意见

什么是DNS以及它是如何工作的?

域名系统解决了他们的基本的IP地址,在此过程中添加的效率甚至安全的互联网站点的名称。

特约撰稿人,有个足球雷竞技app |

思想库

域名系统(DNS)是互联网的基础之一,然而大多数网络之外的人可能没有意识到他们每天都在使用它来做他们的工作,检查他们的电子邮件或浪费时间在他们的智能手机上。

从最基本的意义上讲,DNS是一个名称与数字匹配的目录。这里的数字是IP地址,计算机用它来互相通信。对DNS的大多数描述都使用电话簿的类比,这对于30岁以上知道电话簿是什么的人来说是合适的。

如果你不到30岁,可以把DNS想象成你的智能手机的联系人列表,它能将人们的姓名与他们的电话号码和电子邮件地址匹配起来。然后把联系人名单和地球上的其他人相乘。

当互联网是非常非常小的,它是人与特定的计算机对应特定的IP地址更容易,但是这并没有持续很长时间,随着越来越多的设备和人员加入了不断增长的网络。除了创建所有这些设备的目录,也就是说被用来让人们连接到不同的网站;对于大多数人来说,记单词比记忆数字的特定集合更容易。它仍然有可能在一个特定的IP地址输入浏览器到达一个网站。

DNS服务器如何工作

匹配名字号码DNS目录不在全部在一个地方在互联网的一些黑暗角落。就像互联网本身,目录是分布在世界各地,存储在域名服务器,所有在一个非常定期相互沟通提供更新和冗余。同在2017年年底上市超过3.32亿域名,一个目录确实会非常大。

每个命名的网站可以对应多个IP地址。事实上,有些网站有数百个或多个IP地址与一个域名对应。例如,服务器计算机达到了www.google.com很可能与另一个国家的人通过在浏览器中输入相同的网站名来访问的服务器完全不同。

另一个原因目录的分布式特性是时间让你得到回应,当你正在寻找一个网站,如果有该目录仅在一个位置,数以百万计,大概数十亿人民共享,将走量也在寻找在同一时间信息。这是一个长线使用电话簿。

相反,DNS信息被多台服务器之间共享,而且还对客户端计算机上本地缓存。有机会,你使用google.com,每天数次。相反,你的电脑每次查询的DNS名称服务器google.com的IP地址,该信息保存在您的计算机上,因此不必访问DNS服务器来解析其IP地址的名称。其它高速缓存可以发生用于连接客户到互联网的路由器上,以及用户的互联网服务提供商(ISP)的服务器上。有这么多的缓存回事,查询,实际上使其DNS域名服务器的数量是低了很多比它似乎。

DNS如何提高效率

DNS被组织在一个层次结构中,帮助保持事情快速和顺利地运行。为了举例说明,让我们假设您想访问networkworld.com。

对IP地址的初始请求是向递归解析器发出的,递归解析器是通常由ISP或其他第三方提供商操作的服务器。递归解析器知道需要请求哪些其他DNS服务器来解析带有IP地址的站点(networkworld.com)的名称。这个搜索会指向一个根服务器,它知道所有关于顶级域名的信息,比如。com、。net、。org和所有这些国家域名,比如。cn(中国)和。uk(英国)。根服务器分布在世界各地,因此系统通常会将您引导到地理位置上最近的一个。

一旦请求到达正确的根服务器,它将转到顶级域(TLD)名称服务器,该服务器存储第二级域的信息,即在您到达。com、。org、。net之前使用的单词(例如,networkworld.com的信息是“networkworld”)。然后请求转到域名服务器,该服务器保存关于站点及其IP地址的信息。一旦发现了IP地址,它就会被发送回客户端,客户端现在可以使用它访问网站。所有这一切只需要几毫秒。

因为DNS已经工作了30多年,大多数人认为它是理所当然的。在构建系统时也没有考虑安全性,所以黑客们充分利用了这一点,造成了各种攻击。

DNS反射攻击

DNS反射攻击可以用来自DNS解析器服务器的高容量消息淹没受害者。攻击者从他们能找到的所有打开的DNS解析器中请求大型DNS文件,并使用伪造的受害者的IP地址来这样做。当解析器响应时,受害者会收到大量未请求的DNS数据,这会使他们的机器崩溃。

DNS缓存中毒

DNS缓存中毒可以转移用户到恶意网站。攻击者设法将虚假地址记录插入DNS中,因此,当潜在的受害者请求对其中一个中毒站点进行地址解析时,DNS将使用攻击者控制的另一个站点的IP地址进行响应。一旦进入这些虚假网站,受害者可能会被骗放弃密码或遭受恶意软件下载。

DNS资源枯竭

DNS资源枯竭攻击会堵塞的ISP的DNS基础,到达互联网上的网站阻止ISP的客户。这可以通过攻击者注册一个域名,并利用受害者的名字服务器与域的权威服务器来完成。所以,如果一个递归解析器不能提供与网站名称相关联的IP地址,它会问受害人的名字服务器。攻击者产生大量为自己域的请求,并在折腾不存在的子域的启动,从而导致解析请求的洪流了受害人的名字服务器被解雇,压倒它。

什么是DNSSEC?

DNS安全扩展是为了使DNS查询中涉及的各个级别的服务器之间的通信更加安全。它是由负责DNS系统的国际互联网名称与数字地址分配机构(ICANN)设计的。

ICANN开始意识到DNS顶级、二级和三级目录服务器之间通信的弱点,这些弱点可能使攻击者劫持查找。这将允许攻击者响应请求,使用恶意站点的IP地址查找合法站点。这些网站可以向用户上传恶意软件,或实施钓鱼和网址嫁接攻击。

DNSSEC将通过让每个级别的DNS服务器对其请求进行数字签名来解决这个问题,这将确保最终用户发送的请求不会被攻击者霸占。这将创建一个信任链,以便在查找的每个步骤中验证请求的完整性。

此外,DNSSEC可确定是否存在域名,如果一个没有,它不会让这种欺骗性域名交付给寻求有一个域名解析无辜请求者。

随着越来越多的域名创建的,多的设备继续通过事物的设备和其它“智能”系统的互联网加入网络,并作为更多的站点迁移到IPv6,保持一个健康的生态系统DNS将需要。大数据和分析也增长带来了DNS管理更需要

(基思肖对于网络世界和一名前高级编辑有个足球雷竞技app他是一位获奖作家、编辑和产品评论家,曾为世界各地的许多出版物和网站写过文章。

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
有关:

基思·肖是谁写关于IT世界超过20年的自由数字记者。

版权所有©2018Raybet2

IT薪资调查:结果是