域名系統 (DNS) 是一種數據庫框架,可將個人計算機的注冊域名解釋為 IP 地址,反之亦然。網絡 PC 使用IP 地址來查找并相互關聯,但個人很難回憶 IP 位置。
DNS 會自動將我們在 Web 瀏覽器中鍵入的名稱轉換為托管該站點的服務器的 IP 地址。DNS 還使您能夠與另一臺授權 PC 關聯或通過使用其易于理解的區域名稱而不是其數字 IP 地址來允許遠程管理。另一方面,反向 DNS (rDNS) 將 IP 地址解釋為域名。
每個擁有計算機鏈的組織都有一個處理 DNS 查詢的服務器,稱為域服務器。除了系統外最近訪問的 PC 的 IP 地址外,它將保存系統內的所有 IP 地址。DNS 可以比作電話目錄,您可以在其中使用易于記憶的名稱查找電話號碼。
DNS 的工作原理
DNS 解析涉及類似于使用街道地址查找房屋的過程。每個連接到互聯網的設備都被賦予一個 IP 地址。當有人輸入查詢時,主機名將轉換為 IP 地址以完成查詢。網址和機器友好地址之間的這種轉換對于任何網頁的加載都至關重要。
在機器級別,當發起搜索查詢時,瀏覽器會在本地緩存中查找信息。如果找到該地址,它將在局域網 (LAN) 中查找 DNS 服務器。如果局域網中的DNS服務器被找到并接收到查詢,就會返回一個結果。如果沒有找到 DNS 服務器,本地服務器會將查詢轉發到 Internet 服務提供商提供的 DNS 緩存服務器。
DNS 緩存服務器包含基于從權威 DNS 服務器獲取的緩存值的臨時 DNS 記錄。顧名思義,權威 DNS 服務器存儲并提供每個頂級域的權威名稱服務器列表。DNS 的工作基于層次結構,因此必須進一步了解這些服務器。
DNS 服務器的類型
- DNS 遞歸器——DNS 遞歸器服務器通過互聯網瀏覽器等應用程序從客戶端機器獲取請求。然后遞歸器發出額外的請求來完成客戶的 DNS 查詢。把它想象成一個圖書館員,他去圖書館某處尋找一本特定的書。
- 根域名服務器——這是將可理解的主機名破譯成 IP 的初始階段。將其視為圖書館中可用的索引,根據書名為您提供書架編號。
- TLD 名稱服務器——TLD 是搜索特定 IP 的后續階段,它具有主機名的最后一段。常見的 TLD 服務器是 .com、.in、.org. 等。
- 權威名稱服務器——此名稱服務器是查詢的最后停止。如果最終名稱服務器接近提到的記錄,它將把提到的主機名的 IP 恢復回進行底層查詢的 Recursor。
什么是 DNS 傳播
如果您的 IP 地址與用于查找您的房子的街道地址相似,如果您更改家庭地址會怎樣?新 IP 地址的域名服務器是什么?嗯,這就是DNS 傳播獲得相關性的地方。簡單來說,DNS 傳播是名稱服務器中所做的任何更改生效所需的時間。
當您更改域的名稱服務器或更改托管服務提供商時,世界各地的 ISP 節點可能需要長達 72 小時才能使用您域的新 DNS 信息更新其緩存。但是,確保在所有節點上完整更新記錄所需的時間可能會有所不同。
有關名稱服務器的新信息不會立即傳播,您的一些用戶可能仍會被重定向到您的舊網站。每個 ISP 節點都會保存緩存以加快加載時間,您別無選擇,只能等到所有節點都更新完畢。
您可以繞過或最小化 DNS 傳播,方法是使用當前 DNS 提供商一側的“A 記錄”將您的域指向目標 IP 地址,設置最小 TTL。更新“A 記錄”后,您可以等待一個小時,然后更改您的域的名稱服務器。這將確保您的網站不會有任何停機時間,因為兩個主機都將顯示相同的新網站。
DNS 安全擴展
鑒于 DNS 對于將任何查詢重定向到您的網站至關重要,因此黑客和不良行為者會試圖操縱它也就不足為奇了。DNS 本身無法確定數據是來自授權域還是已被篡改。這給系統暴露了很多漏洞和攻擊,例如 DNS 緩存中毒、DNS 反射攻擊、DNS 放大攻擊等。
在 DNS 緩存中毒攻擊中,不良行為者將有效 IP 地址替換為惡意 IP 地址。因此,幾乎所有訪問正版站點的用戶都將被重定向到這個新的 IP 地址。這個新位置可能具有原始站點的精確克隆,旨在竊取個人信息和銀行信息等關鍵數據,或者它可以重定向到一個網站,惡意軟件將被下載到本地計算機上。
為了解決這些嚴重問題,實施了 DNS 安全擴展 (DNSSEC)。DNSSEC旨在解決 DNS 中的弱點并為其添加身份驗證,從而使系統更加安全。DNSSEC 使用加密密鑰和數字簽名來強制執行合法連接和準確的查找數據。
雖然 DNSSEC 可以大大減少 DNS 的漏洞,但管理開銷以及時間和成本限制了其實施。對于許多組織來說,更好的選擇是選擇基于云的 DNS。與云網絡托管類似,基于云的 DNS 可確保地理上多樣化的網絡和 DNS 服務器基礎設施。它實現了高可用性、全局性能、可擴展性、更強的安全性和更好的資源管理。請在下面的評論部分告訴我們您的想法以及您是否使用過基于云的 DNS。
