请问 内网的 dns服务器 为什么和 外网的dns服务器 一样？？

一、为什么内部网客户端使用的DNS服务器是公网上的IP呢？

DNS的作用是将域名地址，解析成网络上可识别的IP地址；

内网的电脑访问外网的域名，可通过三种方式进行DNS解析：

（1）本机解析：在本机的HOSTS文件中可以设置域名的IP地址；也可以在本机架设DNS服务；这种方式解析是最快的；

（2）内网DNS：在局域网内部架设DNS服务器；这种方式解析也是很快的；

（3）外网DNS：通过外网的DNS来进行域名解析工作；这种方式解析相对较慢一点，根据网络上DNS服务器的速度而定。

当然，我们可以使用多个DNS服务器，上述三种方式都可以同时采用，以确保DNS解析工作顺利进行。不过，大多数电脑还是使用外网的DNS服务器。这是因为：第一，局域网内部没有DNS服务器；第二，DNS的信息是不停变动的，想想，全世界有多少域名啊，有多少人每天在在更改自己域名的IP地址呀。这就需要下面的DNS服务器每天与上面的DNS服务器不停地同步。所以也可以这样说，从根目录开始，越到下面，DNS的信息就越陈旧；第三，DNS信息服务都是免费的。为什么不用别人免费的，偏要自己架一个呢？

二、内网客户端能访问到DNS服务器吗？

当然是可以，你之所以提这样的问题，我想可能有两点不理解，我解释一下，你看对不对。

1、你的IP地址是内部的地址，192.169.X.X，不是公网上的地址，你可能以为在公网上无法访问。其实你的内部地址，已经被你的网关（路由器）转换成公网上可以互访的公网地址了，也就是我们说的网络地址转换。同一个局域网的电脑，公网地址当然是一样的，只不过端口号是不一样的。

2、在访问DNS服务器之前，你已经在网上了。你上网以后，没有DNS服务时，你可以进行网络访问的。有很多人以为IE里面可以输入域名地址，打开网页就算上网。其实，网络上很多的东西，可以直接使用IP地址进行访问的。就好比前几年，QQ使用的是IP地址登陆，在DNS出错的情况下，有时网页虽然打不开，但QQ可以登陆，就是这个道理。

参考:

https://blog.51cto.com/ssxiaoguai/1576340

https://www.linuxprobe.com/chapter-13.html#134

DNS 欺骗 即域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信 息，那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子 邮件到一个未经授权的邮件服务器。

拒绝服务攻击（DOS）

黑客主要利用一些DNS 软件的 漏洞，如在BIND 9 版本（版本9.2.0 以前的 9 系列）如果有人向运行BIND的设备发送特定的DNS 数据包请求，BIND 就会自动关闭。攻击者只能使BIND 关闭，而无法在服务器上执行任意命令。如 果得不到DNS 服务，那么就会产生一场灾难：由于网址不能解析为IP 地址，用户将无方访问互联网。这样，DNS 产生的问题就好像是互联网本身所产生的问 题，这将导致大量的混乱。

分布式拒绝服务攻击（DDOS）

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。

缓冲区漏洞

Bind 软件的 缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。

TSIG SIG0

DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先，要先判断客户端与服务器间的信任关系为何，若是可信任者，可选择对称式的 TSIG。TSIG 只有一组密码，并无公开/私密金钥之分；若是非完全信任者，可选择非对称式金钥的 SIG0，虽有公开/私密金钥之分，相对的，设定上也较复杂。至于要选用哪种较适合，就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/named.conf 的dns-ip-list 的访问控制列表（ACL，access control list）会列出一些IP 地址，它们只能为主域进行传输区带信息。

DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性，并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数，然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树，那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配，对于密码签名这种认证方式都是绝对正确的，因为公钥仅仅用于解密合法 的hash 数，所以只有拥有私钥的拥有者可以加密这些信息。

额外域控制器上的DNS配置的步骤：

1. 在添加/删除程序－>添加/删除Windows组件中添加DNS服务。

2. 在第二台DNS服务器上，打开DNS服务器管理控制台。

3. 展开正向搜索区域，右键点击正向搜索区域，选择新建区域，单击下一步。

4. 选择“在ActiveDirectory中存储区域”，选择创建“主要区域”，单击下一步。注：只有选择“在ActiveDirectory中存储区域”，才能在有主要DNS区域的DNS域中创建第二台DNS服务器。

5. 选择DNS的复制范围，建议选择“至Active Directory林中的所有DNS服务器”，单击下一步。 注：在只有一个域的环境下，至林中与至域中所有DNS服务器是一样的。

6. 输入域DNS名称，单击下一步。

7. 选择“允许安全动态更新”，单击下一步，点击完成，第二台DNS服务器配置完成。

8. 返回DNS服务器控制台，展开正向搜索区域，右键点击新建区域，选择属性，单击区域复制，勾选“允许区域复制”，选择“到所有服务器”，单击确定。这样，DNS服务器之间的DNS数据将会同步更新。

---