3.3.2. 算法
名字服务器使用的算法和本地操作系统和数据结构相关,下面的算法假设RR以几个树型结构组织,一个树就是区,有一个树是用于缓冲的:
是不是支持循环查询要看服务器,如果支持,而且需要循环查询,转到第5步;
查询最靠近QNAME祖先的结点所在的区,如果未找到这个区,转第4步;
开始在区内从上到下进行匹配,匹配过程的结束条件有以下几个:
如果整个QNAME匹配了,我们就找到了。如果数据所在结果是CNAME,QTYPE不匹配CNAME,复制CNAME RR到响应的应答区,将QNAME改变为CNAME RR中的标准形式后返回第1步;否则复制所有匹配QTYPE的RR到响应的应答区,然后转第6步;
如果匹配的结果使我们离开了认证权威,我们就获得一个参照(referral),我们这时会碰到一个带有NS RR的结点,复制NS RR到响应的认证区内,在其它区域随便放上什么地址,如果从认证数据或缓冲内没有获得地址,可以使用关联RR。然后转到第4步;
如果在一些标记上不可能有匹配,看看是不是有"*"标记存在,如果"*"标记不存在,检查我们要查找的名字是不是QNAME,如果名字就是原来的QNAME,在响应中设置错误,否则退出。如果"*"存在,以RR和QTYPE匹配,如果匹配成功,将它们复制到响应中,但设置RR的拥有者(owner)为QNAME,不是带有"*"的结点,然后转到第6步;
在缓冲中进行匹配,如果在缓冲中找到QNAME,将所有和它关联的而且匹配QTYPE的RR复制到响应区,如果没有从认证权威来的授权,可以在缓冲中寻找最好的一个,将它放在认证区内,然后转到第6步;
使用本地resolver响应请求。保存包括中间CNAME在内的结果到应答中。
仅使用本地数据,试着加入其它有用的RR到查询的附加部分。然后退出。
3.3.3. Wildcard
在前面的算法中,我们对其拥有者以*开始的RR进行了特殊处理,这类的RR称为wildcards。Wildcard RR可以看成合成RR的指令,在有合适的条件时,服务器创建RR,这个RR的拥有者名和查询名相同,而内容是从wildcard RR获得的。这种机制经常用于创建一个区,这个区可用于在网络上从一个邮件系统向另一个邮件系统转发邮件。这种情况下,通常的假设是区中的所有名字都存在,只要没有说不存在,都认为有。
wildcard RR的内容遵守通常RR的格式,区中的wildcard有一个拥有者名,它控制者可以进行匹配的查询名。wildcard RR的拥有者名是以下的形式:"*.",其中是任何域名,不应该再包括其它*标记,而且它应该在区的认证数据之中。我们可以把wildcard看成是通配符的作用。wildcard RR在以下情况中不适用:
查询在应该在别的区中;
如果区中已经存在了它所代表的某个域。例如,如果wildcard RR有"*.X",区中包括了B.X,那么wildcard就不代表B.X,A.B.X或X,而只能代表Z.X了。
在查询名中的*没有什么特殊作用,它只用于在认证权威区中检测wildcard,这样的查询是唯一可以在响应中获得包括拥有者名中包含*的查询请求,其它请求的响应都不能包含*。这样查询的结果不能缓冲。在合成RR时,wildcard RR的内容不应该被改变。
下面是一个例子,我们假设一个大公司有一个大型的非TCP/IP网络,它要创建一个邮件网关。如果公司是X.COM,而TCP/IP网关为A.X.COM,下面的RR可能会在COM区中:
X.COM
MX
10
A.X.COM
*.X.COM
MX
10
A.X.COM
A.X.COM
A
1.2.3.4
A.X.COM
MX
10
A.X.COM
*.A.X.COM
MX
10
A.X.COM
对于所有X.COM中的MX查询,都会得到A.X.COM。存在两个wildcard RR是必须的,因为有A.X.COM,就必须要有*.A.X.COM,否则W.A.X.COM就查询不出来,原因请在本节中的wildcard RR不适用的情况中寻找。
3.3.4. 否定响应缓冲(可选)
DNS可以允许服务器提供一种否定响应缓冲服务,在这种服务下服务器返回一个否定响应和一个TTL,resolver可以认为在TTL的时间之内相同的查询都会获得否定响应。同样的,resolver可以进行一个配置多个类型的查询,并缓冲不存在的类型。
实现的方法是当数据是被认证时服务器加入一个SOA RR到响应的附加区域,SOA必须是那个区的,而且这个区必须中响应中数据的认证权威区,SOA的MINIMUM域控制缓冲否定响应的时间。在有些情况下,响应数据可能包括多个拥有者名,这时SOA机制应该用于匹配QNAME的数据上,它才是唯一被认证了的数据。服务器和resovler不应该试图添加SOA到非认证响应的附加区域,也不应该进行任何推测。
这个功能是可选的,虽然现在它越来越有可能成为标准,但是服务器并非非要加SOA RR到所有的认证响应中去,resolver也不一定非要缓冲否定结果。所有的resolver和支持循环查询的服务器都应该可以忽略SOA RR。
3.3.5. 区的维护与传输
区管理员的部分工作是维护所有服务器上的区数据。当必须要进行修改时,修改必须让所有的名字服务器知道。这一过程可以通过FTP或其它什么过程完成,而推荐的方法是DNS协议的区传输部分所指出的方法。通常的自动更新模式是一个服务器是区的主服务器,管理员对区内的域名文件(master file)进行修改,修改后管理员通知主服务器装载新的数据,其它的非主服务器定期和主服务器进行同步。
为了知道是否发生了修改,非主服务器必须检查SOA的SERIAL域,只要有改变,SERIAL域就会改变,这种改变可能是加一,也可能是其它的什么算法,反正变了就行。因为我们改变的域大小是有范围的,因此理论上必须有一个修改的时间间隔,基本上,老的复本必须在序列号(就是那个域)用完其空间一半时消失。实际上只要保证比较操作的正确性就可以了。
非主服务器的定期同步由区内SOA RR的参数REFRESH,RETRY和EXPIRE决定。当非主服务器装入新区时,它会在REFRESH秒后向主服务器查询新序列号,如果查询未能完成,它会每隔RETRY秒重新进行一次。如果查询得到的序列号和原来的序列号一样,则不需要进行改变。在REFRESH时间间隔后重新开始。如果非主服务器在EXPIRE间隔后不能进行查询,它必须抛弃现有的区数据。
当查询后知道区内的数据已经改变,非主服务器必须通过AXFR请求请求主服务器传送区数据。AXFR可能会被拒绝而产生错误,但是通常情况下会得到一系列响应信息。第一个和最后一个信息必须包括区内顶认证结点的数据。中间的信息包括区内其它RR的信息,包括认证的和非认证的。这些数据使非主服务器得到区数据的复本,因为必须保证数据的准确,我们必须使用基于连接的协议。以上的查询操作不但可以在主服务器非主服务器之间进行,而且可以在非主服务器之间进行。这可以提高整体的运行效率。
4. RESOLVERS
4.1. 介绍
Resolver是用户程序和域名服务器之间的接口,最简单的情况下,resolver接收从用户来的请求,返回符合本地数据格式的查询结果。resolver和请求DNS服务的程序在同一台机器上,但DNS服务器则在其它机器上,因为resolver可能要查询多个名字服务器,所有它需要有一个本地缓冲,而查询的时间则可能因具体查询不同而差别很大。resolver的一个重要作用是就是它有一个多个程序可以共享的缓冲区,这里保存着一些查询结果,使用这些结果可以减少对服务器反复的查询。
4.2. 客户-resolver接口
4.2.1. 典型函数
这个接口因主机不同而不同,但有三个函数是大家必须都有的:
主机名到主机地址转换,此函数通常定义用来模拟原来基于HOSTS.TXT的函数。给定一个字符串,返回一个32位IP地址,在DNS下,它转换为请求类型A的RR请求。因为DNS不保存RR的顺序,函数会进行排序将返回的许多地址中的一个返回给用户。请注意:最好是返回多个地址,但单个地址是模拟原来基于HOSTS.TXT服务的。
主机地址到主机名转换,给定32位IP地址,返回字符串。查询时采用PRT查询,主机名加上"IN-ADDR.ARPA"后缀进行查询,如IP地址为1.2.3.4,则PTR RR查询域名"4.3.2.1.IN-ADDR.ARPA"。
通用查询函数,调用者提供QNAME,QTYPE和QCLASS,希望所有匹配的RR,函数会使用DNS格式而非本机格式返回查询结果,结果中包括所有RR的内容。
在resolver执行上面的函数时,会返回以下的结果给客户:
给定请求数据的一个或多个RR,此时resovler以合适的格式返回结果
名字错误(NE),在查询的名字不存在是会返回NE
未找到数据错误,查询的名字存在,但合适类型的数据不存在时产生这种错误,如把主机地址用于邮箱地址时会返回错误
需要注意的是,有时某些函数会在查询时名字错误和数据未找到错误会被合并为另一种类型的错误,但通常函数不会。一个原因是程序通常先查询一个名字(包括类型信息),然后是同一个名字的另外类型,如果两个错误合起来,反面会减慢查询速度。
4.2.2. 别名
当试图解析一个特殊的名字查询时,resolver可能发现这是一个别名,如果可能这种情况会返回给客户。但是经常,当resolver碰到一个CNAME时,它会重新开始一个查询。然而,在执行通常函数而且CNAME RR配置查询类型时,resolver不应该要别名。在有别名的时候有几种特殊情况。多级别名应该避免,因为太缺乏效率,但这也不应该被做为错误返回给客户。对于别名循环和别名指向不存在的名字时应该将错误返回给客户。
4.2.3. 临时错误
有时候因为网络等原因,resolver可能不能完成某个请求,这时不应该返回没有名字或未查询到这类错误。这类错误对人类用户来说可是件烦心的事。在某些时候可以阻塞请求,但这并不是个好的解决之道,特别是服务器就等它完成以转向其它任务的时候。推荐的方法是返回错误指示现在出现临时错误。
4.3. Resolver内部
每个resolver的实现都不相同,会有复杂的逻辑处理各种错误,而本文只讨论一个纲领。
4.3.1. 根(Stub)resolvers
一种实现resolver的方法就是在支持循环查询的服务器上实现,这样可以节省PC机上的资源,也可以对查询结果缓冲进行集中管理。其它的事情就是要一个支持循环查询服务器地址的文件在PC机上,PC机上资源有限,支持一个域名数据库可能不太现实。用户必须确定所列的名字服务器支持循环查询,服务器可以拒绝进行任何客户的循环查询请求,因此用户必须向管理员核对。这种类型的服务有一些不足,因为循环查询较费时,根对UDP重发时间的选择比较难以确定,服务器会因为根的反复重发而崩溃。使用TCP或许会好,但这样会严重占用主机时间,使用TCP相当于实现一个实时的查询系统。
4.3.2. 资源
除了自己的资源外,resolver可以访问本地服务器保存的区数据。这会使resolver的速度加快,但是也可以让缓冲数据冲掉区数据。本文中指的本地信息是说缓冲和共享区数据,在有认证数据和缓冲数据时应该优先使用认证数据。下面的算法假设所有函数被转换为一个通常的查询函数,使用下面的数据结构代表进行中的请求的状态:
SNAME
要查询的域名
STYPE
查询请求的QTYPE
SCLASS
查询请求的QCLASS
SLIST
表示正在查询的名字服务器和区,它保存resolver的预测,预测希望查询的数据在什么地方,通过接收的数据,此结构内的数据会发生变化。它包括服务器地址,区内已知的服务器,历史记录,以及表示查询距离目标还有多远的标记(查询从树顶开始向下,直到目标)。
SBELT
在resolver无法从本地信息知道应该查询哪个服务器时,它就派上用场了。
CACHE
保存前一次响应的结果,因为resolver会抛弃达到TTL时间的RR,所有大部分resolver实现将接收到RR的时间转换为绝对时间,然后保存在缓冲中,resolver可以在查询时顺便将过期RR抛弃,也可定期进行维护。
