域名系统 (DNS) 是一种数据库框架,可将个人计算机的注册域名解释为 IP 地址,反之亦然。网络 PC 使用IP 地址来查找并相互关联,但个人很难回忆 IP 位置。
DNS 会自动将我们在 Web 浏览器中键入的名称转换为托管该站点的服务器的 IP 地址。DNS 还使您能够与另一台授权 PC 关联或通过使用其易于理解的区域名称而不是其数字 IP 地址来允许远程管理。另一方面,反向 DNS (rDNS) 将 IP 地址解释为域名。
每个拥有计算机链的组织都有一个处理 DNS 查询的服务器,称为域服务器。除了系统外最近访问的 PC 的 IP 地址外,它将保存系统内的所有 IP 地址。DNS 可以比作电话目录,您可以在其中使用易于记忆的名称查找电话号码。
DNS 的工作原理
DNS 解析涉及类似于使用街道地址查找房屋的过程。每个连接到互联网的设备都被赋予一个 IP 地址。当有人输入查询时,主机名将转换为 IP 地址以完成查询。网址和机器友好地址之间的这种转换对于任何网页的加载都至关重要。
在机器级别,当发起搜索查询时,浏览器会在本地缓存中查找信息。如果找到该地址,它将在局域网 (LAN) 中查找 DNS 服务器。如果局域网中的DNS服务器被找到并接收到查询,就会返回一个结果。如果没有找到 DNS 服务器,本地服务器会将查询转发到 Internet 服务提供商提供的 DNS 缓存服务器。
DNS 缓存服务器包含基于从权威 DNS 服务器获取的缓存值的临时 DNS 记录。顾名思义,权威 DNS 服务器存储并提供每个顶级域的权威名称服务器列表。DNS 的工作基于层次结构,因此必须进一步了解这些服务器。
DNS 服务器的类型
- DNS 递归器——DNS 递归器服务器通过互联网浏览器等应用程序从客户端机器获取请求。然后递归器发出额外的请求来完成客户的 DNS 查询。把它想象成一个图书馆员,他去图书馆某处寻找一本特定的书。
- 根域名服务器——这是将可理解的主机名破译成 IP 的初始阶段。将其视为图书馆中可用的索引,根据书名为您提供书架编号。
- TLD 名称服务器——TLD 是搜索特定 IP 的后续阶段,它具有主机名的最后一段。常见的 TLD 服务器是 .com、.in、.org. 等。
- 权威名称服务器——此名称服务器是查询的最后停止。如果最终名称服务器接近提到的记录,它将把提到的主机名的 IP 恢复回进行底层查询的 Recursor。
什么是 DNS 传播
如果您的 IP 地址与用于查找您的房子的街道地址相似,如果您更改家庭地址会怎样?新 IP 地址的域名服务器是什么?嗯,这就是DNS 传播获得相关性的地方。简单来说,DNS 传播是名称服务器中所做的任何更改生效所需的时间。
当您更改域的名称服务器或更改托管服务提供商时,世界各地的 ISP 节点可能需要长达 72 小时才能使用您域的新 DNS 信息更新其缓存。但是,确保在所有节点上完整更新记录所需的时间可能会有所不同。
有关名称服务器的新信息不会立即传播,您的一些用户可能仍会被重定向到您的旧网站。每个 ISP 节点都会保存缓存以加快加载时间,您别无选择,只能等到所有节点都更新完毕。
您可以绕过或最小化 DNS 传播,方法是使用当前 DNS 提供商一侧的“A 记录”将您的域指向目标 IP 地址,设置最小 TTL。更新“A 记录”后,您可以等待一个小时,然后更改您的域的名称服务器。这将确保您的网站不会有任何停机时间,因为两个主机都将显示相同的新网站。
DNS 安全扩展
鉴于 DNS 对于将任何查询重定向到您的网站至关重要,因此黑客和不良行为者会试图操纵它也就不足为奇了。DNS 本身无法确定数据是来自授权域还是已被篡改。这给系统暴露了很多漏洞和攻击,例如 DNS 缓存中毒、DNS 反射攻击、DNS 放大攻击等。
在 DNS 缓存中毒攻击中,不良行为者将有效 IP 地址替换为恶意 IP 地址。因此,几乎所有访问正版站点的用户都将被重定向到这个新的 IP 地址。这个新位置可能具有原始站点的精确克隆,旨在窃取个人信息和银行信息等关键数据,或者它可以重定向到一个网站,恶意软件将被下载到本地计算机上。
为了解决这些严重问题,实施了 DNS 安全扩展 (DNSSEC)。DNSSEC旨在解决 DNS 中的弱点并为其添加身份验证,从而使系统更加安全。DNSSEC 使用加密密钥和数字签名来强制执行合法连接和准确的查找数据。
虽然 DNSSEC 可以大大减少 DNS 的漏洞,但管理开销以及时间和成本限制了其实施。对于许多组织来说,更好的选择是选择基于云的 DNS。与云网络托管类似,基于云的 DNS 可确保地理上多样化的网络和 DNS 服务器基础设施。它实现了高可用性、全局性能、可扩展性、更强的安全性和更好的资源管理。请在下面的评论部分告诉我们您的想法以及您是否使用过基于云的 DNS。