Domain Name System (DNS) on yksi Internetin perustekijöistä, mutta useimmat verkottumisen ulkopuoliset ihmiset eivät luultavasti tajua käyttävänsä sitä joka päivä työhönsä, sähköpostinsa tarkistamiseen tai tuhlaamiseen. heidän älypuhelimiinsa.
DNS on yksinkertaisimmillaan hakemisto nimistä, jotka vastaavat numeroita. Numerot, tässä tapauksessa, ovat IP-osoitteita, joita tietokoneet käyttävät kommunikoimaan keskenään. Useimmat DNS-kuvaukset käyttävät puhelinluettelon analogiaa, mikä sopii yli 30-vuotiaille, jotka tietävät, mikä puhelinluettelo on.
Jos olet alle 30-vuotias, ajattele DNS:ää, kuten älypuhelimesi yhteystietoluetteloa, joka yhdistää ihmisten nimet heidän puhelinnumeroihinsa ja sähköpostiosoitteisiinsa. Kerro sitten tämä yhteystietolista kaikilla muilla planeetalla.
DNS:n lyhyt historia
Kun Internet oli hyvin, hyvin pieni, ihmisten oli helpompi vastata tiettyihin IP-osoitteisiin tiettyjen tietokoneiden kanssa, mutta se ei kestänyt kauan, kun useampia laitteita ja ihmiset liittyivät kasvavaan verkostoon. On edelleen mahdollista kirjoittaa tietty IP-osoite selaimeen verkkosivustolle pääsyä varten, mutta silloin, kuten nytkin, ihmiset halusivat osoitteen, joka koostui helposti muistetuista sanoista, jollaisia tunnistaisimme verkkotunnuksen nimeksi (esim. networkworld.com) tänään. 1970-luvulla ja 1980-luvun alussa nämä nimet ja osoitteet antoi yksi henkilö – Elizabeth Feinler Stanfordista – joka ylläpiti pääluetteloa kaikista Internetiin yhdistetyistä tietokoneista tekstitiedostossa nimeltä HOSTS.TXT.
Tämä oli ilmeisesti kestämätön tilanne Internetin kasvaessa, ei vähiten siksi, että Feinler käsitteli pyyntöjä vain ennen klo 18.00. Kalifornian aikaa ja otti vapaata jouluksi. Vuonna 1983 USC:n tutkija Paul Mockapetris sai tehtäväkseen löytää kompromissin useiden ehdotusten joukosta ongelman ratkaisemiseksi. Pohjimmiltaan hän jätti ne kaikki huomiotta ja kehitti oman järjestelmänsä, jolle hän antoi nimen DNS. Vaikka se on ilmeisesti muuttunut melkoisesti sen jälkeen, perustasolla se toimii edelleen samalla tavalla kuin lähes 40 vuotta sitten.
Näin DNS-palvelimet toimivat
Nimen ja numerot yhdistävä DNS-hakemisto ei sijaitse yhdessä paikassa jossain Internetin pimeässä kulmassa. Kun vuoden 2017 lopussa listalla oli yli 332 miljoonaa verkkotunnusta, yksi hakemisto olisi todella suuri. Kuten Internet itse, hakemisto on jaettu ympäri maailmaa, ja se on tallennettu verkkotunnuksen nimipalvelimille (joita kutsutaan yleensä lyhennettä DNS-palvelimille), jotka kaikki kommunikoivat keskenään hyvin säännöllisesti tarjotakseen päivityksiä ja redundanssia.
Valtuutetut DNS-palvelimet vs. rekursiiviset DNS-palvelimet
Kun tietokoneesi haluaa löytää verkkotunnuksen nimeen liittyvän IP-osoitteen, se lähettää ensin pyyntönsä rekursiiviselle DNS-palvelimelle, joka tunnetaan myös nimellä rekursiivinen ratkaisija< em>. Rekursiivinen ratkaisija on palvelin, jota yleensä ylläpitää Internet-palveluntarjoaja tai muu kolmannen osapuolen palveluntarjoaja, ja se tietää, mitä muita DNS-palvelimia sen on pyydettävä ratkaisemaan sivuston nimi IP-osoitteellaan. Palvelimia, joilla on tarvittavat tiedot, kutsutaan arvovaltaisiksi DNS-palvelimiksi.
DNS-palvelimet ja IP-osoitteet
Jokainen verkkotunnus voi vastata useampaa kuin yhtä IP-osoitetta. Itse asiassa joillakin sivustoilla on satoja tai useampia IP-osoitteita, jotka vastaavat yhtä verkkotunnusta. Esimerkiksi palvelin, jonka tietokoneesi tavoittaa osoitteessa www.google.com, on todennäköisesti täysin erilainen kuin palvelin, jonka joku muussa maassa tavoittaisi kirjoittamalla saman sivuston nimen selaimeensa.
Toinen syy hakemiston hajautetulle luonteelle on se aika, jonka saat vastauksen saamiseen etsiessäsi sivustoa, jos hakemistolla olisi vain yksi sijainti, joka on jaettu miljoonien, luultavasti miljardien kesken. , ihmisistä, jotka myös etsivät tietoa samaan aikaan. Se on pitkä rivi puhelinluettelon käyttöön.
Mitä DNS-välimuisti on?
Tämän ongelman kiertämiseksi DNS-tiedot jaetaan useiden palvelimien kesken. Mutta äskettäin vierailtujen sivustojen tiedot tallennetaan myös paikallisesti asiakastietokoneiden välimuistiin. On mahdollista, että käytät google.com-sivustoa useita kertoja päivässä. Sen sijaan, että tietokoneesi kysyisi DNS-nimipalvelimelta google.comin IP-osoitetta joka kerta, tiedot tallennetaan tietokoneellesi, joten sen ei tarvitse käyttää DNS-palvelinta nimen selvittämiseksi IP-osoitteellaan. Ylimääräistä välimuistia voi tapahtua reitittimissä, joita käytetään asiakkaiden yhdistämiseen Internetiin, sekä käyttäjän Internet-palveluntarjoajan (ISP) palvelimilla. Kun välimuistia on niin paljon, DNS-nimipalvelimiin päätyvien kyselyiden määrä on paljon pienempi kuin miltä se näyttää.
Kuinka löydän DNS-palvelimeni?
Yleensä verkkopalveluntarjoajasi määrittää käyttämäsi DNS-palvelimen automaattisesti, kun muodostat yhteyden Internetiin. Jos haluat nähdä, mitkä palvelimet ovat ensisijaisia nimipalvelimia – yleensä rekursiivisia ratkaisuja, kuten edellä on kuvattu – on olemassa verkkoapuohjelmia, jotka voivat tarjota joukon tietoja nykyisestä verkkoyhteydestäsi. Browserleaks.com on hyvä, ja se tarjoaa paljon tietoa, mukaan lukien nykyiset DNS-palvelimesi.
Voinko käyttää 8.8.8.8 DNS:ää?
On kuitenkin tärkeää muistaa, että vaikka Internet-palveluntarjoajasi määrittää oletusarvoisen DNS-palvelimen, sinulla ei ole velvollisuutta käyttää sitä. Joillakin käyttäjillä voi olla syytä välttää Internet-palveluntarjoajansa DNS-palvelua – esimerkiksi jotkut Internet-palveluntarjoajat käyttävät DNS-palvelimiaan uudelleenohjatakseen olemattomia osoitteita koskevat pyynnöt mainoksia sisältäville sivuille.
Jos haluat vaihtoehdon, voit sen sijaan osoittaa tietokoneesi julkiseen DNS-palvelimeen, joka toimii rekursiivisena ratkaisejana. Yksi näkyvimmistä julkisista DNS-palvelimista on Googlen; sen IP-osoite on 8.8.8.8. Googlen DNS-palvelut ovat yleensä nopeita, ja vaikka Googlen taka-ajatuksia ilmaisen palvelun tarjoamiseen liittyy tiettyjä kysymyksiä, he eivät todellakaan saa sinulta enempää tietoa, jota he eivät jo saa Chromesta. Googlella on sivu, jossa on yksityiskohtaiset ohjeet tietokoneen tai reitittimen määrittämiseen muodostamaan yhteys Googlen DNS:ään.
Miten DNS lisää tehokkuutta
DNS on järjestetty hierarkiaan, joka auttaa pitämään asiat toiminnassa nopeasti ja sujuvasti. Esimerkkinä oletetaan, että halusit vierailla networkworld.com-sivustolla.
Alkuperäinen IP-osoitepyyntö tehdään rekursiiviselle ratkaisijalle, kuten yllä on käsitelty. Rekursiivinen ratkaisija tietää, mitä muita DNS-palvelimia sen on pyydettävä ratkaisemaan sivuston nimi (networkworld.com) sen IP-osoitteen kanssa. Tämä haku johtaa juuripalvelimeen, joka tietää kaikki tiedot huipputason verkkotunnuksista, kuten .com, .net, .org ja kaikista näiden maiden verkkotunnuksista, kuten .cn (Kiina) ja .uk (Iso-Britannia). Juuripalvelimet sijaitsevat ympäri maailmaa, joten järjestelmä ohjaa sinut yleensä maantieteellisesti lähimpään.
Kun pyyntö saavuttaa oikean juuripalvelimen, se siirtyy ylätason verkkotunnuksen (TLD) nimipalvelimelle, joka tallentaa toisen tason verkkotunnuksen tiedot, sanat, joita käytetään ennen kuin pääset .com-, .org-verkkotunnukseen. , .net (esimerkiksi verkkoworld.comin tiedot ovat "verkkomaailma"). Pyyntö menee sitten Domain Name Server -palvelimelle, joka säilyttää tiedot sivustosta ja sen IP-osoitteesta. Kun IP-osoite on löydetty, se lähetetään takaisin asiakkaalle, joka voi nyt käyttää sitä vieraillakseen verkkosivustolla. Kaikki tämä vie vain millisekunteja.
Koska DNS on toiminut yli 30 vuoden ajan, useimmat pitävät sitä itsestäänselvyytenä. Tietoturvaa ei myöskään otettu huomioon järjestelmää rakennettaessa, joten hakkerit ovat hyödyntäneet tätä täysimääräisesti ja luoneet erilaisia hyökkäyksiä.
DNS-heijastushyökkäykset
DNS-heijastushyökkäykset voivat upottaa uhrit suuren määrän viestejä DNS-selvityspalvelimista. Hyökkääjät pyytävät suuria DNS-tiedostoja kaikilta avoimista DNS-selvijöiltä, joita he voivat löytää, ja tekevät niin käyttämällä uhrin väärennettyä IP-osoitetta. Kun selvittäjät vastaavat, uhri saa tulvan pyytämättömiä DNS-tietoja, jotka ylittävät heidän koneensa.
DNS-välimuistin myrkytys
DNS-välimuistin myrkytys voi ohjata käyttäjät haitallisille Web-sivustoille. Hyökkääjät onnistuvat lisäämään vääriä osoitetietueita DNS:ään, joten kun mahdollinen uhri pyytää osoitteenselvitystä jollekin myrkytetylle sivustolle, DNS vastaa toisen sivuston IP-osoitteella, jota hyökkääjä hallitsee. Näillä väärillä sivustoilla uhrit voidaan huijata luopumaan salasanoista tai kärsiä haittaohjelmien latauksista.
DNS-resurssien loppuminen
DNS-resurssien loppumishyökkäykset voivat tukkia Internet-palveluntarjoajien DNS-infrastruktuurin ja estää Internet-palveluntarjoajan asiakkaita pääsemästä Internetin sivustoille. Tämä voidaan tehdä siten, että hyökkääjät rekisteröivät verkkotunnuksen ja käyttävät uhrin nimipalvelinta verkkotunnuksen arvovaltaisena palvelimena. Joten jos rekursiivinen ratkaisija ei pysty antamaan sivuston nimeen liittyvää IP-osoitetta, se kysyy uhrin nimipalvelimelta. Hyökkääjät generoivat suuria määriä pyyntöjä verkkotunnukselleen ja heittelevät olemattomia aliverkkotunnuksia käynnistyäkseen, mikä johtaa siihen, että uhrin nimipalvelimelle lähetetään valtava määrä ratkaisupyyntöjä, mikä ylittää sen.
Mikä DNSSec on?
DNS-tietoturvalaajennukset pyrkivät parantamaan DNS-hakuihin osallistuvien eri tasojen välistä viestintää. Sen on kehittänyt Internet Corporation for Assigned Names and Numbers (ICANN), DNS-järjestelmästä vastaava organisaatio.
ICANN sai tietoonsa DNS-ylitason, toisen tason ja kolmannen tason hakemistopalvelimien välisen tiedonsiirron heikkouksista, jotka saattoivat antaa hyökkääjille mahdollisuuden kaapata hakuja. Näin hyökkääjät voisivat vastata pyyntöihin tehdä hakuja laillisille sivustoille, joilla on haitallisten sivustojen IP-osoite. Nämä sivustot voivat ladata haittaohjelmia käyttäjille tai suorittaa tietojenkalastelu- ja pharming-hyökkäyksiä.
DNSSEC ratkaisee tämän antamalla jokaisen DNS-palvelimen tason allekirjoittaa pyyntönsä digitaalisesti, mikä varmistaa, että hyökkääjät eivät ohjaa loppukäyttäjien lähettämiä pyyntöjä. Tämä luo luottamusketjun, jotta pyynnön eheys tarkistetaan jokaisessa haun vaiheessa.
Lisäksi DNSSec voi määrittää, onko verkkotunnuksia olemassa, ja jos sellaista ei ole, se ei anna vilpillistä verkkotunnusta toimittaa viattomille pyytäjille, jotka haluavat selvittää verkkotunnuksen nimen.
Kun lisää verkkotunnuksia luodaan ja yhä useammat laitteet liittyvät verkkoon esineiden internetin laitteiden ja muiden "älykkäiden" järjestelmien kautta, ja kun yhä useammat sivustot siirtyvät IPv6:een, on ylläpidettävä tervettä DNS-ekosysteemiä. Big datan ja analytiikan kasvu lisää myös DNS-hallinnan tarvetta.
SIGRed: Madotettava DNS-virhe nostaa päätään
Maailma sai äskettäin hyvän kaaoksen, minkä kaaoksen DNS-heikkoudet voivat aiheuttaa, kun Windowsin DNS-palvelimissa havaitaan virhe. Mahdollinen tietoturva-aukko, nimeltään SIGRed, vaatii monimutkaisen hyökkäysketjun, mutta se voi hyödyntää korjaamattomia Windowsin DNS-palvelimia asentaakseen ja suorittaakseen mielivaltaisen haitallisen koodin asiakkaisiin. Ja hyväksikäyttö on "madotettavaa", mikä tarkoittaa, että se voi levitä tietokoneesta tietokoneeseen ilman ihmisen puuttumista. Haavoittuvuutta pidettiin niin hälyttävänä, että Yhdysvaltain liittovaltion virastoilla oli vain muutama päivä aikaa asentaa korjaustiedostoja.
DNS HTTPS:n kautta: Uusi tietosuojamaisema
Tästä kirjoituksesta lähtien DNS on yhden historiansa suurimmista muutoksista partaalla. Google ja Mozilla, jotka yhdessä hallitsevat leijonanosaa selainmarkkinoista, rohkaisevat siirtymään kohti DNS over HTTPS:tä eli DoH:ta, jossa DNS-pyynnöt salataan samalla HTTPS-protokollalla, joka jo suojaa suurimman osan verkkoliikenteestä. Chromen toteutuksessa selain tarkistaa, tukevatko DNS-palvelimet DoH:ta, ja jos eivät, se reitittää DNS-pyynnöt uudelleen Googlen versioon 8.8.8.8.
Se on siirto, joka ei ole kiistaton. Paul Vixie, joka teki suuren osan DNS-protokollan varhaisesta työstä 1980-luvulla, kutsuu muutosta "katastrofiksi" turvallisuuden kannalta: yritysten IT:n on paljon vaikeampi valvoa tai ohjata esimerkiksi verkkonsa läpi kulkevaa DoH-liikennettä. Silti Chrome on kaikkialla läsnä ja DoH otetaan pian käyttöön oletuksena, joten katsotaan mitä tulevaisuus tuo tullessaan.
(Keith Shaw on entinen Network Worldin vanhempi toimittaja ja palkittu kirjailija, toimittaja ja tuotearvostelija, joka on kirjoittanut monille julkaisuille ja verkkosivustoille ympäri maailmaa.)
(Josh Fruhlinger on kirjailija ja toimittaja, joka asuu Los Angelesissa.)
Liity Network World -yhteisöihin Facebookissa ja LinkedInissä kommentoidaksesi mieleen jääneitä aiheita.