完全限定域名 (FQDN) 是一个完整的域名,用于标识页面、主机、服务器或任何其他在线资源。FQDN 也是指定域名在 DNS 层次结构树中的确切位置的域名。
什么是 DNS(域名系统)?
现在我们来谈谈命名这个重要问题。众所周知,在互联网上,信息是以数据包的形式传输的,而数据包的地址则称为 IP 地址。那么,我们如何确定这些 IP 地址呢?
毕竟,人们没法记住每台要通信的服务器的 IP 地址。您能记住 www.apple.com 的 IP 地址是 17.253.207.54 吗?为此,人们为主机指定了易于记忆的名称,如 www.apple.com。这些名称就叫做主机名。为此,我们需要一种将主机名转换为 IP 地址的方法。
这就是域名系统 (DNS) 发挥作用的地方。DNS 将主机名转换为 IP 地址。人们通常认为 DNS 就像电话簿,但它的作用不是将姓名转换为电话号码,而是将名称转换为 IP 地址。例如,www.apple.com 转换为 17.253.207.54。另外还要注意,主机名存在于域中。例如,www.apple.com 属于 apple.com 域。
DNS 系统分为两个部分:递归和权威。递归 DNS 面向用户,而权威 DNS 面向域名所有者。下面我们分别具体讲讲这两个部分。
先来看递归 DNS 及其配置方式。您的计算机的操作系统将配置为使用一个或多个递归 DNS 服务器,这些服务器通常由 ISP 或贵公司的 IT 部门提供。例如,打开计算机的配置面板,我可以看到,我的计算机配置为使用两个递归 DNS 服务器,IP 地址分别为 75.75.75.75 和 75.75.76.76。这些服务器由我的 ISP 运行,在这里就是 Comcast。
其中任何一个递归 DNS 服务器都可以为我计算机上运行的所有应用程序提供 DNS 查找功能。例如,我计算机上的任何应用程序都可以向两个递归 DNS 服务器之一发送 www.apple.com 的查询,服务器会用 17.253.207.54 的 IP 地址应答。
那么,递归 DNS 服务器是如何给出这些答案的呢?毕竟,它们不可能知道每一个可能的主机名查询的答案。这就是权威 DNS 的意义所在。
我们来看一下权威 DNS 及其配置方式,为此,首先我们要谈一下域。apple.com 这样的域名必须从名为“注册商”的机构处购买。现在的注册商非常多,其中有很多您可能已经耳熟能详,或者与之有过业务往来。例如 Network Solutions 和 GoDaddy。从注册商处购买域名后,您必须设置一些权威 DNS 服务器,并向注册商提供这些服务器的列表。在本例中,Apple 公司的 apple.com 域有四个权威 DNS 服务器。
要配置这些权威 DNS 服务器,必须创建区域文件,并将这些文件上传到服务器。从本质上讲,区域文件列出了域中主机名的所有转换形式。在本例中,apple.com 域的区域文件包括 www.apple.com、mail.apple.com、vpn.apple.com 等主机名的转换,以及其他所需的信息。
请注意,apple.com 域的权威 DNS 服务器只需要能转换该域中的主机名,该域的任何一个权威 DNS 服务器都可以执行这一功能。在本例中,apple.com 的四个权威 DNS 服务器中的任何一个都可以将 www.apple.com 转换为 IP 地址 17.253.207.54。这里的要点在于,apple.com 的权威 DNS 服务器只需要能转换 apple.com 域中的主机名。它们不必转换 google.com 等其他域中的主机名。这一责任应由 google.com 域的权威 DNS 服务器承担。正是由于具备这种责任分工,DNS 才能不断扩大规模。
现在我们来看看,DNS 的两个部分是如何协同工作的。在我计算机上的应用程序要查询 www.apple.com 时,首先会将查询发送到我们在计算机操作系统中配置的任何递归 DNS 服务器。递归 DNS 服务器预先并不知道答案,为了获得答案,它会将查询发送到我们看到的、为 apple.com 域配置的任何一个权威 DNS 服务器。
权威 DNS 服务器知道答案,因为区域文件中就包含这些信息,所以它只需查询该文件即可。随后,它可以将答案发回给递归 DNS 服务器。最后,递归 DNS 服务器将答案发回到我的计算机。这样,递归 DNS 服务器就会在一段可配置的时间内记住这个答案,因此在下次收到对该主机名的查询时,即可跳过转发给权威 DNS 的步骤。
您可能好奇,对于特定域——在本例中是 apple.com,递归 DNS 服务器是如何找到权威 DNS 服务器的。答案就是层级结构,注册商为此提供了便利。还记得注册商吗?层级结构的具体工作原理不在本次演示的讨论范围之内。
DNS 是互联网的重要基础组成部分。一旦 DNS 出现故障,您就无法使用互联网了。
域名系统 (DNS) 是互联网的重要组成部分。DNS 经常被比喻成电话簿。DNS 将人类可读的域名(如 www.apple.com)映射为机器可读的数字形式的 IP 地址。系统支持使用 IP 地址来引导 IP 数据包。
在 DNS 出现之前,这项任务是如何完成的?
在域名系统 (DNS) 发明之前,计算机主机名和地址的分配过程是手动完成的,需要打电话将主机名和地址添加到由 SRI(斯坦福研究所)维护的 HOSTS.TXT 文件中,然后再映射到 ARPANET 目录,该目录的开发者是 Elizabeth Feinler。1983 年, Paul Mockapetris 发明了 DNS,这种分布式动态命名系统用来取代速度较慢的 HOST.TXT 服务;这提供了支持不断增长的网络需求所必不可少的扩展能力。DNS 记录框架允许将难记的域名映射为 IP 地址。1986 年,互联网工程任务组 (IETF) 将 DNS 定为互联网标准。
如今,DNS 已成为互联网基础架构的重要组成部分。
DNS 是如何工作的?
DNS 服务将主机名转换为 IP 地址。DNS 系统的工作原理类似于电话簿,但它不是将姓名与电话号码相互关联,而是将域名转换为 IP 地址。例如,www.apple.com 转换为 17.253.207.54。域名系统 (DNS) 分为协同工作的两类 DNS 名称服务器:
- 递归 DNS 服务器
- 权威 DNS 服务器
什么是递归 DNS 服务器?
递归 DNS 面向用户,参与每一项 DNS 查询。计算机的操作系统配置为使用一个或多个递归 DNS 服务器;这些递归 DNS 服务器通常由互联网服务提供商 (ISP) 或贵公司的 IT 部门提供。当您在浏览器中输入一个域名(如 apple.com)时,递归 DNS 服务器并不知道该域名的 IP 地址,但它知道到哪里去查找这些信息。为了查找 IP 地址,递归 DNS 服务器会连接到权威 DNS 服务器。
什么是权威 DNS 服务器?
权威名称服务器面向域名所有者。域名(如 apple.com)是从称为“注册商”的机构处购买的。注册商的示例包括 GoDaddy 等知名互联网品牌。购买域名后,公司必须设置权威 DNS 服务器,并将服务器列表提供给注册商。一家公司可能有多个权威 DNS 服务器。
配置权威 DNS 服务器时,需要创建 DNS 区域文件并将其上传到注册商。区域文件列出了域中主机名的所有转换形式。在 apple.com 的示例中,区域文件包括 www.apple.com、mail.apple.com、vpn.apple.com 等主机名的转换。
公司网域的权威 DNS 服务器只需转换该域内的主机名。例如,如果 apple.com 有四个权威 DNS 服务器,那么其中任何一个都可以将来自递归 DNS 服务器的 apple.com 请求转换成其 IP 地址 17.253.207.54。
在区域文件中找到 IP 地址后,权威 DNS 服务器就会将此信息发回给递归 DNS 服务器,递归 DNS 服务器再将应答发送给 Web 浏览器,后者由此获得显示网页所需的信息。
递归 DNS 服务器的一个重要方面是,它可以在计算机 DNS 缓存中将 IP 地址数据保留一段时间。这意味着,当您下一次浏览 apple.com 时,递归 DNS 服务器无需查询 apple.com 的权威 DNS 服务器,即可显示 Apple 网页。
我们是否需要域名系统?
是的,DNS 是互联网的基本组成部分;没有 DNS,互联网就无法运作。例如,如果递归 DNS 服务器出现故障,那么唯一连接到网站的方法只有在浏览器地址栏中手动输入 IP 地址。
DNS 安全问题
有些 网络攻击 以 DNS 系统为目标。例如:
- DNS 劫持 将 IP 地址更改为另一个地址,导致针对相应域名的 DNS 查询指向黑客自己的服务器。终端用户被重定向到恶意网站。
- DNS 放大攻击 是一种分布式拒绝服务 (DDoS) 攻击。 DNS 放大攻击利用公开可用的 DNS 服务器,通过发送大量的 DNS 响应流量造成其不堪重负。
- DNS 泛洪攻击 是另一种 DDoS 攻击,它以服务器端资产为目标,攻击手法是发送大量 UDP 请求。极高的 DNS 请求数据包发送速率会生成海量源 IP 地址。
- DNS 缓存中毒 是指黑客破坏 DNS 缓存,企图控制递归 DNS 服务器的缓存。
Akamai Edge DNS 是一种全球化、高度可扩展的域名系统 (DNS) 服务,提供安全性、遭遇 DDoS 事件时的恢复能力和出色的 DNS 响应能力。
常见问题
域名系统 (DNS) 是互联网的重要组成部分。DNS 经常被比喻成电话簿。域名系统 (DNS) 将人类可读的域名(如 www.apple.com)映射为机器可读的数字形式的 IP 地址。系统支持使用 IP 地址来引导 IP 数据包。
一个域的权威 DNS 服务器仅转换该域中的主机名;该域的任何一个权威 DNS 服务器都可以执行这一功能。因此,DNS 服务器只针对特定域,不会转换其他域的主机名。正是由于具备这种责任分工,DNS 才能不断扩大规模。
DNS 层次结构或域名空间在树的顶端有一个单独的域名,称为根域名。在这之下,DNS 层次结构又分为二级域名、子域名和主机。因此,DNS 分为五个层次:
- 根级域名(根名称服务器)
- 顶级域名(TLD 名称服务器)
- 二级域名 (SLD)
- 子域名
- 主机
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。