域名系統(tǒng) (DNS) 是一種數(shù)據(jù)庫框架，可將個人計算機的注冊域名解釋為 IP 地址，反之亦然。網(wǎng)絡 PC 使用IP 地址來查找并相互關聯(lián)，但個人很難回憶 IP 位置。

DNS 會自動將我們在 Web 瀏覽器中鍵入的名稱轉換為托管該站點的服務器的 IP 地址。DNS 還使您能夠與另一臺授權 PC 關聯(lián)或通過使用其易于理解的區(qū)域名稱而不是其數(shù)字 IP 地址來允許遠程管理。另一方面，反向 DNS (rDNS) 將 IP 地址解釋為域名。

每個擁有計算機鏈的組織都有一個處理 DNS 查詢的服務器，稱為域服務器。除了系統(tǒng)外最近訪問的 PC 的 IP 地址外，它將保存系統(tǒng)內(nèi)的所有 IP 地址。DNS 可以比作電話目錄，您可以在其中使用易于記憶的名稱查找電話號碼。

DNS 的工作原理

DNS 解析涉及類似于使用街道地址查找房屋的過程。每個連接到互聯(lián)網(wǎng)的設備都被賦予一個 IP 地址。當有人輸入查詢時，主機名將轉換為 IP 地址以完成查詢。網(wǎng)址和機器友好地址之間的這種轉換對于任何網(wǎng)頁的加載都至關重要。

在機器級別，當發(fā)起搜索查詢時，瀏覽器會在本地緩存中查找信息。如果找到該地址，它將在局域網(wǎng) (LAN) 中查找 DNS 服務器。如果局域網(wǎng)中的DNS服務器被找到并接收到查詢，就會返回一個結果。如果沒有找到 DNS 服務器，本地服務器會將查詢轉發(fā)到 Internet 服務提供商提供的 DNS 緩存服務器。

DNS 緩存服務器包含基于從權威 DNS 服務器獲取的緩存值的臨時 DNS 記錄。顧名思義，權威 DNS 服務器存儲并提供每個頂級域的權威名稱服務器列表。DNS 的工作基于層次結構，因此必須進一步了解這些服務器。

DNS 服務器的類型

1. DNS 遞歸器——DNS 遞歸器服務器通過互聯(lián)網(wǎng)瀏覽器等應用程序從客戶端機器獲取請求。然后遞歸器發(fā)出額外的請求來完成客戶的 DNS 查詢。把它想象成一個圖書館員，他去圖書館某處尋找一本特定的書。
2. 根域名服務器——這是將可理解的主機名破譯成 IP 的初始階段。將其視為圖書館中可用的索引，根據(jù)書名為您提供書架編號。
3. TLD 名稱服務器——TLD 是搜索特定 IP 的后續(xù)階段，它具有主機名的最后一段。常見的 TLD 服務器是 .com、.in、.org. 等。
4. 權威名稱服務器——此名稱服務器是查詢的最后停止。如果最終名稱服務器接近提到的記錄，它將把提到的主機名的 IP 恢復回進行底層查詢的 Recursor。

什么是 DNS 傳播

如果您的 IP 地址與用于查找您的房子的街道地址相似，如果您更改家庭地址會怎樣？新 IP 地址的域名服務器是什么？嗯，這就是DNS 傳播獲得相關性的地方。簡單來說，DNS 傳播是名稱服務器中所做的任何更改生效所需的時間。

當您更改域的名稱服務器或更改托管服務提供商時，世界各地的 ISP 節(jié)點可能需要長達 72 小時才能使用您域的新 DNS 信息更新其緩存。但是，確保在所有節(jié)點上完整更新記錄所需的時間可能會有所不同。

有關名稱服務器的新信息不會立即傳播，您的一些用戶可能仍會被重定向到您的舊網(wǎng)站。每個 ISP 節(jié)點都會保存緩存以加快加載時間，您別無選擇，只能等到所有節(jié)點都更新完畢。

您可以繞過或最小化 DNS 傳播，方法是使用當前 DNS 提供商一側的“A 記錄”將您的域指向目標 IP 地址，設置最小 TTL。更新“A 記錄”后，您可以等待一個小時，然后更改您的域的名稱服務器。這將確保您的網(wǎng)站不會有任何停機時間，因為兩個主機都將顯示相同的新網(wǎng)站。

DNS 安全擴展

鑒于 DNS 對于將任何查詢重定向到您的網(wǎng)站至關重要，因此黑客和不良行為者會試圖操縱它也就不足為奇了。DNS 本身無法確定數(shù)據(jù)是來自授權域還是已被篡改。這給系統(tǒng)暴露了很多漏洞和攻擊，例如 DNS 緩存中毒、DNS 反射攻擊、DNS 放大攻擊等。

在 DNS 緩存中毒攻擊中，不良行為者將有效 IP 地址替換為惡意 IP 地址。因此，幾乎所有訪問正版站點的用戶都將被重定向到這個新的 IP 地址。這個新位置可能具有原始站點的精確克隆，旨在竊取個人信息和銀行信息等關鍵數(shù)據(jù)，或者它可以重定向到一個網(wǎng)站，惡意軟件將被下載到本地計算機上。

為了解決這些嚴重問題，實施了 DNS 安全擴展 (DNSSEC)。DNSSEC旨在解決 DNS 中的弱點并為其添加身份驗證，從而使系統(tǒng)更加安全。DNSSEC 使用加密密鑰和數(shù)字簽名來強制執(zhí)行合法連接和準確的查找數(shù)據(jù)。

雖然 DNSSEC 可以大大減少 DNS 的漏洞，但管理開銷以及時間和成本限制了其實施。對于許多組織來說，更好的選擇是選擇基于云的 DNS。與云網(wǎng)絡托管類似，基于云的 DNS 可確保地理上多樣化的網(wǎng)絡和 DNS 服務器基礎設施。它實現(xiàn)了高可用性、全局性能、可擴展性、更強的安全性和更好的資源管理。請在下面的評論部分告訴我們您的想法以及您是否使用過基于云的 DNS。