域名系统在将互联网网址名称与其IP地址联系起来、确保效率及加强保安方面,扮演重要角色。DNS是互联网的一个基本组成部分,它在后台谨慎地运行,将用户输入的网站名称与其复杂的IP地址链接起来——这些IP地址是人类无法记忆的数字字符串。
虽然直接在浏览器中输入IP地址的选项仍然存在,但一般倾向于使用用户友好的词语,即域名(例如,Network World)。在20世纪70年代和80年代初,斯坦福研究所(Stanford Research Institute)的伊丽莎白·费勒(Elizabeth Feinler)完成了将域名和IP地址配对的艰巨任务,考虑到互联网的迅速扩张,这是一项难以承担的责任。作为回应,Paul Mockapetris在1983年引入了DNS,这是一个复杂的、可扩展的系统,可以自动进行域名到ip地址的转换。
有超过3.42亿个注册域名,在一个目录中维护它们是不切实际的。就像互联网本身一样,目录是全球分布在域名服务器上的,这些服务器定期交换更新和简化信息以避免冗余,从而有助于提高性能。
分布式系统在性能优化中发挥着关键作用,防止了一个假设的场景,即通过其底层IP地址解析域名“Google”的全局请求将被集中。为了解决这个问题,DNS信息在多个服务器之间共享。这使得单个域可以拥有多个IP地址,例如,当您的设备在输入www.google.com时所访问的服务器与在另一个国家输入相同站点名称的人所访问的服务器是不同的。然而,无论用户的全局位置如何,DNS都能有效地将用户定向到正确的目的地。
当计算机寻找与域名链接的IP地址时,DNS的功能就会展开。DNS查询通常由DNS客户端在web浏览器中发起,并遍历到递归DNS服务器(递归解析器)。通常由互联网服务提供商(ISP)操作,递归解析器识别要咨询哪些DNS服务器以用其IP地址解析站点名称。具有必要信息的服务器被指定为权威名称服务器。
DNS以分层结构运行。对IP地址的初始DNS查询指向递归解析器,导致根服务器包含有关顶级域名(.com, .net, .org)和国家域名的详细信息。这些根服务器分散在全球,将请求直接发送到最近的根服务器。一旦到达正确的根服务器,查询将继续到顶级域服务器(TLD名称服务器),存储二级域的信息——输入到搜索框中的单词。然后请求进入域名服务器,域名服务器检索IP地址并迅速将其转发回DNS客户端设备,促进对指定网站的无缝访问,所有这些都在几毫秒内完成。
DNS缓存包括什么?
最有可能的是,你每天与谷歌进行多次互动。在输入域名时,您的计算机不会反复查询DNS名称服务器的IP地址,而是将这些信息存储在您的个人设备上。这样就不需要访问DNS服务器来解析带有IP地址的名称。扩展到个人设备之外,额外的缓存机制在路由器和用户的互联网服务提供商(ISP)的服务器上运行,以促进客户端与互联网的连接。跨这些不同点的大量缓存大大减少了到达DNS名称服务器的查询数量,从而提高了系统的总体速度和效率。
DNS编号系统是如何构建的?
每个连接互联网的设备都需要一个唯一的IP地址,以确保正确的流量路由。DNS通过IPv4或IPv6等系统将人工查询转换为数值。对于IPv4,数字为32位十进制整数。这个数字字符串被分割成组件,包括网络、主机和可选的子网——类似于带有国家代码和地区代码的电话号码。网络部分指定分配给该号码的网络类和类别,而主机标识网络上的特定机器。子网部分虽然是可选的,但它有助于在本地网络中导航广泛的子网和分区。IPv6旨在解决IPv4地址耗尽问题,采用128位数字,产生340万亿亿个可能的IPv6地址。
谁负责分配IP地址?
1998年,美国政府将IP地址分配的任务委托给了互联网数字与名称分配机构(ICANN)。从那时起,这个非营利组织就无缝地履行了这一职责,没有受到重大干扰。ICANN承担中立的咨询角色,制定与新顶级域名(例如。io)创建等方面相关的政策。DNS系统的分散性是显而易见的,有兴趣注册域名的个人可以从众多icann认可的注册商中进行选择。这种去中心化允许新域名在注册后几分钟内迅速填充并通过DNS服务器在全球范围内访问。
域名系统(DNS)的安全性如何?
网络犯罪分子在识别各种系统的漏洞方面表现出了独创性,DNS一直是相当多攻击的目标。根据IDC在2021年对北美、欧洲和亚太地区1100多个组织进行的一项调查,87%的组织报告遭受过DNS攻击。财务影响是巨大的,所有区域的平均成本约为95万美元,北美组织的成本约为100万美元。值得注意的是,来自不同行业的组织在去年平均面临7.6次攻击。
正如报告所强调的那样,2019冠状病毒病大流行导致的远程工作激增以及随后将资源转移到云端,为攻击者提供了新的机会。研究人员还观察到,通过DNS窃取数据的情况显著增加,26%的组织报告敏感客户信息被盗,而2020年这一比例为16%。DNS攻击包括DNS放大攻击、DNS欺骗或缓存中毒攻击、DNS隧道攻击、DNS劫持或重定向攻击等多种形式。
根据企业管理协会(EMA)的报告,随着DNS相关攻击的频率不断上升,IT组织越来越关注DNS基础设施的安全性。最近一项针对333名负责DNS、DHCP和IP地址管理的IT专业人士的调查显示,只有31%的DDI管理人员对其DNS基础设施的安全性充满信心。EMA深入研究了所面临的具体挑战,发现DNS劫持(或重定向)是28%的受访者最关心的问题。紧随其后的是DNS隧道和泄露,黑客在渗透网络后利用这些漏洞,以20%的比例构成了第二个最令人担忧的DNS安全问题。EMA网络管理实践研究总监Shamus McGillicuddy强调了安全监控工具在仔细检查DNS流量异常(如异常大的数据包大小)方面的重要性。(进一步阅读:企业IT面临的DNS安全挑战)
什么是DNSSec?
DNSSec是由ICANN构思的一种安全协议,旨在增强参与DNS查找的不同级别服务器之间的通信安全性。它的主要重点是减轻DNS顶级、二级和三级目录服务器之间交互中的漏洞,这些漏洞可能被黑客利用来劫持查找。
这种形式的劫持使攻击者能够操纵对合法站点的查找请求,将用户重定向到能够上传恶意软件或执行网络钓鱼攻击的恶意站点。DNSSec通过在每个级别的DNS服务器上实现数字签名来对抗这种威胁,保护请求不被恶意行为者占用。这种方法建立了一个健壮的信任链,确保在查找过程的每一步都验证请求的完整性。
DNSSec还具有验证域名是否存在的能力,如果不这样做,则可以防止向寻求域名解决方案的无辜请求者提供欺诈性域名。
什么是DNS over HTTPS (DoH)?
虽然DNSSec解决了分布式DNS服务器网络中的漏洞,但它并没有完全根除利用欺骗向DNS系统注入恶意代码的基于DNS的网络攻击。DNS历史上的一个重大演变涉及到Google和Mozilla等主要参与者对DNS over HTTPS (DoH)的倡导,DoH是一种IETF标准,旨在加密DNS请求,类似于HTTPS协议保护web流量的方式。
然而,向DoH的过渡并非没有争议。DoH对DNS请求的加密可能会妨碍企业IT监控员工的web活动。此外,家长们也提出了担忧,他们担心DoH可能会阻碍家长对孩子互联网使用的控制。
通过HTTPS采用DNS一直是渐进的。虽然DoH在客户端集成到最新版本的Google Chrome和Mozilla Firefox中,但用户保留禁用它的选项。希望控制员工使用的浏览器的组织可以选择禁用DoH。在互联网服务提供商方面,一些领先的互联网服务提供商尚未启用DoH。
如何定位我的DNS服务器
从广义上讲,您的DNS服务器通常是由您的互联网服务提供商(ISP)在连接到互联网时自动配置的。如果您希望确定您的主要名称服务器,各种在线工具,如browserleaks.com,可以提供有关您当前网络连接的详细信息。
虽然您的ISP建立了默认的DNS服务器,但您没有义务使用它。某些用户可能会找到避开其ISP的DNS的理由,特别是如果ISP将不存在的地址的请求重定向到充满广告的页面。
或者,您可以选择将计算机定向到作为递归解析器的公共DNS服务器。谷歌的公共DNS服务器是最突出的选择之一,其IP地址为8.8.8.8。这为依赖ISP的DNS服务器提供了另一种选择,使您能够更好地控制DNS首选项。