什么是 DNS?
域名系统是用于连接到互联网或专用网络的计算机、服务或任何其他资源的分层分布式命名系统。 每当您需要浏览器定位并连接到计算机服务或设备时,DNS 都会在后台工作,将易于记忆的域名转换为该资源的数字互联网协议 (IP) 地址。 您可以将 DNS 视为互联网的电话簿: 它的创建是为了让人们能够通过名称轻松识别连接到互联网的所有设备和服务。
域名是与互联网源相关的用户友好名称。 例如,www.f5.com 是一个域名,该 URL 与 F5 拥有的服务器相关联。
域名的细分称为子域名。 例如,support.f5.com 是 F5.com 上支持的子域名。 子域名是域名左边的任何内容,后面跟着一个点。
DNS 查找是客户端(例如 Web 浏览器)向 DNS 服务器查询特定域的过程。 然后,DNS 服务器会回复一个 IP 地址,将客户端引导到所需的目的地。
域名空间定义了互联网的整体命名结构。 它是树状的域名结构,顶部有一个根域名。 从该根域名开始,分支出主要域名,例如 .com、.net、.org 和其他域名。
命名空间树被细分为多个区域。 它定义了特定域下可用的资源。
名称服务器存储有关区域的信息。 有两种类型的名称服务器: 小学和中学。 每个区域的数据存储在主名称服务器和辅助名称服务器上。
DNS 解析器是 DNS 的客户端。 它负责启动和排序查询,最终将域名转换为 IP 地址。
简而言之,用户在浏览器中输入的域名(例如www.f5.com)由DNS服务器转换为IP地址(104.219.105.148)。 这使得设备能够在互联网上找到您正在寻找的资源 - 在本例中为 F5 主页。
让我们更详细地看一下这个过程:
假设用户在浏览器中输入域名 www.f5.com。 由于浏览器不知道 www.F5.com 在哪里,它向本地 DNS 服务器 (LDNS) 发送请求,询问是否有该网站的记录。 如果 LDNS 没有该特定站点的记录,它将开始对互联网域名进行递归搜索,以找出 www.F5.com 的所有者。
首先,LDNS 转到其中一个根服务器,该服务器将其定向到 .com DNS 服务器。 然后,.com 服务器确定 www.F5.com 的所有者,并使用 F5.com 的名称服务器 (NS) 记录通知 LDNS。
然后,LDNS 查询 F5.com DNS 服务器 NS 记录。 f5.com DNS 服务器查找名称 www.F5.com 。 如果找到该名称,它会向 LDNS 返回一个地址(A)记录。 此 A 记录包含请求名称、LDNS 中分配给该名称的 IP 地址以及该名称的生存时间(或 TTL)。 TTL 告诉 LDNS 在再次询问 F5.com DNS 服务器之前需要保留 A 记录多长时间。
当 LDNS 收到 A 记录时,它会在 TTL 指定的时间内缓存 IP 地址信息;如果任何其他客户端需要相同的信息,LDNS 会在发送查询之前从自己的名称缓存中回答该查询。 因为它可以在本地保存信息,所以它不需要不断询问 f5.com DNS 服务器,从而可以更快地将来连接该资源。
然后,浏览器使用 IP 地址打开到www.F5.com :80 的连接并发送 GET /...,然后导致 Web 服务器返回网页响应。
现在,在实践中,DNS比上面的例子显示的要复杂得多——但它应该可以让您清楚地了解它的工作原理。
DNS 记录是映射文件,它告诉 DNS 服务器哪个 IP 地址与哪个域名相关联。 它还告诉 DNS 服务器如何处理这些请求。 DNS 记录有多种类型,但特定域的所有 DNS 记录都包含在所谓的 DNS 区域中。 将 DNS 区域视为一个容器,它允许互联网查找一个(且仅一个)特定域的 IP 地址。
常见的DNS记录类型有以下几种:
地址或 A 记录(也称为主机记录)是 DNS 的中心记录。 这些记录将域名链接到 IP 地址。 AAAA 记录与 A 记录相同 - 但它返回的是 128 位 IPv6 地址,而不是 32 位 IPv4 IP 地址。
名称服务器 (NS) 记录决定哪些服务器为域传达 DNS 信息。 一般来说,您会拥有您的域名的主名称服务器记录和辅助名称服务器记录。
邮件交换将直接电子邮件消息记录到特定域的服务器。 可以为一个域定义多个 MX 记录,每个记录具有不同的优先级。 数字最小则优先级最高。 如果无法使用第一优先级记录递送邮件,则使用第二优先级记录,依此类推。
文本或 TXT 记录可以包含任意文本,但也可用于定义机器可读文本。
规范 NAME 或 CNAME 记录将别名链接到另一个规范域名。 例如,alias.example.com 可能链接到 example.com。
DNS 是实现互联网的主要技术之一。 它也是网络基础设施中的一个重要组成部分。 由于拥有可用、智能、安全且可扩展的 DNS 基础设施至关重要,因此 DNS 不仅仅提供内容和应用:它还管理分布式和冗余架构,确保高可用性和高质量的用户响应时间。 如果 DNS 出现故障,大多数 Web应用将无法正常运行。 这不仅使 DNS 变得至关重要,而且成为攻击的主要目标。 如果您没有适当的 DNS 基础设施,客户将无法访问您的应用或内容,这可能会导致他们转向其他地方来满足他们的需求。
但是,标准 DNS 服务存在一定的限制。 首先,即使 DNS 使您的应用/网站/内容可用,但 DNS 实际上并不关心它是否启动并运行,甚至是否存在。
此外,DNS没有真正的分配负载的能力。 它将继续使用所有 IP 地址,即使该 IP 支持的应用超载或关闭。
DNS 也没有状态应用的概念:它不能保证用户返回到同一个 IP 地址。 例如,如果您前往特定的数据中心并构建在该数据中心维护的购物车,则无法保证下次解析名称时您会获得相同的 IP。
最后,标准 DNS 服务器每秒只能回答有限数量的 DNS 查询,这使得它们容易受到分布式拒绝服务 (DDoS) 攻击。
DNS 是互联网的支柱,但也是网络中最脆弱的点之一,这使其成为高价值目标。 DDoS 攻击可能会使您的 DNS 服务器陷入瘫痪或发生故障,从而导致请求重定向到恶意服务器。 为了防止这种情况,必须在网络中集成高性能、分布式、安全的架构。 在 DNS 激增和 DDoS 攻击期间,公司还应添加更多 DNS 服务器。
尽管 DNS 服务器和云服务每秒可以处理不同数量的请求,并且随着查询的增加成本也会增加,但此解决方案在需要更改时通常需要人工干预。 而且由于新的漏洞不断出现,传统 DNS 服务器需要频繁维护和修补,这使得成本更加高昂。
既然我们已经确定 DNS 容易受到严重攻击,那么让我们来讨论一下应用交付控制器 (ADC) 如何帮助保护 DNS 基础设施。 ADC 可以平衡多个 DNS 服务器的负载并缓存响应,提供规模并使 DNS 服务器能够处理大量流量和大规模攻击。 此功能使客户能够同时部署多个 DNS 服务器,从而最大限度地提高应用可用性、提供更快的速度并提高性能。 ADC 还可以快速检测 DDoS 攻击并将这些连接从服务器路由出去 - 或者完全拒绝它们。 ADC 支持 DNSSEC,并允许组织防御缓存毒害和中间人攻击等威胁。 由于所有这些,ADC 可以减少在过载或受到攻击时需要配置额外 DNS 服务器作为备份的需求,从而降低客户的总体拥有成本。
简而言之,高性能 ADC 不仅可以保护 DNS 服务器免受各种攻击,还可以提供规模、提高性能并降低 TCO,同时使 DNS 服务器能够处理繁重的流量负载。
随着移动应用程序和物联网 (IoT) 设备等新技术的增长,DNS 也在不断发展。 此外,应用的数量正在快速增加,访问这些应用的流量也在快速增加。 在过去的 5 年中,.com 和其他地址的 DNS 查询量增加了一倍。 2016 年互联网增加了 1000 多万个域名;随着越来越多的云、移动和物联网实施,DNS 预计将以更快的速度增长。 最近一些关于全球互联网流量的研究表明,到 2020 年底互联网用户数量将增加到 41 亿。 由于 DNS 服务器对于互联网至关重要,如果没有运行良好的 DNS,互联网实际上就毫无用处。
就像物联网一样,云服务的普及度在过去几年里也大幅提升。 因此,考虑您的 DNS 基础设施以及与之相关的好处和威胁比以往任何时候都更加重要。 一方面,基于云的权威DNS提供更好的性能、高可用性、安全性和可扩展性。 另一方面,它也容易受到DNS基础设施和DDoS攻击等威胁。
这些威胁有可能严重扰乱对网站、应用、云服务和其他资源的访问。 有效地规划和管理您的 IT 基础设施对于阻止这些攻击以及继续让您的员工和客户随时随地访问他们需要的资源至关重要。
