什么是DNS
什么是DNS?
域名系统 (DNS) 是互联网的重要组成部分。DNS 经常被比喻成电话簿。DNS 将人类可读的域名(如 www.apple.com)映射为机器可读的数字形式的 IP 地址。系统支持使用 IP 地址来引导 IP 数据包。
什么是域名系统 (DNS)?
域名系统 (DNS) 是互联网的重要组成部分。DNS 经常被比喻成电话簿。域名系统 (DNS) 将人类可读的域名(如 www.apple.com)映射为机器可读的数字形式的 IP 地址。系统支持使用 IP 地址来引导 IP 数据包。
DNS 为什么能如此有效地扩展?
一个域的权威 DNS 服务器仅转换该域中的主机名;该域的任何一个权威 DNS 服务器都可以执行这一功能。因此,DNS 服务器只针对特定域,不会转换其他域的主机名。正是由于具备这种责任分工,DNS 才能不断扩大规模。
什么是完全限定域名 (FQDN)?
完全限定域名 (FQDN) 是一个完整的域名,用于标识页面、主机、服务器或任何其他在线资源。FQDN 也是指定域名在 DNS 层次结构树中的确切位置的域名。
什么是 DNS 层次结构树?
DNS 层次结构或域名空间在树的顶端有一个单独的域名,称为根域名。在这之下,DNS 层次结构又分为二级域名、子域名和主机。因此,DNS 分为五个层次:
根级域名(根名称服务器)
顶级域名(TLD 名称服务器)
二级域名 (SLD)
子域名
主机
在 DNS 出现之前,这项任务是如何完成的?
在域名系统 (DNS) 发明之前,计算机主机名和地址的分配过程是手动完成的,需要打电话将主机名和地址添加到由 SRI(斯坦福研究所)维护的 HOSTS.TXT 文件中,然后再映射到 ARPANET 目录,该目录的开发者是 Elizabeth Feinler。1983 年, Paul Mockapetris 发明了 DNS,这种分布式动态命名系统用来取代速度较慢的 HOST.TXT 服务;这提供了支持不断增长的网络需求所必不可少的扩展能力。DNS 记录框架允许将难记的域名映射为 IP 地址。1986 年,互联网工程任务组 (IETF) 将 DNS 定为互联网标准。
如今,DNS 已成为互联网基础架构的重要组成部分。
DNS 是如何工作的?
DNS 服务将主机名转换为 IP 地址。DNS 系统的工作原理类似于电话簿,但它不是将姓名与电话号码相互关联,而是将域名转换为 IP 地址。例如,www.apple.com 转换为 17.253.207.54。域名系统 (DNS) 分为协同工作的两类 DNS 名称服务器:
递归 DNS 服务器
权威 DNS 服务器
什么是递归 DNS 服务器?
递归 DNS 面向用户,参与每一项 DNS 查询。计算机的操作系统配置为使用一个或多个递归 DNS 服务器;这些递归 DNS 服务器通常由互联网服务提供商 (ISP) 或贵公司的 IT 部门提供。当您在浏览器中输入一个域名(如 apple.com)时,递归 DNS 服务器并不知道该域名的 IP 地址,但它知道到哪里去查找这些信息。为了查找 IP 地址,递归 DNS 服务器会连接到权威 DNS 服务器。
什么是权威 DNS 服务器?
权威名称服务器面向域名所有者。域名(如 apple.com)是从称为“注册商”的机构处购买的。注册商的示例包括 GoDaddy 等知名互联网品牌。购买域名后,公司必须设置权威 DNS 服务器,并将服务器列表提供给注册商。一家公司可能有多个权威 DNS 服务器。
配置权威 DNS 服务器时,需要创建 DNS 区域文件并将其上传到注册商。区域文件列出了域中主机名的所有转换形式。在 apple.com 的示例中,区域文件包括 www.apple.com、mail.apple.com、vpn.apple.com 等主机名的转换。
公司网域的权威 DNS 服务器只需转换该域内的主机名。例如,如果 apple.com 有四个权威 DNS 服务器,那么其中任何一个都可以将来自递归 DNS 服务器的 apple.com 请求转换成其 IP 地址 17.253.207.54。
在区域文件中找到 IP 地址后,权威 DNS 服务器就会将此信息发回给递归 DNS 服务器,递归 DNS 服务器再将应答发送给 Web 浏览器,后者由此获得显示网页所需的信息。
递归 DNS 服务器的一个重要方面是,它可以在计算机 DNS 缓存中将 IP 地址数据保留一段时间。这意味着,当您下一次浏览 apple.com 时,递归 DNS 服务器无需查询 apple.com 的权威 DNS 服务器,即可显示 Apple 网页。
我们是否需要域名系统?
是的,DNS 是互联网的基本组成部分;没有 DNS,互联网就无法运作。例如,如果递归 DNS 服务器出现故障,那么唯一连接到网站的方法只有在浏览器地址栏中手动输入 IP 地址。
DNS 安全问题
有些 网络攻击 以 DNS 系统为目标。例如:
DNS 劫持 将 IP 地址更改为另一个地址,导致针对相应域名的 DNS 查询指向黑客自己的服务器。终端用户被重定向到恶意网站。
DNS 放大攻击 是一种分布式拒绝服务 (DDoS) 攻击。 DNS 放大攻击利用公开可用的 DNS 服务器,通过发送大量的 DNS 响应流量造成其不堪重负。
DNS 泛洪攻击 是另一种 DDoS 攻击,它以服务器端资产为目标,攻击手法是发送大量 UDP 请求。极高的 DNS 请求数据包发送速率会生成海量源 IP 地址。
DNS 缓存中毒 是指黑客破坏 DNS 缓存,企图控制递归 DNS 服务器的缓存。