发布日期:2024 年 1 月 30 日
撰稿人:Camilo Quiroz Vazquez、Michael Goodwin
DNS 服务器将用户在 Web 浏览器中搜索的网站域名转换为相应的数字 IP 地址。此过程称为 DNS 解析。
域名系统 (DNS) 允许用户使用域名和 URL 访问网站,而不是复杂的数字互联网协议 (IP) 地址。DNS 通过四种类型的集成 DNS 服务器实现,即递归 DNS 服务器、根域名服务器、顶级域名服务器和权威域名服务器。
用户通过在搜索浏览器的地址栏中输入主机名(例如 www.example.com)启动 DNS 查询。当这种情况发生时,一系列名 DNS 查找的函数开始将域名与其指定的 IP 地址进行匹配。IP 地址是一个数字标识号,用于标识连接到互联网的每个设备和网络。IP 地址可以是 IPv4 地址,如 93.184.216.34,也可以是 IPv6 地址,如 2001:db8:3333:4444:5555:6666:7777:8888。
虽然像这样的复杂数字有助于保持域名的秩序,但不能指望用户跟踪这些数字或通过使用它们轻松搜索互联网。DNS 允许出于实现品牌和简化用户体验等功能目的定制域名。DNS 服务器的设计旨在让用户无缝式完成这一过程,同时适应高流量、域名和 IP 地址的变化。DNS 解析过程取决于负载平衡、服务器和用户位置以及互联网连接强度等变量。
了解 DNS 和真实用户监控 (RUM) 数据如何以更低的成本提供更强大的功能。
注册以获取有关可观察性理解误区的电子书
在将用户搜索转换为 IP 地址的过程中,涉及四种类型的 DNS 服务器。这些服务器相互依存,各自承担不同的功能,旨在保持流程的快速和安全。
DNS 查询将按照列出的顺序通过这四个服务器:
也称为 DNS 递归或递归 DNS 解析器,这是递归查询的第一站,即一个 DNS 服务器与其他 DNS 服务器通信以定位并返回 IP 地址的过程。该服务器收到 DNS 查询后,可使用缓存数据将用户连接到所需站点,或者如果站点数据没有缓存,则向 DNS 名称服务器发送后续请求。
从名称服务器接收信息后,递归解析器将用户连接到正确的站点。对于每次搜索,服务器都会创建 DNA 缓存来保存数据。这加快了搜索和返回过程,使用户能够更快地访问正确的网页。大多数 DNS 递归器都由互联网服务提供商 (ISP) 提供。
当递归 DNS 服务器没有缓存数据时,它会向 DNS 根域名服务器发送 DNS 查询。根域名服务器接受查询并将其转发到顶级域名 (TLD) 服务器。查询转发到哪个 TLD 服务器取决于所需的站点扩展名:.com、.org 或 .net,等等。互联网名称与数字地址分配机构 (ICANN) 运营着 13 台主 DNS 根服务器。
TLD 服务器包含具有相同扩展名的域名的相关数据。这意味着,有指定的 TLD 服务器用于扩展名为 .com、.org 和 .net 的网站。一旦查询到达正确的 TLD 服务器,就会被定向到权威名称服务器。
一般来说,作为检索 IP 地址的最后一步,权威 DNS 服务器会在 DNS 资源记录中存储与特定域名相关的信息。这些 DNS 记录 包含有关特定域及其相应 IP 地址的信息。一旦找到正确的 IP 地址,就会将其发回递归解析器。如果没有找到,用户将收到一条错误消息。
虽然它们各自的功能都很复杂,但正常运行的 DNS Services 对用户应该是不可感知的,检索过程应该只需要几秒钟。拥有四种类型的服务器有助于实现负载平衡,或在多台服务器之间分配网络流量,这样就不会有一台服务器超负荷工作。
DNS 通常被认为是“互联网的电话簿”,记录着域名及其关联的 IP 地址。DNS 服务器是驱动 DNS 客户端检索 IP 地址的引擎。DNS 客户端内置于智能手机或桌面设备的路由器和操作系统中,充当本地设备和服务器之间的管道。大多数路由器通过其互联网提供商配置主 DNS 和辅助 DNS 服务器,以防止故障。
当用户搜索域时,DNS 请求会发起定向到 DNS 服务器的 DNS 查询。从这里开始,可能会发生两件事。第一个从 DNS 缓存返回的查询。DNS 缓存是在 DNS 服务器或其他设备上临时存储先前搜索的 DNS 记录。DNS 缓存允许查询跳过冗长的 DNS 查找,并通过返回已存储在临时 DNS 缓存中的 DNS 记录来提供更快的响应。根据 DNS 设置,Web 服务器将这些信息缓存一段特定的时间,称为生存时间 (TTL)。
如果没有缓存信息,DNS 查询将通过四种类型的服务器(如上述部分所示的过程)来查找并返回正确的 IP 地址。
DNS 可以是公共的也可以是私有的。公共 DNS 服务器可供任何使用互联网的人使用,通常由互联网服务提供商设置。公共 DNS Services 通过支持流量导向和负载均衡来帮助管理权威域名服务器,从而提高网络性能。
私有 DNS 设置在防火墙后面,维护内部网站的记录。它们通常通过仅存储内部 IP 地址的虚拟专用网络 (VPN) 连接。私有 DNS 只能由组织的授权成员访问,这限制了暴露于外部威胁,但必须由组织或私有 DNS 提供商管理。
DNS 服务器可能会受到攻击,这些攻击会拒绝访问域、使服务器流量不堪重负或接管 DNS 基础设施。DNS 提供商(如 IBM® NS1 Connect)提供托管 DNS 服务,以防范这些类型的攻击。
常见的 DNS 攻击类型包括:
洪流攻击
分布式拒绝服务 (DDoS) 攻击通过大量流量使权威域名服务器不堪重负。权威服务器无法完成合法的 DNS 查询,因为它们被恶意流量淹没。
随机子域攻击
这是一种拒绝服务攻击,也称为 NXDomain 攻击。这种攻击向权威域名服务器发送对不存在子域的请求,使它们无法响应真实的查询。
DNS 放大攻击(DNS 洪流)
DNS 洪流是一种放大 DDoS 攻击的工具,可以通过人为地增加 DNS 服务器为完成查询而必须执行的工作负载来造成中断。
缓存中毒
在这种攻击中,伪造的 DNS 数据渗透到 DNS 解析器的缓存中,为一个域创建错误的 IP 地址,将用户带到意想不到的网站。这些网站可能会使用户遭受恶意软件或网络钓鱼的攻击。
DNS 协议攻击
针对 DNS 服务器的攻击,使其处理畸形数据包。这使得它们无法处理合法的查询。
BGP 劫持攻击
此攻击通过边界网关协议 (BGP) 将用户从合法域重新路由到通常为恶意目的而设置的域。
DNS 隧道
在这种攻击中,DNS 基础设施成为通过防火墙传递恶意软件或窃取数据的途径。
DNS 劫持(凭据盗窃)
这是一种通过未经授权访问 DNS 服务器管理来更改或破坏 DNS 区域数据的攻击。
域名盗窃
在域名盗窃中,攻击者通过未经授权访问域名注册商来获得域名的所有权。
IBM® NS1 Connect 通过优质 DNS 和高级可定制流量导向,为世界各地的用户提供快速安全的连接。始终在线、API 优先的架构使您的 IT 团队能够更有效地监控网络、部署变更和进行日常维护。
IBM® NS1 Connect Managed DNS 服务提供弹性、快速的权威 DNS 连接,能够防止网络中断,保持业务始终在线。
使用基于 DNS 可观测性数据的自定义实时报告,快速识别错误配置和安全问题。