域名系统 (DNS) 使用户可以使用 Internet 域名和可搜索 URL 连接到网站,而不是数字网际协议地址。 而不是必须记住诸如 93.184.216.34 的 IP 地址, 用户可以改为搜索 www.example.com。
DNS 背后的技术可以比作在智能手机上管理电话联系人的方式。 用户无需记住每个人的电话号码,可以通过将它们存储在其联系人列表中来轻松地存储和找到电话号码,从而便于通过姓和名进行搜索。
DNS 背后的转换技术也已经完全定义了企业如何利用互联网,尤其是在创建其品牌身份和向客户展示自己时。 如果不使用域名系统,客户可能很快就会丢失对他们正在寻找的网站的跟踪。 而且,虽然 IP 地址可以随时变更,但域名容易记住并会保持一致。
区分使用公用和专用 DNS 很重要。
在大多数情况下,用户将主机名转换为 IP 地址时将依靠公用 DNS。 以下是该过程如何工作的高级概述:
DNS 已经成为互联网核心功能的关键,通过资源记录的方式帮助用户轻松浏览大量的 IP 地址。 如果没有这些基本过程,支持我们每天在线使用的所有功能几乎是不可能的,并且会限制我们在设置邮件服务、网站重定向或识别复在 IPv4 和 IPv6 网站地址方面的能力。 但是 DNS 查找的惊人之处在于,无论流程多么复杂,所有搜索查询和服务器重定向都在短短几毫秒内完成,而不会影响客户端。
许多组织发现拥有自己的 DNS 服务器是有利的。 这种方法有几个优势,但最终,它可以归结为实现更好的一致性和控制自己的 Web 属性。 由于您是服务器的管理员,您可以为机器设置所有参数,包括查找过程、安全协议和运行能力。
决定使用哪种类型的 DNS 服务器时,两个最重要的考虑因素是服务器提供的可伸缩性和性能。 DNS 服务器响应查询的速度取决于许多变量,包括与服务器相关的用户地理位置、 均衡负载 配置和查询过滤。
用户的另一种选择是依靠 DDI 解决方案—集成和管理所有 DNS、DHCP 和 IPAM 服务的集中平台。 DDI 使企业能够简化和自动化对不断增加的 IP 地址的管理,同时充分供应和集成其他云编排系统。
虽然大多数现代 DNS 服务器是相当安全的,多年前设计的旧系统会遇到其自身业务安全性方面的挑战。 以下是 与使用这些 DNS 服务器相关的几个常见风险。
也被称为重定向攻击,错误解析 DNS 查询和将用户重定向到虚假和恶意网站时,DNS 截取出现。 这是通过在用户的计算机上安装恶意软件来完成的,出现时会接管路由器或劫持 DNS 通信。
黑客实际上控制了 DNS 服务器本身并破坏了 IP 地址条目时,DNS 缓存中毒发生。 然后,这些错误条目会在全球范围内传播到因特网服务提供商,它们会被缓存到其中,并在公用 DNS 查找中使用。
有效对抗这些风险的一种方式是使用 DNSSec。 DNSSec 使用一个安全的域名系统,并为 DNS 记录分配加密签名,确保不能从记录的原始状态对其进行更改。 与 HTTPS 类似,DNSSec 增加了一个额外的安全层用于访问 DNS 记录,而无需多重加密,这会减缓查询过程。
无论您选择使用哪种类型的 DNS 服务,都可以遵循一些最佳实践,从而避免出现攻击面并最大限度地减少任何潜在的安全性问题: