DNS Forwarder a DNS Resolver. Co za różnica? Często zadawane pytania.
Opublikowany: 2021-11-03Ujawnienie: Ten post zawiera linki partnerskie. Mogę otrzymać odszkodowanie, gdy klikniesz linki do produktów w tym poście. Aby uzyskać wyjaśnienie moich zasad reklamowych, odwiedź tę stronę . Dziękuje za przeczytanie!
Zawartość
- DNS Forwarder a DNS Resolver.
- Czym właściwie jest DNS?
- Jaka jest różnica między DNS Forwarder a DNS Resolver?
- Wydajność DNS. Dlaczego strony internetowe i firmy e-commerce powinny się tym przejmować?
- Rola autorytatywnego systemu DNS dla firm.
- Znaczenie rekursywnego DNS dla domen biznesowych.
- Rekurencyjne ataki DNS i DDoS.
- Różnice między DNS Forwarder a DNS Resolver, podsumowanie.
DNS Forwarder a DNS Resolver.
Mówiąc najprościej, DNS Forwarders i DNS Resolvers to sieciowe komponenty komputerowe, które obsługują proces żądania i odpowiedzi w Internecie, aby Twoja przeglądarka mogła wykryć witryny.
Na podstawie oferowanych funkcji mogą być skonfigurowane jako serwery przesyłania DNS lub buforowania DNS. W tym poście omówimy te różnice nieco bardziej szczegółowo, a także jak DNS Forwarders i DNS Resolvers mogą wpływać na twoją stronę internetową lub biznes e-commerce.
Czym właściwie jest DNS?
System nazw domen (DNS) to komputerowa wersja książki telefonicznej. Ludzie mogą wyszukiwać informacje w Internecie, wprowadzając nazwy domen, takie jak BBC.co.uk lub USAToday.com, które są znane jako domeny najwyższego poziomu (TLD).
Adres IP to identyfikator numeryczny przypisany do każdego urządzenia lub komputera w sieci.
Nazwy domen są konwertowane na adresy IP, aby strony internetowe mogły się szybko ładować, jak pokazuje DNS.
System nazw domen konwertuje adres na adres IP podczas odwiedzania witryny w przeglądarce.
Na tym etapie Twój komputer komunikuje się z serwerami witryny za pośrednictwem serwera pośredniczącego lub natychmiast.
Adres IP to zestaw liczb, które odróżniają każdą maszynę podłączoną do Internetu. Jest używany przez inne komputery do wzajemnej identyfikacji.
Na przykład nazwy domen (DNS), takie jak amazon.com, są łatwiej zapamiętywane niż adresy IP, takie jak 192.168.1.1 (w IPv4) lub nawet bardziej skomplikowane, nowsze alfanumeryczne adresy IP, takie jak 1700:df00:5069:1::e753:dg9h7 (w IPv5).
Jaka jest różnica między DNS Forwarder a DNS Resolver?
Usługa DNS Forwarder (lub więcej niż jedna) informuje usługę DNS, gdzie wysłać pytania, jeśli nie „zna” odpowiedzi (na przykład, jeśli nie jest autorytatywna lub znajduje się w pamięci podręcznej).
Ustawienia DNS Resolver wskazują, gdzie należy wysyłać zapytania, jeśli element wymaga rozwiązania lub potrzebne jest wyszukiwanie wsteczne.
Wydajność DNS. Dlaczego strony internetowe i firmy e-commerce powinny się tym przejmować?
DNS jest jednym z najważniejszych elementów technicznych w udanym biznesie internetowym, niezależnie od tego, czy jest to handel elektroniczny, bankowość, czy jakakolwiek inna usługa internetowa.
Konsumenci nie będą mogli uzyskać dostępu do stron internetowych lub usług dostępnych online, jeśli nie mają systemu DNS.
Rola autorytatywnego systemu DNS dla firm.
Z punktu widzenia firmy głównym tematem będzie autorytatywny system DNS. Firmy mogą korzystać z autorytatywnego systemu DNS, aby skonfigurować swoją obecność w Internecie z wybraną przez siebie nazwą domeny (np. mybusiness.com).
Nazwa domeny będzie połączona z adresem protokołu internetowego (ewentualnie firmy lub osoby trzeciej).
Wykorzystanie silnej struktury domen jest korzystne dla marketingu i pozwala odwiedzającym szybko znaleźć Twoją witrynę.
Znaczenie rekursywnego DNS dla domen biznesowych.
Z drugiej strony, rekursywny DNS jest ważnym elementem, który często pozostaje niezauważony, gdy ludzie mówią o DNS.
Komponentem, który umożliwia konsumentom znajdowanie nazw domen utworzonych przez firmy, jest rekursywny DNS.
Za każdym razem, gdy konsument czyta wiadomości, sprawdza swoje konta bankowe lub odwiedza tę stronę, korzysta z rekurencyjnych usług DNS.
Rekurencyjne ataki DNS i DDoS.
W rezultacie rekursywny DNS jest niezbędny do ataków DDoS.

Chociaż rekursywny DNS jest korzystny dla użytkowników Internetu, złośliwi hakerzy odkryli wiele sposobów wykorzystania DNS do przeprowadzania ataków DDoS.
Te ataki typu DNS Amplification są również znane jako ataki DDoS. Dostępność otwartych rekursywnych serwerów DNS była pierwszą luką, którą złośliwi napastnicy.
Otwarty serwer rekurencyjny nie ma żadnych zabezpieczeń ani list dostępu IP, co pozwala każdemu w Internecie używać go jako rekurencyjnego serwera DNS.
Według Cisco, pakiety odpowiedzi DNS atakujących (szczególnie te, które wykorzystywały typy rekordów ANY lub DNSSEC) były większe niż oryginalny pakiet zapytania.
Kilka badań wykazało, że oryginalny rozmiar pakietu zapytania DNS jest zwiększony od 25x do 40x w porównaniu z otrzymanym pakietem odpowiedzi DNS.
Złośliwy atakujący wysyła wiele zapytań do otwartego, rekurencyjnego serwera DNS o określony host lub nazwę domeny, aby dowiedzieć się, gdzie znajduje się cel.
Z drugiej strony, wrogi przestępca podszywa się pod źródłowy adres IP i wprowadza adres IP docelowej ofiary, zamiast używać własnego źródłowego adresu IP.
Złośliwy napastnik skutecznie przeprowadził duży atak DDoS za pomocą rekurencyjnych pakietów odpowiedzi DNS, które mogą zostać zwielokrotnione.
Rekursywne serwery DNS mogą być wykorzystywane do przeprowadzania ataków DDoS, ale są również podatne na atak bezpośredni.
Pomimo faktu, że większość wiadomości dotyczy ataków DDoS na strony internetowe i autorytatywne serwery DNS, atak na serwer rekursywny może technicznie odmówić użytkownikom dostępu do jakichkolwiek treści lub usług dostępnych w Internecie.
Rekursywne serwery DNS są często hostowane na adresach IP emisji pojedynczej, co może narażać je na ataki.
Wiele serwerów, szczególnie tych obsługiwanych przez dostawców usług internetowych, jest skonfigurowanych w trybie unicast, co oznacza, że są oddzielone i niezależne od siebie.
Każda osoba, która łączy się z żądaną witryną lub usługą w Internecie za pomocą tego konkretnego rekursywnego serwera DNS, może zostać uniemożliwiona.
Trudność polega na tym, że wielu konsumentów nie wie o innych rekurencyjnych usługach DNS, co oznacza, że doświadczeni i zaawansowani technicznie użytkownicy Internetu będą ich świadomi, ale przeciętny klient nietechniczny nie.
Wielu menedżerów nie zdaje sobie sprawy, że ich rekurencyjne serwery DNS nie są chronione.
W rezultacie cyberprzestępcy mogą swobodnie korzystać z wielu otwartych, rekurencyjnych serwerów DNS w Internecie.
Różnice między DNS Forwarder a DNS Resolver, podsumowanie.
Usługa przesyłania dalej DNS jest w stanie buforować tylko zapytania bez wykonywania żadnego rzeczywistego rozwiązywania. Buforujący DNS DNS Resolver może zarówno buforować żądania, jak i rozwiązywać je w razie potrzeby.
Przelicznik może być lepiej używany, gdy masz więcej niż jedną strefę w hierarchii DNS, podczas gdy forwarder może być lepszy, gdy topografia hierarchii DNS wymaga, aby żądania DNS przechodziły przez kilka serwerów.
Przelicznik może być również lepiej dopasowany, gdy masz ograniczoną przestrzeń dyskową, ponieważ nie buforuje żądań.
DNS Forwarder jest najlepiej używany, gdy serwer buforujący nie pasuje do twojej obecnej architektury, a resolver najlepiej jest używany do rozwiązywania żądań DNS.
Oba mogą być używane razem, ale to zwiększa złożoność architektury systemu.
Usługa przesyłania dalej buforującego DNS przyspiesza proces wyszukiwania DNS, buforując żądania DNS przed ich przekazaniem, skracając czas wyszukiwania DNS.
Moduł rozpoznawania pamięci podręcznej DNS skraca czas wyszukiwania DNS, rozwiązując je w razie potrzeby za pomocą wyników z pamięci podręcznej lub innych serwerów DNS — skracając czas wyszukiwania DNS i zwiększając wskaźnik powodzenia wyszukiwań DNS .
Połączenie forwardera i resolvera zapewnia zarówno buforowanie, jak i rozwiązywanie, ale używanie ich razem może zwiększyć złożoność architektury systemu.
Gdy używasz razem usługi rozpoznawania nazw DNS i usługi przesyłania dalej, żądania DNS są rozwiązywane przez rozpoznawanie serwerów przy użyciu informacji DNS z serwerów buforujących.
Usługa przesyłania dalej DNS jest w stanie buforować tylko zapytania bez wykonywania żadnego faktycznego rozwiązywania.
Przelicznik pamięci podręcznej DNS może zarówno buforować żądania, jak i rozwiązywać je w razie potrzeby.
W końcu może się zdarzyć, że będziesz chciał używać tylko serwerów do rozpoznawania DNS. Ponownie, najlepiej jest użyć jednego lub drugiego, ale nigdy obu.