零、前言
本文记录了笔者在学习DNS和域名的基础知识的过程,
若笔者有任何疏忽纰漏之处,烦请不吝赐教。
特别说明:由于这部分内容既是前端的基础知识又是后端的基础知识,而笔者主要的方向是后端,故分类于此。
本文会不断的补充、修改和完善,期待您的宝贵意见。
一、DNS-互联网的电话簿
0. 简介:
DNS(域名系统 Domain Name System )是互联网连接资源的分层和分散命名系统;
DNS维护域名列表以及与其关联的资源(如 IP 地址);
DNS最突出的功能是将人性化域名转换为数字IP地址;
将域名映射到相应 IP 地址的过程称为 DNS 查找,相比之下,反向 DNS 查找 (rDNS) 用于确定与 IP 地址关联的域名。
1. 额外的安全层?
默认情况下,DNS查询Request和响应Response以明文形式,通过UDP发送,也就是说网络、ISP 或任何能够监控传输的人都可以读取它们。即使网站使用 HTTPS,也会公开导航到该网站所需的 DNS 查询。
如何解决呢?事实上有两种办法:TLS上的DNS和HTTPS上的DNS,他们都是为加密明文DNS流量而开发的标准。
2. DNS / HTTPS-over-DNS?
TLS 上的 DNS 或 DoT 是加密 DNS 查询以保持其安全和私密性的标准。
DoT 使用与 HTTPS 网站相同的安全协议 TLS 来加密和验证通信(TLS也称为"SSL")。
DoT 在用户数据报协议 UDP 之上添加了 TLS 加密,该协议用于 DNS 查询。
此外,它还确保 DNS 请求和响应不会因中间人攻击而被篡改或伪造。
DNS over HTTPS,或DoH,是DoT的替代方案。
使用 DoH,DNS 查询和响应是加密的,但它们是通过 HTTP 或 HTTP/2 协议发送的,而不是直接通过 UDP 发送的。
有何不同?
每个标准都是单独开发的,都有自己的 RFC(征求意见) 文档,
但 DoT 和 DoH 之间最重要的区别在于它们使用的端口。
DoT 仅使用端口 853,而 DoH 使用端口 443,这是所有其他 HTTPS 流量使用的端口。
由于 DoT 具有专用端口,因此任何具有网络可见性的人都可以看到 DoT 流量的来来去去,即使请求和响应本身是加密的。相比之下,在DoH中,DNS查询和响应伪装在其他HTTPS流量中,因为它们都来自同一端口。
哪个更好?
从网络安全的角度来看,DoT可以说更好。它使网络管理员能够监视和阻止 DNS 查询,这对于识别和阻止恶意流量非常重要。同时,DoH查询隐藏在常规HTTPS流量中,这意味着如果不阻止所有其他HTTPS流量,就无法轻松阻止它们。
但是,从隐私的角度来看,DoH可以说是可取的。使用 DoH,DNS 查询隐藏在较大的 HTTPS 流量中。这降低了网络管理员的可见性,但为用户提供了更多的隐私。
3. 涉及 DNS 的常见攻击有哪些?
-
DNS 欺骗/缓存中毒:这是一种将伪造的 DNS 数据引入 DNS 解析程序缓存的攻击,导致解析器返回域的错误 IP 地址。流量可以转移到恶意机器或攻击者想要的任何地方,而不是转到正确的网站;通常,这将是用于恶意目的(例如分发恶意软件或收集登录信息)的原始站点的副本。
-
DNS 隧道:此攻击使用其他协议通过 DNS 查询和响应进行隧道传输。攻击者可以使用 SSH、TCP 或 HTTP 将恶意软件或被盗信息传递到 DNS 查询中,而大多数防火墙都不会检测到。
-
DNS 劫持:在 DNS 劫持中,攻击者将查询重定向到其他域名服务器。这可以通过恶意软件或未经授权修改 DNS 服务器来完成。尽管结果与DNS欺骗的结果相似,但这是一种根本不同的攻击,因为它针对的是名称服务器上网站的DNS记录,而不是解析器的缓存。
-
NXDOMAIN 攻击:这是一种 DNS 洪水攻击,攻击者用请求淹没 DNS 服务器,请求不存在的记录,试图导致合法流量的拒绝服务。这可以使用复杂的攻击工具来实现,这些工具可以为每个请求自动生成唯一的子域。NXDOMAIN 攻击还可以针对递归解析器,目的是用垃圾请求填充解析器的缓存。
-
幻域攻击:幻像域攻击的结果与 DNS 解析器上的 NXDOMAIN 攻击类似。攻击者设置了一堆“幻像”域服务器,这些服务器要么响应请求非常慢,要么根本不响应。然后,解析器受到对这些域的大量请求的打击,解析器被占用等待响应,导致性能降低和拒绝服务。
-
随机子域攻击:在这种情况下,攻击者会针对一个合法站点的多个随机、不存在的子域发送 DNS 查询。目标是为域的权威名称服务器创建拒绝服务,从而无法从名称服务器查找网站。作为副作用,为攻击者提供服务的ISP也可能受到影响,因为他们的递归解析器的缓存将加载错误请求。
-
域锁定攻击:攻击者通过设置特殊域和解析器来与其他合法解析器创建 TCP 连接,从而策划这种形式的攻击。当目标解析器发送请求时,这些域会发回缓慢的随机数据包流,从而占用解析器的资源。
-
基于僵尸网络的 CPE 攻击:这些攻击是使用 CPE 设备(客户端设备;这是服务提供商提供的供其客户使用的硬件,例如调制解调器、路由器、电缆盒等)进行的。攻击者破坏CPE,设备成为僵尸网络的一部分,用于对一个站点或域执行随机子域攻击。
(怎么名字都这么帅的)
4. 域名安全
DNS 安全扩展 (DNSSEC) 是为缓解此问题而创建的安全协议。
DNSSEC 通过对数据进行数字签名来帮助确保其有效性,从而防止攻击。
为了确保安全查找,必须在 DNS 查找过程中的每个级别进行签名。
有关 DNSSEC 的更多内容请参考:DNSSEC: An Introduction (cloudflare.com)
5. 其他内容:
DNS防火墙:
DNS firewall 是一种可为 DNS 服务器提供众多安全和性能服务的工具。
DNS firewall 位于用户的递归解析器与他们正尝试访问的网站或服务的权威性域名服务器之间。
防火墙可提供速率限制服务,以关闭试图淹没服务器的攻击者。如果服务器确实由于攻击或其他任何原因而停机,则 DNS firewall 可通过提供来自高速缓存的 DNS 响应来使运营商的站点或服务保持正常运行。
用户隐私:
DNS 查询未加密。即使用户使用像 1.1.1.1 这样不跟踪他们活动的 DNS 解析器,DNS 查询也会以明文形式在互联网上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。
还有诸如DNS高速缓存中毒等内容我们暂且略过。
二、DomainName-域名
0. 简介:
域名是一个文本字符串,映射到一个数字 IP 地址,可用于从客户端软件访问网站。
简单来说,域名是用户在浏览器窗口中键入以访问特定网站的文本。
网站的实际地址是一个复杂的数字 IP 地址(例如 103.21.244.0),但由于 DNS 的存在,用户可以输入人类友好的域名并将其路由到他们要查找的网站。此过程称为 DNS 查找。
域名全部由域名注册管理机构管理。
1. 与URL的区别?
统一资源定位符(URL)有时也称为网址,包含站点的域名以及其他信息,如传输协议和路径等。
例如,在 URLhttps://www.bilibili.com/anime/中,www.bilibili.com是域名,而https是协议,/anime/是指向网站上特定页面的路径。
2. 域名的组成部分?
域名通常分为两个或三个部分,各个部分用一个点分隔。
从右到左阅读时,域名中的标识符从最广泛到最具体。
域名中最后一个点右边的部分是顶级域 (TLD)。
其中包括.com、.net和.org等通用TLD,以及.uk和.cn等特定国家/地区的 TLD。
TLD 的左侧是第二级域(2LD),如果 2LD 的左侧有任何内容,则称为第三级域(3LD)。
3. 查找可用域名:
法一:转到域名注册商的网站。他们中的大多数都提供whois服务,告诉您域名是否可用。
法二:如果使用具有内置 shell 的系统,请在其中键入命令,如下所示:
$ whois mozilla.org
Domain Name:MOZILLA.ORG
Domain ID: D1409563-LROR
Creation Date: 1998-01-24T05:00:00Z
Updated Date: 2013-12-08T01:16:57Z
Registry Expiry Date: 2015-01-23T05:00:00Z
Sponsoring Registrar:MarkMonitor Inc. (R37-LROR)
Sponsoring Registrar IANA ID: 292
WHOIS Server:
Referral URL:
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Registrant ID:mmr-33684
Registrant Name:DNS Admin
Registrant Organization:Mozilla Foundation
Registrant Street: 650 Castro St Ste 300
Registrant City:Mountain View
Registrant State/Province:CA
Registrant Postal Code:94041
Registrant Country:US
Registrant Phone:+1.6509030800
4. 其他内容
域名的最长保留期是十年。用户可以持有域名超过十年,因为注册商通常让他们无限期地续订域名。但是,用户从来没有真正拥有过这个域名,他们只是租用了它。
如果没有人购买过期的域名,它可能会在一定时间后退回到原来的注册机构。它将不再可用,直到注册表决定释放它。
开启掘金成长之旅!这是我参与「掘金日新计划 · 2 月更文挑战」的第 1 天,点击查看活动详情
