文章目录
前言一、DNS域名服务器简述1.域名2.域名服务器主域名服务器辅助域名服务器缓存域名服务器转发域名服务器 二、域名解析过程1.解析三大步(域名解析流程)1)找缓存2)找本机的hosts文件3)找DNS服务器 三、常见安全风险点缓存机制协议报文有效性校验缺失协议报文内容检查缺失服务器性能瓶颈等方面前言
本文依据自己的工作经验,参考相关文献文档简述域名服务器(DNS)的工作流程原理及常见安全管理点。
一、DNS域名服务器简述
1.域名
域名:域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的定位标识(有时也指地理位置),是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。简单得讲,域名就像是姓名。
2.域名服务器
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。
域名服务器通常被分为以下几类:
主域名服务器
负责维护一个区域的所有域名信息,是特定的所有信息的权威信息源,数据可以修改。
辅助域名服务器
当主域名服务器出现故障、关闭或负载过重时,辅助域名服务器作为主域名服务器的备份提供域名解析服务。辅助域名服务器中的区域文件中的数据是从另外的一台主域名服务器中复制过来的,是不可以修改的。
注:主域名服务器和辅助域名服务器中有13个异类大佬,被称之为“根域名服务器(辅助根域名服务器)”,这是域名服务器中的大哥大,所有的域名解析都能在他这里找到一个结果(这个结果不一定是IP地址,也可能告诉你可解析该地址的域名服务器,即指条明路)。这13台中只有一台是主根域在美国,其他均为辅助根域,美国9台、英国、瑞典、日本各一台。当然这个根域的说法目前为止都是指的IPV4根域,相信在IPV6的时代我国会拥有自己的根域。
缓存域名服务器
从某个远程服务器取得每次域名服务器的查询回答,一旦取得一个答案就将它放在高速缓存中,以后查询相同的信息就用高速缓存中的数据回答,缓存域名服务器不是权威的域名服务器,因为它提供的信息都是间接信息。
转发域名服务器
负责所有非本地域名的本地查询。转发域名服务器接到查询请求后,在其缓存中查找,如找不到就将请求依次转发到指定的域名服务器,直到查找到结果为止,否则返回无法映射的结果。
注:也有按层级分为:根域、顶级域、二级域、子域等
二、域名解析过程
注:域名解析过程即为将域名与IP地址匹配的过程。我们知道路由寻址是寻找的IP地址,而域名并非IP地址,只是为了诸如方便记忆等其他使用目的而产生的一个事物,这就像身份证才是确定一个人身份的标识,姓名只是称呼方便、便于记忆而产生的。域名只有和IP产生映射关系才具有价值和意义,才可以使用。域名解析就是解析这个映射(对应)关系的过程。1.解析三大步(域名解析流程)
注:以下解析过程均以windows操作系统中使用浏览器访问网址为例说明,其他同理。1)找缓存
通常情况下,计算机在执行工作的时候,都会遵从一个就近原则。域名解析也是如此。
当我们访问一个域名组成的URL地址的时候,这个时候浏览器会首先查找浏览器的本地缓存中是否存在该域名的映射关系(是否近期解析过),若存在则直接解析IP地址(完成域名解析工作)并进行后续工作访问工作,若不存在则换个地方继续解析。
注:域名被缓存的时间是可通过TTL属性来设置的,具体情况在此不做详细说明。
2)找本机的hosts文件
当浏览器缓存中不存在该域名的映射关系时,就会查找本机操作系统的记录,而操作系统也有一个域名解析的过程。windows中会查找c盘里一个叫hosts的文件来进行解析,如果在这里指定了一个域名对应的ip地址(该文件可修改添加指定),那浏览器会首先使用这个ip地址,即完成域名解析工作。若依旧不存在,则再换个地方解析。
3)找DNS服务器
当我们在浏览器缓存、操作系统文件中均未能找到域名与IP的映射关系时,就会请求DNS服务器进行解析了。这个就是本文的重点。
1.首先我们会请求一个本地域名服务器(LDNS)来解析这个域名,这台服务器一般在你的城市的某个角落,或者是公司自己搭建的DNS服务器,总之距离你不会很远,一般都会缓存域名解析结果,大约80%的域名解析到这里就完成了这个解析工作
通常情况下我们日常网上冲浪访问的DNS服务都是3大运营商家的城市域名服务器,这个服务器通常是缓存域名服务器,当然会有部分公司出于类似安全目的等原因自己搭建DNS服务器以便公司使用,这种情况下多为转发域名服务器
2.当本地域名服务器依然无法解析时,这个时候本地域名服务器就会将该域名解析请求到根域名服务器(Root Server)或者辅助根域请求解析域名。
这个时候也不一定是直接请求根域,若本地域名服务器是转发域名服务器则会转发至被转发的域名服务器再次解析一遍,然后由被转发的域名服务器完成下面的工作直至解析完成在返回结果至本地域名服务器。这里就不做赘述。
3。通常根域名服务器返回给本地域名服务器一个所查询域的主域名服务器(gTLD Server,国际顶尖域名服务器,如.com .cn .org等)地址。
4.此时本地服务器会再发送请求给上一步返回的主域名服务器请求解析。
5.主域名服务器接受请求查找并返回这个域名对应的网站注册的域名服务器的地址。
6.这个时候本地域名服务器会次根据返回结果请求网站注册的域名服务器,该域名服务器会根据映射关系表找到目标ip,并返回给本地服务器
7.本地服务器再将解析结果返回主机,至此域名解析完成。
当然这个过程并不是每次都完全走完的,在其中任何一个环节若能成功解析(找到域名与IP的对应关系)均不会在进行后续解析工作。通常最终解析出来后,本地域、浏览器本地等都会缓存该解析结果,以便于下一次访问。
三、常见安全风险点
缓存机制
利用客户端/服务器的DNS缓存机制可以实现修改缓存解析地址,进行域名重定向;也可以实现DNS劫持,将DNS报文导向伪造的DNS服务器。
协议报文有效性校验缺失
DNS报文只使用一个序列号来进行有效性鉴别,序列号由客户程序设置并由服务器返回结果,客户程序通过它来确定响应与查询是否匹配,这就引入序列号攻击的危险。可以利用该特性重定向域名解析,修改缓存等。
协议报文内容检查缺失
在DNS应答报文中可以附加信息,该信息可以和所请求的信息没有直接关系,这样,攻击者就可以在应答中随意添加某些信息。如:指示某域的权威域名服务器的域名及IP,从而污染DNS服务器的映射表,导致在域名服务器上查询这个域的请求都会被转向攻击者所指定的域名服务器上去,从而到达攻击的目的。
服务器性能瓶颈等方面
理论上讲DDOS攻击是无法完全避免的,任何的服务器都会存在性能瓶颈。
1.百度百科:DNS域名服务器
