域名系统(DNS)是互联网的基础之一,但也许网络不知道外面很多人,他们每天使用来完成他们的工作,检查他们的电子邮件或浪费时间在他们的智能手机。
在最基本的,DNS是一个名称的目录中匹配的数字。这些数字,在这种情况下是IP地址,该计算机使用相互通信。DNS的大多数描述使用电话簿,这是很好的人的年龄超过30岁,谁知道电话簿是什么的比喻。
如果你是30岁以下的,认为像智能手机的联系人列表,这人的名字与他们的电话号码和电子邮件地址相匹配的DNS。然后,乘其他人在这个星球上的联系人列表。
当互联网是非常非常小的,它是人与特定的计算机对应特定的IP地址更容易,但是这并没有持续很长时间,随着越来越多的设备和人员加入了不断增长的网络。除了创建所有这些设备的目录,也就是说被用来让人们连接到不同的网站;对于大多数人来说,记单词比记忆数字的特定集合更容易。它仍然有可能在一个特定的IP地址输入浏览器到达一个网站。
DNS服务器如何工作
匹配名字号码DNS目录不在全部在一个地方在互联网的一些黑暗角落。就像互联网本身,目录是分布在世界各地,存储在域名服务器,所有在一个非常定期相互沟通提供更新和冗余。同在2017年年底上市超过3.32亿域名,一个单一的目录是确实很大。
每个命名的网站可以对应多个IP地址。事实上,有些网站有数百个或多个IP地址与一个域名对应。例如,服务器计算机达到了www.google.com可能是从服务器上完全不同,有人在另一个国家将通过键入相同的网站名称到他们的浏览器访问。
另一个原因目录的分布式特性是时间让你得到回应,当你正在寻找一个网站,如果有该目录仅在一个位置,数以百万计,大概数十亿人民共享,将走量也在寻找在同一时间信息。这是一个长线使用电话簿。
相反,DNS信息被多台服务器之间共享,而且还对客户端计算机上本地缓存。有机会,你使用google.com,每天数次。相反,你的电脑每次查询的DNS名称服务器google.com的IP地址,该信息保存在您的计算机上,因此不必访问DNS服务器来解析其IP地址的名称。其它高速缓存可以发生用于连接客户到互联网的路由器上,以及用户的互联网服务提供商(ISP)的服务器上。有这么多的缓存回事,查询,实际上使其DNS域名服务器的数量是低了很多比它似乎。
如何DNS将效率
DNS是一个层次,有助于保持快速的东西,并顺利运行组织。为了说明这一点,让我们假设你想访问networkworld.com。
为IP地址的初始请求是对一个递归解析器,其通常是由ISP或其它第三方提供商操作的服务器取得。递归解析器知道它需要向其他DNS服务器来解析网站(networkworld.com),其IP地址的名称。该搜索线索的根服务器,它知道所有顶级域名,如.com,.net和.ORG和所有国家域名.CN一样(中国)和.UK(英国)的信息。根服务器设在世界各地,所以系统通常将引导您到最近的一个地域。
一旦请求到达正确的根服务器,它将转到顶级域(TLD)名称服务器,该服务器存储第二级域的信息,即在您到达。com、。org、。net之前使用的单词(例如,networkworld.com的信息是“networkworld”)。然后请求转到域名服务器,该服务器保存关于站点及其IP地址的信息。一旦发现了IP地址,它就会被发送回客户端,客户端现在可以使用它访问网站。所有这一切只需要几毫秒。
由于DNS一直致力于在过去的30多年,大多数人想当然。安全性也是构建系统时没有考虑,所以黑客已经注意到了这充分利用,创造了各种攻击。
DNS反射攻击
DNS反射攻击可以淹没与DNS解析服务器大批量邮件的受害者。攻击者请求所有打开的DNS解析器,他们可以找到并可能会使用受害人的伪造IP地址的DNS大型文件。当解析器响应,受害人收到压垮他们的机器未请求的DNS数据的洪水。
DNS缓存中毒
DNS缓存中毒可以将使用者导向恶意网站。攻击者设法插入错误的地址记录到DNS,所以当一个潜在的受害者请求一个地址解析为中毒的网站,用的IP地址不同的网站,一个被攻击者控制的DNS响应的一个。一旦这些假冒的网站,受害者可能被欺骗而放弃密码或遭受恶意软件的下载。
DNS资源枯竭
DNS资源枯竭攻击会堵塞的ISP的DNS基础,到达互联网上的网站阻止ISP的客户。这可以通过攻击者注册一个域名,并利用受害者的名字服务器与域的权威服务器来完成。所以,如果一个递归解析器不能提供与网站名称相关联的IP地址,它会问受害人的名字服务器。攻击者产生大量为自己域的请求,并在折腾不存在的子域的启动,从而导致解析请求的洪流了受害人的名字服务器被解雇,压倒它。
什么是DNSSEC?
DNS安全扩展是使各级参与DNS查找更安全的服务器之间的通信的努力。它是由互联网公司的名称和号码分配机构(ICANN)负责DNS系统的组织设计。
ICANN意识到在DNS顶级,第二级和第三级目录服务器,可能允许攻击者劫持查询之间的通信的弱点。这将使攻击者为了应对用于查找与IP地址为恶意网站合法网站的请求。这些网站可以上传恶意程序到用户或进行网络钓鱼和网址嫁接攻击。
DNSSEC将具有DNS服务器的各个层面进行数字签名的请求,这保证了在最终用户发送的请求不被攻击者征用解决这个问题。这产生的信任链,使得在在查找每个步骤中,该请求的完整性进行验证。
此外,DNSSEC可确定是否存在域名,如果一个没有,它不会让这种欺骗性域名交付给寻求有一个域名解析无辜请求者。
随着越来越多的域名创建的,多的设备继续通过事物的设备和其它“智能”系统的互联网加入网络,并作为更多的网站向IPv6迁移,保持一个健康的生态系统DNS将需要。大数据和分析也增长带来了DNS管理更需要。
(基思肖对于网络世界和一名前高级编辑足球竞猜app软件屡获殊荣的作家,编辑和审稿产品已谁在世界各地的许多出版物和网站写的。)