需要云计算吗? 即刻开始体验

什么是递归 DNS?

递归 DNS 是从域名系统 (DNS) 查找特定网站或网域 IP 地址 的初始步骤。当用户在浏览器中输入网域时,浏览器会将 DNS 请求或 DNS 查找发送到递归 DNS 服务器或 DNS 解析器,此类服务器或解析器通常由用户的互联网服务提供商 (ISP) 管理。如果在本地缓存数据中找到 IP 信息,递归 DNS 解析器将以此响应用户,否则将发起搜索,查询其他域名服务器,直到从权威 DNS 服务器检索到 IP 信息。

什么是 DNS,递归 DNS 的作用是什么?

DNS 相当于互联网地址簿,提供与域名(例如网站域名)的计算机地址相关的信息。当用户在浏览器中输入人类可读的网址(例如“example.com”)时,DNS 负责查找对应的 IP 地址,即机器可读的一串字母数字字符。DNS 让用户能使用容易记住的名称(而不是一长串数字)来查找网站。

递归 DNS 便是促进此过程的一种机制,通过获取与域关联的 IP 地址,实现平顺的互联网导航。

什么是权威 DNS 服务器?

权威 DNS 服务器保存域名及其 IP 地址的官方记录。

为什么会有不同类型的 DNS 服务器?

为了使浏览器加载网页更迅速,域名系统会使用世界各地数以千计的 DNS 服务器,而不是一台中央服务器上的单个大型数据库。权威 DNS 服务器保存有关网域和 IP 地址的官方信息。但是互联网上数百万设备和 IT 系统每天生成的 DNS 请求会达到数万亿条,单靠权威 DNS 服务器无法处理如此巨大的 DNS 流量。所以,全球数以千计的递归 DNS 服务器就负责处理初始 DNS 请求和搜寻正确的信息,帮助减轻负载并加快 DNS 过程。

递归 DNS 服务器的作用是什么?

递归 DNS 服务器执行两个基本功能。

对数据进行缓存。递归 DNS 服务器将以往 DNS 请求的响应存储在高速缓存中,从而能够快速响应 DNS 请求。这对于用户经常访问的网站的 DNS 请求特别有用。递归 DNS 服务器会将这些数据存储一段时间,此时段称为存留时间 (TTL),由域所有者定义并以编码形式存储在权威域名服务器及其记录中。

搜索其他 DNS 服务器。如果递归 DNS 服务器的高速缓存中没有所请求的 DNS 信息,它将通过域名进行递归查询,搜索其他域名服务器的高速缓存中是否存储了此信息,或者搜索保存特定域 DNS 记录的权威 DNS 服务器的信息。

最终,递归 DNS 服务器会将 IP 地址返回到用户的设备,使浏览器或应用程序能够加载正确的网站或资源。

DNS 过程如何运作?

用户在 Web 浏览器中输入域名后,系统必须执行几个关键步骤来找到能够加载网页的正确 IP 地址。

  • 首先,用户计算机生成一个 DNS 查询并将其发送到递归 DNS 服务器。
  • 如果递归服务器的缓存中有对应的 IP 地址,它会立即以此信息响应用户。
  • 如果缓存中没有对应 IP 地址的信息,递归服务器会将 DNS 请求转发到根域名服务器,根域名服务器依据根域(例如 .com、.edu 或 .co.uk)的不同,将请求定向到对应的顶级域名服务器(或 TLD 服务器)。然后,TLD 服务器会将 DNS 请求定向到保存特定网域记录的权威 DNS 服务器。
  • 递归 DNS 服务器找到正确的地址后,就会将信息返回到用户的设备,从而将网页加载到浏览器中。

如果一切顺利,整个 DNS 过程只需要一瞬间即可完成。DNS 性能很重要,因为加载单个网页或获取单个服务可能需要解析数百个域名。

递归 DNS 服务器有什么优势?

使用递归 DNS 服务器的主要优势是可以加快查找 DNS 信息的过程。如果仅依靠权威域名服务器进行 DNS 查询,系统将无法处理 DNS 请求产生的流量。有了全球数以千计的递归 DNS 服务器对信息进行本地缓存,DNS 系统每天可以高效响应数万亿条 DNS 请求。

递归 DNS 服务器有什么缺点?

由于 DNS 系统的设计并未考虑安全性,递归 DNS 服务器可能会受到各种网络安全攻击的侵害。

DNS 服务器面临哪些威胁?

DNS 服务器可能遭受多种攻击。其中包含:

  • 拒绝服务攻击。这类攻击会向 DNS 服务器发送大量 DNS 请求,导致服务器资源被巨大的流量消耗,从而造成服务器速度减慢或崩溃。
  • 放大攻击放大 是一种泛洪攻击,黑客利用恶意软件感染的计算机网络(称为僵尸网络)向 DNS 服务器发送大量 DNS 查询。DNS 服务器最终可能会不堪重负、速度变慢或崩溃。在放大攻击中,黑客发出的 DNS 请求要求将很长的响应反馈到目标计算机,从而加剧了攻击的影响。
  • 缓存中毒。在 DNS 缓存中毒攻击中,攻击者将解析器服务器缓存中的合法 DNS 信息替换为恶意网站的地址。结果,寻找合法网站的用户会得到完全不同的网站 IP 地址,该网站甚至可能看起来与原始网站相同。黑客通常使用这种方法来骗取用户的登录凭据或帐号等敏感信息。
  • 隧道。DNS 隧道攻击利用 DNS 作为隐蔽的通信通道,来窃取敏感数据或控制 IT 网络内受感染的设备,同时逃避防火墙和网络安全设备的检测。

常见问题

理解递归 DNS 和迭代 DNS 之间的细微差别非常重要。虽然两者都提供 DNS 功能,但方法有所不同。递归 DNS 代表客户端完全解析查询,而迭代 DNS 向客户端返回提示信息,供其独立完成后续的解析过程。

递归 DNS 通过对 DNS 查询进行验证,在互联网安全中发挥着关键作用。它相当于一个过滤器,可以防止访问恶意网站,并针对网络威胁提供额外的保护层。

当然可以。许多公共递归 DNS 服务器(例如 Google Public DNS 和 OpenDNS)都可以供个人使用。将设备配置为使用这些服务器可以提高在线活动的速度和安全性。

由于递归 DNS 服务器会处理大量用户数据,因而可能会出现隐私问题。但是,通过实施 DNS over HTTPS (DoH) 等措施,对客户端和递归 DNS 服务器之间的通信进行加密,可以降低隐私风险。

与任何技术一样,递归 DNS 虽然有许多优势,但并非没有风险。潜在的风险包括 DNS 放大攻击和隐私问题。但是,通过实施安全措施并及时掌握最佳实践,可以帮助降低这些风险。

当然。递归 DNS 适用于企业环境,可提供更高的速度和安全性。但企业需要仔细考虑配置设置和潜在的隐私问题,这关系到能否成功实施。

客户为什么选择 Akamai

Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。

探索 Akamai 的所有安全解决方案