Domainnamensystem

Das Domainnamensystem (DNS) ist die hierarchische und dezentral Benennungssystem zur Identifizierung von Computern, die durch die erreichbar sind Internet oder andere Internetprotokoll (IP) Netzwerke. Das Ressourcenunterlagen im DNS Associate enthalten Domain Namen mit anderen Informationsformen. Diese werden am häufigsten verwendet, um menschenfreundliche Domain-Namen den numerischen Domain-Namen zuzuordnen IP -Adressen Computer müssen Dienste und Geräte mithilfe der zugrunde liegenden Lokalisierung lokalisieren Netzwerkprotokolle, wurden aber im Laufe der Zeit erweitert, um auch viele andere Funktionen auszuführen. Das Domainnamensystem ist seit 1985 ein wesentlicher Bestandteil der Funktionalität des Internets.

Funktion

Eine häufig verwendete Analogie zur Erklärung des Domain-Namenssystems ist, dass es als das dient Telefonbuch Für das Internet durch Übersetzung menschlicher Computer-Computer Hostnamen In IP -Adressen. Zum Beispiel der Domain -Name www.example.com übersetzt die Adressen 93.184.216.34 (IPv4) und 2606: 2800: 220: 1: 248: 1893: 25C8: 1946 (IPv6). Das DNS kann schnell und transparent aktualisiert werden, sodass sich der Standort eines Dienstes im Netzwerk ändern kann, ohne die Endbenutzer zu beeinflussen, die weiterhin denselben Hostnamen verwenden. Benutzer nutzen dies, wenn sie aussagekräftige einheitliche Ressourcenlokatoren verwenden (URLs) und E-mailadressen ohne wissen zu müssen, wie der Computer die Dienste tatsächlich lokalisiert.

Eine wichtige und allgegenwärtige Funktion des DNS ist die zentrale Rolle in verteilten Internetdiensten wie z. Cloud-Services und Inhaltsbereitstellungen.[1] Wenn ein Benutzer über eine URL auf einen verteilten Internetdienst zugreift, wird der Domänenname der URL in die IP -Adresse eines Servers übersetzt, der dem Benutzer proximal ist. Die Schlüsselfunktionalität der DNS, die hier ausgenutzt wurden, ist, dass verschiedene Benutzer dies können gleichzeitig Erhalten Sie verschiedene Übersetzungen für die gleich Domainname, ein wichtiger Punkt der Abweichung von einer herkömmlichen Telefonbuchansicht des DNS. Dieser Prozess der Nutzung des DNS zur Zuweisung von proximalen Servern für Benutzer ist der Schlüssel zur Bereitstellung schneller und zuverlässigerer Antworten im Internet und wird von den meisten wichtigen Internetdiensten häufig verwendet.[2]

Der DNS spiegelt die Struktur der administrativen Verantwortung im Internet wider.[3] Jede Subdomain ist a Zone von administrativen Autonomie an einen Manager delegiert. Für Zonen, die von a betrieben werden Registrierung, administrative Informationen werden häufig durch die Registrierung ergänzt RDAP und WER IST Dienstleistungen. Diese Daten können verwendet werden, um Einblicke in einen bestimmten Host im Internet zu erhalten und die Verantwortung zu verfolgen.[4]

Geschichte

Verwenden eines einfacheren, denkwürdigeren Namens anstelle des numerischen Adressadresses eines Host Arpanet Epoche. Das Stanford Research Institute (jetzt SRI International) Wartte eine Textdatei mit dem Namen Hosts.txt Diese kartierten Hostnamen auf die numerischen Adressen von Computern auf dem Arpanet.[5][6] Elizabeth Feinler entwickelte und pflegte das erste Arpanet -Verzeichnis.[7][8] Die Wartung numerischer Adressen, die als zugewiesene Nummernliste bezeichnet wird, wurde von behandelt von Jon Postel Bei der Universität von Südkalifornien's Information Sciences Institute (ISI), dessen Team eng mit SRI zusammenarbeitete.[9]

Adressen wurden manuell zugewiesen. Computer, einschließlich der Hostnamen und Adressen, wurden der primären Datei durch Kontakt mit dem SRI hinzugefügt Netzwerkinformationszentrum (NIC), Regie von Feinler, Telefon während der Geschäftszeiten.[10] Später hat Feinler a eingerichtet WER IST Verzeichnis auf einem Server in der NIC zum Abrufen von Informationen zu Ressourcen, Kontakten und Entitäten.[11] Sie und ihr Team entwickelten das Konzept der Domänen.[11] Feinler schlug vor, dass Domänen auf dem Ort der physischen Adresse des Computers basieren sollten.[12] Computer an Bildungseinrichtungen hätten die Domäne Edu, zum Beispiel.[13] Sie und ihr Team leiteten das Register der Moderator -Namensregistrierung von 1972 bis 1989.[14]

In den frühen 1980er Jahren war die Aufrechterhaltung einer einzigen, zentralisierten Host -Tabelle langsam und unhandlich geworden, und das aufstrebende Netzwerk erforderte ein automatisiertes Benennungssystem, um technische und personelle Probleme zu lösen. Postel leitete die Aufgabe, einen Kompromiss zwischen fünf konkurrierenden Vorschlägen von Lösungen an zu fälschen Paul Mockapetris. Mockapetris erstellte stattdessen 1983 das Domain -Namenssystem, während er am Universität von Südkalifornien.[10][15]

Das Internettechnik-Arbeitsgruppe veröffentlichte im November 1983 die ursprünglichen Spezifikationen in RFC 882 und RFC 883.[16][17] Diese wurden im Januar 1986 in RFC 973 aktualisiert.

Im Jahr 1984 vier UC Berkeley Die Schüler Douglas Terry, Mark Painter, David Riggle und Songnian Zhou, schrieb das erste Unix Name Server -Implementierung für die Berkeley -Internetname -Domäne, die allgemein als als bezeichnet wird BINDEN.[18] 1985 Kevin Dunlap von Dez Die DNS -Implementierung erheblich überarbeitet. Mike Karels, Phil Almquist, und Paul Vixie dann übernahm die Wartung von Bindungen. Das Internet Systems Consortium wurde 1994 von Rick Adams, Paul Vixie und Carl Malamud gegründet, um ein Zuhause für die Entwicklung und Wartung von Bindungen bereitzustellen. Bind -Versionen ab 4.9.3 wurden von ISC entwickelt und gewartet, wobei die Sponsoren von ISC unterstützt wurden. Als Co-Architekten/Programmierer veröffentlichten Bob Halley und Paul Vixie im Mai 1997 die erste produktionsbereite Version von Bind Version 8. Seit 2000 haben über 43 verschiedene Kernentwickler an Bind gearbeitet. [19]

Im November 1987 RFC 1034[20] und RFC 1035[3] Ersetzte die DNS -Spezifikationen von 1983. Mehrere zusätzliche Anfrage für Kommentare haben Erweiterungen der Kern -DNS -Protokolle vorgeschlagen.[21]

Struktur

Domain -Namensraum

Der Domain -Namensraum besteht aus a Baumdatenstruktur. Jeder Knoten oder Blatt im Baum hat a Etikett und null oder mehr Ressourcenunterlagen (RR), die Informationen enthalten, die dem Domänennamen zugeordnet sind. Der Domänenname selbst besteht aus dem Etikett, das mit dem Namen seines übergeordneten Knotens rechts verkettet ist und durch einen Punkt getrennt ist.[22]

Der Baum unterteilt in unterteilt in Zonen beginnend am Wurzelzone. EIN DNS -Zone Kann aus so vielen Domänen und Subdomänen bestehen, wie der Zonenmanager auswählt. DNS kann auch nach verteilt werden Klasse wo die getrennten Klassen als eine Reihe paralleler Namespace -Bäume betrachtet werden können.[23]

Das hierarchische Domain -Namenssystem für die Klasse Internet, organisiert in Zonen, jeweils von einem Namenserver bedient

Die administrative Verantwortung für eine Zone kann durch die Erstellung zusätzlicher Zonen geteilt werden. Die Autorität über die neue Zone soll sein delegiert zu einem bestimmten Namenserver. Die Elternzone hört auf, für die neue Zone maßgeblich zu sein.[23]

Domainnamensyntax, Internationalisierung

Die endgültigen Beschreibungen der Regeln für die Bildung von Domänennamen werden in RFC 1035, RFC 1123, RFC 2181 und RFC 5892 angezeigt. Domainname besteht aus einem oder mehreren Teilen, die technisch genannt genannt werden Etiketten, die konventionell verkettet und durch Punkte wie Beispiel.com abgegrenzt werden.

Das rechtsmehrste Etikett vermittelt die Top-Level-Domain; Zum Beispiel gehört der Domänenname www.example.com zur obersten Domäne com.

Die Hierarchie der Domänen steigt von rechts nach links ab; Jede Etikett links gibt eine Unterteilung an oder Subdomain der Domäne rechts. Zum Beispiel das Etikett Beispiel Gibt eine Subdomäne der com Domäne und www ist eine Subdomain von Beispiel.com. Dieser Baum von Unterteilungen kann bis zu 127 Ebenen haben.[24]

Ein Etikett kann Null bis 63 Zeichen enthalten. Die Nullbezeichnung von Länge Null ist für die Wurzelzone reserviert. Der vollständige Domain -Name darf die Länge von 253 Zeichen in seiner Textdarstellung nicht überschreiten.[20] Bei der internen binären Darstellung des DNS erfordert die maximale Länge 255 Oktetten des Speichers, da sie auch die Länge des Namens speichert.[3]

Obwohl keine technische Einschränkung vorhanden ist, um Domain -Namensbezeichnungen unter Verwendung eines beliebigen Zeichens zu verhindern, das durch ein Oktett dargestellt werden kann, verwenden Hostnamen ein bevorzugtes Format und ein Zeichensatz. Die in Beschriftungen erlaubten Zeichen sind eine Teilmenge der ASCII Zeichensatz, bestehend aus Zeichen a durch z, A durch Z, Ziffern 0 durch 9und Bindestrich. Diese Regel ist als die bekannt LDH -Regel (Buchstaben, Ziffern, Bindestrich). Domänennamen werden in fallunabhängiger Weise interpretiert.[25] Etiketten beginnen oder enden möglicherweise nicht mit einem Bindestrich.[26] Eine zusätzliche Regel erfordert, dass Domain-Namen der höchsten Ebene nicht nur numerisch sein sollten.[26]

Die in den DNS erlaubten begrenzten ASCII -Zeichen verhinderte die Darstellung von Namen und Wörtern vieler Sprachen in ihren nativen Alphabeten oder Skripten. Um dies möglich zu machen, ICANN genehmigte die Internationalisierung von Domain -Namen in Anwendungen (IDNA) -System, durch das Benutzeranwendungen, wie z. B. Webbrowser, Karte Unicode Saiten in den gültigen DNS -Zeichen mit Verwendung Punycode. Im Jahr 2009 genehmigte ICANN die Installation des internationalisierten Domainnamens Ländercode Top-Level-Domänen (CCTLDs). Darüber hinaus viele Registrien der vorhandenen Domain-Namen der obersten Ebene (Tlds) haben das IDNA -System übernommen, das von RFC 5890, RFC 5891, RFC 5892, RFC 5893 geführt wird.

Nennen Sie Server

Das Domain -Namenssystem wird von a gepflegt verteilte Datenbank System, das das verwendet Client -Server -Modell. Die Knoten dieser Datenbank sind die Nennen Sie Server. Jede Domäne verfügt über mindestens einen maßgeblichen DNS -Server, der Informationen über diese Domäne und die Namenserver in allen Domänen veröffentlicht. Die Spitze der Hierarchie wird von der bedient Root Name Server, die Server zum Nachfragen beim Nachschlagen (Lösung) eine tld.

Maßgeblicher Name Server

Ein maßgeblich Name Server ist ein Namenserver, der nur gibt Antworten Zu DNS -Abfragen aus Daten, die von einer ursprünglichen Quelle konfiguriert wurden, z. B. dem Domänenadministrator oder dynamischen DNS -Methoden, im Gegensatz zu Antworten, die über eine Abfrage zu einem anderen Namensserver erhalten wurden, der nur einen Datencache verwaltet.

Ein maßgeblicher Namenserver kann entweder a sein primär Server oder a sekundär Server. Historisch gesehen die Begriffe Master/Sklave und primär sekundär wurden manchmal austauschbar verwendet[27] Die derzeitige Praxis besteht jedoch darin, die letztere Form zu verwenden. Ein primärer Server ist ein Server, der die ursprünglichen Kopien aller Zonendatensätze speichert. Ein sekundärer Server verwendet einen Spezial Automatischer Aktualisierungsmechanismus im DNS -Protokoll in Kommunikation mit seinem Primär, um eine identische Kopie der Primärdatensätze aufrechtzuerhalten.

Jede DNS -Zone muss eine Reihe von maßgeblichen Namensservern zugewiesen werden. Dieser Serversatz wird in der übergeordneten Domänenzone mit Namenserver (NS) gespeichert.

Ein maßgeblicher Server gibt seinen Status bei der Lieferung definitiver Antworten an maßgeblich, durch Einstellen einer Protokollflagge, genannt ""Maßgebliche Antwort"(Aa) Bit in seinen Antworten.[3] Dieses Flag wird normalerweise in der Ausgabe von DNS -Administrations -Abfragetools, wie z. graben, um anzuzeigen Dass der antwortende Name Server eine Autorität für den fraglichen Domänennamen ist.[3]

Wenn ein Namenserver als maßgeblicher Server für einen Domänennamen bezeichnet wird, für den er keine autoritativen Daten hat, zeigt er eine Art von Fehler, die als "lame Delegation" oder "lame Antwort" bezeichnet wird.[28][29]

Betrieb

Mechanismus des Auflösungsmechanismus ansprechen

Domänennamen-Resolver bestimmen die Domänennamenserver, die für den fraglichen Domänennamen durch eine Folge von Abfragen verantwortlich sind, beginnend mit der rechten Domänenetika (Top-Level).

Ein DNS -Resolver, der den von RFC 1034 vorgeschriebenen iterativen Ansatz implementiert; In diesem Fall konsultiert der Resolver drei Namenserver, um die zu beheben Vollqualifizierter Domainname "www.wikipedia.org".

Für den ordnungsgemäßen Betrieb seines Domänennamens -Resolvers wird ein Netzwerkhost mit einem anfänglichen Cache konfiguriert (Hinweise) der bekannten Adressen der Stammnamenserver. Die Hinweise werden regelmäßig von einem Administrator aktualisiert, indem ein Datensatz von einer zuverlässigen Quelle abgerufen wird.

Unter der Annahme, dass der Resolver keine zwischengespeicherten Aufzeichnungen hat, um den Prozess zu beschleunigen, beginnt der Auflösungsprozess mit einer Abfrage an einen der Stammserver. In der typischen Operation antworten die Stammserver nicht direkt, sondern antworten mit einer Überweisung an maßgeblichere Server, z. B. eine Abfrage für "www.wikipedia.org". Org Server. Der Resolver fragt nun die Server an und wiederholt diesen Vorgang iterativ, bis er eine maßgebliche Antwort erhält. Das Diagramm zeigt diesen Prozess für den Host, der von der benannt ist Vollqualifizierter Domainname "www.wikipedia.org".

Dieser Mechanismus würde den Wurzelservern eine große Verkehrsbelastung aufstellen, wenn jede Auflösung im Internet an der Wurzel erforderlich ist. In der Praxis zwischengespeichert wird auf DNS-Servern verwendet, um die Root-Server auszuladen, und infolgedessen sind Root-Namensserver tatsächlich nur an einem relativ kleinen Bruchteil aller Anforderungen beteiligt.

Rekursive und Caching -Namenserver

Theoretisch reichen maßgebliche Namenserver für den Betrieb des Internets aus. Da jedoch nur maßgebliche Namenserver betrieben werden, muss jede DNS -Abfrage mit rekursiven Abfragen an der Wurzelzone des Domainnamensystems und jedes Benutzersystem müsste eine Resolver -Software implementieren, die einen rekursiven Betrieb in der Lage ist.[30]

Um die Effizienz zu verbessern, den DNS-Verkehr im Internet zu reduzieren und die Leistung in Endbenutzeranwendungen zu erhöhen, unterstützt das Domainnamen-System DNS-Cache-Server, mit denen die in der Konfiguration festgelegten Zeitspanne DNS-Abfrageergebnisse gespeichert werden (in der Konfiguration ermittelt wurden (in der KonfigurationZeit zu leben) des fraglichen Domain -Namens. In der Regel implementieren solche Caching -DNS -Server auch den rekursiven Algorithmus, der zur Behebung eines angegebenen Namens, der mit der DNS -Root auf die maßgeblichen Namenserver der abgefragten Domäne beginnt, auflöst. Mit dieser im Namensserver implementierten Funktion gewinnen Benutzeranwendungen Effizienz in Design und Betrieb.

Die Kombination von DNS -Zwischenspeichern und rekursiven Funktionen in einem Namenserver ist nicht obligatorisch. Die Funktionen können für besondere Zwecke unabhängig auf Servern implementiert werden.

Internetanbieter Geben Sie ihren Kunden in der Regel rekursive und zwischengespeicherte Namenserver an. Darüber hinaus implementieren viele Home -Networking -Router DNS -Caches und Rekursion, um die Effizienz im lokalen Netzwerk zu verbessern.

DNS -Resolver

Die Client -Seite des DNS wird als DNS -Resolver bezeichnet. Ein Resolver ist verantwortlich für die Initiierung und Sequenzierung der Abfragen, die letztendlich zu einer vollständigen Auflösung (Übersetzung) der gesuchten Ressource führen, z. B. Übersetzung eines Domänennamens in eine IP -Adresse. DNS -Resolver werden nach einer Vielzahl von Abfragemethoden klassifiziert, wie z. rekursiv, nicht rekursiv, und iterativ. Ein Auflösungsprozess kann eine Kombination dieser Methoden verwenden.[20]

In einem Nicht rekursive AbfrageEin DNS -Resolver fragt einen DNS -Server ab, der einen Datensatz enthält, für den der Server maßgeblich ist, oder ein Teilergebnis, ohne andere Server abzufragen. Im Falle von a Caching DNS -Resolver, die nicht rezisive Abfrage seiner lokalen DNS -Cache Liefert ein Ergebnis und reduziert die Last auf vorgelagerten DNS -Servern, indem DNS -Ressourcenrekords für einen bestimmten Zeitraum nach einer ersten Reaktion von vorgelagerten DNS -Servern zwischengespeichert werden.

In einem rekursive AbfrageEin DNS -Resolver fragt einen einzelnen DNS -Server ab, der wiederum andere DNS -Server im Auftrag des Antragstellers abfragen kann. Zum Beispiel ein einfacher Stub -Resolver, der auf einem läuft Home Router Normalerweise macht eine rekursive Abfrage zum DNS -Server, der vom Benutzer ausgeführt wird ISP. Eine rekursive Abfrage ist eine, für die der DNS -Server die Abfrage vollständig beantwortet, indem sie andere Namenserver nach Bedarf abfragen. Im typischen Betrieb stellt ein Client eine rekursive Abfrage an einen rekursiven DNS-Server zwischen Caching aus, der anschließend nicht rekursive Abfragen ausgibt, um die Antwort zu bestimmen und eine einzige Antwort an den Client zurückzugeben. Der Resolver oder ein anderer DNS -Server, der im Namen des Resolvers rekursiv wirkt, verhandelt die Verwendung rekursiger Dienstleistungen mithilfe von Bits in den Abfrageberichten. DNS -Server sind nicht erforderlich, um rekursive Fragen zu unterstützen.

Das iterative Abfrage Verfahren ist ein Prozess, bei dem ein DNS -Resolver eine Kette eines oder mehrerer DNS -Server abfragt. Jeder Server verweist den Client auf den nächsten Server in der Kette, bis der aktuelle Server die Anforderung vollständig beheben kann. Eine mögliche Auflösung von www.example.com würde beispielsweise einen globalen Root -Server, einen "COM" -Server und schließlich einen "example.com" -Server abfragen.

Zirkularabhängigkeiten und Klebstoffaufzeichnungen

Namenserver in Delegationen werden namentlich und nicht per IP -Adresse identifiziert. Dies bedeutet, dass ein auflösender Name Server eine andere DNS -Anfrage ausstellen muss, um die IP -Adresse des Servers zu ermitteln, auf den er verwiesen wurde. Wenn der in der Delegation angegebene Name eine Subdomäne der Domäne ist, für die die Delegation bereitgestellt wird, gibt es a Zirkularabhängigkeit.

In diesem Fall muss der Name Server, der die Delegation angibt, auch eine oder mehrere IP -Adressen für den in der Delegation genannten maßgeblichen Namenserver angeben. Diese Informationen werden genannt Kleber. Der delegierende Namenserver liefert diesen Kleber in Form von Datensätzen in der Zusätzlicher Abschnitt der DNS -Antwort und liefert die Delegation in der Berechtigungsabschnitt der Antwort. Ein Klebersatz ist eine Kombination aus dem Namenserver und der IP -Adresse.

Zum Beispiel wenn die maßgeblicher Name Server Zum Beispiel.org ist ns1.example.org, ein Computer, der versucht, www.example.org zuerst zu beheben, ns1.example.org. Da NS1 in example.org enthalten ist, erfordert dies zuerst Beispiel für Beispiel.org, was eine kreisförmige Abhängigkeit darstellt. Um die Abhängigkeit zu brechen, den Namenserver für die Top-Level-Domain Org enthält Kleber zusammen mit der Delegation beispielsweise.org. Die Klebstoffdatensätze sind Adressdatensätze, die IP -Adressen für ns1.example.org angeben. Der Resolver verwendet einen oder mehrere dieser IP -Adressen, um einen der maßgeblichen Server der Domäne abzufragen, mit der die DNS -Abfrage abgeschlossen werden kann.

Rekorddaching

Eine Standardpraxis bei der Implementierung der Namensauflösung in Anwendungen besteht darin, die Last auf den Domänennamen -Systemservern durch lokales Zwischenspeichern oder in Zwischenauflösungshosts zu reduzieren. Ergebnisse, die aus einer DNS -Anforderung erhalten wurden, sind immer mit dem verbunden Zeit zu leben (TTL), eine Ablaufzeit, nach der die Ergebnisse verworfen oder aktualisiert werden müssen. Der TTL wird vom Administrator des maßgeblichen DNS -Servers festgelegt. Die Gültigkeitsdauer kann von einigen Sekunden bis Tagen oder sogar Wochen variieren.[31]

Infolge dieser verteilten Caching -Architektur propagieren Änderungen an DNS -Datensätzen nicht sofort im gesamten Netzwerk, aber alle Caches müssen nach dem TTL verfallen und aktualisiert werden. RFC 1912 vermittelt Grundregeln zur Bestimmung geeigneter TTL -Werte.

Einige Resolver können TTL-Werte außer Kraft setzen, da das Protokoll das Caching für bis zu achtundsechzig Jahre oder überhaupt kein Caching unterstützt. Negatives Caching, d.h. die Ausschnitten der Tatsache der Nichteinhaltung eines Datensatzes, wird mit Namensservern für eine Zone, die die enthalten, bestimmt, die die enthalten müssen Autoritätsstart (SOA) Aufzeichnung, wenn keine Daten des angeforderten Typs gemeldet werden. Der Wert der Minimum Feld des SOA -Datensatzes und der TTL des SOA selbst wird verwendet, um die TTL für die negative Antwort festzulegen.

Rückwärtssuche

A Umgekehrte DNS -Suche ist eine Abfrage des DNS für Domainnamen, wenn die IP -Adresse bekannt ist. Mit einer IP -Adresse können mehrere Domain -Namen zugeordnet werden. Das DNS speichert IP-Adressen in Form von Domänennamen als speziell formatierte Namen in Zeiger (PTR) -Trägen in der Domäne der Top-Ebene in der Infrastruktur ARPA. Für IPv4 ist die Domäne in-addr.arpa. Für IPv6 ist die Reverse -Lookup -Domäne Ip6.arpa. Die IP-Adresse wird als Name in umgekehrter Oktettierung für IPv4 und als umgekehrte Nahmpräsentation für IPv6 dargestellt.

Bei der Durchführung einer umgekehrten Suche konvertiert der DNS -Client die Adresse in diese Formate, bevor der Name nach der Delegationskette den Namen für einen PTR -Datensatz abfragt, wie für jede DNS -Abfrage. Beispielsweise wird die IPv4-Adresse 208.80.152.2 an Wikimedia zugewiesen, sie wird in umgekehrter Reihenfolge als DNS-Name dargestellt: 2.152.80.208.in-addr.arpa. Wenn der DNS -Resolver eine Zeigeranforderung (PTR) erhält, beginnt er mit der Abfrage der Stammserver, die auf die Server von deuten Amerikanisches Register für Internetnummern (Arin) für die Zone 208.in-addr.arpa. Arins Server delegieren 152.80.208.in-addr.arpa an Wikimedia, an die der Resolver eine weitere Abfrage für 2.152.80.208.in-addr.arpa sendet, was zu einer maßgeblichen Antwort führt.

Kundensuche

DNS -Auflösungssequenz

Benutzer kommunizieren im Allgemeinen nicht direkt mit einem DNS -Resolver. Stattdessen erfolgt die DNS -Auflösung transparent in Anwendungen wie z. B. Internetbrowser, E-Mail-Kundenund andere Internetanwendungen. Wenn eine Bewerbung eine Anfrage stellt, für die eine Domain -Namens -Suche erforderlich ist, senden solche Programme eine Auflösungsanforderung an die DNS -Resolver im lokalen Betriebssystem, das wiederum die erforderlichen Mitteilungen übernimmt.

Der DNS -Resolver wird fast immer einen Cache (siehe oben) mit jüngsten Suchanlagen haben. Wenn der Cache die Antwort auf die Anfrage geben kann, gibt der Resolver den Wert im Cache an das Programm zurück, das die Anfrage gestellt hat. Wenn der Cache die Antwort nicht enthält, sendet der Resolver die Anfrage an einen oder mehrere benannte DNS -Server. Bei den meisten Heimnutzern liefert der Internetdienstanbieter, mit dem der Computer verbunden ist DHCP es setzen; Wenn Systemadministratoren jedoch Systeme für die Verwendung ihrer eigenen DNS -Server konfiguriert haben, weisen ihre DNS -Resolver auf separat gepflegte Namenserver der Organisation hin. In jedem Fall folgt der so befragte Name Server dem beschriebenen Prozess Oben, bis es entweder erfolgreich ein Ergebnis findet oder nicht. Es gibt dann seine Ergebnisse an den DNS -Resolver zurück. Unter der Annahme, dass es ein Ergebnis gefunden hat, kann der Resolver, der für die zukünftige Verwendung von Rande ausgestattet ist, und übergibt das Ergebnis an die Software, die die Anfrage initiierte.

Kaputte Resolver

Einige große ISPs haben ihre DNS -Server so konfiguriert, dass sie gegen Regeln verstoßen, z.[32]

Einige Anwendungen wie Webbrowser verwalten einen internen DNS -Cache, um wiederholte Lookups über das Netzwerk zu vermeiden. Diese Praxis kann bei der Debugie von DNS -Problemen zusätzliche Schwierigkeiten bilden, da sie die Geschichte solcher Daten verdeckt. Diese Caches verwenden in der Größenordnung von einer Minute in der Regel sehr kurze Caching -Zeiten.[33]

Internet Explorer stellt eine bemerkenswerte Ausnahme dar: Versionen bis IE 3.x -Cache -DNS -Datensätze für 24 Stunden standardmäßig. Internet Explorer 4.x und spätere Versionen (bis zu IE 8) verringern den Standard -Timeout -Wert auf eine halbe Stunde, was durch Ändern der Standardkonfiguration geändert werden kann.[34]

Wann Google Chrome Erkennt Probleme mit dem DNS -Server und zeigt eine bestimmte Fehlermeldung an.

Andere Anwendungen

Das Domainnamensystem enthält mehrere andere Funktionen und Funktionen.

Hostnames und IP-Adressen sind nicht erforderlich, um in einer Eins-zu-Eins-Beziehung übereinzustimmen. Mehrere Hostnamen können einer einzelnen IP -Adresse entsprechen, die in nützlich ist in Virtuelles Hosting, in denen viele Websites von einem einzelnen Host serviert werden. Alternativ kann ein einzelner Hostname auf viele IP -Adressen gelöst werden, um sie zu erleichtern Fehlertoleranz und Lastverteilung an mehrere Serverinstanzen in einem Unternehmen oder im globalen Internet.

DNS dient auch anderen Zwecken zusätzlich zur Übersetzung von Namen in IP -Adressen. Zum Beispiel, Postübertragungsagenten Verwenden Sie DNS, um den besten Mailserver zu finden, um zu liefern Email: Ein MX -Datensatz Bietet eine Zuordnung zwischen einer Domain und einem Mail -Austauscher; Dies kann eine zusätzliche Schicht für Fehlertoleranz und Lastverteilung liefern.

Der DNS wird zum effizienten Speicher und Verteilung von IP -Adressen von E -Mail -Hosts auf schwarze Liste verwendet. Eine gemeinsame Methode besteht darin, die IP-Adresse des Subjekt-Hosts in den Unterdomäne eines Domänennamens auf höherer Ebene zu platzieren und diesen Namen in einen Datensatz zu lösen, der eine positive oder eine negative Anzeige anzeigt.

Zum Beispiel:

  • Die Adresse 102.3.4.5 ist auf die schwarze Liste. Es zeigt auf 5.4.3.102.blacklist.example, das auf 127.0.0.1 aufgelöst wird.
  • Die Adresse 102.3.4.6 ist nicht auf die schwarze Liste und zeigt auf 6.4.3.102.Blacklist.example. Dieser Hostname ist entweder nicht konfiguriert oder wird auf 127.0.0.2 aufgelöst.

E-Mail-Server können Blacklist abfragen. Beispiele, um herauszufinden, ob ein bestimmter Host, der sich mit ihnen verbindet, in der Blacklist befindet. Viele solcher Blacklisten, entweder abonnementbasierte oder kostenlose Kosten, können durch E-Mail-Administratoren und Anti-Spam-Software verwendet werden.

Um im Falle eines Computer- oder Netzwerkfehlers Widerstandsfähigkeit zu gewährleisten, werden in der Regel mehrere DNS -Server zur Berichterstattung für jede Domäne bereitgestellt. Auf der obersten Ebene der globalen DNS dreizehn Gruppen von Root Name Server existieren, mit zusätzlichen "Kopien" von ihnen weltweit über die weltweit verteilt Anycast Adressierung.

Dynamisches DNS (DDNS) Aktualisiert einen DNS-Server mit einer Client-IP-Adresse im Flie Hot Spots, oder wenn sich die IP -Adresse administrativ ändert.

DNS -Nachrichtenformat

Das DNS -Protokoll verwendet zwei Arten von DNS -Nachrichten, Abfragen und Antworten. Beide haben das gleiche Format. Jede Nachricht besteht aus einem Header und vier Abschnitten: Frage, Antwort, Autorität und zusätzlichen Raum. Ein Headerfeld (Flaggen) steuert den Inhalt dieser vier Abschnitte.[20]

Der Header -Abschnitt besteht aus den folgenden Feldern: Identifikation, Flaggen, Anzahl der Fragen, Anzahl der Antworten, Anzahl der Berechtigungsressourcenaufzeichnungen (RRS) und Anzahl der zusätzlichen RRs. Jedes Feld ist 16 Bit lang und erscheint in der angegebenen Reihenfolge. Das Identifikationsfeld wird verwendet, um die Antworten mit Abfragen abzustimmen. Das Flag-Feld besteht aus Subfeldern wie folgt:

Header -Flaggen Format
Aufstellen Beschreibung Länge (Bits))
Qr Gibt an, ob die Nachricht eine Abfrage (0) oder eine Antwort (1) ist 1
Opcode Der Typ kann Abfrage (Standardabfrage, 0), IQuery (inverse Abfrage, 1) oder Status (Serverstatusanforderung, 2) sein 4
Aa Die maßgebliche Antwort in einer Antwort zeigt an, ob der DNS -Server für den abfragten Hostnamen maßgeblich ist 1
TC Kürzung zeigt an, dass diese Nachricht aufgrund übermäßiger Länge verkürzt wurde 1
Rd Die gewünschte Rekursion gibt an, ob der Kunde eine rekursive Abfrage bedeutet 1
Ra Rekursion verfügbar in einer Antwort zeigt an, ob der antwortende DNS -Server die Rekursion unterstützt 1
Z Null, reserviert für den zukünftigen Gebrauch 3
RCODE Antwortcode, kann NoError (0), Formerr (1, Formatfehler), ServFail (2), NxDomain (3, nicht existierende Domäne) usw. sein.[35] 4

Nach der Flagge endet der Header mit vier 16-Bit-Ganzzahlen, die die Anzahl der Datensätze in den folgenden Abschnitten in derselben Reihenfolge enthalten.

Frage Abschnitt

Der Fragenabschnitt verfügt über ein einfacheres Format als das in den andere Abschnitte verwendete Ressourcenaufzeichnungsformat. Jedes Fragendatensatz (normalerweise nur eine im Abschnitt) enthält die folgenden Felder:

Felder für Ressourcenaufzeichnungen (RR)
Aufstellen Beschreibung Länge (Oktetten))
NAME Name der angeforderten Ressource Variable
TYP Art von RR (a, aaaa, mx, txt usw.) 2
KLASSE Klassencode 2

Der Domain -Name wird in diskrete Etiketten unterteilt, die verkettet sind; Jedes Etikett wird durch die Länge dieses Etiketts vorangestellt.[36]

DNS -Transportprotokolle

DNS-OUT-UDP/53 ("DO53")

Von der Zeit seines Ursprungs von 1983 bis vor kurzem hat DNS in erster Linie Fragen beantwortet User Datagram Protocol (UDP) Port-Nummer 53.[3] Solche Abfragen bestehen aus einer Clear-Text-Anforderung, die in einem einzigen UDP-Paket vom Client gesendet wurde und mit einer Clear-Text-Antwort, die in einem einzigen UDP-Paket vom Server gesendet wurde, beantwortet wird. Wenn die Länge der Antwort 512 Bytes und sowohl Client- als auch Serverunterstützung überschreitet Verlängerungsmechanismen für DNS (Edns), größere UDP -Pakete können verwendet werden.[37] Die Verwendung von DNS-Over-UDP wird unter anderem durch die mangelnde Verschlüsselung der Transportschicht, die Authentifizierung, die zuverlässige Lieferung und die Nachrichtenlänge begrenzt.

DNS-OUT-TCP/53 ("DO53/TCP")

Im Jahr 1989 gab RFC 1123 optional angegeben Transmissionskontrollprotokoll (TCP) Transport für DNS -Abfragen, Antworten und insbesondere. Zonenübertragungen. Durch die Fragmentierung langer Antworten ermöglicht TCP längere Antworten, eine zuverlässige Bereitstellung und Wiederverwendung langlebiger Verbindungen zwischen Clients und Servern.

DNS-over-TLS ("Punkt")

Ein IETF -Standard für verschlüsselte DNS entstand 2016, wobei die Standard -Transportschichtsicherheit (TLS) verwendet wurde, um die gesamte Verbindung zu schützen, anstatt nur die DNS -Nutzlast. DOT -Server hören auf den TCP -Port 853. RFC 7858 Gibt an, dass die opportunistische Verschlüsselung und authentifizierte Verschlüsselung unterstützt werden können, jedoch weder Server noch Clientauthentifizierung obligatorisch gemacht haben.

DNS-over-https ("doh")

Ein konkurrierender Standard für den DNS -Querytransport wurde im Jahr 2018 eingeführt, wobei Tunneling DNS -Abfragedaten über HTTPS (was wiederum HTTP über TLS transportiert). DOH wurde als webfreundlichere Alternative zu DNS gefördert, da es wie DNScrypt auf TCP Port 443 bewegt wird und somit dem Webverkehr ähnelt, obwohl sie in der Praxis leicht zu differenzieren sind.[38] DOH wurde weithin dafür kritisiert, dass sie die Benutzeranonymität im Vergleich zu DOT verringern.[39]

Oblivious dns-over-https ("Odoh")

Im Jahr 2021 wurde eine "unvergessliche" Implementierung von DOH vorgeschlagen und in Entwurfsform umgesetzt, wobei die Trennung von Einschweigen/Ausstieg mit HTTPS-Tunneling und TLS-Transportschichtverschlüsselung in einem einzelnen definierten Protokoll kombiniert wurde.[40]

DNS-over-tor

Wie andere Internetprotokolle kann DNS überragt werden VPNs und Tunnel. Eine Verwendung, die seit 2019 üblich ist, um ein eigenes häufig verwendetes Akronym zu rechtfertigen, ist DNS-Over-Tor. Die Datenschutzgewinne von ahnungslosen DNs können durch die Verwendung des bereits bestehenden Netzwerks von Ein- und Ausstiegsknoten mit der von TLS bereitgestellten Verschlüsselung der Transportschicht gepaart werden.[41]

DNS-Over-Quic ("Doq")

RFC 9250 bis zum Internettechnik-Arbeitsgruppe beschreibt DNS über Quic.

Dncrypt

Das Dncrypt Protokoll, das 2011 außerhalb der entwickelt wurde Ietf Standards Framework, eingeführte DNS-Verschlüsselung auf der nachgeschalteten Seite rekursiver Resolver, wobei Clients Abfragenutzlasten mit den öffentlichen Schlüssel der Server verschlüsseln werden, die im DNS veröffentlicht werden (anstatt sich auf die Zertifikatungsbehörden von Drittanbietern zu verlassen) DNSSEC -Signaturen.[42] DNScrypt verwendet entweder TCP- oder UDP -Port 443, der gleiche Port wie HTTPS verschlüsselte Webverkehr. Dies führte nicht nur zur Privatsphäre in Bezug auf den Inhalt der Abfrage ein, sondern auch ein wesentliches Maß für die Fähigkeit zur Firewall-Traversal. Im Jahr 2019 wurde DNScrypt weiter erweitert, um einen "anonymisierten" Modus zu unterstützen, ähnlich dem vorgeschlagenen "unvergesslichen DNS", in dem ein Eingangsknoten eine Abfrage erhält, die mit dem öffentlichen Schlüssel eines anderen Servers verschlüsselt wurde, und es dazu weiterleitet Server, der als Ausstiegsknoten fungiert und die rekursive Auflösung durchführt.[43] Die Privatsphäre von Benutzer-/Abfragepaaren wird erstellt, da der Eingangsknoten den Inhalt der Abfrage nicht kennt, während die Ausgangsknoten die Identität des Clients nicht kennt. DNScrypt wurde erstmals in der Produktion von implementiert von Openns Im Dezember 2011 gibt es mehrere kostenlose und Open -Source -Software -Implementierungen, die zusätzlich ODOH integrieren.[44] Es ist für eine Vielzahl von Betriebssystemen erhältlich, darunter Unix, Apple iOS, Linux, Android und MS Windows.

Ressourcenunterlagen

Das Domänenname -System gibt eine Datenbank mit Informationselementen für Netzwerkressourcen an. Die Arten von Informationselementen werden mit a kategorisiert und organisiert Liste der DNS -Datensatztypen, Die Ressourcensätze (RRS). Jeder Datensatz hat einen Typ (Name und Nummer), eine Ablaufzeit (Zeit zu leben), eine Klasse und typspezifische Daten. Ressourcendatensätze desselben Typs werden als a beschrieben Ressourcenaufzeichnung gesetzt (RRSET), ohne Sonderbestellung. DNS -Resolver geben die gesamte Abfrage zurück, aber Server können implementiert werden Round-Robin-Bestellung erreichen Lastverteilung. Dagegen die Domainnamen -Systemsicherheitsweiterungen (DNSSEC) Arbeiten am vollständigen Ressourcenaufzeichnungen in kanonischer Reihenfolge.

Wenn über einen gesendet wird Internetprotokoll Netzwerk, alle Datensätze verwenden das in RFC 1035 angegebene gemeinsame Format:[45]

Felder für Ressourcenaufzeichnungen (RR)
Aufstellen Beschreibung Länge (Oktetten))
NAME Name des Knotens, auf den sich dieser Datensatz bezieht Variable
TYP Art von RR in numerischer Form (z. B. 15 für MX RRS) 2
KLASSE Klassencode 2
Ttl Anzahl der Sekunden, die der RR gültig bleibt (das Maximum beträgt 231–1, was ungefähr 68 Jahre ist) 4
RDLength Länge des RDATA -Feldes (in Oktetten angegeben) 2
Rdata Zusätzliche RR-spezifische Daten Variable gemäß RDLength

NAME ist der voll qualifizierte Domänenname des Knotens im Baum[Klarstellung erforderlich]. Auf dem Draht kann der Name unter Verwendung der Etikettenkomprimierung verkürzt werden, bei der Enden der Domänennamen, die zuvor im Paket erwähnt wurden, durch das Ende des aktuellen Domänennamens ersetzt werden können.

TYP ist der Datensatztyp. Es zeigt das Format der Daten an und gibt einen Hinweis auf die beabsichtigte Verwendung. Zum Beispiel die A Der Datensatz wird verwendet, um von einem Domain -Namen zu einem zu übersetzen IPv4 -Adresse, das Ns Aufzeichnungslisten, welche Namenservers die Suche auf a beantworten können DNS -Zone, und die Mx Der Datensatz gibt den E-Mail-Server an, mit dem E-Mails für eine in einer E-Mail-Adresse angegebene Domäne verarbeitet werden.

Rdata ist Daten von typenspezifischer Relevanz, wie z. Bekannte Datensatztypen können im Feld RDATA die Beschriftungskomprimierung verwenden, aber "unbekannte" Datensatztypen dürfen nicht (RFC 3597).

Das KLASSE eines Rekords ist auf in (für Internet) Für gemeinsame DNS -Datensätze mit Internet -Hostnamen, Servern oder IP -Adressen. Außerdem die Klassen Chaos (Ch) und Hesiod (Hs) existieren.[46] Jede Klasse ist ein unabhängiger Namensraum mit potenziell unterschiedlichen DNS -Zonen.

Zusätzlich zu Ressourcendatensätzen, die in a definiert wurden ZonendateiDas Domainnamensystem definiert auch mehrere Anforderungsarten, die nur in Kommunikation mit anderen DNS -Knoten verwendet werden (auf dem Draht), wie bei der Durchführung von Zonenübertragungen (AXFR/IXFR) oder für Edns (Opt).

Wildcard -DNS -Aufzeichnungen

Das Domainnamensystem unterstützt Wildcard -DNS -Aufzeichnungen die Namen angeben, die mit dem beginnen Asterisk -Etikett, ' *', z. B. *.example.[20][47] DNS -Datensätze, die zu Wildcard -Domänennamen gehören, geben Regeln für die Generierung von Ressourcenakten in einer einzelnen DNS -Zone an, indem Vollbezeichnungen durch passende Komponenten des Abfragennamens ersetzt werden, einschließlich der angegebenen Nachkommen. Zum Beispiel in der folgenden Konfiguration die DNS -Zone X. Beispiel Gibt an, dass alle Subdomänen, einschließlich Subdomänen von Subdomänen, von X. Beispiel Verwenden Sie den Mail -Austauscher (MX) a.x.example. Die A -Rekord für a.x.example wird benötigt, um die IP -Adresse der Mail -Austauscher anzugeben. Da dies das Ergebnis hat, diesen Domain -Namen und seine Subdomänen aus den Wildcard -Übereinstimmungen auszuschließen, ist ein zusätzlicher MX -Rekord für die Subdomain a.x.examplesowie ein windelzisierter MX -Rekord für alle Subdomänen müssen auch in der DNS -Zone definiert werden.

X. Beispiel. Mx 10 a.x.example. *.x.example. Mx 10 a.x.example. *.A.x.example. Mx 10 a.x.example. a.x.example. Mx 10 a.x.example. a.x.example. AAAA 2001: DB8 :: 1

Die Rolle der Wildcard -Aufzeichnungen wurde in verfeinert RFC 4592, weil die ursprüngliche Definition in RFC 1034 war unvollständig und führte zu Fehlinterpretationen durch Implementierer.[47]

Protokollverlängerungen

Das ursprüngliche DNS -Protokoll hatte nur begrenzte Bestimmungen für eine Verlängerung mit neuen Funktionen. 1999 veröffentlichte Paul Vixie in RFC 2671 (abgelöst von RFC 6891) einen Erweiterungsmechanismus namens namens namens Verlängerungsmechanismen für DNS (EDNS), die optionale Protokollelemente einführten, ohne den Overhead zu erhöhen, wenn sie nicht verwendet werden. Dies wurde durch den OPT-Pseudo-Ressourcen-Datensatz erreicht, der nur in Drahtübertragungen des Protokolls vorhanden ist, jedoch nicht in Zonendateien. Es wurden auch anfängliche Erweiterungen vorgeschlagen (EDNS0), z. B. die Erhöhung der DNS -Nachrichtengröße in UDP -Datagrammen.

Dynamische Zonenaktualisierungen

Dynamische DNS -Updates Verwenden Sie das Aktualisierungs -DNS -OPCODE, um Ressourcendatensätze dynamisch aus einer Zonendatenbank hinzuzufügen oder zu entfernen, die auf einem maßgeblichen DNS -Server gewartet wird. Die Funktion ist in RFC 2136 beschrieben. Diese Einrichtung ist nützlich, um Netzwerk -Clients in den DNS zu registrieren, wenn sie im Netzwerk starten oder ansonsten verfügbar werden. Als Booting -Client kann jedes Mal eine andere IP -Adresse von a zugewiesen werden DHCP Server ist es nicht möglich, statische DNS -Aufgaben für solche Clients bereitzustellen.

Sicherheitsprobleme

Ursprünglich waren Sicherheitsbedenken keine wichtigen Konstruktionsüberlegungen für DNS -Software oder eine Software für die Bereitstellung im frühen Internet, da das Netzwerk nicht für die Teilnahme der Öffentlichkeit geöffnet war. Die Ausweitung des Internets in den kommerziellen Sektor in den neunziger Jahren änderte jedoch die Anforderungen an Sicherheitsmaßnahmen zum Schutz Datenintegrität und Benutzer Authentifizierung.

Es wurden mehrere Schwachstellenprobleme von böswilligen Nutzern entdeckt und ausgenutzt. Ein solches Problem ist DNS -Cache -Vergiftung, in denen Daten auf Caching-Resolver unter dem Vorwand, ein maßgeblicher Herkunftsserver zu sein, verteilt werden, wodurch der Datenspeicher mit potenziell falschen Informationen und langen Ablaufzeiten verschmutzt wird (Zeit-zu-Live-Zeit). Anschließend können legitime Anwendungsanfragen auf Netzwerkhosts umgeleitet werden, die mit böswilliger Absicht betrieben werden.

DNS -Antworten haben traditionell keine Kryptografische Signatur, was zu vielen Angriffsmöglichkeiten führt; das Domainnamen -Systemsicherheitsweiterungen (DNSSEC) Ändern Sie DNS, um Unterstützung für kryptografisch signierte Antworten hinzuzufügen. DNSCURVE wurde als Alternative zu DNSSEC vorgeschlagen. Andere Erweiterungen, wie z. TSIGFügen Sie Unterstützung für die kryptografische Authentifizierung zwischen vertrauenswürdigen Kollegen hinzu und werden häufig zum Genehmigung von Zonenübertragungen oder dynamischen Aktualisierungsvorgängen verwendet.

Einige Domainnamen können verwendet werden, um Spoofing -Effekte zu erzielen. Zum Beispiel sind PayPal.com und PayPA1.com unterschiedliche Namen, aber Benutzer können sie möglicherweise nicht in einer grafischen Benutzeroberfläche unterscheiden, je nach gewählter Benutzer des Benutzers Schrift. In vielen Schriftarten der Brief l und die Ziffer 1 Sieh sehr ähnlich oder sogar identisch aus. Dieses Problem ist akut in Systemen, die unterstützen Internationalisierte Domain -Namenwie viele Zeichencodes in ISO 10646 kann auf typischen Computerbildschirmen identisch erscheinen. Diese Sicherheitsanfälligkeit wird gelegentlich ausgenutzt Phishing.[48]

Techniken wie Vorwärtsbefugte umgekehrte DNS kann auch verwendet werden, um die DNS -Ergebnisse zu validieren.

DNS kann auch von ansonsten sicheren oder privaten Verbindungen "auslaufen", wenn der Konfiguration nicht Aufmerksamkeit geschenkt wird, und manchmal wurde DNS verwendet, um Firewalls von böswilligen Personen zu umgehen, und zeitweise Exfiltrat Daten, da es oft als harmlos angesehen wird.

Datenschutz- und Verfolgungsprobleme

Das DNS -Protokoll wurde ursprünglich als öffentliche, hierarchische, verteilte und stark zwischengespeicherte Datenbank entwickelt und verfügt über keine Vertraulichkeitskontrollen. Benutzerabfragen und Namenserver -Antworten werden unverschlüsselt gesendet, was ermöglicht Netzwerkpaket schnüffeln, DNS -Hijacking, DNS -Cache -Vergiftung und MAN-in-the-Middle-Angriffe. Dieser Mangel wird üblicherweise von Cyberkriminellen und Netzwerkbetreibern für Marketingzwecke verwendet, Benutzerauthentifizierung auf Gefangene Portale und Zensur.[49]

Die Privatsphäre der Benutzer wird durch Vorschläge zur Erhöhung des Niveaus der Client -IP -Informationen in DNS -Abfragen (RFC 7871) zum Nutzen von DNS -Abfragen weiter ausgesetzt Inhaltsbereitstellungen.

Die Hauptansätze, die verwendet werden, um Privatsphäre mit DNS entgegenzuwirken:

  • VPNs, die die DNS -Auflösung in den VPN -Bediener verschieben und den Benutzerverkehr vor dem lokalen ISP ausblenden.
  • Tor, was die traditionelle DNS -Auflösung durch anonyme ersetzt .Zwiebel Domänen, die sowohl Namensauflösung als auch Benutzerverkehr dahinter verstecken Zwiebelouting Gegenüberlagen,
  • Stellvertreter und öffentliche DNS-Server, die die tatsächliche DNS-Auflösung auf einen Drittanbieter verlagern, der normalerweise nur wenig oder gar keine Anfrageprotokollierung und optionale zusätzliche Funktionen wie DNS-Ebene verspricht Anzeige oder Pornografie -Blockierung.
    • Öffentliche DNS -Server können mit dem herkömmlichen DNS -Protokoll abgefragt werden. In diesem Fall bieten sie keinen Schutz vor lokaler Überwachung, oder DNS-over-https, DNS-Over-TLS und Dncrypt, die einen solchen Schutz bieten

Lösungen, die die DNS -Inspektion durch den lokalen Netzwerkbetreiber verhindern, werden dafür kritisiert, dass Unternehmensnetzwerksicherheitsrichtlinien und Internet -Zensur vereitelt werden. Sie werden auch aus Datenschutzpunkten kritisiert, da sie die DNS -Auflösung an die Hände einer kleinen Anzahl von Unternehmen verschenken, die für die Monetarisierung des Benutzerverkehrs und zur Zentralisierung der DNS -Namensauflösung bekannt sind, was allgemein als schädlich für das Internet wahrgenommen wird.[49]

Google ist der dominierende Anbieter der Plattform in Android, der Browser in Chrome und der DNS -Resolver im 8.8.8.8 -Dienst. Wäre dieses Szenario ein Fall eines einzelnen Unternehmensunternehmens, der in der Lage ist, über den gesamten Namespace des Internets zu kontrollieren? Netflix Bereits eine App, die einen eigenen DNS -Auflösungsmechanismus verwendet hat, unabhängig von der Plattform, auf der die App ausgeführt wurde. Was ist, wenn das Facebook App enthalten doh? Was wäre wenn Apfel's iOS Verwenden Sie einen DOH-Auflösungsmechanismus, um die lokale DNS-Auflösung zu umgehen und alle DNS-Abfragen von Apples Plattformen zu einer Reihe von Apple-betriebenen Namens Resolver zu steuern?

-DNS -Privatsphäre und das IETF

Registrierung von Domainnamen

Das Recht, einen Domainnamen zu verwenden, wird von Domain -Namensregistern delegiert, die von der akkreditiert sind Internet Corporation für zugeordnete Namen und Nummern (ICANN) oder andere Organisationen wie z. Offen, die mit der Überwachung des Namens und der Zahlensysteme des Internets belastet werden. Zusätzlich zu ICANN wird jede Top-Domain (TLD) technisch von einer administrativen Organisation, die eine Registrierung betreibt, technisch gepflegt und bedient. EIN Registrierung ist für den Betrieb der Datenbank mit Namen in seiner maßgeblichen Zone verantwortlich, obwohl der Begriff am häufigsten für TLDs verwendet wird. EIN Registrant ist eine Person oder Organisation, die um Domain -Registrierung gefragt hat.[21] Die Registrierung erhält Registrierungsinformationen von jedem Domänennamen Registrator, was autorisiert (akkreditiert) wird, um Namen in der entsprechenden Zone zuzuweisen und die Informationen mit dem zu veröffentlichen WER IST Protokoll. Ab 2015 die Verwendung von RDAP wird berücksichtigt.[50]

ICANN veröffentlicht die vollständige Liste der TLDS-, TLD -Registrier- und Domainnamen -Registrare. Die mit Domainnamen verbundenen Registranteninformationen werden in einer Online -Datenbank verwaltet, die mit dem WHOIS -Dienst zugegriffen werden kann. Für die meisten von mehr als 290 Ländercode Top-Level-Domains (CCTLDS), die Domänenregister behalten die WHOIs (Registranten, Namenserver, Ablaufdaten usw.). Zum Beispiel, Denic, Deutschland NIC, hält die Domänendaten. Ab ungefähr 2001 die meisten Generische Domäne auf der obersten Ebene (GTLD) Registrien haben diese sogenannte verabschiedet dick Registrierungsansatz, d. H. Die WHOIs -Daten in zentralen Registern anstelle von Registrar -Datenbanken beibehalten.

Für Top-Level-Domains auf COM und NET, a dünn Registrierungsmodell wird verwendet. Das Domain -Register (z. B.,, Los Papa, Bigrock und PDR, Verisignusw. usw.) enthält grundlegende WHOIs -Daten (d. H. Registrar- und Namenserver usw.). Organisationen oder Registranten, die org dagegen verwenden, sind auf der Öffentliches Interesse Register ausschließlich.

Einige Domain -Namensregister, oft genannt Netzwerkinformationszentren (NIC), auch als Registrare für Endbenutzer fungieren und auch Zugriff auf die WHOIS-Datensätze gewährt. Die Domänenregister der obersten Ebene wie für die Domains Com, Net und Org verwenden ein Registrar-Registrar-Modell, das aus vielen Domain-Namensregistern besteht.[51] In dieser Verwaltungsmethode verwaltet das Register nur die Domänenname -Datenbank und die Beziehung zu den Registraren. Das Registranten (Benutzer eines Domainnamens) sind Kunden des Registrars, in einigen Fällen durch zusätzliche Unterauftragung von Wiederverkäufern.

RFC -Dokumente

Standards

Das Domain -Namenssystem wird durch definiert von Anfrage für Kommentare (RFC) Dokumente, die von der veröffentlicht wurden Internettechnik-Arbeitsgruppe (Internetstandards). Das Folgende ist eine Liste von RFCs, die das DNS -Protokoll definieren.

  • RFC1034, Domainnamen - Konzepte und Einrichtungen
  • RFC1035, Domänennamen - Implementierung und Spezifikation
  • RFC1123, Anforderungen für Internet -Hosts - Anwendung und Unterstützung
  • RFC1995, Inkrementelle Zonenübertragung in DNS
  • RFC1996, Ein Mechanismus zur sofortigen Benachrichtigung der Zonenänderungen (DNS -Benachrichtigung)
  • RFC2136, Dynamische Updates im Domainnamen -System (DNS -Update)
  • RFC2181, Erläuterungen zur DNS -Spezifikation
  • RFC2308, Negative Ausschnitte von DNS -Abfragen (DNS -NCache)
  • RFC2672, Nicht-terminale DNS-Namen Umleitung
  • RFC2845, Secret Key Transaction -Authentifizierung für DNS (TSIG)
  • RFC3225, Aufmerksamkeit der Resolver -Unterstützung von DNSSEC
  • RFC3226, DNSSEC und IPv6 A6 AWARE Server/Resolver Nachrichtengröße Anforderungen
  • RFC3596, DNS -Erweiterungen zur Unterstützung von IP Version 6
  • RFC3597, Umgang mit unbekannten DNS Resource Record (RR) -Typen
  • RFC4343, Domain Name System (DNS) Fall Unempfindlichkeit Klärung
  • RFC4592, Die Rolle von Wildcards im Domain -Namenssystem
  • RFC4635, HMAC SHA TSIG -Algorithmus -Kennungen
  • RFC5001, NSID -Option (DNS Name Server Identifier)
  • RFC5011, Automatisierte Aktualisierungen von DNS Security (DNSSEC) -Treuhandtumankern
  • RFC5452, Maßnahmen, um DNS gegen geschmiedete Antworten widerstandsfähiger zu machen
  • RFC5890, Internationalisierte Domainnamen für Anwendungen (IDNA): Definitionen und Dokumentenrahmen
  • RFC5891, Internationalisierte Domain -Namen in Anwendungen (IDNA): Protokoll
  • RFC5892, Die Unicode -Codepunkte und internationalisierten Domainnamen für Anwendungen (IDNA)
  • RFC5893, Rechts-zu-links-Skripte für internationalisierte Domainnamen für Anwendungen (IDNA)
  • RFC6891, Verlängerungsmechanismen für DNS (edns0)
  • RFC7766, DNS -Transport über TCP - Implementierungsanforderungen

Vorgeschlagene Sicherheitsstandards

  • RFC4033, DNS -Sicherheitseinführung und Anforderungen
  • RFC4034, Ressourcenunterlagen für die DNS -Sicherheitsweiterungen
  • RFC4035, Protokollmodifikationen für die DNS -Sicherheitsverlängerungen
  • RFC4509, Verwendung von SHA-256 in DNSSEC Delegation Signer (DS) -Ressourcendatensätzen
  • RFC4470, Minimal abdecken NSEC-Datensätze und DNSSEC-Online-Unterzeichnung
  • RFC5155, DNS Security (DNSSEC) Hashed authentifizierte Existenzverweigerung
  • RFC5702, Verwendung von SHA-2-Algorithmen mit RSA in DNSKEY- und RRSIG-Ressourcenaufzeichnungen für DNSSEC
  • RFC5910, Domain Name System (DNS) Sicherheitsverlängerungen Mapping für das Extensible Provisioning Protocol (EPP)
  • RFC5933, Verwendung von GOST -Signaturalgorithmen in DNSKEY- und RRSIG -Ressourcenaufzeichnungen für DNSSEC
  • RFC7830, Die EDNS (0) -Padding -Option
  • RFC7858, Spezifikation für DNS Over Transport Layer Security (TLS)
  • RFC8310, Nutzungsprofile für DNS über TLS und DNS über DTLs
  • RFC8484, DNS -Abfragen über HTTPS (DOH)

Experimentelle RFCs

  • RFC1183, Neue DNS -RR -Definitionen

Beste aktuelle Praktiken

  • RFC2182, Auswahl und Betrieb von sekundären DNS -Servern (BCP 16)
  • RFC2317, Klassenlos in-addr.arpa-Delegation (BCP 20)
  • RFC5625, DNS -Proxy -Implementierungsrichtlinien (BCP 152)
  • RFC6895, Domain Name System (DNS) IANA -Überlegungen (BCP 42)
  • RFC7720, DNS Root Name Service -Protokoll und Bereitstellungsanforderungen (BCP 40)

Informations -RFCs

Diese RFCs sind beratender Natur, bieten jedoch möglicherweise nützliche Informationen, obwohl sie weder einen Standard noch einen BCP definieren. (RFC 1796)

  • RFC1178, Auswahl eines Namens für Ihren Computer (FYI 5)
  • RFC1591, Domainnamen Systemstruktur und Delegation
  • RFC1912, Gemeinsame DNS -Betriebs- und Konfigurationsfehler
  • RFC2100, Die Benennung von Wirten
  • RFC3696, Anwendungstechniken zur Überprüfung und Transformation von Namen
  • RFC3833. Bedrohungsanalyse des Domainnamensystems (DNS)
  • RFC4892, Anforderungen für einen Mechanismus, der eine Namenserverinstanz identifiziert
  • RFC5894, Internationalisierte Domainnamen für Anwendungen (IDNA): Hintergrund, Erklärung und Begründung
  • RFC5895, Mapping -Zeichen für internationalisierte Domainnamen in Anwendungen (IDNA) 2008
  • RFC7626, DNS -Datenschutzüberlegungen
  • RFC7706, Verringern Sie die Zugriffszeit auf Root -Server, indem Sie eine auf Loopback ausführen
  • RFC8499, DNS -Terminologie

Unbekannt

Diese RFCs haben einen offiziellen Status von Unbekannt, aber aufgrund ihres Alters werden nicht klar als solches gekennzeichnet.

  • RFC920, Domänenanforderungen -angegebene ursprüngliche Domänen der obersten Ebene
  • RFC1032, Domänenadministratorenhandbuch
  • RFC1033, Domänenadministratoren Operations Guide
  • RFC1101, DNS -Codierungen von Netzwerknamen und anderen Typen

Siehe auch

Verweise

  1. ^ J. Dilley, B. Maggs, J. Parikh, H. Prokop, R. Sitaraman und B. Weihl. "Global verteilte Inhaltszustellung, IEEE Internet Computing, September/Oktober 2002, S. 50-58" (PDF).
  2. ^ Nygren., E.; Sitaraman R. K.; Sun, J. (2010). "Das Akamai-Netzwerk: Eine Plattform für leistungsstarke Internetanwendungen" (PDF). ACM SIGOPS -Betriebssysteme Überprüfung. 44 (3): 2–19. doi:10.1145/1842733.1842736. S2CID 207181702. Abgerufen 19. November, 2012.
  3. ^ a b c d e f Mockapetris, Paul (November 1987). Domänennamen - Implementierung und Spezifikation. Ietf. doi:10.17487/rfc1035. RFC 1035.
  4. ^ Champika Wijayatunga (Februar 2015). "DNS -Missbrauchshandling" (PDF). Apnisch. Abgerufen 18. Dezember 2016.
  5. ^ RFC 3467, "Rolle des Domain -Namenssystems (DNS)", J. C. Klensin, J. Klensin (Februar 2003).
  6. ^ Liu, Cricket; Albitz, Paul (2006). DNS und binden (5. Aufl.). O'Reilly Media. p. 3. ISBN 978-0-596-10057-5.
  7. ^ Evans 2018, p. 112.
  8. ^ Evans 2018, p. 113.
  9. ^ IEEE Annals [3B2-9] Man2011030074.3d 29/7/011 11:54 Seite 74
  10. ^ a b "Warum funktioniert das Netz immer noch an Weihnachten? Paul Mockapetris - Internet Hall of Fame". InternetHhalloffame.org.
  11. ^ a b Evans 2018, p. 119.
  12. ^ Evans 2018, p. 120.
  13. ^ Evans 2018, p. 120–121.
  14. ^ "Elizabeth Feinler". Internet Hall of Fame. Archiviert von das Original am 14. September 2018. Abgerufen 2018-11-25.
  15. ^ "Paul Mockapetris | Internet Hall of Fame". InternetHhalloffame.org. Abgerufen 2020-02-12.
  16. ^ Andrei Robachevsky (26. November 2013). "Alles Gute zum 30. Geburtstag, DNS!". Internetgesellschaft. Abgerufen 18. Dezember 2015.
  17. ^ Elizabeth Feinler, IEEE Annals, 3B2-9 MAN2011030074.3d 29/7/011 11:54 Seite 74
  18. ^ Terry, Douglas B.; et al. (12. bis 15. Juni 1984). "Der Berkeley Internetname Domain Server". Sommerkonferenz, Salt Lake City 1984: Proceedings. Usenix Association Software Tools Benutzergruppe. S. 23–31.
  19. ^ Internetsysteme Konsortium. "Die Geschichte der Bindung". Geschichte der Bindung. Archiviert vom Original am 2019-06-30. Abgerufen 4. April 2022.
  20. ^ a b c d e Mockapetris, Paul (November 1987). Domainnamen - Domänenkonzepte und -einrichtungen. Ietf. doi:10.17487/rfc1034. RFC 1034.
  21. ^ a b Paul Hoffman; Andrew Sullivan; Kazunori Fujiwara (Dezember 2015). DNS -Terminologie. Ietf. doi:10.17487/rfc7719. RFC 7719. Abgerufen 18. Dezember 2015.
  22. ^ Paul Mockapetris (November 1987). "Namensraumspezifikationen und Terminologie". Domainnamen - Domänenkonzepte und -einrichtungen. Ietf. Sek. 3.1. doi:10.17487/rfc1034. RFC 1034. Abgerufen 17. Dezember 2015.
  23. ^ a b Paul Mockapetris (November 1987). "Wie die Datenbank in Zonen unterteilt ist". Domainnamen - Domänenkonzepte und -einrichtungen. Ietf. Sek. 4.2. doi:10.17487/rfc1034. RFC 1034. Abgerufen 17. Dezember 2015.
  24. ^ Lindsay, David (2007). Internationales Domainnamengesetz: ICANN und UDRP. Bloomsbury Publishing. p. 8. ISBN 978-1-84113-584-7.
  25. ^ Netzwerkarbeitsgruppe der IETF, Januar 2006, RFC 4343: DNS -DOMAIN -Name -System (DNS) Fall Unempfindlichkeit Klärung
  26. ^ a b RFC 3696, Anwendungstechniken zur Überprüfung und Transformation von Namen, J. Klensin
  27. ^ Fujiwara, Kazunori; Sullivan, Andrew; Hoffman, Paul. "DNS -Terminologie". Tools.ietf.org. Abgerufen 2020-06-21.
  28. ^ Nemeth, Evi; Snyder, Garth; Hein, Trent R. (2006-10-30). Linux Administration Handbuch. Addison-Wesley Professional. ISBN 978-0-13-700275-7.
  29. ^ Bissyande, Tegawendé F.; Sie, Oummarou (2017-10-09). E-Infrastruktur und E-Service für Entwicklungsländer: 8. Internationale Konferenz, Afrik 2016, Ouagadougou, Burkina Faso, 6. bis 7. Dezember 2016, Proceedings. Springer. ISBN 978-3-319-66742-3.
  30. ^ "DNS -Zone". Ionos digitalguide. Abgerufen 2022-03-31.
  31. ^ "Was ist DNS -Ausbreitung?". Ionos digitalguide. Abgerufen 2022-04-22.
  32. ^ "Anbieter, die DNS TTL ignorieren?". Slashdot. 2005. Abgerufen 2012-04-07.
  33. ^ Ben Anderson (7. September 2011). "Ben Anderson: Warum Webbrowser -DNS -Caching eine schlechte Sache sein kann". Abgerufen 20. Oktober 2014.
  34. ^ "Wie Internet Explorer den Cache für DNS -Hosteinträge verwendet". Microsoft Corporation. 2004. Abgerufen 2010-07-25.
  35. ^ "Domain Name System (DNS) Parameter". Iana. DNS -Rcodes. Abgerufen 14. Juni 2019.
  36. ^ James F. Kurose und Keith W. Ross, Computernetzwerk: Ein Top-Down-Ansatz, 6. Aufl. Essex, England: Pearson Educ. Limited, 2012
  37. ^ RFC 2671, Verlängerungsmechanismen für DNS (edns0), P. Vixie (August 1999)
  38. ^ CSIKOR, Levent; Divakaran, Dinil Mon (Februar 2021). "Privatsphäre von DNS-Over-https: Requiem für einen Traum?" (PDF). Nationale Universität von Singapur. Wir untersuchen, ob der DOH -Verkehr von verschlüsselten Webverkehr unterscheidbar ist. Zu diesem Zweck schulen wir ein maschinelles Lernmodell, um den HTTPS -Verkehr entweder als Web oder DOH zu klassifizieren. Mit unserem DOH -Identifikationsmodell zeigen wir, dass ein autoritärer ISP ~ 97,4% der DOH -Pakete korrekt identifizieren kann, während nur 1 von 10.000 Webpaketen falsch klassifiziert werden.
  39. ^ Posch, Maya (21. Oktober 2019). "DNS-Over-HTTPS ist die falsche teilweise Lösung". Hackaday. DOH entfernt Optionen für Netzwerkbetreiber (privat und korporativ), um ein eigenes Netzwerk zu sichern, als einer der Architekten hinter DNS, Paul Vixie, im vergangenen Jahr auf Twitter hervorgeht. DOH ist im Wesentlichen DNS-Over-HTTP-Over-TLS, was zu einem eigenen MIME-Medienart der Anwendung/DNS-Message und einer signifikanten zusätzlichen Komplexität führt. Durch das Mischen von DOH mit vorhandenen Protokollen bedeutet dies, dass jede DNS -Anfrage und -Reaktion einen HTTPS -Stack durchläuft. Für eingebettete Anwendungen ist dies ein Albtraumszenario, aber es ist auch mit fast allen vorhandenen Sicherheitshardware unvereinbar. Wenn Rogue-Apps wie Firefox den dot-basierten DNS des Systems umgehen und stattdessen einen eigenen DNS-Resolver über DOH verwenden, sorgt dies für eine sehr undurchsichtige Sicherheitslage. Diese DNS -Auflösung würde sich in einzelne Anwendungen bewegen, wie wir jetzt sehen, wie jetzt ein massiver Schritt rückwärts.
  40. ^ Pauly, Tommy (2. September 2021). "Vergingliche DNs über https". Ietf.
  41. ^ Muffett, Alec (Februar 2021). ""Kein Port 53, wer dis?" Ein Jahr DNS über HTTPS über Tor " (PDF). Netzwerk- und verteiltes Systemsicherheitssymposium. DNS-over-https (doh) vermeidet viele, aber nicht alle Risiken, und sein Transportprotokoll (d. H. HTTPS) wirft aufgrund von (z. B.) 'Cookies' Bedenken hinsichtlich der Privatsphäre aus. Das TOR -Netzwerk besteht darin, TCP -Schaltkreise ein gewisses Verfolgen, Überwachung und Blockieren zu bieten. So: In Kombination mit Tor, DOH und dem Prinzip von "Nicht tun, dann, dann" (ddtt), um das Fingerabdruck zu mildern, beschreibe ich DNS über HTTPS über Tor (dohot).
  42. ^ Ulevitch, David (6. Dezember 2011). "DNScrypt - kritisch, grundlegend und über die Zeit". Cisco Regenschirm. Archiviert Aus dem Original am 1. Juli 2020.
  43. ^ "Anonymisierte DNScrypt -Spezifikation". GitHub. Dncrypt. Archiviert Aus dem Original am 25. Oktober 2019.
  44. ^ "Oblivious Doh · DNScrypt/dnScrypt-Proxy Wiki". GitHub. DNScrypt -Projekt. Abgerufen 28. Juli 2022.
  45. ^ RFC 5395, Domain Name System (DNS) IANA -Überlegungen, D. Eastlake 3rd (November 2008), Abschnitt 3
  46. ^ RFC 5395, Domain Name System (DNS) IANA -Überlegungen, D. Eastlake 3rd (November 2008), p. 11
  47. ^ a b RFC 4592, Die Rolle von Wildcards im Domain -Namenssystem, E. Lewis (Juli 2006)
  48. ^ APWG. "Global Phishing Survey: Domain -Namensgebrauch und Trends in 1H2010." 15.10.2010 apwg.org Archiviert 2012-10-03 bei der Wayback -Maschine
  49. ^ a b Huston, Geoff (Juli 2019). "DNS -Privatsphäre und das IETF" (PDF). Das Internet Protocol Journal.
  50. ^ "Registrierungsdaten -Zugriffsprotokoll (RDAP) Betriebsprofil für GTLD -Register und Registrare". ICANN. 3. Dezember 2015. archiviert von das Original am 22. Dezember 2015. Abgerufen 18. Dezember 2015.
  51. ^ "Finden Sie einen Registrar". Verisign, Inc. Abgerufen 18. Dezember 2015.

Quellen

Externe Links