dns是什么意思 dns服务器什么意思( 二 )


我可以在8.8.8.8使用域名系统吗?但是请记住 , 虽然您的互联网服务提供商会设置一个默认的域名系统服务器 , 但您没有义务使用它 。一些用户可能有理由避免使用其互联网服务提供商的域名系统 , 例如 , 一些互联网服务提供商使用其域名系统服务器将对不存在的地址的请求重定向到带有广告的网页 。
如果您想要一个替代方案 , 您可以将您的计算机指向一个公共DNS服务器作为递归解析器 。最著名的公共域名系统服务器之一是谷歌的 , 它的IP地址是8.8.8.8和8.8.4.4 。谷歌的DNS服务往往速度很快 。虽然有人怀疑谷歌提供免费服务的不可告人的动机 , 但他们从你这里获得的信息并不能真正超过从Chrome浏览器获得的信息 。谷歌有一个页面 , 详细解释了如何配置您的计算机或路由器连接到谷歌的域名系统 。
如何提高DNS效率DNS的组织结构有助于保持事物快速平稳地运行 。为了说明这一点 , 让我们假设你想去linux.cn 。
如上所述 , 对IP地址的初始请求被发送到递归解析器 。递归解析器知道它需要请求哪些其他DNS服务器来解析网站名称(linux.cn)及其IP地址 。该搜索将被传输到根服务器 , 根服务器知道所有顶级域名的信息 , 例如 。com ,  。net ,  。和所有国家域名 , 如 。中国和 。英国(英国) 。Roots遍布世界各地 , 因此系统通常会引导您找到地理位置最近的服务器 。
一旦请求到达正确的根服务器 , 它将进入顶级域名(TLD)服务器 , 该服务器存储二级域名的信息 , 即在您写入之前的单词 。com ,  。org和 。net(例如 , linux.cn的信息是“linux”) 。然后 , 请求进入域名服务器 , 该服务器保存网站的信息和IP地址 。一旦找到IP地址 , 它将被发送回客户端 , 客户端现在可以使用它来访问网站 。所有这些只需要几毫秒 。
因为DNS已经工作了30多年 , 大多数人都认为这是理所当然的 。构建系统时没有考虑安全性 , 因此黑客充分利用了这一点 , 并制造了各种攻击 。
DNS反射攻击DNS反射攻击可以让受害者从DNS解析服务器获得大量信息 。攻击者利用伪装成受害者的IP地址 , 向他们能找到的所有开放的DNS解析器请求大量的DNS数据 。当解析器响应时 , 受害者将被大量未经请求的DNS数据淹没 。
DNS缓存中毒DNS缓存中毒会将用户转移到恶意网站 。攻击者试图在DNS中插入虚假的地址记录 , 这样当潜在受害者请求解析其中一个中毒网站的地址时 , DNS就会用攻击者控制的另一个网站的IP地址进行响应 。一旦你访问这些假网站 , 受害者可能会被骗 , 泄露密码或下载恶意软件 。
域名系统资源耗尽DNS资源耗尽攻击可以阻断ISP的DNS基础设施 , 阻止ISP客户访问互联网上的网站 。攻击者注册一个域名 , 并通过将受害者的名称服务器作为域名的权威服务器来实现这种攻击 。因此 , 如果递归解析器无法提供与网站名称相关的IP地址 , 它将询问受害者的名称服务器 。攻击者会对自己注册的域名产生大量请求 , 查询不存在的子域 , 导致大量解析请求发送到受害者的名称服务器 , 使其不堪重负 。
什么是DNSSec?DNS安全扩展是为了使参与DNS查询的各级服务器之间的通信更加安全 。它是由负责域名系统的互联网名称与数字地址分配机构(ICANN)设计的 。
ICANN意识到DNS中顶级、二级、三级目录服务器之间的通信存在弱点 , 可能会让攻击者劫持查询 。这将允许攻击者使用恶意网站的IP地址响应合法网站的查询 。这些网站可能会向用户上传恶意软件 , 或者实施网络钓鱼和网络钓鱼攻击 。
DNSSec将通过让每一级DNS服务器对其请求进行数字签名来解决这个问题 , 这可以确保来自最终用户的传入请求不会被攻击者利用 。这就建立了一个信任链 , 以便在查询的每一步都验证请求的完整性 。
此外 , DNSSec可以确定域名是否存在 , 如果不存在 , 它将不允许将欺诈域名交付给寻求域名解析的无辜请求者 。
随着越来越多的域名被创建 , 越来越多的设备不断通过物联网设备等“智能”系统加入网络 。随着越来越多的网站迁移到IPv6 , 有必要维护一个健康的域名系统生态系统 。大数据和分析的增长也给DNS管理带来了更大的需求 。

推荐阅读