从安全的角度看待DNS( 二 ) _DNS

递归查询
迭代查询
反向查询

这里的每种查询技术都不简单，迭代、递归查询也是实现DNS服务的核心，但不是我这篇文章想讲述的重点，所以忽略。想了解细节的可以自己查询一下网络资料，反向查询有挺多安全知识的，我就单独写成一篇文章了：https://www.cnblogs.com/mysticbinary/p/13344930.html
查询的技术细节可以不用关心，但是常见的DNS记录类型还是要关心的：

CopyA：地址记录（Address），返回域名指向的IP地址 。AAAA ：A 记录处理 IPV4，AAAA 处理 IPV6 。SOA ：起始授权机构记录，SOA 备注说明了众多 NS（name server）记录中谁是主名称服务器，不参与功能，但是不能缺少 。NS：域名服务器记录（Name Server），返回保存下一级域名信息的服务器地址 。该记录只能设置为域名，不能设置为IP地址 。MX：邮件记录（Mail eXchange），返回接收电子邮件的服务器地址 。CNAME：规范名称记录（Canonical Name），返回另一个域名，即当前查询的域名是另一个域名的跳转（类似302跳转） 。PTR：逆向查询记录（Pointer Record），只用于从IP地址查询域名 。

答应我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。答应我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。答应我！下次你在看到A、AAAA、SOA、NS、MX、CNAME、PTR一定要一秒之内想出他们是干嘛的。因为太重要了。
从安全的角度上看，为了保证服务的安全可靠，至少应该有两条NS记录，而A记录和MX记录也可以有多条，这样就提供了服务的冗余性，防止出现单点失败。
域维护因为DNS服务就是一个类似分布式的服务，分布式就是分散的，如何保证各个分散的机器能及时的同步消息呢？在主域名服务器和从域名服务器之间维护同一个zone文件。可以简单的理解为，DNS设定一个协议来在主域名服务器和从域名服务器之间维护同一个zone文件。主要有以下两种同步的手段有：

全量传输 AXFR (full zone transfer)
就是设定一个固定时间（比如2分钟一次），就同步一次zone文件
增量传输 IXFR (incremental zone transfer)
传递非常大的zone文件是非常耗资源的（时间、带宽等），尤其是只有zone中的一个记录改变的时候，没有必要传递整个zone文件，增量传输是允许主域名服务器和从域名服务器之间只传输那些改变的记录。

ZONE文件是DNS上保存域名配置的文件，一个域名对应一个ZONE文件。
如果你的企业局域网只有一台DNS服务器，那么就不需要AXFR、IXFR