“
在上一篇文章《淺談DNS域名解析系統(tǒng)》中,我們討論了整個(gè)DNS域名解析系統(tǒng)是如何工作的,域名解析系統(tǒng)就像是一本巨大的“地址簿”,記錄全世界所有網(wǎng)站域名對(duì)應(yīng)的IP地址。但是這本“地址簿”的記錄分布在全球各地的權(quán)威域名服務(wù)器上,要在里面查到一條域名記錄可不是一件簡(jiǎn)單的事情,需要一個(gè)熟悉規(guī)則的代理人幫忙----本地域名服務(wù)器Local DNS。
”1域名解析流程回顧
其實(shí)在上篇文章中本地域名服務(wù)器已經(jīng)出場(chǎng)過(guò)了,重新打開(kāi)這張圖復(fù)習(xí)一下域名解析整體流程(如圖1):
圖1.域名解析
這張圖的右側(cè)部分就是網(wǎng)站域名的“地址簿”,也就是權(quán)威域名服務(wù)器,左邊是用戶側(cè)的部分,從圖中就可以看出來(lái),主機(jī)瀏覽器并沒(méi)有直接訪問(wèn)域名系統(tǒng)進(jìn)行查詢,而是通過(guò)本地域名服務(wù)器實(shí)現(xiàn)域名查詢的操作:
1、用戶在瀏覽器地址欄輸入,瀏覽器向本地域名服務(wù)器發(fā)起查詢‘’的IP地址;
2-3、本地域名服務(wù)器向根發(fā)起查詢,根確認(rèn)自己沒(méi)有‘’對(duì)應(yīng)的地址,但是知道這個(gè)域名是屬于‘com’下的域名,于是返回頂級(jí)域名‘com’的名字服務(wù)器地址;
4-5、本地域名服務(wù)器繼續(xù)向‘com’發(fā)起查詢,‘com’ 確認(rèn)自己沒(méi)有‘’對(duì)應(yīng)的地址,但是知道這個(gè)域名是屬于‘’下的域名,于是返回‘’的名字NS服務(wù)器地址;
6-7、本地域名服務(wù)器繼續(xù)向‘’發(fā)起查詢, ‘’確認(rèn)有這個(gè)域名對(duì)應(yīng)的IP地址,于是返回‘’的IP地址;
8、本地域名服務(wù)器獲得地址后將該地址返回給瀏覽器。瀏覽器通訪問(wèn)該地址,打開(kāi)網(wǎng)站頁(yè)面。
2本地域名服務(wù)器的隱患
大部分人認(rèn)為域名是由配置在主機(jī)里的本地域名服務(wù)器來(lái)解析的,其實(shí)這種觀點(diǎn)是不對(duì)的,本地域名服務(wù)器本身不具備權(quán)威域名服務(wù)器解析域名的功能,它的作用有兩個(gè):第一,代替用戶設(shè)備參與域名查詢的迭代過(guò)程,幫助獲取域名查詢結(jié)果返回給用戶設(shè)備;第二,緩存域名查詢記錄,當(dāng)其他用戶發(fā)起相同的域名查詢請(qǐng)求時(shí)可以直接返回查詢結(jié)果,可以加快域名查詢速度,同時(shí)也降低了權(quán)威服務(wù)器,尤其是根服務(wù)器的工作壓力。
本地域名服務(wù)器給我們?cè)L問(wèn)互聯(lián)網(wǎng)帶來(lái)很大便利,但也埋下了隱患。從域名查詢的流程中可以看出,所有要訪問(wèn)互聯(lián)網(wǎng)的設(shè)備都必須配置本地域名服務(wù)器才可以正常訪問(wèn)網(wǎng)站域名。試想一下如果黑客控制了某個(gè)運(yùn)營(yíng)商的Local DNS服務(wù)器,修改某個(gè)A記錄到黑客偽造的站點(diǎn),那么用戶的訪問(wèn)該網(wǎng)站的信息就會(huì)被劫持,實(shí)際上用戶輸入的域名以為是訪問(wèn)到目標(biāo)網(wǎng)站,其實(shí)真網(wǎng)站的域名解析被劫持解析為假網(wǎng)站的IP地址,這樣用戶在無(wú)知覺(jué)的情況下就會(huì)訪問(wèn)到這個(gè)假網(wǎng)站(也稱釣魚(yú)網(wǎng)站),并泄露個(gè)人信息,這種攻擊方式叫做域名劫持(如圖2)。當(dāng)然,域名劫持不一定是劫持到釣魚(yú)網(wǎng)站,也可能是一些廣告頁(yè)面(騙取流量),只要打開(kāi)的網(wǎng)站不是想訪問(wèn)的目標(biāo)網(wǎng)站,那域名劫持的可能性就很大了。域名劫持可以發(fā)生在域名查詢流程的各個(gè)環(huán)節(jié),很明顯本地域名服務(wù)器是最薄弱的一個(gè)環(huán)節(jié),大部分個(gè)人電腦本地域名服務(wù)器配置的是家用路由器(通常是自動(dòng)獲取,包括手機(jī)連公開(kāi)的wifi,獲取的本地域名服務(wù)器也是wifi的地址),而家用路由器可能連出廠密碼都沒(méi)改過(guò),要獲得控制權(quán)限毫無(wú)難度。
圖2.域名劫持
其次,公共的本地域名服務(wù)器本身的穩(wěn)定性也遭到詬病,由于公共域名服務(wù)器的公開(kāi)免費(fèi)的特性,在訪問(wèn)量大或者互聯(lián)網(wǎng)線路不穩(wěn)定的時(shí)候,加上各運(yùn)營(yíng)商之間互聯(lián)互通的問(wèn)題,經(jīng)常會(huì)出現(xiàn)解析異常的情況路由器dns根域名解失敗網(wǎng)不能用,比如通過(guò)電信線路訪問(wèn)聯(lián)通的本地域名服務(wù)器可能出現(xiàn)解析超時(shí)的情況。對(duì)于多線路冗余的企業(yè)用戶來(lái)說(shuō),配置哪個(gè)運(yùn)營(yíng)商本地域名服務(wù)器是一個(gè)令人困擾的問(wèn)題。
另外,域名緩存時(shí)間雖然通常跟隨權(quán)威服務(wù)器TTL設(shè)置,但是本地域名服務(wù)器是有權(quán)限覆蓋這個(gè)設(shè)置的,若本地域名服務(wù)器配置不正規(guī),將緩存時(shí)間設(shè)置的極長(zhǎng),那么域名綁定地址的更新就會(huì)成為一個(gè)問(wèn)題,不管權(quán)威服務(wù)器如何更新IP,本地域名服務(wù)器上的域名由于還在緩存時(shí)間內(nèi)就不會(huì)主動(dòng)到權(quán)威域名服務(wù)器更新IP地址,使用這臺(tái)域名服務(wù)器的用戶很長(zhǎng)時(shí)間內(nèi)只能訪問(wèn)到舊網(wǎng)站,唯一的辦法是建議用戶換個(gè)本地域名服務(wù)器,或者通知本地域名服務(wù)器管理員刷新緩存。
3自建本地域名服務(wù)器
對(duì)于互聯(lián)網(wǎng)用戶來(lái)說(shuō),面對(duì)本地域名服務(wù)器的問(wèn)題可以嘗試更換可信的第三方的本地域名服務(wù)器。企業(yè)用戶考慮可用性、穩(wěn)定性、安全性的需求,建議自建本地域名服務(wù)器。
自建本地域名服務(wù)器將直接對(duì)域名進(jìn)行迭代查詢,可以規(guī)避互聯(lián)網(wǎng)本地域名服務(wù)器被劫持的問(wèn)題,同時(shí)通過(guò)負(fù)載均衡設(shè)備建立本地域名服務(wù)器池,可以極大的提高本地域名服務(wù)的可用性和穩(wěn)定性。另外,本地域名服務(wù)器的解析日志數(shù)據(jù)具有極高的分析價(jià)值,我們知道中毒或者被控的服務(wù)器會(huì)主動(dòng)向外發(fā)起訪問(wèn),此時(shí)通常會(huì)解析一個(gè)異常的黑域名,通過(guò)對(duì)本地域名服務(wù)器的解析日志的監(jiān)控可以快速發(fā)現(xiàn)識(shí)別被控服務(wù)器,提升互聯(lián)網(wǎng)安全防護(hù)能力。
自建本地域名服務(wù)器雖然可以保證本身的可用性和安全性,但依然無(wú)法實(shí)現(xiàn)互聯(lián)網(wǎng)域名解析成功率100%。從域名整體解析流程可以看到,域名解析是一個(gè)全球互聯(lián)網(wǎng)域名服務(wù)器迭代查詢?cè)L問(wèn)的過(guò)程,其中任何一個(gè)環(huán)節(jié)出問(wèn)題都會(huì)導(dǎo)致域名解析緩慢、解析失敗等情況的出現(xiàn),這在復(fù)雜的互聯(lián)網(wǎng)環(huán)境下比較常見(jiàn),與互聯(lián)網(wǎng)質(zhì)量、各層級(jí)的權(quán)威服務(wù)器狀態(tài)都有關(guān)系路由器dns根域名解失敗網(wǎng)不能用,作為終端用戶很難跟蹤到問(wèn)題的根本原因,建議應(yīng)用系統(tǒng)建設(shè)時(shí)考慮容錯(cuò)能力,在解析失敗后進(jìn)行多次嘗試,必要時(shí)考慮應(yīng)急方案,直接通過(guò)IP訪問(wèn)目標(biāo)網(wǎng)站。
“
好了,以上就是本地域名服務(wù)器的介紹,它在整個(gè)互聯(lián)網(wǎng)訪問(wèn)環(huán)節(jié)中是一個(gè)看起來(lái)不起眼,但是極其重要的角色,希望各位運(yùn)維同仁能通過(guò)這篇文章重新審視本地域名服務(wù)器在心目中的地位。下次我們會(huì)為大家介紹。敬請(qǐng)期待。
”
