域名系統(tǒng) (DNS) 是一種數(shù)據(jù)庫框架，可將個人計(jì)算機(jī)的注冊域名解釋為 IP 地址，反之亦然。網(wǎng)絡(luò) PC 使用IP 地址來查找并相互關(guān)聯(lián)，但個人很難回憶 IP 位置。

DNS 會自動將我們在 Web 瀏覽器中鍵入的名稱轉(zhuǎn)換為托管該站點(diǎn)的服務(wù)器的 IP 地址。DNS 還使您能夠與另一臺授權(quán) PC 關(guān)聯(lián)或通過使用其易于理解的區(qū)域名稱而不是其數(shù)字 IP 地址來允許遠(yuǎn)程管理。另一方面，反向 DNS (rDNS) 將 IP 地址解釋為域名。

每個擁有計(jì)算機(jī)鏈的組織都有一個處理 DNS 查詢的服務(wù)器，稱為域服務(wù)器。除了系統(tǒng)外最近訪問的 PC 的 IP 地址外，它將保存系統(tǒng)內(nèi)的所有 IP 地址。DNS 可以比作電話目錄，您可以在其中使用易于記憶的名稱查找電話號碼。

DNS 的工作原理

DNS 解析涉及類似于使用街道地址查找房屋的過程。每個連接到互聯(lián)網(wǎng)的設(shè)備都被賦予一個 IP 地址。當(dāng)有人輸入查詢時，主機(jī)名將轉(zhuǎn)換為 IP 地址以完成查詢。網(wǎng)址和機(jī)器友好地址之間的這種轉(zhuǎn)換對于任何網(wǎng)頁的加載都至關(guān)重要。

在機(jī)器級別，當(dāng)發(fā)起搜索查詢時，瀏覽器會在本地緩存中查找信息。如果找到該地址，它將在局域網(wǎng) (LAN) 中查找 DNS 服務(wù)器。如果局域網(wǎng)中的DNS服務(wù)器被找到并接收到查詢，就會返回一個結(jié)果。如果沒有找到 DNS 服務(wù)器，本地服務(wù)器會將查詢轉(zhuǎn)發(fā)到 Internet 服務(wù)提供商提供的 DNS 緩存服務(wù)器。

DNS 緩存服務(wù)器包含基于從權(quán)威 DNS 服務(wù)器獲取的緩存值的臨時 DNS 記錄。顧名思義，權(quán)威 DNS 服務(wù)器存儲并提供每個頂級域的權(quán)威名稱服務(wù)器列表。DNS 的工作基于層次結(jié)構(gòu)，因此必須進(jìn)一步了解這些服務(wù)器。

DNS 服務(wù)器的類型

1. DNS 遞歸器——DNS 遞歸器服務(wù)器通過互聯(lián)網(wǎng)瀏覽器等應(yīng)用程序從客戶端機(jī)器獲取請求。然后遞歸器發(fā)出額外的請求來完成客戶的 DNS 查詢。把它想象成一個圖書館員，他去圖書館某處尋找一本特定的書。
2. 根域名服務(wù)器——這是將可理解的主機(jī)名破譯成 IP 的初始階段。將其視為圖書館中可用的索引，根據(jù)書名為您提供書架編號。
3. TLD 名稱服務(wù)器——TLD 是搜索特定 IP 的后續(xù)階段，它具有主機(jī)名的最后一段。常見的 TLD 服務(wù)器是 .com、.in、.org. 等。
4. 權(quán)威名稱服務(wù)器——此名稱服務(wù)器是查詢的最后停止。如果最終名稱服務(wù)器接近提到的記錄，它將把提到的主機(jī)名的 IP 恢復(fù)回進(jìn)行底層查詢的 Recursor。

什么是 DNS 傳播

如果您的 IP 地址與用于查找您的房子的街道地址相似，如果您更改家庭地址會怎樣？新 IP 地址的域名服務(wù)器是什么？嗯，這就是DNS 傳播獲得相關(guān)性的地方。簡單來說，DNS 傳播是名稱服務(wù)器中所做的任何更改生效所需的時間。

當(dāng)您更改域的名稱服務(wù)器或更改托管服務(wù)提供商時，世界各地的 ISP 節(jié)點(diǎn)可能需要長達(dá) 72 小時才能使用您域的新 DNS 信息更新其緩存。但是，確保在所有節(jié)點(diǎn)上完整更新記錄所需的時間可能會有所不同。

有關(guān)名稱服務(wù)器的新信息不會立即傳播，您的一些用戶可能仍會被重定向到您的舊網(wǎng)站。每個 ISP 節(jié)點(diǎn)都會保存緩存以加快加載時間，您別無選擇，只能等到所有節(jié)點(diǎn)都更新完畢。

您可以繞過或最小化 DNS 傳播，方法是使用當(dāng)前 DNS 提供商一側(cè)的“A 記錄”將您的域指向目標(biāo) IP 地址，設(shè)置最小 TTL。更新“A 記錄”后，您可以等待一個小時，然后更改您的域的名稱服務(wù)器。這將確保您的網(wǎng)站不會有任何停機(jī)時間，因?yàn)閮蓚€主機(jī)都將顯示相同的新網(wǎng)站。

DNS 安全擴(kuò)展

鑒于 DNS 對于將任何查詢重定向到您的網(wǎng)站至關(guān)重要，因此黑客和不良行為者會試圖操縱它也就不足為奇了。DNS 本身無法確定數(shù)據(jù)是來自授權(quán)域還是已被篡改。這給系統(tǒng)暴露了很多漏洞和攻擊，例如 DNS 緩存中毒、DNS 反射攻擊、DNS 放大攻擊等。

在 DNS 緩存中毒攻擊中，不良行為者將有效 IP 地址替換為惡意 IP 地址。因此，幾乎所有訪問正版站點(diǎn)的用戶都將被重定向到這個新的 IP 地址。這個新位置可能具有原始站點(diǎn)的精確克隆，旨在竊取個人信息和銀行信息等關(guān)鍵數(shù)據(jù)，或者它可以重定向到一個網(wǎng)站，惡意軟件將被下載到本地計(jì)算機(jī)上。

為了解決這些嚴(yán)重問題，實(shí)施了 DNS 安全擴(kuò)展 (DNSSEC)。DNSSEC旨在解決 DNS 中的弱點(diǎn)并為其添加身份驗(yàn)證，從而使系統(tǒng)更加安全。DNSSEC 使用加密密鑰和數(shù)字簽名來強(qiáng)制執(zhí)行合法連接和準(zhǔn)確的查找數(shù)據(jù)。

雖然 DNSSEC 可以大大減少 DNS 的漏洞，但管理開銷以及時間和成本限制了其實(shí)施。對于許多組織來說，更好的選擇是選擇基于云的 DNS。與云網(wǎng)絡(luò)托管類似，基于云的 DNS 可確保地理上多樣化的網(wǎng)絡(luò)和 DNS 服務(wù)器基礎(chǔ)設(shè)施。它實(shí)現(xiàn)了高可用性、全局性能、可擴(kuò)展性、更強(qiáng)的安全性和更好的資源管理。請?jiān)谙旅娴脑u論部分告訴我們您的想法以及您是否使用過基于云的 DNS。