技巧8-9

　　(8)合理配置DNS的查询方式

　　DNS的查询方式有两种，递归查询和迭代查询。合理配置这两种查询方式，能够在实践中取得较好的效果。

　　其中，递归查询是最常见的查询方式，工作方式是：域名服务器将代替提出请求的客户机(下级DNS服务器)进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。

　　迭代查询又称重指引查询。其工作方式为：当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器(向上)，查寻到根域名服务器后，则会再次根据提示向下查找。

　　综合上面两点，我们可以看出来，递归查询就是客户机会等待最后结果的查询，而迭代查询是客户机等到的不一定是最终的结果，而可能是一个查询提示。因而存在如下两个问题：

　　二级DNS向一级DNS发起递归查询，会对一级DNS造成性能压力，所有跨域查询都要经过一级DNS响应给对应二级DNS；

　　二级DNS向一级DNS发起递归查询，再由一级向归属DNS发起递归的模式查询响应会有一定延时；

　　因此，有很多流量很大的DNS服务器是禁止客户机使用递归查询，用这种方式来减轻服务器的流量。

　　(9)使用dnstop监控DNS流量

　　在维护DNS服务器时，用户往往希望知道到底是哪些用户在使用DNS服务器，同时也希望能对DNS状态查询做一个统计，以及时地知道DNS的工作情况和状态。在传统的方式下，用户通常使用的是tcpdump等开源工具来进行抓包并通过查看53端口的流量来查看DNS 数据包。由于tcpdump并没有针对DNS流量进行特殊定制，因此使用起来可能不是非常方便。因此，用户可以使用专用于DNS的dnstop工具查询 DNS服务器状态。

　　dnstop是一种非常优秀的开源软件，用户可以到网站http：//dns.measurement- factory.com/tools/dnstop/src/上进行下载使用，目前该软件的最新版本为：dnstop-20090128.tar.gz。

　　由于该软件依赖tcpdump和pcap抓包库(libpcap)对网络上传输的数据包进行截获和过滤，所以用户需要确保系统安装相应软件后才能正常安装和使用dnstop。通常情况下，这两种必须的库都已经在系统中预装好了，使用下面的命令安装dnstop即可：

　　(1)解压缩源代码安装包

　　#tar vxfz ddnstop-20090128.tar.gz

　　(2)切换到解压目录，并使用configure 命令生成Makefile文件

　　#cd dnstop-20040309

　　#./configure

　　(3)使用make命令进行安装

　　#make

　　安装成功后，可以查看通过相应的网络接口来监控 DNS网络流量，如下所示：

　　#./dnstop -s eth0

　　0 new queries， 6 total queries Tue Mar 26 19：35：23 2008

　　Sources count %

　　---------------- --------- ------

　　172.96.0.13 4 66.7

　　172.96.0.14 1 16.7

　　172.96.0.15 1 16.7