随着社会越来越发达,大家都选择在网络上汲取相关知识内容,比如dns服务器什么意思?(什么是 DNS?它是如何工作的?) ,为了更好的解答大家的问题,小编也是翻阅整理了相应内容,下面就一起来看一下吧!
dns是什么意思?(什么是DNS?它是如何工作的?)
(资料图)
域名系统解析互联网网站的名称及其底层IP地址,并在此过程中提高效率和安全性。
来源:作者:基思·肖,乔希·弗鲁林格译者:xingyu.wang
(本文字数:4772,阅读时间约8分钟)
域名系统(DNS)是互联网的基础之一。然而,大多数不了解互联网的人可能不知道,他们每天都用它来工作,检查电子邮件或在智能手机上浪费时间。
本质上,DNS是一个匹配数字的名称目录。在这里,这些数字指的是IP地址,计算机使用这些地址相互通信。大部分对DNS的描述都是类比 *** 簿,对于30岁以上的人来说没问题,因为他们知道 *** 簿是什么。
如果你还不到30岁,就把DNS当成你智能手机的联系人列表。它将人们的名字与他们的 *** 号码、Youyou.com代码和电子邮件地址进行匹配,然后这个联系人列表就有了地球上所有的人。
当互联网还非常非常小的时候,人们很容易将特定的IP地址对应到特定的电脑上,但是随着越来越多的设备和人加入到不断增长的 *** 中,这种简单的情况不可能持续很久。在浏览器中输入特定的IP地址仍然可以到达一个网站,但当时和现在一样,人们希望得到一个由容易记忆的单词组成的地址,也就是我们今天所知道的域名(比如linux.cn)。在20世纪70年代和80年代初,这些名称和地址是由斯坦福大学的Elizabeth Feinler指定的,她在一个名为HOSTS的文本文件中维护了一个主列表。TXT,记录每一台联网的电脑。
随着互联网的发展,这种情况显然无法维持,尤其是因为费因勒只处理加州时间下午6点前的请求,他还得在圣诞节请假。1983年,南加州大学的研究员Paul Mockapetris奉命在各种建议中提出一个折中方案来解决这个问题。但他基本上无视了所有的建议,转而开发了自己的系统,他称之为DNS。虽然从那时起它已经发生了很大的变化,但它仍然以近40年前的方式工作。
名字和数字匹配的DNS目录并没有完全隐藏在互联网的某个黑暗角落。截至2017年底,它已经记录了超过3.32亿个域名,如果把它作为一个目录,那真的会非常庞大。就像互联网本身一样,这个目录分布在世界各地,存储在域名服务器上(一般简称DNS服务器)。这些服务器将非常定期地相互通信,以提供更新和冗余。
当您的计算机想要查找与域名相关联的IP地址时,它将首先向递归DNS服务器(也称为递归解析器)发出请求。递归解析器是一种通常由ISP或其他第三方提供商运营的服务器。它知道需要请求哪些其他DNS服务器来解析网站的名称及其IP地址。实际拥有所需信息的服务器称为权威DNS服务器。
每个域名可以对应多个IP地址。事实上,一些网站有数百个甚至更多的IP地址对应一个域名。例如,你的电脑访问www.google.com的服务器可能与其他国家的人在他们的浏览器中输入相同网站名称的服务器完全不同。
此目录的分布式性质的另一个原因是,如果此目录仅在一个地方由数百万、可能数十亿同时查找信息的人共享,当您查找网站时,需要多长时间才能得到响应-这就像排队等候使用 *** 簿一样。
为了解决这个问题,许多服务器共享DNS信息。但是,最近访问过的网站的信息也会缓存在客户端计算机上。你可以一天使用几次google.com。您的电脑并不总是向DNS名称服务器查询google.com的IP地址,而是将此信息存储在您的电脑上,这样它就不必访问DNS服务器来解析此名称的IP地址。额外的缓存也可能出现在用于将客户端连接到互联网的路由器上,以及用户的互联网服务提供商(ISP)的服务器上。有了这么多缓存,对DNS域名服务器的查询数量实际上比看起来要少得多。
一般来说,当您连接到互联网时,您使用的DNS服务器将由您的 *** 提供商自动建立。如果您想知道哪些服务器是您的主名称服务器(通常是递归解析器,如上所述),有一些 *** 实用程序可以提供有关您当前 *** 连接的信息。Browserleaks.com是一个很好的工具。它提供了很多信息,包括您当前的DNS服务器。
但是请记住,虽然您的ISP会设置一个默认的DNS服务器,但您没有义务使用它。一些用户可能有理由避开他们的ISP的DNS,例如,一些ISP使用他们的DNS服务器将对不存在的地址的请求重定向到带有广告的网页。
如果您想要一个替代方案,您可以将您的计算机指向一个公共DNS服务器,并将其用作递归解析器。最著名的公共DNS服务器之一是谷歌的,它的IP地址是8.8.8.8和8.8.4.4。谷歌的DNS服务往往很快。虽然对谷歌提供免费服务的不可告人的动机有些怀疑,但他们并不能真正从你这里获得比他们从Chrome浏览器获得更多的信息。谷歌有一个页面,详细说明如何配置你的电脑或路由器连接到谷歌的DNS。
DNS的组织结构有助于保持事情快速顺利地运行。为了说明这一点,让我们假设你想访问linux.cn。
如上所述,对IP地址的初始请求是向递归解析器发出的。递归解析器知道它需要请求哪些其他DNS服务器来解析网站名称(linux.cn)及其IP地址。这个搜索会传递给根服务器,根服务器知道所有顶级域名的信息,比如。com,。网,。org,以及所有国家域名,如。cn(中国)和。英国(英国)。根位于世界各地,因此系统通常会将您指引到地理上最近的服务器。
一旦请求到达正确的根服务器,它将转到一个顶级域名(TLD)服务器,该服务器存储二级域名的信息,即您书写之前的单词。com,。org和。net(比如linux.cn的信息是“linux”)。然后,请求进入域名服务器,里面保存着网站的信息和IP地址。一旦找到IP地址,它将被发送回客户端,客户端现在可以使用它来访问网站。这一切只需要几毫秒。
因为DNS工作了30多年,大多数人都觉得理所当然。在构建系统时,没有考虑到安全问题,于是黑客们充分利用了这一点,制造了各种攻击。
DNS反射攻击可以用来自DNS解析服务器的大量信息淹没受害者。攻击者使用伪装成受害者的IP地址从他们能找到的所有开放DNS解析器请求大量DNS数据。解析器响应时,受害者会收到大量不请自来的DNS数据,让他不知所措。
DNS缓存中毒会将用户转移到恶意网站。攻击者设法在DNS中插入虚假的地址记录,这样当潜在的受害者请求解析其中一个中毒网站的地址时,DNS将使用攻击者控制的另一个网站的IP地址进行响应。一旦他们访问这些虚假网站,受害者可能会受骗,泄露密码或下载恶意软件。
DNS资源耗尽攻击可以阻塞ISP的DNS基础设施,阻止ISP的客户访问互联网上的网站。攻击者注册一个域名,利用受害者的名称服务器作为域名的权威服务器来实现这种攻击。因此,如果递归解析器无法提供与网站名称相关的IP地址,它将询问受害者的名称服务器。攻击者会对自己注册的域名进行大量请求,查询不存在的子域,导致大量解析请求发送到受害者的名称服务器,使其不堪重负。
DNS安全扩展是为了让参与DNS查询的各级服务器之间的通信更加安全。它由负责DNS系统的互联网名称与数字地址分配机构(ICANN)设计。
ICANN意识到DNS顶级、二级和三级目录服务器之间的通信存在弱点,可能允许攻击者劫持查询。这将允许攻击者使用恶意网站的IP地址来响应合法网站的查询请求。这些网站可能会向用户上传恶意软件,或者进行 *** 钓鱼和 *** 钓鱼攻击。
DNSSec将通过让每一级DNS服务器对其请求进行数字签名来解决这一问题,这确保了最终用户发送的传入请求不会被攻击者利用。这建立了一个信任链,因此在查询的每一步,请求的完整性都将得到验证。
此外,DNSSec可以确定域名是否存在,如果不存在,它不会让欺诈性域名交付给寻求域名解析的无辜请求者。
随着越来越多的域名被创建,越来越多的设备通过物联网设备和其他“智能”系统不断加入 *** 。随着越来越多的网站迁移到IPv6,有必要维护一个健康的DNS生态系统。大数据和分析的增长也带来了对DNS管理的更大需求。
最近,随着Windows DNS服务器缺陷的发现,全世界都看到了DNS中的弱点所造成的混乱。这种潜在的安全漏洞被称为SIGRed,它需要复杂的攻击链,但使用未打补丁的Windows DNS server,就有可能在客户端安装并执行任意恶意代码。此外,该漏洞是“蠕虫可传播的”,这意味着它可以在没有人为干预的情况下在计算机之间传播。该漏洞被认为足够令人震惊,美国联邦机构已要求他们在几天内安装补丁。
在撰写本报告时,DNS正处于其历史上更大变革的边缘。谷歌和Mozilla控制了浏览器市场的大部分份额,他们正在鼓励HTTPS域名系统的发展。在这种情况下,DNS请求将由HTTPS协议加密,该协议已经保护了大部分Web流量。在Chrome的实现中,浏览器会检查DNS服务器是否支持DoH,如果不支持,会将DNS请求重新路由到谷歌的8.8.8.8。
这一举动并非没有争议。保罗·维谢(Paul Vixie)早在20世纪80年代就对DNS协议做了大量的早期工作,他将这一举动称为安全方面的“灾难”:例如,企业it部门将更难监控或引导DoH流量通过其 *** 。不过Chrome浏览器无处不在,DoH很快就会默认打开,大家拭目以待吧。