全部產品
Search
文件中心

Alibaba Cloud DNS:DNS基本概念

更新時間:Sep 21, 2024

DNS概念

DNS 是網域名稱系統 (Domain Name System) 的縮寫,是網際網路的一項核心服務,它作為可以將網域名稱和IP地址相互映射的一個分散式資料庫,能夠使人更方便的訪問互連網,而不用去記住能夠被機器直接讀取的IP數串。

網域名稱的分層結構

由於網際網路的使用者數量較多,所以網際網路在命名時採用的是層次樹狀結構的命名方法。任何一個串連在網際網路上的主機或路由器,都有一個唯一的階層的名字,即網域名稱(domain name)。這裡,“域”(domain)是名字空間中一個可被管理的劃分。從文法上講,每一個網域名稱都是有標號(label)序列組成,而各標號之間用點(小數點)隔開。網域名稱可以劃分為各個子域,子域還可以繼續劃分為子域的子域,這樣就形成了頂級域、主網域名稱、子網域名稱等。關於網域名稱階層如下圖:

舉例:

  • “.com”是頂級網域名稱;

  • “aliyun.com”是主網域名稱(也可稱託管頂層網域),主要指企業名;

  • “example.aliyun.com”是子網域名稱(也可稱為託管次層網域);

  • “www.example.aliyun.com”是子網域名稱的子域(也可稱為託管第三層網域名)。

DNS的分層結構

網域名稱是分層結構,網域名稱DNS伺服器也是對應的層級結構。有了網域名稱結構,還需要有網域名稱DNS伺服器去解析網域名稱,且是需要由遍及全世界的網域名稱DNS伺服器去解析,網域名稱DNS伺服器實際上就是裝有網域名稱系統的主機。網域名稱解析過程涉及4個DNS伺服器,分別如下:

分類

作用

根網域名稱伺服器

英文全稱:Root Name Server,簡稱Root Server。本地區名伺服器在本地查詢不到解析結果時,則第一步會向它進行查詢,並擷取頂級網域名稱伺服器的IP地址。

頂級網域名稱伺服器

英文全稱:Top-Level Domain Name Server,簡稱:TLD Server。負責管理在該頂級網域名稱伺服器下註冊的次層網域,例如“www.example.com”,.com則是頂級網域名稱伺服器,在向它查詢時,可以返回頂層網域“example.com”所在的權威網域名稱伺服器地址。

權威網域名稱伺服器

英文全稱:Authoritative Name Server,簡稱NS。在特定地區內具有唯一性,負責維護該地區內的網域名稱與IP地址之間的對應關係,例如Alibaba Cloud DNS。

本地區名伺服器

英文全稱:Local DNS Server,簡稱Local DNS。本地區名伺服器是響應來自用戶端的遞迴請求,並最終跟蹤直到擷取到解析結果的DNS伺服器。例如使用者本機自動分配的DNS、電訊廠商ISP分配的DNS、Google/114公用DNS等。

注釋:

說明

每個層級的網域名稱都有其專屬的網域名稱伺服器,最頂層是根網域名稱伺服器。每一層的網域名稱伺服器都儲存著下級網域名稱伺服器的IP地址,從而能夠逐級進行查詢。

DNS解析過程

通過網域名稱example.com訪問網站的網域名稱解析過程如下。

1、使用者在Web瀏覽器中輸入“example.com”, 向本地區名伺服器發起查詢請求。若本地區名伺服器存在緩衝的解析資料,則直接將網域名稱example.com對應的IP地址返回給Web瀏覽器,跳至步驟9。若本地區名伺服器沒有查到緩衝的解析資料,則繼續步驟2。

2、本地區名伺服器向根網域名稱伺服器進行查詢。

3、根網域名稱伺服器將.com頂級網域名稱伺服器的地址,返回給本地區名伺服器。

4、本地區名伺服器向.com頂級網域名稱伺服器發起example.com的查詢請求。

5、.com頂級網域名稱伺服器將為example.com提供權威解析的權威網域名稱伺服器地址,返回給本地區名伺服器。

6、本地區名伺服器向權威網域名稱伺服器發起查詢請求。

7、權威網域名稱伺服器將網域名稱example.com對應的IP地址,返回給本地區名伺服器。

8、本地區名伺服器最後把查詢的IP地址響應給Web瀏覽器。

9、Web瀏覽器通過IP地址訪問網站伺服器。

10、網站伺服器返回網頁資訊。

DNS術語

遞迴查詢

是指DNS伺服器在收到使用者發起的請求時,必須向使用者返回一個準確的查詢結果。如果DNS伺服器本地沒有儲存與之對應的資訊,則該伺服器需要詢問其他伺服器,並將返回的查詢結果提交給使用者。

迭代查詢

是指DNS伺服器在收到使用者發起的請求時,並不直接回複查詢結果,而是告訴另一台DNS伺服器的地址,使用者再向這台DNS伺服器提交請求,這樣依次反覆,直到返回查詢結果。

DNS緩衝

DNS緩衝是將解析資料存放區在靠近發起請求的用戶端的位置,也可以說DNS資料是可以緩衝在任意位置,最終目的是以此減少遞迴查詢過程,可以更快的讓使用者獲得請求結果。

TTL

英文全稱Time To Live ,這個值是告訴本地區名伺服器,網域名稱解析結果可快取的最長時間,緩衝時間到期後本地區名伺服器則會刪除該解析記錄的資料,刪除之後,如有使用者請求網域名稱,則會重新進行遞迴查詢/迭代查詢的過程。

IPV4、IPV6雙棧技術

雙棧英文Dual IP Stack,就是在一個系統中可同時使用IPv6/ IPv4這兩個可以並行工作的協議棧。

DNS Query Flood Attack

指網域名稱查詢攻擊,攻擊方法是通過操縱大量傀儡機器,發送海量的網域名稱查詢請求,當每秒網域名稱查詢請求次數超過DNS伺服器可承載的能力時,則會造成解析網域名稱逾時從而直接影響業務的可用性。

URL轉寄

英文 Url Forwarding,也可稱地址轉向,它是通過伺服器的特殊設定,將一個網域名稱指向到另外一個已存在的網站。

edns-client-subnet

google提交了一份DNS擴充協議,允許DNS resolver傳遞使用者的IP地址給authoritative DNS server。

DNSSEC

網域名稱系統安全擴充(DNS Security Extensions),簡稱DNSSEC。它是通過數位簽章來保證DNS應答報文的真實性和完整性,可有效防止DNS欺騙和緩衝汙染等攻擊,能夠保護使用者不被重新導向到非預期地址,從而提高使用者對互連網的信任。