.133”这样的IP地址，而不能识别域名。我们无法记住很多个像这样的IP地址的网站，所以我们访问网站时，更希望的是在浏览器地址栏中输入域名便可看到需要的页面。因此， DNS服务器 便出世了，它能把我们的域名“翻译”成相应的IP地址。 所谓DNS服务器 DNS （Domain Name System）是 域名系统 的英文缩写，它用于 TCP/IP 网络，它所提供的服务是用来将主机名或域名转换为IP地址的。基本工作原理如下图： DNS解析全过程 当用户在地址栏中输入如：www.baidu.com时，DNS解析大致有如下过程： 首先，浏览器先检查自身缓存中有没有这域名对应的IP地址（之前是否解析过），如果有，则解析结束。 如果浏览器缓存中没有（专业点叫做未命中），浏览器会检查操作系统缓存中有没有对应的已解析过的域名。 操纵系统也有一个域名解析的过程，在windows中可通过 hosts 文件来定义，如果你在这里指定了一个域名对应的IP地址，那么浏览器会首先使用这个IP地址。 如果至此还未命中域名，才会真正的请求本地域名服务器—— LDNS ，来解析这个域名

https://wangxiaokai.vip/posts/2019-07-10-nginx-analysis/#more ------------------------------------------ 一、何为域名恶意解析 外部未知的域名持有者，将域名解析到非其所持有的服务器公网IP上，间接或直接造成损害他人利益的行为。 二、借刀杀人 域名的恶意解析，可以用于借刀杀人。 这个手法很骚，轻则可以将对手的SEO排名拉低，重则可以让工信部封杀其站点。 具体实现条件如下： 未备案的域名或已被接入工信部黑名单的域名 获取要攻击的站点，其源服务器使用的公网IP 确认要攻击的网站80端口和443端口可以直接用IP直接访问 将黑域名解析到该公网IP 危害如下： 不同域名解析到同个站点，真身域名权重被降低，SEO排名被假域名挤占 非法域名解析，导致源服务器被工信部封杀，网站停止服务 三、解决方法 将无效域名的HTTP请求，全部拒绝响应 以下是我的个人站点的nginx配置 123456789101112131415 server{ listen 80 default_server; server_name _; access_log off; return 444;}server{ listen 443 default_server; server_name _; ssl

过程： 1、 域名解析（获得IP地址） 2、 发起TCP连接 3、建立TCP连接后发起HTTP请求 4、服务器端处理HTTP请求，浏览器接收HTTP响应。 5、浏览器解析渲染页面 一、域名解析 DNS解析的过程就是寻找哪台机器上有你需要的资源的过程，互联网上每一台计算机的唯一标识就是它的IP地址，所以域名解析会将一个网址转换为IP地址。 解析过程： 上图是查找www.google.com的IP地址的过程。 首先在 本地域名服务器 中查找ip地址，如果没有找到，本地域名服务器会向根域名服务器发送一个请求。 如果 根域名服务器 也没有，则根域名服务器会向 com顶级服务器 发送请求，以此类推下去。 直到最后本地域名服务器获得ip地址并把它缓存到本地，供下次查询使用。 从上述过程中，可以看出解析过程是从右向左的：. ->com->google.com->www.google.com 具体过程： （1）在浏览器缓存中查找该域名对应的IP地址； （2）在本机系统查找是否缓存过IP，（系统自己也具备域名解析的能力）； （3）向本地域名服务器发送请求 　　本地域名系统一般是本地区的域名服务器，比如连接的校园网，那么域名解析系统就在校园的机房里；如果连接的是电信、移动等网络，那么本地域名解析系统就在北地区，有各自的运营商来提供服务。 （4）向根域名服务器发送请求。 。。。。。 查询的两种方式：

最近在进行前端面试方面的一些准备，看了网上许多相关的文章，发现有一个问题始终绕不开: 在浏览器中输入URL到整个页面显示在用户面前时这个过程中到底发生了什么。仔细思考这个问题，发现确实很深，这个过程涉及到的东西很多。这个问题的回答真的能够很好的考验一个web工程师的水平，于是我自问自答一番。 总体来说分为以下几个过程: DNS解析 TCP连接 发送HTTP请求 服务器处理请求并返回HTTP报文 浏览器解析渲染页面 连接结束 具体过程 DNS解析 DNS解析的过程就是寻找哪台机器上有你需要资源的过程。当你在浏览器中输入一个地址时，例如www.baidu.com，其实不是百度网站真正意义上的地址。互联网上每一台计算机的唯一标识是它的IP地址，但是IP地址并不方便记忆。用户更喜欢用方便记忆的网址去寻找互联网上的其它计算机，也就是上面提到的百度的网址。所以互联网设计者需要在用户的方便性与可用性方面做一个权衡，这个权衡就是一个网址到IP地址的转换，这个过程就是DNS解析。它实际上充当了一个翻译的角色，实现了网址到IP地址的转换。网址到IP地址转换的过程是如何进行的? 解析过程 DNS解析是一个递归查询的过程。 上述图片是查找www.google.com的IP地址过程。首先在本地域名服务器中查询IP地址，如果没有找到的情况下，本地域名服务器会向根域名服务器发送一个请求