域名系統(tǒng) (DNS) 是一種數(shù)據(jù)庫框架，可將個人計算機(jī)的注冊域名解釋為 IP 地址，反之亦然。網(wǎng)絡(luò) PC 使用IP 地址來查找和關(guān)聯(lián)彼此，但 IP 位置對于個人來說可能很難回憶起來。

DNS 會自動將我們在網(wǎng)絡(luò)瀏覽器中輸入的名稱轉(zhuǎn)換為托管該站點(diǎn)的服務(wù)器的 IP 地址。DNS 還使您能夠與另一臺授權(quán)的 PC 相關(guān)聯(lián)，或者通過使用其易于理解的區(qū)域名稱而不是其數(shù)字 IP 地址來允許遠(yuǎn)程管理。另一方面，反向 DNS (rDNS) 將 IP 地址解釋為域名。

每個擁有一系列計算機(jī)的組織都有一個服務(wù)器來處理 DNS 查詢，稱為域服務(wù)器。除了系統(tǒng)外最近訪問的 PC 的 IP 地址外，它將保存其系統(tǒng)內(nèi)的所有 IP 地址。DNS 可以比作電話簿，您可以在其中使用易于記憶的名稱查找電話號碼。

DNS 的工作原理

DNS 解析涉及類似于使用街道地址查找房屋的過程。每臺連接到互聯(lián)網(wǎng)的設(shè)備都有一個 IP 地址。當(dāng)有人輸入查詢時，主機(jī)名會轉(zhuǎn)換為 IP 地址以完成查詢。網(wǎng)址和機(jī)器友好地址之間的這種轉(zhuǎn)換對于任何網(wǎng)頁的加載都是至關(guān)重要的。

在機(jī)器級別，當(dāng)發(fā)起搜索查詢時，瀏覽器會在本地緩存中查找信息。如果找到地址，它將在局域網(wǎng) (LAN) 中查找 DNS 服務(wù)器。如果找到局域網(wǎng)內(nèi)的DNS服務(wù)器并收到查詢，就會返回一個結(jié)果。如果找不到 DNS 服務(wù)器，則本地服務(wù)器會將查詢轉(zhuǎn)發(fā)到 Internet 服務(wù)提供商提供的 DNS 緩存服務(wù)器。

DNS 緩存服務(wù)器包含基于從權(quán)威 DNS 服務(wù)器獲取的緩存值的臨時 DNS 記錄。顧名思義，權(quán)威 DNS 服務(wù)器存儲并提供每個頂級域的權(quán)威名稱服務(wù)器列表。DNS 的工作是基于層次結(jié)構(gòu)的，進(jìn)一步了解這些服務(wù)器是必不可少的。

DNS 服務(wù)器的類型

1. DNS 遞歸——DNS 遞歸服務(wù)器通過互聯(lián)網(wǎng)瀏覽器等應(yīng)用程序從客戶端機(jī)器獲取請求。然后遞歸器發(fā)出額外的請求來完成客戶的 DNS 查詢。可以把它想象成一個圖書館員，他要去圖書館的某個地方尋找一本特定的書。
2. 根域名服務(wù)器——這是將可理解的主機(jī)名解密為 IP 的初始階段。將其視為圖書館中可用的索引，它根據(jù)書名為您提供書架編號。
3. TLD 名稱服務(wù)器——TLD 是搜索特定 IP 的后續(xù)階段，它具有主機(jī)名的最后一部分。常見的 TLD 服務(wù)器有 .com、.in、.org. 等。
4. 權(quán)威名稱服務(wù)器——該名稱服務(wù)器是查詢的最后停止點(diǎn)。如果最終名稱服務(wù)器接近上述記錄，它將把上述主機(jī)名的 IP 恢復(fù)給進(jìn)行基礎(chǔ)查詢的 Recursor。

什么是 DNS 傳播

如果您的 IP 地址與用于查找房屋的街道地址相似，那么如果您更改家庭住址會怎樣？新IP地址的域名服務(wù)器是什么？好吧，這就是DNS 傳播獲得相關(guān)性的地方。簡單來說，DNS 傳播是在名稱服務(wù)器中所做的任何更改生效所需的時間。

當(dāng)您更改域的名稱服務(wù)器或更改托管服務(wù)提供商時，世界各地的 ISP 節(jié)點(diǎn)可能最多需要 72 小時才能使用您域的新 DNS 信息更新其緩存。但是，確保跨所有節(jié)點(diǎn)完整更新記錄所需的時間可能不同。

有關(guān)名稱服務(wù)器的新信息不會立即傳播，您的一些用戶可能仍會被重定向到您的舊網(wǎng)站。每個 ISP 節(jié)點(diǎn)都保存緩存以加快加載時間，您將別無選擇，只能等待所有節(jié)點(diǎn)更新。

您可以繞過或最小化 DNS 傳播，方法是使用當(dāng)前 DNS 提供商一側(cè)的“A 記錄”將您的域指向目標(biāo) IP 地址，并設(shè)置最小 TTL。更新“A 記錄”后，您可以等待一個小時，然后更改您域的名稱服務(wù)器。這將確保您的網(wǎng)站不會有任何停機(jī)時間，因為兩個主機(jī)將顯示相同的新網(wǎng)站。

DNS 安全擴(kuò)展

鑒于 DNS 對于將任何查詢重定向到您的網(wǎng)站至關(guān)重要，因此黑客和不良行為者會試圖操縱它也就不足為奇了。DNS 本身無法確定數(shù)據(jù)是來自授權(quán)域還是已被篡改。這使系統(tǒng)面臨大量的漏洞和攻擊，如DNS緩存中毒、DNS反射攻擊、DNS放大攻擊等。

在 DNS 緩存中毒攻擊中，不良行為者用惡意 IP 地址替換有效 IP 地址。因此，幾乎所有訪問真實(shí)站點(diǎn)的用戶都將被重定向到這個新的 IP 地址。這個新位置可能有原始站點(diǎn)的精確克隆，旨在竊取個人信息和銀行信息等關(guān)鍵數(shù)據(jù)，或者它可以重定向到一個網(wǎng)站，惡意軟件將被下載到本地計算機(jī)上。

為了解決這些嚴(yán)重的問題，DNS 安全擴(kuò)展 (DNSSEC) 已到位。DNSSEC旨在解決 DNS 的弱點(diǎn)并為其添加身份驗證，使系統(tǒng)更加安全。DNSSEC 使用加密密鑰和數(shù)字簽名來強(qiáng)制執(zhí)行合法連接和準(zhǔn)確的查找數(shù)據(jù)。

雖然 DNSSEC 可以大大減少 DNS 的漏洞，但管理開銷以及時間和成本限制了它的實(shí)施。對于許多組織來說，更好的選擇是選擇基于云的 DNS。與云網(wǎng)絡(luò)托管類似，基于云的 DNS 可確保地理上多樣化的網(wǎng)絡(luò)和 DNS 服務(wù)器基礎(chǔ)設(shè)施。它支持高可用性、全局性能、可擴(kuò)展性、更強(qiáng)的安全性和更好的資源管理。如果您在下面的評論部分使用了基于云的 DNS，請告訴我們您的想法。