本文為您介紹Alibaba Cloud DNS的一些基礎概念,協助您提前掌握一些基礎知識,更好的理解和使用產品功能。
DNS
DNS(Domain Name System,網域名稱系統)即“網域名稱系統”。DNS是整個互連網服務的基礎系統之一,同時也是企業內網服務的重要基礎服務系統之一,負責將人們訪問的互連網網域名稱和企業內網網域名稱轉換為IP地址,這一轉換的過程叫做“網域名稱解析”, 所以DNS又稱“網域名稱解析系統”,相當於網路訪問的指路牌。DNS作為網域名稱和IP地址相互映射的一個分散式資料庫,能夠使使用者更方便的訪問網路資源和網路服務,而不用去記住能夠被機器直接讀取的IP數串。DNS協議運行在UDP協議之上,使用連接埠號碼53。DNS從服務的網路環境來區分,分為公網DNS和內網DNS。DNS從解析鏈路扮演的功能角色來區分,分為權威DNS和遞迴 DNS。
網域名稱的分層結構
網域名稱採用層次樹狀結構命名,每個串連在互連網上的主機或路由器,都有唯一的階層名字。網域名稱由標號(label)序列組成,各標號之間用點(小數點)隔開。關於網域名稱階層如下圖:
舉例說明
.com是頂級網域名稱;aliyun.com是主網域名稱,也叫次層網域;example.aliyun.com、www.aliyun.com是子網域名稱,也叫第三層網域名;test.example.aliyun.com是子網域名稱的子域,也叫四級網域名稱。
DNS伺服器層級
DNS解析過程涉及4個層級的DNS伺服器,分別如下:
伺服器類型 | 作用 |
根網域名稱伺服器 | 英文全稱:Root Name Server,簡稱Root Server。本地區名伺服器在本地查詢不到解析結果時,則第一步會向它進行查詢,並擷取頂級網域名稱伺服器的IP地址。 |
頂級網域名稱伺服器 | 英文全稱:Top-Level Domain Name Server,簡稱:TLD Server。負責管理在該頂級網域名稱伺服器下註冊的主網域名稱,例如“example.com”,.com則是頂級網域名稱伺服器,在向它查詢時,可以返回主網域名稱“example.com”所在的權威網域名稱伺服器地址。 |
權威網域名稱伺服器 | 英文全稱:Authoritative Name Server,簡稱NS。在特定地區內具有唯一性,負責維護該地區內的網域名稱與IP地址之間的對應關係。例如Alibaba Cloud DNS的公網權威解析,您可在此添加解析記錄,最終它會將配置的ip記錄返回給使用者。 |
本地區名伺服器 | 英文全稱:Local DNS Server,簡稱Local DNS。本地區名伺服器是響應來自用戶端的遞迴請求,並最終跟蹤直到擷取到解析結果的DNS伺服器。例如使用者本機自動分配的DNS、電訊廠商ISP分配的DNS、Google/223.5.5.5公用DNS等。 |
每個層級的網域名稱都有其專屬的網域名稱伺服器,最頂層是根網域名稱伺服器。每一層的網域名稱伺服器都儲存著下級網域名稱伺服器的IP地址,從而能夠逐級進行查詢。
DNS解析過程
通過網域名稱example.com訪問網站的網域名稱解析過程如下。
使用者在Web瀏覽器中輸入
example.com, 向本地區名伺服器發起查詢請求。若本地區名伺服器存在緩衝的解析資料,則直接將網域名稱example.com對應的IP地址返回給Web瀏覽器,跳至步驟9。若本地區名伺服器沒有查到緩衝的解析資料,則繼續步驟2。本地區名伺服器向根網域名稱伺服器進行查詢。
根網域名稱伺服器將
.com頂級網域名稱伺服器的地址,返回給本地區名伺服器。本地區名伺服器向
.com頂級網域名稱伺服器發起example.com的查詢請求。.com頂級網域名稱伺服器將為
example.com提供權威解析的權威網域名稱伺服器地址,返回給本地區名伺服器。本地區名伺服器向權威網域名稱伺服器發起查詢請求。
權威網域名稱伺服器將網域名稱
example.com對應的IP地址,返回給本地區名伺服器。本地區名伺服器最後把查詢的IP地址響應給Web瀏覽器。
Web瀏覽器通過IP地址訪問網站伺服器。
網站伺服器返回網頁資訊。
遞迴解析(Recursive Query)
DNS伺服器幫你把整個查詢流程走到底,中間任何一步都由這台伺服器去處理,最後直接把最終結果返回給你。如:
用戶端將“請幫我查出www.example.com的IP”遞交給本地DNS(遞迴伺服器)。
遞迴伺服器自己如果不知道答案,會去根DNS、TLD、權威DNS不斷髮問,並跟進每一步;直到獲得最終答案。
使用者只需要等遞迴伺服器給出最後的解析結果即可。
特點
使用者只需問一次、等一次。
遞迴伺服器壓力較大,需要走完整查詢流程。
這是用戶端和本地DNS之間最常見的方式。
常見應用
普通使用者/PC/瀏覽器 :只有遞迴查詢,不處理迭代查詢。
本地DNS伺服器(如你的寬頻電訊廠商、公網8.8.8.8、公司內網DNS):通常承擔遞迴解析的角色,對外(向根、TLD、權威DNS)發起迭代查詢。
公用DNS伺服器:對使用者遞迴,對更上級DNS迭代。
迭代解析(Iterative Query)
DNS伺服器只幫你查“它知道的下一步線索”,如果自己沒有答案就告訴你下一步去哪問,使用者必須自己去完成整個查詢流程。如:
用戶端問本地DNS:“www.example.com的IP是多少?”
本地DNS不知道,查問根DNS。根DNS不直接回答IP,而是答:“你去問TLD伺服器”,這裡的根DNS則在進行迭代解析。
本地DNS問TLD伺服器,TLD告訴你“去找這個權威DNS”,這裡的TLD伺服器則在做迭代解析。
直到找到權威伺服器,擷取最終結果。
特點
每一步都需要用戶端自己去問。
伺服器壓力較小,但用戶端負擔大(通常不這樣用)。
常見應用
根DNS伺服器、TLD伺服器、權威DNS伺服器。
企業、學校等自建的DNS伺服器。
公用DNS伺服器:對使用者遞迴,對更上級DNS迭代。
DNS緩衝
DNS緩衝是將解析資料存放區在靠近發起請求的用戶端的位置,也可以說DNS資料是可以緩衝在任意位置,最終目的是以此減少遞迴查詢過程,可以更快的讓使用者獲得請求結果。
TTL
英文全稱Time To Live ,這個值是告訴本地區名伺服器,網域名稱解析結果可快取的最長時間,緩衝時間到期後本地區名伺服器則會刪除該解析記錄的資料,刪除之後,如有使用者請求網域名稱,則會重新進行遞迴查詢/迭代查詢的過程。
IPV4、IPV6雙棧技術
雙棧英文Dual IP Stack,就是在一個系統中可同時使用IPv6/ IPv4這兩個可以並行工作的協議棧。
DNS Query Flood Attack
指網域名稱查詢攻擊,攻擊方法是通過操縱大量傀儡機器,發送海量的網域名稱查詢請求,當每秒網域名稱查詢請求次數超過DNS伺服器可承載的能力時,則會造成解析網域名稱逾時從而直接影響業務的可用性。
URL轉寄
英文 Url Forwarding,也可稱地址轉向,它是通過伺服器的特殊設定,將一個網域名稱指向到另外一個已存在的網站。
edns-client-subnet
google提交了一份DNS擴充協議,允許DNS resolver傳遞使用者的IP地址給authoritative DNS server。
DNSSEC
網域名稱系統安全擴充(DNS Security Extensions),簡稱DNSSEC。它是通過數位簽章來保證DNS應答報文的真實性和完整性,可有效防止DNS欺騙和緩衝汙染等攻擊,能夠保護使用者不被重新導向到非預期地址,從而提高使用者對互連網的信任。
移動解析HTTPDNS相關概念
應用終端
指專門用於網路接入的終端裝置和應用服務,包括並不限於移動終端、物聯網終端、APP應用等。
DoH(DNS-over-Https)
用來加密的DNS請求流量,阿里雲公用DNS通過RFC 8484指定的經過TLS加密的HTTP串連提供DNS解析。
DoT(DNS-over-TLS)
用來加密的DNS請求流量,阿里雲公用DNS通過RFC 7858指定的經過TLS加密的TCP串連提供DNS解析。