① 計算機是如何自動獲取的IP地址的
設置自動獲取IP地址方法:
(1)右鍵「網路鏈接」選擇「屬性」打開網路連接管理界面。
(2)在打開的窗戶中找到:Internet協議(TCP/IP) 雙擊打開或者單擊選中,單擊屬性。
(3)選擇自動獲取IP地址和選擇自動獲取DNS伺服器地址。
② 淺談DNS域名解析系統之Local DNS
域名解析系統就像是一本巨大的「地址簿」,記錄全世界所有網站域名對應的IP地址。但是這本「地址簿」的記錄分布在全球各地的權威域名伺服器上,要在裡面查到一條域名記錄可不是一件簡單的事情,需要一個熟悉規則的代理人幫忙----本地域名伺服器Local DNS。
域名解析整體流程:
這張圖的右側部分就是網站域名的「地址簿」,也就是權威域名伺服器,左邊是用戶側的部分,從圖中就可以看出來,主機瀏覽器並沒有直接訪問域名系統進行查詢,而是通過本地域名伺服器實現域名查詢的操作。
1: 用戶在瀏覽器地址欄輸入http://www.xbank.com,瀏覽器向本地域名伺服器發起查詢『www.xbank.com』的IP地址
2-3: 本地域名伺服器向根發起查詢,根確認自己沒有www.xbank.com對應的地址,但是知道這個域名是屬於com下的域名,於是返回頂級域名com的名字伺服器地址
4-5: 本地域名伺服器繼續向com發起查詢,com確認自己沒有www.xbank.com對應的地址,但是知道這個域名是屬於xbank.com下的域名,於是返回xbank.com的名字NS伺服器地址
6-7: 本地域名伺服器繼續向xbank.com發起查詢, xbank.com確認有這個域名對應的IP地址,於是返回www.xbank.com的IP地址
8: 本地域名伺服器獲得地址後將該地址返回給瀏覽器。瀏覽器通訪問該地址,打開網站頁面
大部分人認為域名是由配置在主機里的本地域名伺服器來解析的,其實這種觀點是不對的,本地域名伺服器本身不具備權威域名伺服器解析域名的功能,它的作用有兩個:第一,代替用戶設備參與域名查詢的迭代過程,幫助獲取域名查詢結果返回給用戶設備;第二,緩存域名查詢記錄,當其他用戶發起相同的域名查詢請求時可以直接返回查詢結果,可以加快域名查詢速度,同時也降低了權威伺服器,尤其是根伺服器的工作壓力。
本地域名伺服器給我們訪問互聯網帶來很大便利,但也埋下了隱患。從域名查詢的流程中可以看出,所有要訪問互聯網的設備都必須配置本地域名伺服器才可以正常訪問網站域名。試想一下如果黑客控制了某個運營商的Local DNS伺服器,修改某個A記錄到黑客偽造的站點,那麼用戶的訪問該網站的信息就會被劫持,實際上用戶輸入的域名以為是訪問到目標網站,其實真網站的域名解析被劫持解析為假網站的IP地址,這樣用戶在無知覺的情況下就會訪問到這個假網站(也稱釣魚網站),並泄露個人信息,這種攻擊方式叫做域名劫持(如圖2)。當然,域名劫持不一定是劫持到釣魚網站,也可能是一些廣告頁面(騙取流量),只要打開的網站不是想訪問的目標網站,那域名劫持的可能性就很大了。域名劫持可以發生在域名查詢流程的各個環節,很明顯本地域名伺服器是最薄弱的一個環節,大部分個人電腦本地域名伺服器配置的是家用路由器(通常是自動獲取,包括手機連公開的wifi,獲取的本地域名伺服器也是wifi的地址),而家用路由器可能連出廠密碼都沒改過,要獲得控制許可權毫無難度。
其次,公共的本地域名伺服器本身的穩定性也遭到詬病,由於公共域名伺服器的公開免費的特性,在訪問量大或者互聯網線路不穩定的時候,加上各運營商之間互聯互通的問題,經常會出現解析異常的情況,比如通過電信線路訪問聯通的本地域名伺服器可能出現解析超時的情況。對於多線路冗餘的企業用戶來說,配置哪個運營商本地域名伺服器是一個令人困擾的問題。
另外,域名緩存時間雖然通常跟隨權威伺服器TTL設置,但是本地域名伺服器是有許可權覆蓋這個設置的,若本地域名伺服器配置不正規,將緩存時間設置的極長,那麼域名綁定地址的更新就會成為一個問題,不管權威伺服器如何更新IP,本地域名伺服器上的域名由於還在緩存時間內就不會主動到權威域名伺服器更新IP地址,使用這台域名伺服器的用戶很長時間內只能訪問到舊網站,唯一的辦法是建議用戶換個本地域名伺服器,或者通知本地域名伺服器管理員刷新緩存。
對於互聯網用戶來說,面對本地域名伺服器的問題可以嘗試更換可信的第三方的本地域名伺服器。企業用戶考慮可用性、穩定性、安全性的需求,建議自建本地域名伺服器。
自建本地域名伺服器將直接對域名進行迭代查詢,可以規避互聯網本地域名伺服器被劫持的問題,同時通過負載均衡設備建立本地域名伺服器池,可以極大的提高本地域名服務的可用性和穩定性。另外,本地域名伺服器的解析日誌數據具有極高的分析價值,我們知道中毒或者被控的伺服器會主動向外發起訪問,此時通常會解析一個異常的黑域名,通過對本地域名伺服器的解析日誌的監控可以快速發現識別被控伺服器,提升互聯網安全防護能力。
自建本地域名伺服器雖然可以保證本身的可用性和安全性,但依然無法實現互聯網域名解析成功率100%。從域名整體解析流程可以看到,域名解析是一個全球互聯網域名伺服器迭代查詢訪問的過程,其中任何一個環節出問題都會導致域名解析緩慢、解析失敗等情況的出現,這在復雜的互聯網環境下比較常見,與互聯網質量、各層級的權威伺服器狀態都有關系,作為終端用戶很難跟蹤到問題的根本原因,建議應用系統建設時考慮容錯能力,在解析失敗後進行多次嘗試,必要時考慮應急方案,直接通過IP訪問目標網站。
好了,以上就是本地域名伺服器的介紹,它在整個互聯網訪問環節中是一個看起來不起眼,但是極其重要的角色,希望各位運維同仁能通過這篇文章重新審視本地域名伺服器在心目中的地位。
--- 轉自 @ 匠心獨運維妙維效
③ 主動填寫DNS伺服器地址對於上網有什麼好處么
有可能上不了網。不過主動添寫別的DNS也有好處,有時候網路很垃圾的時候,換個DNS就能上網了。比如谷歌的DNS,8.8.8.8
④ NTP網路校時服務詳解
地球分為東西十二個區域,共計 24 個時區,以格林威治作為全球標准時間(即GMT 時間,0時區),東部時區以格林威治時區進行加法,而西時區則以格林威治時間作減法。但地球的軌道並非正圓,在加上自轉速度逐年遞減,時間會有誤差。在計算時間的時,最准確是使用「原子震盪周期」所計算的物理時鍾。這種時鍾被稱為標准時間,即UTC時間(Coordinated Universal Time)。UTC 的准確性毋庸置疑,美國的 NIST F-1 原子鍾 2000 年才將產生 1 秒誤差。
實際生產生活中,使用原子時鍾這種准確的計時似乎缺少必要性,我們更多關注的是參與活動的各個個體在相同的時間環境下對話。例如,當我們說明天早上8:00開會的時候,我們並不在乎原子時鍾真實的計時情況,只要參會的所有個體對「明天早上8:00」這個時間具有相同的認知即可。這里時間同步是個非常重要的概念,如果某位同仁手錶慢了半小時,那它對「早上8:00」的理解就比其他人要慢半小時,最終會導致ta開會遲到。同樣的道理,我們在影視劇中經常能看到特種作戰小組在執行特別任務前一般都要先完成組員之間的時間同步,避免組員之間在時間上的認知差異給任務帶來不必要的麻煩,甚至危及生命。
NTP(Network Time Protocol,網路時間協議)是由RFC 1305定義的時間同步協議,用於分布式設備(比如電腦、手機、智能手錶等)進行時間同步,避免人工校時的繁瑣和由此引入的誤差,方便快捷地實現多設備時間同步。 NTP校時服務基於UDP傳輸協議進行報文傳輸,工作埠默認為123/udp 。
NTP的實現過程如圖所示,假如設備A和設備B本地時間存在差異(設備A早上10點,設備B早上11點),現在設備A欲通過NTP和設備B在時間上保持同步:
這樣可以輕松計算出來:
現假設設備A和設備B之間的時間差位 ,易得:
通過上式計算出 .
設備A就能根據 調整本地時間,實現和設備B的時間同步。
NTP的目的是在一個同步子網中,通過NTP協議將主時間伺服器的時鍾信息傳送到其他二級時間伺服器,實現二級時間伺服器和主時間伺服器的時鍾同步。這些伺服器按層級關系連接,每一級稱為一個層數(stratum),如主時間伺服器層數為 stratum 1,二級時間伺服器層數為 stratum 2,以此類推。時鍾層數越大,准確性越低。
注意:准確性指相對於主時間伺服器而言。
在NTP網路結構中,有以下幾個概念:
在正常情況下,同步子網中的主時間伺服器和二級時間伺服器呈現出一種分層主從結構。在這種分層結構中,主時間伺服器位於根部,二級時間伺服器向葉子節點靠近,層數遞增,准確性遞減,降低的程度取決於網路路徑和本地時鍾的穩定性。
NTP有兩種不同類型的報文,一種是時鍾同步報文,另一種是控制報文。控制報文僅用於需要網路管理的場合,它對於時鍾同步功能來說並不是必需的,這里不做介紹。
時鍾同步報文封裝在UDP報文中,其格式如圖所示:
各主要欄位解釋如下:
其中,NTP發送和接收的報文數據包類似,通常只需要前48個位元組就能進行授時和校時服務。下面分別是抓包獲取的NTP請求數據包和回復數據包示例(僅前48個位元組):
收到數據包後,接收端本地再產生一個時間戳( )。
這里,每個返回數據前4位元組為秒的整數部分,後4位元組為秒的小數部分。
設備可以採用多種NTP工作模式進行時間同步:
單播C/S模式運行在同步子網層數較高的層級上,客戶端需要預先知道時間伺服器IP或域名並定期向伺服器發送時間同步請求報文,報文中的 Mode欄位設置為 3(客戶模式)。伺服器端收到報文後會自動工作在伺服器模式,並發送應答報文,報文中的Mode欄位設置為4(伺服器模式)。客戶端收到應答報文後,進行時鍾過濾和選擇,並同步到優選的伺服器。客戶端不管伺服器端是否可達,也不管伺服器端所在的層數。在這種模式下,客戶端會同步到伺服器,但不會修改伺服器的時鍾。伺服器則在客戶端發送請求之間無需保留任何狀態信息。客戶端根據本地情況自由管理發送報文的時間間隔。
對等體模式運行在同步子網較低層級上,主動對等體和被動對等體實現時鍾相互同步。這里有兩個概念:主動對等體和被動對等體。
如上圖所示,對等體模式工作步驟如下:
1.主動對等體和被動對等體首先交互Mode欄位為3(客戶端模式)和4(伺服器模式)的NTP報文,這一步主要是獲得通信時延。
主動對等體和被動對等體可以互相同步。如果雙方的時鍾都已經同步,則以層數小的時鍾為准。
注意:對等體模式不需要用戶手動設置,設備依據收到的NTP報文自動建立連接並設置狀態變數。
廣播模式應用在多台工作站和不需要很高精度的高速網路中。主要工作流程如圖所示:
注意:在廣播模式下,服務端只負責向外廣播時鍾信息,自身時鍾不受客戶端影響。
組播模式適用於有大量客戶端分布在網路中的情況。通過在網路中使用 NTP 組播模式, NTP 伺服器發送的組播消息包可以到達網路中所有的客戶端,從而降低由於 NTP 報文過多而給網路造成的壓力。主要工作流程如下:
注意:組播模式和廣播模式類似,只是它是向特定的組播地址發送時鍾同步廣播報文。在組播模式下,服務端只負責向外廣播時鍾信息,自身時鍾不受客戶端影響。
多播模式適用於伺服器分布分散的網路中。客戶端可以發現與之最近的多播伺服器,並進行同步。多播模式適用於伺服器不穩定的組網環境中,伺服器的變動不會導致整網中的客戶端重新進行配置。其工作流程如下:
注意:為了防止多播模式下,客戶端不斷的向多播伺服器發送 NTP 請求報文增加設備的負擔,協議規定了最小連接數的概念。多播模式下,客戶端每次和伺服器時鍾同步後,都會記錄下此次同步過中建立的連接數,將調用最少連接的數量被稱為最小連接數。以後當客戶端調動的連接數達到了最小連接數且完成了同步,客戶端就認為同步完成;同步完成後每過一個超時周期,客戶端都會傳送一個報文,用於保持連接。同時,為了防止客戶端無法同步到伺服器,協議規定客戶端每發送一個 NTP 報文,都會將報文的生存時間 TTL(Time To Live)進行累加(初始為 1),直到達到最小連接數,或者 TTL 值達到上限(上限值為 255)。若 TTL 達到上限,或者達到最小連接數,而客戶端調動的連接數仍不能完成同步過程,則客戶端將停止一個超時周期的數據傳輸以清除所有連接,然後重復上述過程。
下面補充一些常用的NTP時鍾伺服器:
更多NTP授時伺服器請查看:
假設你比較喜歡清華的服務並打算將 ntp.tuna.tsinghua.e.cn 作為你的授時伺服器。下面將簡單介紹不同的操作系統該如何操作使得設備能夠使用此伺服器同步時間。
本部分以主流Windows 10 系統為例演示如何使用NTP服務同步系統時間。
來將此伺服器設置為個人選擇的時間伺服器。
Linux發行版有兩個主流程序支持ntp協議:ntpd和chrony。
具體使用和配置參考各自文檔: ntpd doc 和 chrony doc
在「系統配置 > 日期與時間 > 自動設置日期與時間」一欄,填入 ntp.tuna.tsinghua.e.cn 。