처음부터 개발자들은 빠르게 확장되는 컴퓨터 네트워크에 보조를 맞출 수 있는 도메인 이름 확인에 대한 보다 동적인 접근 방식을 용이하게 하기 위해 계층적 분산 데이터베이스 구조로 DNS를 설계했습니다. 계층 구조는 점(.)으로 표시된 루트 수준에서 시작하여 '.com', '.org', '.net'과 같은 최상위 도메인(TLD) 또는 '.uk' 및 '.jp'와 같은 국가 코드 TLD(ccTLD) 및 두 번째 수준 도메인으로 나뉩니다.

DNS 아키텍처는 두 가지 유형의 DNS 서버, 즉 재귀 서버와 권한 있는 서버로 구성됩니다. 재귀 DNS 서버는 사용자를 웹 사이트에 연결하는 정보를 검색하는 "요청"을 수행하는 서버입니다.

재귀 확인자 또는 DNS 확인자라고도 하는 재귀 서버는 일반적으로 인터넷 서비스 공급자(ISP), 대기업 또는 기타 타사 DNS 서비스 공급자가 관리합니다. 이들은 최종 사용자를 대신하여 도메인 이름을 IP 주소로 확인합니다. 또한 재귀 해석기는 특정 기간(TTL(Time-to-Live) 값으로 정의됨) 동안 요청에 대한 응답을 캐시하여 향후 동일한 도메인에 대한 쿼리를 위해 시스템 효율성을 개선합니다.

사용자가 검색 브라우저에 웹 주소를 입력하면 브라우저는 재귀 DNS 서버에 연결하여 요청을 확인합니다. 재귀 서버에 응답이 캐시된 경우 사용자를 연결하고 요청을 완료할 수 있습니다. 그렇지 않으면 재귀 확인자는 일련의 권한 있는 DNS 서버를 쿼리하여 IP 주소를 찾고 사용자를 원하는 웹 사이트에 연결합니다.

권한 있는 서버는 "답변"을 제공합니다. 권한 있는 이름 서버는 도메인에 대한 최종 레코드를 보유하고 해당 영역 내에 저장된 도메인 이름에 대한 요청에 응답합니다(일반적으로 도메인 소유자가 구성한 답변으로 응답). 권한 있는 이름 서버에는 여러 유형이 있으며, 각 유형은 DNS 계층 구조 내에서 특정 기능을 수행합니다.

권한 있는 DNS 이름 서버에는 다음이 포함됩니다.

DNS의 모든 쿼리(DNS 요청이라고도 함)는 동일한 논리에 따라 IP 주소를 확인합니다. 사용자가 URL을 입력하면 컴퓨터는 DNS 서버를 점진적으로 쿼리하여 사용자의 요청을 처리하는 데 적합한 정보 및 리소스 레코드를 찾습니다. 이 프로세스는 DNS가 해당 도메인과 연결된 권한 있는 DNS 서버에서 올바른 응답을 찾을 때까지 계속됩니다.

보다 구체적으로 DNS의 쿼리 확인에는 몇 가지 주요 프로세스 및 구성 요소가 포함됩니다.

DNS는 주요 서버 유형 외에도 영역 파일과 여러 레코드 유형을 사용하여 확인 프로세스를 지원합니다. 영역 파일은 DNS 영역 내의 도메인에 대한 매핑 및 정보를 포함하는 텍스트 기반 파일입니다.

영역 파일의 각 줄은 DNS 리소스 레코드(특정 유형 또는 데이터의 특성에 대한 단일 정보)를 지정합니다. 리소스 레코드는 사용자가 쿼리를 제출할 때 DNS가 도메인 이름을 실행 가능한 정보로 신속하게 변환하여 사용자를 올바른 서버로 안내할 수 있도록 합니다. 

DNS 영역 파일은 두 개의 필수 레코드, 즉 로컬 DNS 캐시에 레코드를 저장하는 방법을 나타내는 TTL(글로벌 타임 투 라이브)과 DNS 영역의 기본 권한 이름 서버를 지정하는 SOA 레코드(권한 시작)로 시작됩니다.  

두 개의 기본 레코드 다음에 영역 파일에는 다음과 같은 여러 가지 다른 레코드 유형이 포함될 수 있습니다. 

DNS 조회에는 일반적으로 세 가지 유형의 쿼리가 포함됩니다. 재귀 서버와 DNS 클라이언트를 연결하는 재귀 쿼리는 도메인 이름을 완전히 확인하거나 사용자에게 도메인을 찾을 수 없음을 알리는 오류 메시지를 반환합니다.

재귀 확인자(로컬 DNS 서버)와 비로컬 DNS 서버(예: 루트, TLD 또는 도메인 이름 서버)를 연결하는 반복 쿼리에는 도메인 확인이 필요하지 않습니다. 대신 서버는 조회로 응답할 수 있으며, 여기서 루트 서버는 재귀 확인자를 TLD로 참조하고, TLD는 확인자를 응답을 제공하는 권한 있는 서버로 참조합니다(응답을 사용할 수 있는 경우). 따라서 반복 쿼리는 답변 또는 참조로 해결됩니다.

비재귀적 쿼리의 경우 재귀 확인자는 쿼리에 대한 응답을 찾을 위치를 이미 알고 있으므로 이러한 쿼리는 항상 응답으로 확인됩니다. 확인자는 재귀 서버에 캐시된 응답을 찾거나 DNS 루트 및 TLD 이름 서버를 건너뛰고 적절한 권한 있는 서버로 직접 이동하여 시간을 절약합니다. 예를 들어 재귀 확인자가 이전 세션에서 캐시된 IP 주소를 제공하는 경우 해당 요청은 비재귀 쿼리에 해당합니다.

관리형 DNS 솔루션은 기본적으로 서버 관리 및 오케스트레이션 프로세스를 아웃소싱합니다. 관리형 시스템을 사용하면 DNS 공급자가 조직의 DNS 서버에 대한 모든 구성, 유지 관리 및 보안 프로토콜을 처리하고 클라이언트는 공급자 인프라를 사용하여 도메인 이름을 관리합니다. 이 경우 사용자가 비즈니스의 URL을 입력하면 회사 도메인 이름 서버에서 공급자의 서버로 리디렉션되어 모든 리소스를 가져오고 사용자에게 응답합니다.

또한 관리형 DNS는 전용 DNS, 글로벌 서버 로드 밸런싱, 가동 시간 보장, API 우선 아키텍처, DNSSEC 지원, 글로벌 애니캐스트 네트워크, 전파 시간 단축 , 모니터링 및 상태 확인 도구, DDoS 보호 등과 같은 서비스와 이점을 제공 할 수 있습니다.

대부분의 최신 DNS 서버는 퍼블릭 DNS의 경우에도 매우 안전합니다. 그러나 최고의 DNS 시스템도 여전히 사이버 보안 문제에 취약할 수 있습니다. 특정 유형의 공격은 DNS의 권한 측면을 대상으로 하는 반면, 다른 유형의 공격은 재귀적 측면을 대상으로 합니다. 이러한 공격에는 다음이 포함됩니다.

조직에서 어떤 DNS 서비스를 선택하든 보안 프로토콜을 구현하여 DNS 공격 표면을 최소화하고 잠재적인 보안 문제를 완화하며 네트워킹 프로세스에서 DNS를 최적화하는 것이 좋습니다. DNS 보안을 강화하기 위한 몇 가지 유용한 방법은 다음과 같습니다.

• DNS 보안 확장(DNSSEC) 및 가상 사설망(VPN) 배포: DNSSEC는 DNS 응답에 디지털 서명을 요구하여 DNS 조회에 보안 계층을 추가합니다. 특히 DNSSEC는 요청의 출처를 인증하고 DNS 데이터의 무결성을 확인하여 DNS 스푸핑 공격으로부터 보호할 수 있습니다.
  
  VPN은 위치 및 (무엇보다도) 검색 기록 데이터를 추적할 수 없도록 암호화를 사용하여 IP 주소를 숨겨 기밀성을 제공합니다.
  
  
• 속도 제한 방식 채택: DNS 서버의 속도 제한은 지정된 기간 동안 단일 요청자에 대한 응답 수(또는 서버가 응답을 보내는 속도)를 제한하여 DDoS 공격을 완화할 수 있습니다.
  
  
• 도메인 등록 기관에 2단계 인증(2FA) 요구: 도메인 등록 기관 계정에 2단계 인증을 설정하면 공격자가 서버에 무단으로 액세스하는 것을 더 어렵게 만들고 도메인 하이재킹의 위험을 줄일 수 있습니다.
  
  
• 중복 사용: 지리적으로 분산된 여러 서버에 중복 구성으로 DNS를 배포하면 공격이나 중단이 발생할 경우 네트워크 가용성을 보장하는 데 도움이 됩니다. 기본 서버가 다운되면 보조 서버가 DNS 확인 서비스를 대신할 수 있습니다.
  
  
• DNS 플러시 구현: DNS 캐시를 정기적으로 지우면 로컬 시스템에서 모든 항목이 제거되므로 사용자를 악성 사이트로 안내할 수 있는 유효하지 않거나 손상된 DNS 레코드를 삭제하는 데 유용할 수 있습니다.
  
  
• DNS 위협에 대한 최신 정보를 습득하세요. 공격자와 보안 위협은 그들이 손상시키는 시스템과 거의 동일한 방식으로 진화합니다. 최신 DNS 취약점과 위협을 파악하면 악의적인 공격자들보다 한발 앞서 대응할 수 있습니다.