计算机网络基础(二)
DNS
概述
DNS(Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统。它在大多数情况下运行在UDP协议之上,从事将主机名或域名转换为实际IP地址的工作。DNS就是这样的一位“翻译官”,详细的DNS解析的过程如下:
-
在浏览器中输入www.baidu.com域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。
-
如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。
-
如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/IP参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。
当我们使用命令创建并发送请求到DNS解析器时,在另一个终端利用tcpdump进行抓包:# shell 1 dig baidu.com # shell 2 tcpdump -s 0 -A -i any port 53这时我们可以看到本机向100.100.2.138发送了一个请求,随后该地址给主机返回了一个ip地址220.181.38.148,后者便是baidu.com的ip地址
而我们使用的本地DNS解析器100.100.2.138,就保存在/etc/resolv.conf文件中:
-
如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。
-
如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至 “根DNS服务器”,“根DNS服务器”收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理.com域的下一级DNS服务器地址(baidu.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找baidu.com域服务器,重复上面的动作,进行查询,直至找到www.baidu.com主机。
使用dig命令可以看到寻找给定域名的ip地址的全部过程:dig +trace www.baidu.com
DNS响应共有5个字段,第一个字段时请求,最后一个字段是响应;第二个字段是DNS响应的有效时间TimetoLive(以秒为单位),一小时内有效;第四个字段代表DNS响应/请求的类型 -
如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。不管本地DNS服务器用的是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。
记录类型
- A记录(Address):指定主机名(或域名)对应的IPv4地址的记录;
- AAAA记录:指定主机名(或域名)对应的IPv6地址的记录。
- CNAME记录(Canonical Name):可以多个主机名(域名)都转到一个域名记录上,由这个域名记录统一解析管理;
- SRV记录:标识某台主机暴露的某个服务,其格式为_Service._Proto.Name TTL Class SRV Priority Weight Port Target。其中,Service是目标主机提供的服务名称,Proto是协议类型(_TCP/_UDP),Port是服务暴露的端口(前加_),Target是目标主机的域名。
DNS解析的整个流程
所谓 递归查询过程 就是 “查询的递交者” 更替, 而 迭代查询过程 则是 “查询的递交者”不变。
举个例子来说,你想知道某个一起上法律课的女孩的电话,并且你偷偷拍了她的照片,回到寝室告诉一个很仗义的哥们儿,这个哥们儿二话没说,拍着胸脯告诉你,甭急,我替你查(此处完成了一次递归查询,即,问询者的角色更替)。然后他拿着照片问了学院大四学长,学长告诉他,这姑娘是xx系的;然后这哥们儿马不停蹄又问了xx系的办公室主任助理同学,助理同学说是xx系yy班的,然后很仗义的哥们儿去xx系yy班的班长那里取到了该女孩儿电话。(此处完成若干次迭代查询,即,问询者角色不变,但反复更替问询对象)最后,他把号码交到了你手里。完成整个查询过程。
UDP协议
只实现多路复用(将来自应用层的多个应用程序的数据包组合到同一网络层)和多路分离(将来自单个网络层的数据包分发到多个应用程序)。
UDP的主要特点
- UDP是无连接的,可以减少建立连接的开销和发送数据之前的延时。
- UDP使用最大努力交付,不保证可靠交付。
- UDP是面向报文的,一次发送一个完整的报文(对应用层报文不做任何处理,仅增加一个UDP首部),适合一次性传输少量数据的网络应用。
- UDP无阻塞控制,适合很多实时应用。
- UDP首部开销小,仅有8B(TCP首部20B)
- 有单播、多播和广播的功能
- 相对于TCP套接字的四元组,UDP套接字只包含了目的IP+目的端口号
UDP首部格式
- 16位源端口号:2B
- 16位目标端口号:2B
- 16位UDP长度(UDP首部+数据字段总长度):2B
- 16位UDP检验和(利用伪首部检验首部和数据字段是否有错,如有错则丢弃或附上错误警告交给应用层):2B
HTTPS协议
- Client发起一个HTTPS(https:/demo.linianhui.dev)的请求,根据RFC2818的规定,Client知道需要连接Server的443(默认)端口。
- Server把事先配置好的公钥证书(public key certificate)返回给客户端。
- Client验证公钥证书:比如是否在有效期内,证书的用途是不是匹配Client请求的站点,是不是在CRL吊销列表里面,它的上一级证书是否有效,这是一个递归的过程,直到验证到根证书(操作系统内置的Root证书或者Client内置的Root证书)。如果验证通过则继续,不通过则显示警告信息。
- Client使用伪随机数生成器生成加密所使用的会话密钥,然后用证书的公钥加密这个会话密钥,发给Server。
- Server使用自己的私钥(private key)解密这个消息,得到会话密钥。至此,Client和Server双方都持有了相同的会话密钥。
- Server使用会话密钥加密“明文内容A”,发送给Client。Client使用会话密钥解密响应的密文,得到“明文内容A”。
- Client再次发起HTTPS的请求,使用会话密钥加密请求的“明文内容B”,然后Server使用会话密钥解密密文,得到“明文内容B”。
在Linux系统中使用命令:curl https://www.baidu.com -v,可以观察到上述加密流程:
