什么是 DNS?它是如何工作的？可在什么過程中提高效率和安全性獨家焦點

來源：互聯網　2023-06-02 08:52:29

隨著社會越來越發達，大家都選擇在網絡上汲取相關知識內容，比如dns服務器什么意思?(什么是 DNS?它是如何工作的？) ，為了更好的解答大家的問題，小編也是翻閱整理了相應內容，下面就一起來看一下吧！

dns是什么意思？(什么是DNS？它是如何工作的？)

(資料圖)

域名系統解析互聯網網站的名稱及其底層IP地址，并在此過程中提高效率和安全性。

來源:作者:基思·肖，喬希·弗魯林格譯者:xingyu.wang

(本文字數:4772，閱讀時間約8分鐘)

域名系統(DNS)是互聯網的基礎之一。然而，大多數不了解互聯網的人可能不知道，他們每天都用它來工作，檢查電子郵件或在智能手機上浪費時間。

本質上，DNS是一個匹配數字的名稱目錄。在這里，這些數字指的是IP地址，計算機使用這些地址相互通信。大部分對DNS的描述都是類比 *** 簿，對于30歲以上的人來說沒問題，因為他們知道 *** 簿是什么。

如果你還不到30歲，就把DNS當成你智能手機的聯系人列表。它將人們的名字與他們的 *** 號碼、Youyou.com代碼和電子郵件地址進行匹配，然后這個聯系人列表就有了地球上所有的人。

域名系統簡史

當互聯網還非常非常小的時候，人們很容易將特定的IP地址對應到特定的電腦上，但是隨著越來越多的設備和人加入到不斷增長的 *** 中，這種簡單的情況不可能持續很久。在瀏覽器中輸入特定的IP地址仍然可以到達一個網站，但當時和現在一樣，人們希望得到一個由容易記憶的單詞組成的地址，也就是我們今天所知道的域名(比如linux.cn)。在20世紀70年代和80年代初，這些名稱和地址是由斯坦福大學的Elizabeth Feinler指定的，她在一個名為HOSTS的文本文件中維護了一個主列表。TXT，記錄每一臺聯網的電腦。

隨著互聯網的發展，這種情況顯然無法維持，尤其是因為費因勒只處理加州時間下午6點前的請求，他還得在圣誕節請假。1983年，南加州大學的研究員Paul Mockapetris奉命在各種建議中提出一個折中方案來解決這個問題。但他基本上無視了所有的建議，轉而開發了自己的系統，他稱之為DNS。雖然從那時起它已經發生了很大的變化，但它仍然以近40年前的方式工作。

DNS是如何工作的？

名字和數字匹配的DNS目錄并沒有完全隱藏在互聯網的某個黑暗角落。截至2017年底，它已經記錄了超過3.32億個域名，如果把它作為一個目錄，那真的會非常龐大。就像互聯網本身一樣，這個目錄分布在世界各地，存儲在域名服務器上(一般簡稱DNS服務器)。這些服務器將非常定期地相互通信，以提供更新和冗余。

權威DNS服務器和遞歸DNS服務器的比較

當您的計算機想要查找與域名相關聯的IP地址時，它將首先向遞歸DNS服務器(也稱為遞歸解析器)發出請求。遞歸解析器是一種通常由ISP或其他第三方提供商運營的服務器。它知道需要請求哪些其他DNS服務器來解析網站的名稱及其IP地址。實際擁有所需信息的服務器稱為權威DNS服務器。

DNS服務器和IP地址

每個域名可以對應多個IP地址。事實上，一些網站有數百個甚至更多的IP地址對應一個域名。例如，你的電腦訪問www.google.com的服務器可能與其他國家的人在他們的瀏覽器中輸入相同網站名稱的服務器完全不同。

此目錄的分布式性質的另一個原因是，如果此目錄僅在一個地方由數百萬、可能數十億同時查找信息的人共享，當您查找網站時，需要多長時間才能得到響應-這就像排隊等候使用 *** 簿一樣。

什么是DNS緩存？

為了解決這個問題，許多服務器共享DNS信息。但是，最近訪問過的網站的信息也會緩存在客戶端計算機上。你可以一天使用幾次google.com。您的電腦并不總是向DNS名稱服務器查詢google.com的IP地址，而是將此信息存儲在您的電腦上，這樣它就不必訪問DNS服務器來解析此名稱的IP地址。額外的緩存也可能出現在用于將客戶端連接到互聯網的路由器上，以及用戶的互聯網服務提供商(ISP)的服務器上。有了這么多緩存，對DNS域名服務器的查詢數量實際上比看起來要少得多。

如何找到我的DNS服務器？

一般來說，當您連接到互聯網時，您使用的DNS服務器將由您的 *** 提供商自動建立。如果您想知道哪些服務器是您的主名稱服務器(通常是遞歸解析器，如上所述)，有一些 *** 實用程序可以提供有關您當前 *** 連接的信息。Browserleaks.com是一個很好的工具。它提供了很多信息，包括您當前的DNS服務器。

我可以使用8.8.8.8的DNS到Youyou.com嗎？

但是請記住，雖然您的ISP會設置一個默認的DNS服務器，但您沒有義務使用它。一些用戶可能有理由避開他們的ISP的DNS，例如，一些ISP使用他們的DNS服務器將對不存在的地址的請求重定向到帶有廣告的網頁。

如果您想要一個替代方案，您可以將您的計算機指向一個公共DNS服務器，并將其用作遞歸解析器。最著名的公共DNS服務器之一是谷歌的，它的IP地址是8.8.8.8和8.8.4.4。谷歌的DNS服務往往很快。雖然對谷歌提供免費服務的不可告人的動機有些懷疑，但他們并不能真正從你這里獲得比他們從Chrome瀏覽器獲得更多的信息。谷歌有一個頁面，詳細說明如何配置你的電腦或路由器連接到谷歌的DNS。

如何提高DNS效率

DNS的組織結構有助于保持事情快速順利地運行。為了說明這一點，讓我們假設你想訪問linux.cn。

如上所述，對IP地址的初始請求是向遞歸解析器發出的。遞歸解析器知道它需要請求哪些其他DNS服務器來解析網站名稱(linux.cn)及其IP地址。這個搜索會傳遞給根服務器，根服務器知道所有頂級域名的信息，比如。com，。網，。org，以及所有國家域名，如。cn(中國)和。英國(英國)。根位于世界各地，因此系統通常會將您指引到地理上最近的服務器。

一旦請求到達正確的根服務器，它將轉到一個頂級域名(TLD)服務器，該服務器存儲二級域名的信息，即您書寫之前的單詞。com，。org和。net(比如linux.cn的信息是“linux”)。然后，請求進入域名服務器，里面保存著網站的信息和IP地址。一旦找到IP地址，它將被發送回客戶端，客戶端現在可以使用它來訪問網站。這一切只需要幾毫秒。

因為DNS工作了30多年，大多數人都覺得理所當然。在構建系統時，沒有考慮到安全問題，于是黑客們充分利用了這一點，制造了各種攻擊。

DNS反射攻擊

DNS反射攻擊可以用來自DNS解析服務器的大量信息淹沒受害者。攻擊者使用偽裝成受害者的IP地址從他們能找到的所有開放DNS解析器請求大量DNS數據。解析器響應時，受害者會收到大量不請自來的DNS數據，讓他不知所措。

DNS緩存中毒

DNS緩存中毒會將用戶轉移到惡意網站。攻擊者設法在DNS中插入虛假的地址記錄，這樣當潛在的受害者請求解析其中一個中毒網站的地址時，DNS將使用攻擊者控制的另一個網站的IP地址進行響應。一旦他們訪問這些虛假網站，受害者可能會受騙，泄露密碼或下載惡意軟件。

DNS資源耗盡

DNS資源耗盡攻擊可以阻塞ISP的DNS基礎設施，阻止ISP的客戶訪問互聯網上的網站。攻擊者注冊一個域名，利用受害者的名稱服務器作為域名的權威服務器來實現這種攻擊。因此，如果遞歸解析器無法提供與網站名稱相關的IP地址，它將詢問受害者的名稱服務器。攻擊者會對自己注冊的域名進行大量請求，查詢不存在的子域，導致大量解析請求發送到受害者的名稱服務器，使其不堪重負。

DNSSec是什么？

DNS安全擴展是為了讓參與DNS查詢的各級服務器之間的通信更加安全。它由負責DNS系統的互聯網名稱與數字地址分配機構(ICANN)設計。

ICANN意識到DNS頂級、二級和三級目錄服務器之間的通信存在弱點，可能允許攻擊者劫持查詢。這將允許攻擊者使用惡意網站的IP地址來響應合法網站的查詢請求。這些網站可能會向用戶上傳惡意軟件，或者進行 *** 釣魚和 *** 釣魚攻擊。

DNSSec將通過讓每一級DNS服務器對其請求進行數字簽名來解決這一問題，這確保了最終用戶發送的傳入請求不會被攻擊者利用。這建立了一個信任鏈，因此在查詢的每一步，請求的完整性都將得到驗證。

此外，DNSSec可以確定域名是否存在，如果不存在，它不會讓欺詐性域名交付給尋求域名解析的無辜請求者。

隨著越來越多的域名被創建，越來越多的設備通過物聯網設備和其他“智能”系統不斷加入 *** 。隨著越來越多的網站遷移到IPv6，有必要維護一個健康的DNS生態系統。大數據和分析的增長也帶來了對DNS管理的更大需求。

SIGRed:蠕蟲DNS漏洞再次出現

最近，隨著Windows DNS服務器缺陷的發現，全世界都看到了DNS中的弱點所造成的混亂。這種潛在的安全漏洞被稱為SIGRed，它需要復雜的攻擊鏈，但使用未打補丁的Windows DNS server，就有可能在客戶端安裝并執行任意惡意代碼。此外，該漏洞是“蠕蟲可傳播的”，這意味著它可以在沒有人為干預的情況下在計算機之間傳播。該漏洞被認為足夠令人震驚，美國聯邦機構已要求他們在幾天內安裝補丁。

通過https:一種新的隱私模式

在撰寫本報告時，DNS正處于其歷史上更大變革的邊緣。谷歌和Mozilla控制了瀏覽器市場的大部分份額，他們正在鼓勵HTTPS域名系統的發展。在這種情況下，DNS請求將由HTTPS協議加密，該協議已經保護了大部分Web流量。在Chrome的實現中，瀏覽器會檢查DNS服務器是否支持DoH，如果不支持，會將DNS請求重新路由到谷歌的8.8.8.8。

這一舉動并非沒有爭議。保羅·維謝(Paul Vixie)早在20世紀80年代就對DNS協議做了大量的早期工作，他將這一舉動稱為安全方面的“災難”:例如，企業it部門將更難監控或引導DoH流量通過其 *** 。不過Chrome瀏覽器無處不在，DoH很快就會默認打開，大家拭目以待吧。

推薦DIY文章