什么是DNS?您需要了解有关DNS的知识。

嘿!大家晚上好, 随着DNSPOD的发展壮大, 这几年免费的第三方DNS服务,也像雨后春笋一样越来越多了,那么什么是DNS呢? DNS 是计算机域名系 (Domain Name System 或 Domain Name Service) 的缩写,它是由域名解析器和域名服务器组成的。通过它可以把你需要访问的网址找到,然后把信息送到你电脑上。 域名系统查询(简称DNS)是在有人在搜索栏中键入URL到页面加载之间发生的时间。从技术上讲,这是一个将URL(例如www.google.com)转换为IP地址的过程。

IP地址类似于您的房屋地址。就像您使用地址发送邮件一样,计算机也使用IP地址将数据发送到特定位置。由于IP地址很难记住(它们是一长串数字),因此计算机使用DNS在IP地址和URL(它们更容易记住)之间进行转换。所有连接互联网的设备都有IP地址。

DNS是如何工作的?

考虑到Internet的大小,计算机无法将所有IP地址存储在其内存中。相反,在浏览器中输入www.google.com会告诉计算机查找该网站的IP地址。首先,计算机检查其本地内存,称为其为缓存。这是计算机存储最近访问站点的IP地址位置,因此它可以更快地加载它们,而不必查找它们。那么,如果最近没有访问过的站点,计算机是如何找到站点的IP地址的呢?以下是DNS工作的原理:

第1步(步骤与上图相对应):计算机将询问ISP的本地递归名称服务器。ISP是Internet服务提供商,例如Time Warner Cable,Spectrum,Verizon等。名称服务器听起来很复杂,但它只是用于回答DNS请求的服务器软件(例如“ www.google.com的IP地址是什么?)。任何名称服务器都可以通过以下方式回答此问题:通过使用IP地址进行响应,或者通过响应其不知道并告诉发出请求的服务器询问其他服务器。递归名称服务器是不同的,因为它不知道问题的答案。它将完成查找答案的工作,而不仅仅是重定向查询。并非所有名称服务器都是递归的。

第2步:递归名称服务器将首先检查其缓存。如果IP地址不存在,它将询问根名称服务器(根名称服务器不知道IP地址,但它们可以读取请求并告诉递归名称服务器下一步要去哪里)。所有递归名称服务器都预先配置了13个根名称服务器的IP地址。递归名称服务器选择一个并询问相同的问题(“ www.google.com的IP地址是什么?”)。

第3步:根名称服务器读取顶级域(请求的结尾),在本例中为.com(www.google.com),并将告诉递归名称服务器询问全局顶级域服务器(GTLD) 。GTLD本质上是每种域(.com,.net,.edu等)的参考列表。尽管它们不知道网站的IP地址,但他们确实知道哪些域名服务器将具有该信息。

第4步: 递归名称服务器向GTLD名称服务器询问www.google.com的IP地址。

第5步: GTLD名称服务器将阅读您请求的下一部分,从右到左读取(在本例中为www.google.com的“ google” ),并发送回一条消息,与权威名称服务器联系。权威名称服务器是负责域的名称服务器(并且是信息的主要来源)。

第6步: 递归名称服务器将向权威名称服务器询问相同的问题(“ www.google.com的IP地址是什么?”)。从技术上讲,服务器正在请求地址记录(A),这是服务器如何引用IP地址的。

第7步: 此服务器有答案!它将IP地址传递回递归名称服务器,标记为让递归名称服务器知道答案是权威的。递归名称服务器将IP地址归档在其缓存中,以防有人试图尽快访问同一网站。缓存中的每个项目都标记有“生存时间”,该时间告诉服务器在删除信息之前将其保留多长时间。

第8步: 递归名称服务器告诉您计算机的IP地址是什么(这次没有标记为权威IP,因为它不是信息的主要来源。它只是传递信息。

第9步:您的计算机将www.google.com的请求发送到刚收到的IP地址。

第10步: 位于此地址的Web服务器返回google主页,然后页面加载。

上面这些步骤整个过程只需几毫秒即可完成,每天发生数万亿次。

DNS对用户有何影响?

由于DNS是Internet运行所不可或缺的一部分,因此它是黑客攻击的主要目标。DNS的根本问题与当今技术所遇到的大多数安全问题相同。互联网以及我们今天使用的许多技术都是为一小部分研究人员设计的,随着时间的流逝,它已扩展为整个世界使用的系统。DNS(和HTTP,以及我们使用的大多数协议)在设计时并未考虑安全性。现在,我们不得不添加针对各种安全问题的修复程序。不幸的是,安全性最终并未像开发中引入的安全性那样有效。

DNS面临的一个问题是,在收到响应时,没有任何对名称服务器真实性的验证。因此,黑客可以向计算机的DNS查询发送恶意响应,并诱使计算机认为这是来自DNS名称服务器的真实响应。换句话说,当计算机询问“ www.licancan.com的IP地址是什么时,黑客将用恶意站点的IP地址(在DNS服务器可以之前)作出响应。然后,当网站加载时,它看起来就像licancan.com的网站,但实际上是由黑客控制的。

这与网上诱骗非常相似,他们尝试访问的网站通过DNS查找路由到不良站点(危险性更大,难度更大)。然后,这要求用户保持警惕,注意该网站正在欺骗真实网站(也许链接看起来不太正确,或者拼写错误或徽标副本不正确) 以防止此类攻击 。但是,这可能非常困难,并且依赖于用户在技术上相对熟练。

2016年,DNS攻击将美国东海岸大部分地区的大部分互联网都瘫痪了,这种情况下,中断是由DDoS攻击造成的。DDoS攻击是一种分布式拒绝服务攻击,其中Internet上成千上万的计算机同时攻击一个系统。通常,这些计算机是在所有者不知情的情况下感染了恶意软件的计算机,并且一个黑客或一组黑客控制着所有计算机。这些机器一起使用时称为“僵尸网络”。

僵尸网络向受害服务器发送DNS请求,发送的请求数量使系统不堪重负,从而使服务器无法处理其收到的合法流量。因此,当黑客攻击DNS服务器并且计算机尝试请求IP地址时,服务器将无法响应。在攻击停止之前,计算机无法访问服务器控制的站点(或权威站点)。可以通过过度配置服务器来缓解这种攻击,以便处理过多的需求或拥有DNS防火墙。

解决DNS存在的许多问题的一种更广泛的方法是DNSSEC。DNSSEC通过基于公共密钥加密的数字签名来加强身份验证。本质上,所请求数据的所有者对其进行数字签名,以确保不会发生上述情况。这提供了数据源身份验证(数据实际上来自解析程序认为来自的位置)和数据完整性保护(数据在传输中没有被修改)。

不幸的是,为了修复DNS,DNSSEC需要广泛部署。需要由网络运营商的递归解析器上的特定功能,以及权威服务器上的域名所有者的特定功能。随着更多人意识到DNS提出的问题,并倡导进行更改,希望您能做到这一点。

欢迎分享:李灿灿博客 » 什么是DNS?您需要了解有关DNS的知识。


分享到:更多
赞 (0)

评论专区 0

@已有 0 人评论