什么是域名系统 (DNS)?
了解 DNS 的重要性,其工作方式以及如何为您的组织选择所需的 DNS 解决方案。
黑色和蓝色背景
什么是 DNS?

域名系统 (DNS) 使用户可以使用 Internet 域名和可搜索 URL 连接到网站,而不是数字网际协议地址。 而不是必须记住诸如  93.184.216.34 的 IP 地址, 用户可以改为搜索  www.example.com

DNS 背后的技术可以比作在智能手机上管理电话联系人的方式。 用户无需记住每个人的电话号码,可以通过将它们存储在其联系人列表中来轻松地存储和找到电话号码,从而便于通过姓和名进行搜索。

DNS 背后的转换技术也已经完全定义了企业如何利用互联网,尤其是在创建其品牌身份和向客户展示自己时。 如果不使用域名系统,客户可能很快就会丢失对他们正在寻找的网站的跟踪。 而且,虽然 IP 地址可以随时变更,但域名容易记住并会保持一致。
DNS 的工作方式?

区分使用公用和专用 DNS 很重要。

  • 公用 DNS: IP 记录通常由您的因特网服务提供商 (ISP) 提供给您的公司。 这些记录可以公用,任何人都可以访问,不考虑他们使用的设备或连接到的 网络 。

  • 专用 DNS: 专用 DNS 与公用 DNS 不同,因为它位于公司防火墙后并且只保存内部站点的记录。 在这种情况下,专用 DNS 在其作用域内限制为记住内部站点中的 IP地址和正在使用的服务,且不能在专用网络之外访问。

在大多数情况下,用户将主机名转换为 IP 地址时将依靠公用 DNS。 以下是该过程如何工作的高级概述:

  1. 用户在浏览器中输入一个域名或 URL(例如, www.example.com) 。 然后发送一个查询到本地 DNS 服务器,通常由一个本地操作系统或您的因特网服务提供商提供。 客户机与 DNS 域名服务器间的中间商被称为递归解析器,并且旨在向客户机请求或从客户机接收查询的域名服务器信息。

  2. 该递归解析器请求查询,该查询被传递到根域名服务器,这些服务器根据正在搜索的域名扩展,通过相应的 TLD 域名服务器响应所定向的查询。 根域名服务器还受互联网名称与数字地址分配机构 (ICANN) 的监督。 该 TLD 域名服务器保存以通用扩展名(例如 .com、.net、.edu 和 .gov)结尾的 URL 的所有信息。

  3. 由于定期执行的 DNS 查找很大,一个递归解析器用于将搜索请求分组成多个批次,这些批次根据所进行的搜索查询识别具有正确 IP 地址的权威 DNS。 在权威域名服务器通常是 DNS 查找的最后步骤。 递归解析器从 TLD 域名服务器得到响应后,它移动到一个权威域名服务器,其中 IP 地址会被定位而返回到客户机。

DNS 已经成为互联网核心功能的关键,通过资源记录的方式帮助用户轻松浏览大量的 IP 地址。 如果没有这些基本过程,支持我们每天在线使用的所有功能几乎是不可能的,并且会限制我们在设置邮件服务、网站重定向或识别复在 IPv4 和 IPv6 网站地址方面的能力。 但是 DNS 查找的惊人之处在于,无论流程多么复杂,所有搜索查询和服务器重定向都在短短几毫秒内完成,而不会影响客户端。 
如何选择 DNS 服务器

许多组织发现拥有自己的 DNS 服务器是有利的。 这种方法有几个优势,但最终,它可以归结为实现更好的一致性和控制自己的 Web 属性。 由于您是服务器的管理员,您可以为机器设置所有参数,包括查找过程、安全协议和运行能力。

决定使用哪种类型的 DNS 服务器时,两个最重要的考虑因素是服务器提供的可伸缩性和性能。 DNS 服务器响应查询的速度取决于许多变量,包括与服务器相关的用户地理位置、 均衡负载 配置和查询过滤。

用户的另一种选择是依靠 DDI 解决方案—集成和管理所有 DNS、DHCP 和 IPAM 服务的集中平台。 DDI 使企业能够简化和自动化对不断增加的 IP 地址的管理,同时充分供应和集成其他云编排系统。
DNS 服务器和网络安全

虽然大多数现代 DNS 服务器是相当安全的,多年前设计的旧系统会遇到其自身业务安全性方面的挑战。 以下是 与使用这些 DNS 服务器相关的几个常见风险

DNS 截取
 

也被称为重定向攻击,错误解析 DNS 查询和将用户重定向到虚假和恶意网站时,DNS 截取出现。 这是通过在用户的计算机上安装恶意软件来完成的,出现时会接管路由器或劫持 DNS 通信。

缓存中毒
 

黑客实际上控制了 DNS 服务器本身并破坏了 IP 地址条目时,DNS 缓存中毒发生。 然后,这些错误条目会在全球范围内传播到因特网服务提供商,它们会被缓存到其中,并在公用 DNS 查找中使用。

有效对抗这些风险的一种方式是使用 DNSSec。 DNSSec 使用一个安全的域名系统,并为 DNS 记录分配加密签名,确保不能从记录的原始状态对其进行更改。 与 HTTPS 类似,DNSSec 增加了一个额外的安全层用于访问 DNS 记录,而无需多重加密,这会减缓查询过程。
DNS 安保最佳实践

无论您选择使用哪种类型的 DNS 服务,都可以遵循一些最佳实践,从而避免出现攻击面并最大限度地减少任何潜在的安全性问题:

  1. DNS 清仓: 定期清理 DNS 缓存将删除本地系统上的所有条目。 这个过程对于删除任何无效的或泄露的 DNS 记录是有用的,这些记录可能会把您引向恶意站点。

  2. nslookup: nslookup  是一个程序和命令代码,服务器管理员可以使用它查找已指定主机名的 IP 地址。 这使用户可以保护自己免受网络钓鱼攻击,并按需确认他们所访问网站的有效性。

  3. DNS 泄漏测试: 有几个免费服务可用于运行一个  DNS 泄漏测试 (链接位于 ibm.com 外部)。 您使用安全 VPN 或隐私服务时,有时可能会发现它们的配置很差,而且默认的 DNS 服务器仍在使用中。 这将意味着任何监视网络流量的人仍然能够出于恶意目的记录您的活动。 运行一个 DNS 泄漏测试将确保您具备一个已关闭 VPN 通道,并且您的网络流量保持安全。
相关解决方案
IBM Cloud® Internet Services

IBM Cloud 因特网服务提供安全性、可靠性和强大性能,旨在保护面向公众的 Web 内容和应用程序。

探索 IBM Cloud® 因特网服务
资源 什么是网络?

在这篇介绍网络的文章中,了解计算机网络如何工作、用于设计网络的架构以及如何保护网络安全。

 什么是负载均衡?

在此指南中,了解负载均衡如何优化 Web 站点和应用程序性能。
采取下一步行动

IBM Cloud® 因特网服务 (CIS),支持 Cloudflare,允许企业访问一套域管理服务,由专门的支持人员 24 小时执行,所有服务都通过安全的网络交付。 通过使用权威 DNS 服务器及全局和局部负载均衡,客户机可以利用单一接口进行多区域 DNS 查询,避免等待时间和停机时间,同时显著加快解决阶段。

了解有关 IBM Cloud® 因特网服务的更多信息