什么是 DNS，它是如何工作的？

域名系统通过其底层 IP 地址解析 Internet 站点的名称，从而在此过程中提高效率甚至安全性。

域名系统 (DNS) 是互联网的基础之一，但网络以外的大多数人可能没有意识到他们每天都在使用它来完成工作，比如浏览网页、查看电子邮件或者通过手机打发时间。

起初，DNS 是一个名称与数字匹配的目录。在这种情况下，数字是 IP 地址，计算机用来相互通信。DNS 的大多数描述都使用电话簿来比喻，这对于 30 岁以上才知道电话簿是用来干啥的，现在的年轻人都是使用微信居多，联系人基本上都是视频通话或者语音通话，电话号码成了只用来接收短信验证码了。

如果您未满 30 岁，请将 DNS 视为您智能手机的联系人列表，它将人们的姓名与其电话号码和电子邮件地址相匹配。然后将该联系人列表乘以地球上的其他所有人。

DNS 简史

当互联网非常非常小时，人们更容易将特定的 IP 地址与特定的计算机对应起来，但随着越来越多的设备和人加入不断增长的网络，这种情况并没有持续多久。此时仍然可以在浏览器中输入一个特定的 IP 地址来访问一个网站，但是，就像现在一样，人们想要一个易于记忆的单词组成的地址，这个地址其实就是一个域名（比如networkworld.com）。在 1970 年代和 80 年代初，这些姓名和地址由一个人指定——斯坦福大学的 Elizabeth Feinler，她在一个名为HOSTS.TXT的文本文件中维护了每台联网计算机的主列表。

随着 Internet 的发展，这显然是一种站不住脚的情况，尤其是因为 Feinler 只在加利福尼亚时间下午 6 点之前处理请求，并在圣诞节请假。1983 年，南加州大学的研究员 Paul Mockapetris 的任务是在处理这个问题的多个建议中提出折衷方案。他基本上忽略了所有这些并开发了自己的系统，他将其称为 DNS。虽然从那时起它发生了很大变化，但从根本上讲，它的工作方式仍然与近 40 年前相同。

DNS 服务器的工作原理

将名称与数字匹配的 DNS 目录并非位于互联网某个黑暗角落的一处。到 2017 年底，列出的域名超过 3.32 亿个，单个目录确实非常大。与互联网本身一样，该目录分布在世界各地，存储在域名服务器（通常简称为 DNS 服务器）上，这些服务器都定期相互通信以提供更新和冗余。

权威 DNS 服务器与递归 DNS 服务器

当您的计算机想要查找与域名关联的 IP 地址时，它首先向递归 DNS 服务器（也称为递归解析器）发出请求。递归解析器是通常由 ISP 或其他第三方提供商运营的服务器，它知道需要请求哪些其他 DNS 服务器来解析具有其 IP 地址的站点名称。实际拥有所需信息的服务器称为权威 DNS 服务器。

DNS 服务器和 IP 地址

每个域可以对应多个 IP 地址。事实上，一些站点有数百个或更多 IP 地址与单个域名相对应。例如，您的计算机访问 www.google.com 的服务器可能与其他国家/地区的某人通过在浏览器中输入相同站点名称访问的服务器完全不同。

目录具有分布式特性的另一个原因是，如果目录只有一个位置，并且在数百万甚至数十亿人之间共享，那么去查询某个资料所需要花费的时间是极其漫长的。

什么是 DNS 缓存？

为了解决这个问题，DNS 信息在许多服务器之间共享。但是最近访问过的站点的信息也在本地缓存在客户端计算机上。您每天可能会多次使用 google.com。您的计算机不是每次都向 DNS 名称服务器查询 google.com 的 IP 地址，而是将该信息保存在您的计算机上，因此它不必访问 DNS 服务器来解析名称及其 IP 地址。用于将客户端连接到 Internet 的路由器以及用户 Internet 服务提供商 (ISP) 的服务器上可能会出现其他缓存。由于进行了如此多的缓存，实际发送到 DNS 名称服务器的查询数量比看起来要低得多。

如何找到我的 DNS 服务器？

一般来说，您使用的 DNS 服务器会在您连接到 Internet 时由您的网络提供商自动建立。如果您想查看哪些服务器是您的主要名称服务器——通常是递归解析器，如上所述——有一些 Web 程序可以提供有关当前网络连接的大量信息。browserleaks.com是一个很好的网站，它提供了很多信息，包括您当前的 DNS 服务器。

我可以使用 8.8.8.8 DNS 吗？

虽然您的 ISP 会设置默认 DNS 服务器，但你没有必要必须使用它。一些用户可能故意避开他们 ISP 的 DNS，比如一些 ISP 使用他们的 DNS 服务器将对不存在的地址的请求重定向到带有广告的页面，也就是我们在访问网站的时候，命名填的访问呢地址是对的，但是一旦按下回车键就会莫名其妙的重定向到了广告界面。

如果您想要改变这样可恶的跳转，您可以将您的计算机指向公共 DNS 服务器。最著名的公共 DNS 服务器之一是 Google 的，它的 IP 地址是 8.8.8.8。Google 的 DNS 服务往往速度很快，虽然对于Google 提供免费服务存在担心，比如害怕泄露自己的隐私，但他们实际上无法从您那里获得更多信息。Google 有一个页面，其中包含有关如何配置您的计算机或路由器以连接到 Google 的 DNS 的详细说明。

DNS 如何提高效率

DNS 以层次结构组织，有助于保持快速、平稳地运行。为了说明这一点，假设您想访问 networkworld.com。

如上所述，对 IP 地址的初始请求是向递归解析器发出的。递归解析器知道它需要请求哪些其他 DNS 服务器来解析站点名称 (networkworld.com) 及其 IP 地址。此搜索会到达根服务器，该服务器知道有关顶级域的所有信息，例如 .com、.net、.org 以及所有这些国家/地区的域，例如 .cn（中国）和 .uk（英国）。根服务器位于世界各地，因此系统通常会将您定向到地理位置最近的服务器。

一旦请求到达正确的根服务器，它就会转到顶级域 (TLD) 名称服务器，该服务器存储二级域的信息，即访问 .com、.org、.net 之前使用的词（例如，networkworld.com 的信息是“networkworld”）。然后，请求进入域名服务器，该服务器保存有关站点及其 IP 地址的信息。一旦发现 IP 地址，就会将其发送回客户端，客户端现在可以使用它来访问网站。所有这一切只需要几毫秒。

由于 DNS 已经运行了 30 多年，因此大多数人认为这是理所当然的。在构建系统时也没有考虑安全性，因此 黑客充分利用了这一点，制造了各种攻击。

DNS反射攻击

DNS 反射攻击可以用来自 DNS 解析器服务器的大量消息淹没受害者。攻击者从他们可以找到的所有开放 DNS 解析器中请求大型 DNS 文件，并使用受害者的欺骗 IP 地址执行此操作。当解析器响应时，受害者会收到大量未请求的 DNS 数据，这些数据淹没了他们的机器。

DNS缓存中毒

DNS 缓存中毒 可以将用户转移到恶意网站。攻击者设法将虚假地址记录插入到 DNS 中，因此当潜在受害者请求对其中一个中毒站点进行地址解析时，DNS 会使用另一个站点的 IP 地址进行响应，该站点由攻击者控制。一旦进入这些虚假网站，受害者可能会被诱骗放弃密码或下载恶意软件。

DNS资源耗尽

DNS 资源耗尽 攻击会阻塞 ISP 的 DNS 基础设施，阻止 ISP 的客户访问 Internet 上的站点。这可以通过攻击者注册域名并使用受害者的名称服务器作为域的权威服务器来完成。因此，如果递归解析器无法提供与站点名称关联的 IP 地址，它将询问受害者的名称服务器。攻击者为其域生成大量请求，并在不存在的子域中进行启动，这会导致大量解析请求被发送到受害者的名称服务器，使其不堪重负。

什么是 DNSSec？

DNSSec旨在使参与 DNS 查找的各个级别的服务器之间的通信更加安全。它是由负责 DNS 系统的互联网名称与数字地址分配机构 (ICANN) 设计的。

互联网名称与数字地址分配机构 (ICANN) 意识到 DNS 顶级、二级和三级目录服务器之间的通信存在弱点，可能允许攻击者劫持查找。这将允许攻击者响应查找具有恶意站点 IP 地址的合法站点的请求。这些网站可能会向用户上传恶意软件或进行网络钓鱼和网络欺诈攻击。

DNSSEC 将通过让每一级 DNS 服务器对其请求进行数字签名来解决这个问题，从而确保最终用户发送的请求不会被攻击者占用。这会创建一个信任链，以便在查找的每个步骤中都验证请求的完整性。

此外，DNSSec 可以确定域名是否存在，如果不存在，它不会让欺诈性域名被传递给寻求解析域名的无辜请求者。

随着越来越多的域名被创建，越来越多的设备通过物联网设备和其他“智能”系统继续加入网络，随着 越来越多的站点迁移到 IPv6，需要维护一个健康的 DNS 生态系统。大数据和分析的增长也 带来了对 DNS 管理的更大需求。

DNS over HTTPS：新的隐私格局

在撰写本文时，DNS 正处于其历史上最大的转变之一的边缘。谷歌和 Mozilla 共同控制着浏览器市场的最大份额，他们正在鼓励转向DNS over HTTPS或 DoH，其中 DNS 请求已经被HTTPS 协议加密。在 Chrome 的实现中，浏览器会检查 DNS 服务器是否支持 DoH，如果不支持，它会将 DNS 请求重新路由到 Google 的 8.8.8.8。

这是一个不无争议的举动。Paul Vixie 早在 1980 年代就在 DNS 协议方面做了大量早期工作，他称此举是安全性的“灾难”：例如，企业 IT 将更难监控或引导穿越其网络的 DoH 流量。尽管如此，Chrome 无处不在，而且 DoH 很快就会默认开启，所以我们将拭目以待。

以上就是什么是 DNS，它是如何工作的？的介绍。

如果你还有其他问题，欢迎进行咨询探讨，Vecloud提供全球网络优化服务、MPLS企业专线、SD-WAN网络专线、IPLC国际专线等企业网络专线业务。