域名系統(tǒng) (DNS) 是一種數(shù)據(jù)庫(kù)框架,可將個(gè)人計(jì)算機(jī)的注冊(cè)域名解釋為 IP 地址,反之亦然。網(wǎng)絡(luò) PC 使用IP 地址來(lái)查找并相互關(guān)聯(lián),但個(gè)人很難回憶 IP 位置。
DNS 會(huì)自動(dòng)將我們?cè)?Web 瀏覽器中鍵入的名稱(chēng)轉(zhuǎn)換為托管該站點(diǎn)的服務(wù)器的 IP 地址。DNS 還使您能夠與另一臺(tái)授權(quán) PC 關(guān)聯(lián)或通過(guò)使用其易于理解的區(qū)域名稱(chēng)而不是其數(shù)字 IP 地址來(lái)允許遠(yuǎn)程管理。另一方面,反向 DNS (rDNS) 將 IP 地址解釋為域名。
每個(gè)擁有計(jì)算機(jī)鏈的組織都有一個(gè)處理 DNS 查詢(xún)的服務(wù)器,稱(chēng)為域服務(wù)器。除了系統(tǒng)外最近訪(fǎng)問(wèn)的 PC 的 IP 地址外,它將保存系統(tǒng)內(nèi)的所有 IP 地址。DNS 可以比作電話(huà)目錄,您可以在其中使用易于記憶的名稱(chēng)查找電話(huà)號(hào)碼。
DNS 的工作原理
DNS 解析涉及類(lèi)似于使用街道地址查找房屋的過(guò)程。每個(gè)連接到互聯(lián)網(wǎng)的設(shè)備都被賦予一個(gè) IP 地址。當(dāng)有人輸入查詢(xún)時(shí),主機(jī)名將轉(zhuǎn)換為 IP 地址以完成查詢(xún)。網(wǎng)址和機(jī)器友好地址之間的這種轉(zhuǎn)換對(duì)于任何網(wǎng)頁(yè)的加載都至關(guān)重要。
在機(jī)器級(jí)別,當(dāng)發(fā)起搜索查詢(xún)時(shí),瀏覽器會(huì)在本地緩存中查找信息。如果找到該地址,它將在局域網(wǎng) (LAN) 中查找 DNS 服務(wù)器。如果局域網(wǎng)中的DNS服務(wù)器被找到并接收到查詢(xún),就會(huì)返回一個(gè)結(jié)果。如果沒(méi)有找到 DNS 服務(wù)器,本地服務(wù)器會(huì)將查詢(xún)轉(zhuǎn)發(fā)到 Internet 服務(wù)提供商提供的 DNS 緩存服務(wù)器。
DNS 緩存服務(wù)器包含基于從權(quán)威 DNS 服務(wù)器獲取的緩存值的臨時(shí) DNS 記錄。顧名思義,權(quán)威 DNS 服務(wù)器存儲(chǔ)并提供每個(gè)頂級(jí)域的權(quán)威名稱(chēng)服務(wù)器列表。DNS 的工作基于層次結(jié)構(gòu),因此必須進(jìn)一步了解這些服務(wù)器。
DNS 服務(wù)器的類(lèi)型
- DNS 遞歸器——DNS 遞歸器服務(wù)器通過(guò)互聯(lián)網(wǎng)瀏覽器等應(yīng)用程序從客戶(hù)端機(jī)器獲取請(qǐng)求。然后遞歸器發(fā)出額外的請(qǐng)求來(lái)完成客戶(hù)的 DNS 查詢(xún)。把它想象成一個(gè)圖書(shū)館員,他去圖書(shū)館某處尋找一本特定的書(shū)。
- 根域名服務(wù)器——這是將可理解的主機(jī)名破譯成 IP 的初始階段。將其視為圖書(shū)館中可用的索引,根據(jù)書(shū)名為您提供書(shū)架編號(hào)。
- TLD 名稱(chēng)服務(wù)器——TLD 是搜索特定 IP 的后續(xù)階段,它具有主機(jī)名的最后一段。常見(jiàn)的 TLD 服務(wù)器是 .com、.in、.org. 等。
- 權(quán)威名稱(chēng)服務(wù)器——此名稱(chēng)服務(wù)器是查詢(xún)的最后停止。如果最終名稱(chēng)服務(wù)器接近提到的記錄,它將把提到的主機(jī)名的 IP 恢復(fù)回進(jìn)行底層查詢(xún)的 Recursor。
什么是 DNS 傳播
如果您的 IP 地址與用于查找您的房子的街道地址相似,如果您更改家庭地址會(huì)怎樣?新 IP 地址的域名服務(wù)器是什么?嗯,這就是DNS 傳播獲得相關(guān)性的地方。簡(jiǎn)單來(lái)說(shuō),DNS 傳播是名稱(chēng)服務(wù)器中所做的任何更改生效所需的時(shí)間。
當(dāng)您更改域的名稱(chēng)服務(wù)器或更改托管服務(wù)提供商時(shí),世界各地的 ISP 節(jié)點(diǎn)可能需要長(zhǎng)達(dá) 72 小時(shí)才能使用您域的新 DNS 信息更新其緩存。但是,確保在所有節(jié)點(diǎn)上完整更新記錄所需的時(shí)間可能會(huì)有所不同。
有關(guān)名稱(chēng)服務(wù)器的新信息不會(huì)立即傳播,您的一些用戶(hù)可能仍會(huì)被重定向到您的舊網(wǎng)站。每個(gè) ISP 節(jié)點(diǎn)都會(huì)保存緩存以加快加載時(shí)間,您別無(wú)選擇,只能等到所有節(jié)點(diǎn)都更新完畢。
您可以繞過(guò)或最小化 DNS 傳播,方法是使用當(dāng)前 DNS 提供商一側(cè)的“A 記錄”將您的域指向目標(biāo) IP 地址,設(shè)置最小 TTL。更新“A 記錄”后,您可以等待一個(gè)小時(shí),然后更改您的域的名稱(chēng)服務(wù)器。這將確保您的網(wǎng)站不會(huì)有任何停機(jī)時(shí)間,因?yàn)閮蓚€(gè)主機(jī)都將顯示相同的新網(wǎng)站。
DNS 安全擴(kuò)展
鑒于 DNS 對(duì)于將任何查詢(xún)重定向到您的網(wǎng)站至關(guān)重要,因此黑客和不良行為者會(huì)試圖操縱它也就不足為奇了。DNS 本身無(wú)法確定數(shù)據(jù)是來(lái)自授權(quán)域還是已被篡改。這給系統(tǒng)暴露了很多漏洞和攻擊,例如 DNS 緩存中毒、DNS 反射攻擊、DNS 放大攻擊等。
在 DNS 緩存中毒攻擊中,不良行為者將有效 IP 地址替換為惡意 IP 地址。因此,幾乎所有訪(fǎng)問(wèn)正版站點(diǎn)的用戶(hù)都將被重定向到這個(gè)新的 IP 地址。這個(gè)新位置可能具有原始站點(diǎn)的精確克隆,旨在竊取個(gè)人信息和銀行信息等關(guān)鍵數(shù)據(jù),或者它可以重定向到一個(gè)網(wǎng)站,惡意軟件將被下載到本地計(jì)算機(jī)上。
為了解決這些嚴(yán)重問(wèn)題,實(shí)施了 DNS 安全擴(kuò)展 (DNSSEC)。DNSSEC旨在解決 DNS 中的弱點(diǎn)并為其添加身份驗(yàn)證,從而使系統(tǒng)更加安全。DNSSEC 使用加密密鑰和數(shù)字簽名來(lái)強(qiáng)制執(zhí)行合法連接和準(zhǔn)確的查找數(shù)據(jù)。
雖然 DNSSEC 可以大大減少 DNS 的漏洞,但管理開(kāi)銷(xiāo)以及時(shí)間和成本限制了其實(shí)施。對(duì)于許多組織來(lái)說(shuō),更好的選擇是選擇基于云的 DNS。與云網(wǎng)絡(luò)托管類(lèi)似,基于云的 DNS 可確保地理上多樣化的網(wǎng)絡(luò)和 DNS 服務(wù)器基礎(chǔ)設(shè)施。它實(shí)現(xiàn)了高可用性、全局性能、可擴(kuò)展性、更強(qiáng)的安全性和更好的資源管理。請(qǐng)?jiān)谙旅娴脑u(píng)論部分告訴我們您的想法以及您是否使用過(guò)基于云的 DNS。
