DNS Forwarder против DNS Resolver. Какая разница? Часто задаваемые вопросы.

DNS Forwarder против DNS Resolver.

Проще говоря, DNS Forwarders и DNS Resolvers — это сетевые компьютерные компоненты, которые обрабатывают запросы и ответы в Интернете, чтобы ваш браузер мог обнаруживать сайты.

В зависимости от функций, которые они предлагают, они могут быть настроены как серверы переадресации DNS или серверы кэширования DNS. В этом посте мы рассмотрим эти различия немного подробнее, а также то, как DNS Forwarders и DNS Resolvers могут повлиять на ваш веб-сайт или бизнес электронной коммерции.

Что вообще такое DNS?

Система доменных имен (DNS) — это компьютерная версия телефонной книги. Люди могут искать информацию в Интернете, вводя доменные имена, такие как BBC.co.uk или USAToday.com, которые известны как домены верхнего уровня (TLD).

IP-адрес — это числовой идентификатор, назначаемый каждому устройству или компьютеру в сети.

Доменные имена преобразуются в IP-адреса для быстрой загрузки веб-сайтов, как демонстрирует DNS.

Система доменных имен преобразует адрес в IP-адрес, когда вы посещаете веб-сайт в своем браузере.

На этом этапе ваш компьютер связывается с серверами веб-сайта либо через сервер-посредник, либо напрямую.

IP-адрес — это набор цифр, который отличает каждую машину, подключенную к Интернету. Он используется другими компьютерами для идентификации друг друга.

Например, доменные имена (DNS), такие как amazon.com, легче запоминаются, чем IP-адреса, такие как 192.168.1.1 (в IPv4), или даже более сложные новые буквенно-цифровые IP-адреса, такие как 1700:df00:5069:1::e753:dg9h7. (в IPv5).

В чем разница между DNS Forwarder и DNS Resolver?

DNS Forwarder (или более одного) информирует службу DNS, куда отправлять вопросы, если он не «знает» ответа (например, если он неавторизованный или находится в кеше).

Параметры DNS Resolver указывают, куда следует отправлять запросы, если элемент необходимо разрешить или требуется обратный поиск.

Производительность DNS. Почему веб-сайты и предприятия электронной коммерции должны заботиться об этом?

DNS — один из важнейших технических элементов успешного онлайн-бизнеса, будь то электронная коммерция, банковское дело или любой другой интернет-сервис.

Потребители не смогут получить доступ к веб-страницам или службам, доступным в Интернете, если у них нет DNS.

Роль авторитетных DNS для компаний.

С точки зрения компании, авторитетный DNS будет главной темой. Компании могут использовать авторитетный DNS для настройки своего присутствия в Интернете с доменным именем по своему выбору (например, mybusiness.com).

Доменное имя будет связано с адресом интернет-протокола (возможно, принадлежащим фирме или третьей стороне).

Использование сильной доменной структуры выгодно для маркетинга и позволяет посетителям быстро найти ваш сайт.

Важность рекурсивного DNS для бизнес-доменов.

Рекурсивный DNS, с другой стороны, является важным элементом, который часто остается незамеченным, когда люди говорят о DNS.

Компонент, который позволяет потребителям находить доменные имена, созданные предприятиями, — это рекурсивный DNS.

Каждый раз, когда потребитель читает новости, проверяет свои банковские счета или посещает этот веб-сайт, он использует рекурсивные службы DNS.

Рекурсивные DNS и DDoS-атаки.

В результате рекурсивный DNS необходим для DDoS-атак.

Хотя рекурсивный DNS полезен для пользователей Интернета, злонамеренные хакеры обнаружили множество способов использования DNS для запуска DDoS-атак.

Эти атаки DNS Amplification также известны как DDoS-атаки. Доступность открытых рекурсивных DNS-серверов стала первой уязвимостью, которую обнаружили злоумышленники.

Открытый рекурсивный сервер не имеет мер безопасности или списков доступа IP, что позволяет любому пользователю Интернета использовать его в качестве рекурсивного DNS-сервера.

По данным Cisco, пакеты ответа DNS злоумышленников (особенно те, которые использовали типы записей ANY или DNSSEC) были больше, чем исходный пакет запроса.

Несколько исследований показали, что исходный размер пакета запроса DNS увеличивается в 25-40 раз по сравнению с полученным пакетом ответа DNS.

Злоумышленник отправляет многочисленные запросы на открытый рекурсивный DNS-сервер для определенного хоста или доменного имени, чтобы выяснить, где находится цель.

Злоумышленник, с другой стороны, выдает себя за исходный IP-адрес и вводит IP-адрес предполагаемой жертвы, а не использует свой собственный исходный IP-адрес.

Злоумышленник эффективно запустил крупную DDoS-атаку, используя рекурсивные пакеты ответов DNS, количество которых можно многократно увеличить.

Рекурсивные DNS-серверы могут использоваться для запуска DDoS-атак, но они также подвержены прямой атаке.

Несмотря на то, что большинство новостей касается DDoS-атак на веб-сайты и авторитетные DNS-серверы, атака на рекурсивный сервер технически может лишить пользователей доступа к любому контенту или услуге, доступной в Интернете.

Рекурсивные DNS-серверы часто размещаются на одноадресных IP-адресах, что может сделать их уязвимыми для атак.

Многие серверы, особенно те, которые принадлежат интернет-провайдерам, настроены на одноадресный режим, что означает, что они отделены стеной и автономны друг от друга.

Любому лицу, которое подключается к желаемому веб-сайту или службе в Интернете с помощью этого конкретного рекурсивного DNS-сервера, может быть запрещено это делать.

Сложность заключается в том, что многие потребители не знают о других рекурсивных службах DNS, а это означает, что подкованные и технически подкованные пользователи Интернета будут знать о них, но средний нетехнический клиент не будет.

Многие менеджеры не знают, что их рекурсивные DNS-серверы не защищены.

В результате киберпреступники могут свободно использовать множество открытых рекурсивных DNS-серверов в Интернете.

Различия между DNS Forwarder и DNS Resolver, сводка.

DNS Forwarder может только кэшировать запросы, не выполняя фактического разрешения. DNS-кэширующий DNS-преобразователь может как кэшировать запросы, так и разрешать их, если это необходимо.

Резолвер лучше использовать, если в вашей иерархии DNS более одной зоны, а пересылку лучше использовать, когда топография вашей иерархии DNS требует, чтобы запросы DNS проходили через несколько серверов.

Преобразователь также может лучше подходить, когда у вас ограниченное пространство для хранения, поскольку он не кэширует запросы.

DNS Forwarder лучше всего использовать, когда кэширующий сервер не соответствует вашей текущей архитектуре, а преобразователь лучше всего использовать для разрешения DNS-запросов.

Их можно использовать вместе, но это усложняет архитектуру вашей системы.

DNS-кэширующий сервер пересылки ускоряет процесс поиска DNS, кэшируя запросы DNS перед их передачей, сокращая время поиска DNS.

Резолватор кэширования DNS сокращает время поиска DNS, разрешая их с помощью кэшированных результатов или других DNS-серверов, если это необходимо, — сокращая время поиска DNS и повышая вероятность успешного поиска DNS.

Комбинация модуля пересылки и преобразователя обеспечивает как кэширование, так и разрешение, но их совместное использование может усложнить архитектуру вашей системы.

Когда вы используете DNS Resolver и пересылку вместе, DNS-запросы разрешаются путем разрешения серверов с использованием DNS-информации с кэширующих серверов.

DNS Forwarder может только кэшировать запросы, не выполняя фактического разрешения.

Резолватор кэширования DNS может как кэшировать запросы, так и разрешать их при необходимости.

В конце концов, могут быть случаи, когда вы захотите использовать только серверы разрешения DNS. Опять же, лучше использовать один или другой, но никогда оба.