域名系統 (DNS) 是一種數據庫框架,可將個人計算機的注冊域名解釋為 IP 地址,反之亦然。網絡 PC 使用IP 地址來查找和關聯彼此,但 IP 位置對于個人來說可能很難回憶起來。
DNS 會自動將我們在網絡瀏覽器中輸入的名稱轉換為托管該站點的服務器的 IP 地址。DNS 還使您能夠與另一臺授權的 PC 相關聯,或者通過使用其易于理解的區域名稱而不是其數字 IP 地址來允許遠程管理。另一方面,反向 DNS (rDNS) 將 IP 地址解釋為域名。
每個擁有一系列計算機的組織都有一個服務器來處理 DNS 查詢,稱為域服務器。除了系統外最近訪問的 PC 的 IP 地址外,它將保存其系統內的所有 IP 地址。DNS 可以比作電話簿,您可以在其中使用易于記憶的名稱查找電話號碼。
DNS 的工作原理
DNS 解析涉及類似于使用街道地址查找房屋的過程。每臺連接到互聯網的設備都有一個 IP 地址。當有人輸入查詢時,主機名會轉換為 IP 地址以完成查詢。網址和機器友好地址之間的這種轉換對于任何網頁的加載都是至關重要的。
在機器級別,當發起搜索查詢時,瀏覽器會在本地緩存中查找信息。如果找到地址,它將在局域網 (LAN) 中查找 DNS 服務器。如果找到局域網內的DNS服務器并收到查詢,就會返回一個結果。如果找不到 DNS 服務器,則本地服務器會將查詢轉發到 Internet 服務提供商提供的 DNS 緩存服務器。
DNS 緩存服務器包含基于從權威 DNS 服務器獲取的緩存值的臨時 DNS 記錄。顧名思義,權威 DNS 服務器存儲并提供每個頂級域的權威名稱服務器列表。DNS 的工作是基于層次結構的,進一步了解這些服務器是必不可少的。
DNS 服務器的類型
- DNS 遞歸——DNS 遞歸服務器通過互聯網瀏覽器等應用程序從客戶端機器獲取請求。然后遞歸器發出額外的請求來完成客戶的 DNS 查詢。可以把它想象成一個圖書館員,他要去圖書館的某個地方尋找一本特定的書。
- 根域名服務器——這是將可理解的主機名解密為 IP 的初始階段。將其視為圖書館中可用的索引,它根據書名為您提供書架編號。
- TLD 名稱服務器——TLD 是搜索特定 IP 的后續階段,它具有主機名的最后一部分。常見的 TLD 服務器有 .com、.in、.org. 等。
- 權威名稱服務器——該名稱服務器是查詢的最后停止點。如果最終名稱服務器接近上述記錄,它將把上述主機名的 IP 恢復給進行基礎查詢的 Recursor。
什么是 DNS 傳播
如果您的 IP 地址與用于查找房屋的街道地址相似,那么如果您更改家庭住址會怎樣?新IP地址的域名服務器是什么?好吧,這就是DNS 傳播獲得相關性的地方。簡單來說,DNS 傳播是在名稱服務器中所做的任何更改生效所需的時間。
當您更改域的名稱服務器或更改托管服務提供商時,世界各地的 ISP 節點可能最多需要 72 小時才能使用您域的新 DNS 信息更新其緩存。但是,確保跨所有節點完整更新記錄所需的時間可能不同。
有關名稱服務器的新信息不會立即傳播,您的一些用戶可能仍會被重定向到您的舊網站。每個 ISP 節點都保存緩存以加快加載時間,您將別無選擇,只能等待所有節點更新。
您可以繞過或最小化 DNS 傳播,方法是使用當前 DNS 提供商一側的“A 記錄”將您的域指向目標 IP 地址,并設置最小 TTL。更新“A 記錄”后,您可以等待一個小時,然后更改您域的名稱服務器。這將確保您的網站不會有任何停機時間,因為兩個主機將顯示相同的新網站。
DNS 安全擴展
鑒于 DNS 對于將任何查詢重定向到您的網站至關重要,因此黑客和不良行為者會試圖操縱它也就不足為奇了。DNS 本身無法確定數據是來自授權域還是已被篡改。這使系統面臨大量的漏洞和攻擊,如DNS緩存中毒、DNS反射攻擊、DNS放大攻擊等。
在 DNS 緩存中毒攻擊中,不良行為者用惡意 IP 地址替換有效 IP 地址。因此,幾乎所有訪問真實站點的用戶都將被重定向到這個新的 IP 地址。這個新位置可能有原始站點的精確克隆,旨在竊取個人信息和銀行信息等關鍵數據,或者它可以重定向到一個網站,惡意軟件將被下載到本地計算機上。
為了解決這些嚴重的問題,DNS 安全擴展 (DNSSEC) 已到位。DNSSEC旨在解決 DNS 的弱點并為其添加身份驗證,使系統更加安全。DNSSEC 使用加密密鑰和數字簽名來強制執行合法連接和準確的查找數據。
雖然 DNSSEC 可以大大減少 DNS 的漏洞,但管理開銷以及時間和成本限制了它的實施。對于許多組織來說,更好的選擇是選擇基于云的 DNS。與云網絡托管類似,基于云的 DNS 可確保地理上多樣化的網絡和 DNS 服務器基礎設施。它支持高可用性、全局性能、可擴展性、更強的安全性和更好的資源管理。如果您在下面的評論部分使用了基于云的 DNS,請告訴我們您的想法。
