dns服务器什么意思?(什么是 DNS?它是如何工作的?)

/ 0评 / 0

dns服务器什么意思?(什么是 DNS?它是如何工作的?)

域名体系解析互联网网站的名称及其底层 IP 地址,并在此进程中增长了效力和安全性。

• 起源:linux.cn • 作者:Keith Shaw, Josh Fruhlinger • 译者:Xingyu.Wang •

(本文字数:4772,浏览时长大约:8 分钟)

域名体系(Domain Name System)(DNS)是互联网的基本之一,然而大多数不懂网络的人可能并不知道他们每天都在应用它来工作、查看电子邮件或在智能手机上糟蹋时光。

就其实质而言,DNS 是一个与数字匹配的名称目录。这些数字,在这里指的是 IP 地址,盘算机用 IP 地址来相互通讯。大多数对 DNS 的描写都是用电话簿来比方,这对于 30 岁以上的人来说是没有问题的,因为他们知道电话簿是什么。

如果你还不到 30 岁,可以把 DNS 想象成你的智能手机的接洽人名单,它将人们的名字与他们的电话号码及电子邮件地址进行匹配,然后这个接洽人名单的就像地球上的人一样多。

DNS 简史

当互联网还非常、非常小的时候,人们很容易将特定的 IP 地址与特定的盘算机对应起来,但随着越来越多的装备和人参加到不断发展的网络中,这种简略的情形就没法连续多久了。现在仍然可以在阅读器中输入一个特定的 IP 地址来达到一个网站,但当时和现在一样,人们愿望得到一个由容易记忆的单词组成的地址,也就是我们今天所认识的那种域名(比如 linux.cn )。在 20 世纪 70 年代和 80 年代早期,这些名称和地址是由一个人指定的,她是 斯坦福大学的 Elizabeth Feinler ,她在一个名为 HOSTS.TXT 的文本文件中保护着一个主列表,记载了每一台衔接互联网的盘算机。

随着互联网的发展,这种局势显然无法保持下去,尤其是因为 Feinler 只处置加州时光下午 6 点之前的要求,而且圣诞节也要请假。1983 年,南加州大学的研讨人员 Paul Mockapetris 受命在处置这个问题的多种建议中提出一个折中计划。但他根本上疏忽了所有提出的建议,而是开发了自己的体系,他将其称为 DNS。虽然从那时起,现今的它显然产生了很大的变更,但在根本层面上,它的工作方法仍然与将近 40 年前雷同。

DNS 服务器是如何工作的

将名字与数字相匹配的 DNS 目录并不是全部藏在互联网的某个黑暗角落。截至 2017 年底, 它记载了超过 3.32 亿个域名 ,如果作为一个目录确切会非常宏大。就像互联网本身一样,该目录散布在世界各地,存储在域名服务器(一般简称为 DNS 服务器)上,这些服务器都会非常有规律地相互沟通,以供给更新和冗余。

威望 DNS 服务器与递归 DNS 服务器的比拟

当你的盘算机想要找到与域名相干联的 IP 地址时,它首先会向 递归(recursive) DNS 服务器(也称为递归解析器)提出要求。递归解析器是一个通常由 ISP 或其他第三方供给商运营的服务器,它知道须要向其他哪些 DNS 服务器要求解析一个网站的名称与其 IP 地址。实际拥有所需信息的服务器称为 威望(authoritative) DNS 服务器。

DNS 服务器和 IP 地址

每个域名可以对应一个以上的 IP 地址。事实上,有些网站有数百个甚至更多的 IP 地址与一个域名相对应。例如,你的盘算机拜访 www.google.com 所达到的服务器,很可能与其他国度的人在阅读器中输入雷同的网站名称所达到的服务器完整不同。

该目录的散布式性质的另一个原因是,如果这个目录只在一个地位,在数百万,可能是数十亿在同一时光寻找信息的人中共享,那么当你在寻找一个网站时,你须要消费多少时光能力得到响应 —— 这就像是排着长队应用电话簿一样。

什么是 DNS 缓存?

为懂得决这个问题,DNS 信息在许多服务器之间共享。但最近拜访过的网站的信息也会在客户端盘算机本地缓存。你有可能每天应用 google.com 好几次。你的盘算机不是每次都向 DNS 名称服务器查询 google.com 的 IP 地址,而是将这些信息保留在你的盘算机上,这样它就不必拜访 DNS 服务器来解析这个名称的 IP 地址。额外的缓存也可能涌现在用于将客户端衔接到互联网的路由器上,以及用户的互联网服务供给商(ISP)的服务器上。有了这么多的缓存,实际上对 DNS 名称服务器的查询数目比看起来要少很多。

如何找到我的 DNS 服务器?

一般来说,当你衔接到互联网时,你应用的 DNS 服务器将由你的网络供给商主动树立。如果你想看看哪些服务器是你的重要名称服务器(一般是递归解析器,如上所述),有一些网络适用程序可以供给关于你当前网络衔接的信息。 Browserleaks.com 是一个很好的工具,它供给了很多信息,包含你当前的 DNS 服务器。

我可以应用 8.8.8.8 的 DNS 吗?

但要记住,虽然你的 ISP 会设置一个默认的 DNS 服务器,但你没有责任应用它。有些用户可能有理由避开他们 ISP 的 DNS —— 例如,有些 ISP 应用他们的 DNS 服务器将不存在的地址的要求重定向到 带有广告的网页 。

如果你想要一个替代计划,你可以将你的盘算机指向一个公共 DNS 服务器,以它作为一个递归解析器。最有名的公共 DNS 服务器之一是谷歌的,它的 IP 地址是 8.8.8.8 和 8.8.4.4。Google 的 DNS 服务往往是 迅速的 ,虽然对 Google 供给免费服务的别有居心的动机 有必定的质疑,但他们无法真正从你那里获得比他们从 Chrome 阅读器中获得的更多信息。Google 有一个页面,详细解释了如何 配置你的电脑或路由器 衔接到 Google 的 DNS。

DNS 如何进步效力

DNS 的组织构造有助于坚持事情的迅速温柔利运行。为了解释这一点,让我们假设你想拜访 linux.cn 。

如上所述,对 IP 地址的初始要求是向递归解析器提出的。递归解析器知道它须要要求哪些其他 DNS 服务器来解析一个网站( linux.cn )的名称与其 IP 地址。这种搜索会传递至根服务器,它知道所有顶级域名的信息,如 .com、.net、.org 以及所有国度域名,如 .cn(中国)和 .uk(英国)。根服务器位于世界各地,所以体系通常会将你引诱到地理上最近的一个服务器。

一旦要求达到准确的根服务器,它就会进入一个顶级域名(TLD)名称服务器,该服务器存储二级域名的信息,即在你写在 .com、.org、.net 之前的单词(例如, linux.cn 的信息是 “linux”)。然后,要求进入域名服务器,域名服务器控制着网站的信息和 IP 地址。一旦 IP 地址被找到,它就会被发回给客户端,客户端现在可以用它来拜访网站。所有这一切都只须要几毫秒的时光。

因为 DNS 在过去的 30 多年里一直在工作,所以大多数人都以为它是理所当然的。在构建体系的时候也没有斟酌到安全问题,所以 黑客们充足应用了这一点 ,制作了各种各样的攻击。

DNS 反射攻击

DNS 反射攻击可以用 DNS 解析器服务器的大批信息吞没受害者。攻击者应用假装成受害者的 IP 地址来向他们能找到的所有开放的 DNS 解析器要求大批的 DNS 数据。当解析器响应时,受害者会收到大批未要求的 DNS 数据,使其不堪重负。

DNS 缓存投毒

DNS 缓存投毒 可将用户转移到恶意网站。攻击者设法在 DNS 中插入虚伪的地址记载,这样,当潜在的受害者要求解析其中一个中毒网站的地址时,DNS 就会以另一个由攻击者掌握的网站的 IP 地址作出回应。一旦拜访了这些假网站,受害者可能会被诱骗,泄漏密码或下载了恶意软件。

DNS 资源耗尽

DNS 资源耗尽 攻击可以堵塞 ISP 的 DNS 基本设施,阻拦 ISP 的客户拜访互联网上的网站。攻击者注册一个域名,并通过将受害者的名称服务器作为域名的威望服务器来实现这种攻击。因此,如果递归解析器不能供给与网站名称相干的 IP 地址,就会讯问受害者的名称服务器。攻击者会对自己百思特网注册的域名发生大批的要求,并查询不存在的子域名,这就会导致大批的解析要求发送到受害者的名称服务器,使其百思特网不堪重负。

什么是 DNSSec?

DNS 安全扩大是为了使参与 DNS 查询的各级服务器之间的通讯更加安全。它是由负责 DNS 体系的 互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers)(ICANN)设计的。

ICANN 意识到 DNS 顶级、二级和三级目录服务器之间的通讯存在弱点,可能会让攻击者劫持查询。这将许可攻击者用恶意网站的 IP 地址来响应合法网站的查询要求。这些网站可能会向用户上传恶意软件,或者进行网络钓鱼和网络诱骗攻击。

DNSSec 将通过让每一级 DNS 服务器对其要求进行数字签名来解决这个问题,这就保证了终端用户发送进来的要求不会被攻击者应用。这就树立了一个信赖链,这样在查询的每一步,要求的完全性都会得到验证。

此外,DNSSec 可以肯定域名是否存在,如果不存在,它就不会让该讹诈性域名交付给追求域名解析的无辜要求者。

随着越来越多的域名被创立,越来越多的装备持续通过物联网装备和其他“智能”体系参加网络,随着 更多的网站迁移到 IPv6 ,将须要保持一个健康的 DNS 生态体系。大数据和剖析的增加也 带来了对 DNS 管理的更大需求 。

SIGRed: 蠕虫病毒 DNS 破绽再次涌现

最近,随着 Windows DNS 服务器缺点的发明,全世界都看到了 DNS 中的弱点可能造成的凌乱。这个潜在的安全破绽被称为 SIGRed, 它须要一个庞杂的攻击链 ,但应用未打补丁的 Windows DNS 服务器,有可能在客户端安装和履行任意恶意代码。而且该破绽是“可蠕虫流传”的,这意味着它可以在没有人为干涉的情形下从盘算机流传到盘算机。该破绽被以为足够令人震惊,以至于美国联邦机构 被请求他们在几天时光内安装补丁 。

DNS over HTTPS:新的隐私格式

截至本报告撰写之时,DNS 正处于其历史上最大的一次改变的边沿。谷歌和 Mozilla 共同掌握着阅读器市场的大部分份额,他们正在勉励向 DNS over HTTPS (DoH)的方向发展,在这种情形下,DNS 要求将被已经掩护了大多数 Web 流量百思特网的 HTTPS 协定加密。在 Chrome 的实现中,阅读器会检讨 DNS 服务器是否支撑 DoH,如果不支撑,则会将 DNS 要求重新路由到谷歌的 8.8.8.8。

这是一个并非没有争议的举措。早在上世纪 80 年代就在 DNS 协定上做了大批早期工作的 Paul Vixie 称此举对安全来说是“ 灾害 ”:例如,企业 IT 部门将更难监控或引诱穿越其网络的 DoH 流量。不过,Chrome 阅读器是无所不在的,DoH 不久就会被默认打开,所以让我们拭目以待。