Услугата за имена на домейни, или DNS, е един от крайъгълните камъни на съвременните IP мрежи, включително Интернет, най-известната мрежа от всички. Единствената цел на DNS е да намери IP адреса на компютър, когато всичко, което имате, е неговото име на хост. Колкото и просто да изглежда, всъщност е доста сложно. В интернет мащаба всеки потребител трябва да може да намери IP адреса на всеки ресурс, където и да е този ресурс. В локален мащаб DNS трябва да разрешава всяко име на хост към своя локален IP адрес и да препраща заявки за интернет адрес към публични DNS сървъри. За да помогнете на мрежовите администратори да управляват ефективно DNS, са налични няколко различни инструмента. Някои ще помогнат при настройката на DNS, докато други ще помогнат за отстраняване на неизправности или наблюдение на вашата DNS среда. Днес ще прегледаме някои от най-добрите инструменти за DNS, налични днес.
Ще започнем нашата дискусия, като се опитаме да обясним какво е DNS и как работи. Ще направим всичко възможно да го запазим възможно най-нетехнически. След това ще обсъдим управлението на DNS. Ще разгледаме различните аспекти на управлението на DNS. И тъй като тази статия е свързана изцяло с инструменти, след това ще представим различните видове DNS инструменти, които са достъпни за мрежовите администратори. Това естествено ще ни доведе до нашата основна тема: най-добрите налични инструменти за DNS. Ще прегледаме някои от най-полезните инструменти, които бихме могли да се сетим.
Съдържание
DNS – какво представлява и как работи
В ранните дни на Интернет само няколко шепи компютри бяха свързани помежду си, за да се избегне необходимостта да се адресират с помощта на тромави IP адреси, всеки компютър има име на хост и всеки взаимосвързан компютър имаше текстов файл – подходящо наречен „хостове“ – който съдържаше съответствието на IP адреса с името на хоста на всеки друг компютър в мрежата.
Докато имаше ограничен брой взаимосвързани компютри, това работеше добре, но скоро стана ясно, че трябва да се измисли някакъв по-добър начин за разпространение на информацията. DNS е създаден специално за тази цел. Накратко, DNS е разпространена версия на файла „hosts“, който може да разреши IP адреса на всяко име на хост. Красотата на DNS е, че това е разпределена система, където всеки локален администратор е отговорен само за поддържането на актуални данни за хостовете, които управлява, на DNS сървърите.
Обикновено всяка организация има локален DNS сървър. Той е отговорен за разрешаването на IP адреси за локални ресурси. Този сървър ще предаде всяка заявка, която не може да разреши към своя сървър за пренасочване, публичен DNS сървър в Интернет. Ще ви спестя подробности за това как точно го правят, но всеки публичен сървър за имена може да разреши всяко публично име на хост до публичен IP адрес. Като разширение, вашият локален DNS сървър също може да направи това, тъй като ще препраща заявки към публичен сървър.
Един от недостатъците на тази архитектура е, че разрешаването на IP адрес може да отнеме известно време, тъй като може да се наложи много сървъри да препратят заявката към друг. Този ефект се смекчава чрез локално кеширане. Всеки път, когато DNS сървър поиска някаква информация от името или друг сървър, той пак ще кешира тази информация. Следващият път, когато бъде поискан, няма да се налага да го извлича от друг сървър. Кеширането обаче не е вечно и рано или късно ще изтече и ще изисква от сървърите да запитват други сървъри.
Управление на DNS
Управлението на локалния DNS е важна задача. Всеки път, когато ново устройство — било то компютър, принтер или каквото и да е мрежово свързано оборудване — се добавя към мрежата, неговото име на хост и съответния IP адрес трябва да се добавят към локалния DNS сървър. В зависимост от това как управлявате IP адресите и какъв инструмент използвате, това може да бъде напълно ръчен процес, напълно автоматизиран или нещо между тях.
Друг важен аспект на управлението на DNS е да се гарантира, че разделителната способност на вашите публично достъпни ресурси – като вашия уебсайт, например – е правилно конфигурирана и достъпна на публични DNS сървъри, за да може всеки потребител да може да достигне до тях.
Мониторингът е друга важна част от администрирането на DNS. Когато DNS не работи, не е възможно име на хост към IP адрес и всички взаимосвързани ресурси стават недостъпни. Това определено е нещо, което човек би искал да избегне.
Различни видове DNS инструменти
Налични са няколко различни типа DNS инструменти. Първият тип са инструменти за одит на DNS. Тези видове инструменти ще изпълняват препращащи и обратни DNS заявки, за да потвърдят, че и двете съвпадат. Това е много полезно, тъй като несъответстващите предни и обратни записи могат да причинят всякакви проблеми.
Друг тип инструменти може да се използва за анализиране на структурата на вашата DNS архитектура. Той може да открие връзките между DNS сървърите и да ви помогне да имате по-детерминистичен подход към разрешаването на DNS. Както казахме по-рано, препращането на DNS заявки може да отнеме време, така че сте по-добри с ефективна архитектура, която този тип инструмент ще ви помогне да потвърдите. За тази цел може да се използва и софтуер за сравнителен анализ на DNS. Точно както може да се използва за сравняване на производителността на един публичен DNS сървър с друг, което може да ви помогне да определите най-добрия публичен DNS сървър за препращане на заявки.
Следват инструменти на командния ред, които обикновено се използват за тестване на разделителната способност на имената чрез ръчно запитване на сървъри. Nslookup и Dig са две такива команди, които ще разгледаме по-късно.
Последният тип инструменти са онлайн инструменти, които могат да се използват за провеждане на различни DNS-ориентирани тестове от множество места по целия свят. Тези инструменти могат да ви дадат доста добра представа за това как вашите хостове се разрешават от отдалечени клиенти.
Най-добрите DNS инструменти
С толкова много налични видове инструменти намирането на най-добрите не беше лесна задача. Опитахме се да намерим поне един от всеки тип инструменти, за да ви дадем представа какво е налично. Ето защо ние включваме комбинация от локално инсталирани софтуерни пакети, инструменти от командния ред, които вече са вградени направо в повечето операционни системи и онлайн инструменти.
1. Инструментите на SolarWinds Engineer (БЕЗПЛАТНА пробна версия)
Първите ни два инструмента са част от набора от инструменти на SolarWinds Engineer. Може би вече познавате SolarWinds. Може би дори използвате някои от продуктите му. Компанията си създаде солидна репутация за създаване на едни от най-добрите инструменти за мрежово администриране. Неговият водещ продукт, Network Performance Monitor, е признат от мнозина като един от най-добрите инструменти за наблюдение на мрежата. SolarWinds също е известен с многото си безплатни инструменти. Те са по-малки инструменти, всеки от които отговаря на специфични нужди на мрежовите администратори. Два примера за тези безплатни инструменти са Advanced Subnet Calculator и Kiwi Syslog Server.
Обратно към набора от инструменти на SolarWinds Engineer, това е пакет от над 60 различни инструмента. Някои от включените инструменти са безплатни инструменти от SolarWinds, докато други са инструменти, които се намират изключително като част от този пакет. Когато става въпрос за DNS инструменти, два от тях са включени в Инструментария на инженера, SolarWinds DNS Audit и SolarWinds DNS Structure Analyzer. Що се отнася до другите инструменти, които пакетът съдържа, ще се върнем към тях скоро.
1.1 SolarWinds DNS одит (БЕЗПЛАТНА пробна версия с набора от инструменти на инженера)
Инструментът SolarWinds DNS Audit е най-вече полезен за администратори, които управляват и конфигурират своя DNS ръчно. Това, което прави, е доста просто, но ползите от него са невероятни. Този инструмент ще сканира набор от IP адреси и ще издаде обратни DNS заявки за всеки адрес. Обратният DNS е процесът на разпитване на DNS сървър, за да се получи името на хоста, съответстващо на IP адрес, вместо обратното. Правилно конфигурираният DNS сървър трябва да има обратен DNS запис за всеки запис напред, който съдържа.
Така че, след като инструментът приключи преобразуването на всеки IP адрес в име на хост, t ще се опита да разреши всяко име на хост към неговия IP адрес и ще докладва за всеки запис, където е намерено несъответствие. Резултатът от одита е показан в табличен вид с един ред за всеки сканиран IP адрес.
1.2 Анализатор на DNS структура на SolarWinds (БЕЗПЛАТНА пробна версия с набора от инструменти на инженера)
Този следващ инструмент от набора от инструменти на SolarWinds Engineer, инструментът SolarWinds DNS Structure Analyzer е много различен в това какво прави и как работи. Този инструмент ще открие и създаде визуални диаграми на йерархичната DNS структура на DNS ресурсните записи на вашата организация, включително основни сървъри, сървъри за имена, глобални сървъри на домейни от най-високо ниво, указатели на cName и авторитетни адресни сървъри. Инструментът също така улеснява разграничаването на връзките между множество сървъри за имена и целеви IP адреси с помощта на структурната диаграма на DNS. Освен това пренасочванията от един DNS сървър към друг се показват графично.
Инструментът SolarWinds DNS Structure Analyzer може да не е за всеки, но за тези, които имат нужда от този тип инструменти, той наистина не може да бъде победен. И тъй като е част от безплатната пробна версия на Engineer’s Toolset, можем само да ви предложим да го опитате и да се уверите сами дали имате нужда от него.
Други инструменти, включени в набора от инструменти на инженера
Наборът от инструменти на SolarWinds Engineer включва много страхотни инструменти за отстраняване на неизправности. Ще намерите инструменти като Ping Sweep, DNS Analyzer и TraceRoute, които могат да се използват за извършване на диагностика на мрежата и за бързо разрешаване на сложни мрежови проблеми. А за мрежовите администратори, които се грижат за сигурността, някои от инструментите могат да се използват за симулиране на атаки във вашата мрежа и за идентифициране на уязвимости.
Наборът с инструменти на SolarWinds Engineer също има някои отлични инструменти за наблюдение и предупреждение. Някои ще наблюдават устройствата ви и ще подават сигнали, когато открият наличност или здравословни проблеми. Това често може да ви даде достатъчно време да реагирате, преди потребителите дори да забележат, че има проблем. И за да направите нещата още по-добри, можете да използвате някои от включените инструменти за управление на конфигурацията и консолидиране на регистрационни файлове.
Ето някои от инструментите, които ще намерите в набора от инструменти на SolarWinds Engineer, освен инструментите за одит на DNS и DNS Structure Analyzer.
Порт скенер
Switch Port Mapper
SNMP почистване
IP мрежов браузър
Откриване на MAC адрес
Разчистване на пинг
Монитор на времето за реакция
Монитор на процесора
Монитор на интерфейса
TraceRoute
Декриптиране на парола за рутер
SNMP Brute Force атака
SNMP речникова атака
Config Compare, Downloader, Uploader и Editor
SNMP trap редактор и SNMP trap приемник
Калкулатор на подмрежата
DHCP Scope Monitor
Анализатор на DNS структура
DNS одит
Управление на IP адреси
Убиец на WAN
Има много инструменти, включени в набора от инструменти на SolarWinds Engineer. Твърде много, за да ги спомена всички, всъщност. С налична безплатна 14-дневна пробна версия, може би най-добрият ви залог е да изтеглите пакета и сами да видите всичко, което наборът от инструменти може да направи за вас.
2. DNS Benchmark на GRC
Името на този инструмент говори много за това какво представлява. Ако сте се чудили дали изборът ви на DNS сървъри пречи на вашето интернет изживяване, DNS Benchmark на GRC ще предостави уникална, изчерпателна, точна и безплатна помощна програма за Windows — и Linux, когато използвате Wine — за определяне на точната производителност на локални и отдалечени DNS сървъри.
Въпреки че DNS Benchmark на GRC е пълен с функции, за да задоволи нуждите дори на най-взискателните и опитни мрежови администратори – и предлага функции, предназначени да позволят сериозно проучване на производителността на DNS, инструментът също е изключително лесен за използване, дори и за ежедневни и за първи път потребители. Една от най-добрите характеристики на този инструмент е неговата цена. Въпреки че продуктът не е с отворен код, той е безплатен и всеки може да го изтегли.
3. Nslookup
Следващият в нашия списък е доста полезен инструмент за отстраняване на неизправности, който е включен в повечето операционни системи – включително всички съвременни версии на Windows – наречен nslookup. Често се пренебрегва като инструмент за отстраняване на неизправности, но носи реална стойност. Nslookup е един от най-основните инструменти, които можете да използвате, за да проверите правилната конфигурация на DNS сървърите. Името му е съкратено от „търсене на сървър за имена“.
Виждането на nslookup на работа е най-добрият начин да разберете какво прави и как можете да се възползвате от него, така че ще започнем с малка демонстрация. Използването на командата е доста просто, просто я въведете, последвано от каквото и да заявите. За нашия пример ще използваме www.google.com.
Командата ще изглежда така:
C:>nslookup www.google.com
И ето как би изглеждал отговорът от nslookup:
Server: my.local.dns.server Address: 10.10.10.10 Non-authoritative answer: Name: www.google.com Addresses: 2607:f8b0:4002:80f::2004 172.217.4.4
Първите два реда на отговора ви казват кой сървър използва за получаване на информацията и IP адреса на този сървър. По подразбиране той ще използва първия DNS сървър, който е конфигуриран на компютъра, където използвате командата. Във втория nslookup ви казва, че предоставя неавторитетен отговор. Това не е нещо, за което да се притеснявате. Това просто означава, че сървърът, който дава отговор, е получил информацията от друг сървър. Всъщност би било доста изненадващо да получите авторитетен отговор от DNS сървъра на вашия локален компютър. Обикновено ще видите това, когато питате за друга локална машина. Следваща, разбира се, е информацията за действителната ви заявка. Nslookup първо изброява името, което сте запитали, последвано от действителния отговор или, в конкретния случай, отговорите. В нашия пример заявката върна както IPV6, така и IPV4 адрес.
Nslookup също има интерактивен режим, който активирате, като напишете командата самостоятелно. След като инструментът се стартира — ще забележите, че командният ред се променя на „>“ — вие сте готови да отговаряте директно на команди.
Има много различни начини, по които можете да запитвате DNS сървъри с nslookup. Можете да извлечете само информация за настройките на пощенския сървър, като напишете “set type=mx” в интерактивен режим. Можете също да се свържете с конкретен DNS сървър. Например, за да се свържете с DNS сървъра на Google, трябва да въведете „сървър 8.8.8.8“.
Nslookup има много повече опции от това и помага да сте запознати с услугата за имена на домейни, за да извлечете максимума от нея. Въпреки че това е остарял инструмент и мнозина биха искали да го видят заменен с нещо по-модерно – като dig, следващият ни инструмент – той остава един от най-използваните DNS инструменти.
4. Копайте
Dig е друг инструмент от командния ред, който набира все по-голяма популярност. Целта му е почти идентична с тази на nslookup, но синтаксисът му е малко по-различен. Освен това отговорите от dig са малко по-сложни от тези от nslookup. Това е една от причините, поради които dig не успява да измести по-големия си братовчед. Друга причина е, че докато nslookup е в почти всяка система, dig присъства само в някои дистрибуции на Linux. Може да се инсталира на всеки компютър с Linux или Windows, но за много администратори защо да си правят труда, когато nslookup свърши работата?
Ето как изглежда типичната заявка за копаене:
$ dig -t mx www.google.com ; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t mx www.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40683 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.google.com. IN MX ;; AUTHORITY SECTION: google.com. 60 IN SOA ns1.google.com. dns-admin.google.com. 164707171 900 900 1800 60 ;; Query time: 61 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Wed Aug 09 14:34:03 EDT 2017 ;; MSG SIZE rcvd: 113
Както можете да видите, той е много по-подробен от типичен отговор на nslookup.
5. Онлайн DNS инструменти – DNSstuff
Последният набор от DNS инструменти, за които искаме да говорим, са онлайн DNS инструменти. Тези инструменти могат да бъдат много удобни, тъй като ви дават различна гледна точка, тази на отдалечено устройство някъде в Интернет. Има безброй уебсайтове, които предлагат DNS инструменти. Те се различават в точните инструменти, които предлагат, но всички те поне ще ви позволят да получите публичен IP адрес от напълно квалифицирано име на домейн.
Например, DNSstuff е един такъв уебсайт, който предлага около дузина различни инструменти за тестване на различни аспекти на DNS, включително сложен и лесен за използване еквивалент на nslookup или dig. Основният недостатък на тези видове инструменти е, че обикновено не можете да изберете конкретен DNS сървър. Това, което получавате, е перспективата от отдалечено интернет местоположение.