dns伺服器是一個外行聽起來比較專業的詞彙,大部分隻是聽說過dns,卻不知道dns伺服器是什麼鬼;即便知道了dns伺服器是什麼東西,卻也很難明白dns伺服器背後的“翻譯邏輯”是什麼,dns伺服器又能幫我們做些什麼,還有如何防止惡意攻擊 保護dns伺服器……今天,筆者就帶大家來認識一下這位喜歡躲在小黑屋中的“翻譯官”:dns伺服器。
電腦聯網必備技能——dns
相信大多數人對dns的初識都和筆者一樣,來自于大學時候在宿舍給筆記本聯網,一個月20塊,交完網費,學校會給你一個ip位址,然後你自己設定聯網就好了。
這聽起來很簡單,但是很多妹子真的對泛it知識一無所知(撸韓劇、逛淘寶才是他們的專業),于是大學四年,筆者擔任了同學、學妹、甚至部分學姐的網絡問題相關工作,後來即便不用學校相關部門給位址,都能推算出來……
dns伺服器聯網設定
正所謂實踐出真知,筆者對于ipv4位址、預設網關、dns等名詞也是在實際應用中學習的。但是,從專業概念來講,dns又是什麼呢?
dns是domain name service的縮寫,翻譯過來就是計算機域名伺服器(也有擴寫成domain name system,譯為計算機域名系統)。而之是以本文稱dns伺服器為“翻譯官”,是因為dns是進行域名(domain name)和與之相對應的ip位址(ip address)轉換的伺服器。雖然我們每天都會用到dns伺服器,但是卻很少有人知道它,足以展現dns容易被視而不見的特性了。
也就是說,在internet上域名與ip位址之間是一一對應的,域名雖然便于人們記憶,但機器之間隻能互相認識ip位址,它們之間的轉換工作稱為域名解析,而域名解析需要由專門的域名解析伺服器來完成,這就是dns域名伺服器。
附錄:
一般來講,隻要不是網絡服務供應商受到重大攻擊,企業網絡完全陷入癱瘓的可能性不大。而企業dns伺服器會面臨的漏洞主要包括:dns ipv6漏洞、公用dns伺服器上的漏洞、内部威脅和社會工程學四大方面。而要提高企業dns伺服器安全問題也十分簡單。
1、控制入口。即對主要網絡資源通路權限進行管控。從dns伺服器從主力dns伺服器接收這些區域檔案的隻讀拷貝。比如,你可以配置企業的dns伺服器,禁止區域傳輸請求,或者僅允許針對組織内特定伺服器進行區域傳輸,以此來進行安全防範;在基于windows的dns伺服器中,你也應該在dns伺服器相關的檔案系統入口處設定通路控制,這樣隻有需要通路的帳戶才能夠閱讀或修改這些檔案。
2、做好plan b。幾乎在所有企業級it應用場景中備援和備份都是不可缺少的一部分,是以做好災難備份和恢複、做好風險評估方面就顯得異常重要。此外,在管理方面,企業還需要制定相關規範,遇到問題形成快速反應機制。
3、專業支援。俗話說,網絡安全工作要靠三分技術、七分管理,所謂管理就是控制入口、做好備用方案,而三分技術才是企業穩定運作的基礎。這就需要企業找到專業的軟硬體伺服器供應商,比對專業的技術人員,建立一個健康的it生産環境,保證dns伺服器及企業網絡安全。
根域解析故障(圖檔來自知乎)
對于普通消費者而言,除了遇到類似2014年1月21日中國網際網路根域名伺服器(dns)故障這種所有通用頂級域名的根域解析出現異常,導緻大量網站域名解析不正常,網站無法打開的情況之外,大多數時候,dns伺服器隻是躲在小黑屋中,幫助我們實作正向/反向解析的翻譯官,似乎沒什麼大用。但是正因為大量默默無名的dns伺服器在刻苦工作,才有了我們發達的網際網路生态。
說白了,dns伺服器起到的作用是把我們輸入的字元域名轉換為主機的ip位址。計算機在網絡上進行通訊時隻能識别如“201.59.72.14”之類的ip位址(此處為任意ip位址舉例),而不能認識域名(如:zol.com.cn)。但是,我們打開浏覽器,在位址欄中輸入字元域名後,就能看到所需要的頁面,就是因為有一個叫“dns伺服器”的存在自動把我們的域名“翻譯”成了相應的ip位址,然後調出ip位址所對應的網頁。也正是以,也有人将dns伺服器比喻成“翻譯官”和“電話簿”。
就像大多數同傳大神一樣,dns伺服器這個翻譯官也常常躲在一個小黑屋中工作,不同于同傳翻譯人員使用一支筆、一個本和大腦來翻譯,dns伺服器的翻譯邏輯似乎有些不同,畢竟他們隻能是0和1的組合。
如果簡單來講,可以将dns分為c/s(client/server,客戶機/伺服器)兩種模式,client扮演詢問角色,由client向server詢問domain name(域名),server負責給出域名對應的真正ip位址。
具體而言,要分八步走。
1、用戶端送出請求:我需要通路zol.com.cn,請告訴我它得ip位址。
2、本地dns伺服器(向dns根伺服器)分發需求:緩存中沒有zol.com.cn的記錄,向d.root-servers.net.請求域名對應ip位址。
3、dns根伺服器給出範圍:該域名由.com.cn區域管理,給你.com.cn域伺服器位址ns.cernet.net.
4、本地dns伺服器(向.com.cn域伺服器)分發需求:域名zol.com.cn對應的ip位址是多少?
5、.com.cn域伺服器給出範圍:負責zol.com.cn的域伺服器應該知道ip位址,你去問它
6、本地dns伺服器(向zol.com.cn域伺服器)分發需求:請問域名zol.com.cn對應的ip位址是多少?
7、zol.com.cn域伺服器給出答案:經查詢得知,該域名對應的ip位址是123.101.57.11
8、本地dns伺服器(向網絡用戶端)回複答案:域名zol.com.cn對應的ip位址是123.101.57.11
zol dns解析過程
一般來講,dns伺服器一般會在獲得域名對應ip位址之後,将該ip位址與域名對應關系記入緩存中,以備下次别的使用者查詢時可以直接傳回結果,以加快網絡通路速度。
完成以上8步,正向解析完成,除了正向解析(域名轉換成ip位址的操作)之外,還有反向解析,即通過ip位址轉換成域名的操作,這裡再不做詳盡解釋。
除了基本的翻譯工作之外,dns還能為我們帶來哪些優勢呢?今天,筆者就向大家簡單介紹三種dns能夠告訴我們的事兒。
一、檢測垃圾郵件和botnet僵屍網絡
檢測垃圾郵件
衆所周知,botnet僵屍網絡就是許多台被惡意代碼感染、控制的與網際網路相連接配接的計算機。而當一個運作一個垃圾郵件的時候,會有大量的郵件被發送到一個預定的域名清單裡;就導緻一個已經不存在的域名,被高頻率的通路。另外,在圖示一圾郵件和botnet僵屍網絡,并迅速識别受損及其,解決問題。
二、優化網絡速度,降低網絡成本
圖檔來自網絡
dns資料可以告訴我們是否出現網絡堵塞,并識别網絡堵塞的原因。上圖是未經過濾的圖檔,根據顔色的不同,可以看出網絡速度的不同。繼續研究的話你可以調節dns伺服器配置,改善網絡速度,減少在某些應用程式上的等待時間,甚至有可能節省網絡成本。
三、發現軟體漏洞
正常的dns應該是穩定的,但如果你發現servfail響應異常,那可能意味着出現了網絡漏洞。它或者意味着軟體漏洞,或這意味着你的伺服器配置相對較差,可能會增加你的風險。
惡意dns劫持(圖檔來源于網絡)
google dns伺服器平均每天處理超過1500億個查詢。在2014年3月17日,根據網絡監測公司bgpmon資料,google的公開dns伺服器ip 8.8.8.8被劫持到了委内瑞拉和巴西超過22分鐘。類似這樣的事件時有發生,我們所需要做的就是利用一切手段,防止這樣的事件發生。
長久以來,dns一直未作為分析網絡問題的标準,甚至可能性。但是如今根據相關測試我們可以看出,dns可以告訴我們的還有很多。比如檢測垃圾郵件和botnet僵屍網絡;優化網絡速度,降低網絡成本和發現軟體漏洞。
盡管dns看起來優勢多多,但是dns域名伺服器安全問題由來已久,比如2009年的519事件,因為dnspod使用者域名互相攻擊造成dnspod當機,大量請求壓力讓營運商伺服器受到了影響,導緻南方六省斷網、伺服器崩潰。後來的dns域名被篡改、ddos攻擊、内部威脅等問題也持續存在。
本文轉自d1net(轉載)