F5社区-F5技术交流中心

DNS工作机制

2021-06-25 01:54:38

王亚军

为什么需要域名系统 (DNS)?

想象一下,如果您想访问互联网必须要记住每个站点的IPIPv4/IPv6地址那么使用 Internet 将无比困难,因为我们是人,不是机器,很难记住那么多的数字组合。所以域名系统 (DNS) 于 1983 年创建,使人们能够通过名称轻松识别连接到 Internet 的所有计算机、服务和资源,可以理解为 DNS 是 Internet 的电话簿。DNS 服务器将您在浏览器中键入的域名(例如www.f5.com)转换为 IP 地址 (104.219.105.148),从而使您的设备可以在 Internet 上找到您要查找的资源。

DNS 的工作原理

用户在 Web 浏览器中键入站点的地址(例如www.f5.com)。浏览器不知道www.f5.com在哪里,因此它向本地 DNS 服务器 (LDNS) 发送请求,询问它是否有www.f5.com的记录。如果 LDNS 没有该特定站点的记录,它将开始对 Internet 域进行递归搜索,以找出谁拥有www.f5.com

首先,LDNS 联系其中一个根 DNS 服务器,根服务器通过告诉 LDNS 联系 .com DNS 服务器进行响应。然后 LDNS 询问 .com DNS 服务器是否有www.f5.com的记录,.com DNS 服务器确定www.f5.com并返回f5.com的名称服务器 (NS) 记录。看看下面的图表:

接下来,LDNS 查询f5.com DNS 服务器 NS 记录。该f5.com DNS服务器查找名称:www.f5.com。如果找到该名称,它会向 LDNS 返回一个地址 (A) 记录。A 记录包含名称、IP 地址和生存时间 (TTL)。TTL(以秒为单位)告诉 LDNS 在再次询问f5.com DNS 服务器之前要保持 A 记录多长时间。

当 LDNS 收到 A 记录时,它会在 TTL 中指定的时间内缓存 IP 地址。现在 LDNS 拥有www.f5.com的 A 记录,它可以从自己的缓存中回答未来的请求,而不是再次完成整个递归搜索。LDNS 将www.f5.com的 IP 地址返回给主机,本地浏览器在 TTL 指定的时间内将 IP 地址缓存在计算机上。毕竟,如果它可以在本地保留信息,就不需要继续询问 LDNS。

然后浏览器使用 IP 地址打开到www.f5.com 的连接并发送GET /...并且 Web 服务器返回网页响应。

简单的示例来讲述DNS 工作机制,实际情况会存在一些更复杂的场景



DNS 重要性

DNS作为互联网的主要技术,DNS 也是网络基础设施中最重要的组件之一。除了交付内容和应用程序之外,DNS 还在分布式冗余架构中确保架构的高可用性和用户快速响应——因此拥有高可用、智能、安全和可扩展的 DNS 基础架构至关重要。如果 DNS 故障,企业的业务可能将面临重大损失。同时DNS 也是如今攻击的主要目标。

强大的 DNS 基础的重要性怎么强调都不为过。如果无法确保企业DNS的足够健壮性,企业的宝贵客户资源可能会大量流式。




DNS 在不断增长,尤其是移动应用和物联网设备。除此之外,组织的各类应用程序以及这些应用程序的访问流量都在爆发式增大。

在过去五年中,.com 和 .net 地址的 DNS 查询量增加了一倍多。2016 年有超过 1000 万个域名被添加到互联网中,随着更多云、移动和物联网实施的部署,预计未来的增长速度会更快。




如果 DNS 是 Internet 的顶梁柱——响应所有的域名查询并解析得到准确的IP,以便用户可以找到自己喜欢的站点——同时,这也是网络中最脆弱的环节之一。由于DNS其发挥着关键作用,所以DNS 是一个高价值的攻击对象。DNS DDoS 攻击可以将企业的 DNS 服务器无法正常工作或劫持请求并将请求重定向到一些恶意站点。为了防止这种情况,必须将分布式高性能、安全的 DNS 架构集成到网络中。

通常,DNS 服务器和 DNS 云服务每秒可以处理不同数量的请求,成本随着每秒查询次数的增加而增加。

为了解决 DNS 激增和 DNS DDoS 攻击,企业往往会添加更多的 DNS 服务器,在业务恢复正常时这些新增的DNS服务器资源可能无法弹性回收。此外,传统的 DNS 服务器还需要频繁的维护和漏洞修补。




在寻找 DNS 解决方案时,许多组织选择 BIND(Berkeley Internet Naming Daemon)或基于BIND的产品。BIND 安装在全球大约 80% 的 DNS 服务器上,是一个由 Internet Systems Consortium (ISC) 维护的开源项目。

尽管 BIND 很受欢迎,但主要是由于漏洞、补丁和升级,它每年需要多次进行大量维护。虽然BIND可以免费下载,但需要额外大量的服务器和操作系统投入。此外,BIND 通常最大只能扩展到每秒 50,000 个响应 (RPS),高昂的成本和微弱的处理性能使其容易受到合法和恶意 DNS 激增的影响。

 



 


发布评论 加入社群

发布评论

相关文章

DNS传递真实客户端网段ECS的应用

王亚军

2021-06-27 02:27:59 2385

DNS工作机制

王亚军

2021-06-25 01:59:13 1400

一图掌握GSLB(BIG-IP DNS)最佳配置实践

王亚军

2019-12-06 02:55:18 3974

Login

手机号
验证码
© 2019 F5 Networks, Inc. 版权所有。京ICP备16013763号-1