DNS Forwarder เทียบกับ DNS Resolver อะไรคือความแตกต่าง? คำถามที่พบบ่อย

DNS Forwarder เทียบกับ DNS Resolver

กล่าวง่ายๆ ว่า DNS Forwarders และ DNS Resolvers เป็นส่วนประกอบคอมพิวเตอร์เครือข่ายที่จัดการคำขอและกระบวนการตอบสนองของอินเทอร์เน็ตเพื่อให้เบราว์เซอร์ของคุณค้นพบไซต์ต่างๆ

อาจมีการตั้งค่าการส่งต่อ DNS หรือเซิร์ฟเวอร์แคช DNS ตามฟังก์ชันที่เสนอ ในโพสต์นี้ เราจะพูดถึงความแตกต่างเหล่านี้ในรายละเอียดเพิ่มเติมเล็กน้อย รวมถึงวิธีที่ DNS Forwarders และ DNS Resolvers สามารถส่งผลต่อเว็บไซต์หรือธุรกิจอีคอมเมิร์ซของคุณ

DNS คืออะไรกันแน่?

ระบบชื่อโดเมน (DNS) เป็นเวอร์ชันคอมพิวเตอร์ของสมุดโทรศัพท์ ผู้คนสามารถค้นหาข้อมูลบนอินเทอร์เน็ตได้โดยป้อนชื่อโดเมน เช่น BBC.co.uk หรือ USAToday.com ซึ่งเรียกว่าโดเมนระดับบนสุด (TLDs)

ที่อยู่ IP เป็นตัวระบุตัวเลขที่กำหนดให้กับอุปกรณ์หรือคอมพิวเตอร์แต่ละเครื่องในเครือข่าย

ชื่อโดเมนจะถูกแปลงเป็นที่อยู่ IP เพื่อให้เว็บไซต์โหลดได้อย่างรวดเร็ว ตามที่แสดงโดย DNS

ระบบชื่อโดเมนจะแปลงที่อยู่เป็นที่อยู่ IP เมื่อคุณเยี่ยมชมเว็บไซต์ในเบราว์เซอร์ของคุณ

นี่คือขั้นตอนที่คอมพิวเตอร์ของคุณสื่อสารกับเซิร์ฟเวอร์ของเว็บไซต์ ไม่ว่าจะผ่านเซิร์ฟเวอร์คนกลางหรือในทันที

ที่อยู่ IP คือชุดตัวเลขที่แยกแต่ละเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต มันถูกใช้โดยคอมพิวเตอร์เครื่องอื่นเพื่อระบุตัวกัน

ตัวอย่างเช่น ชื่อโดเมน (DNS) เช่น amazon.com สามารถจดจำได้ง่ายกว่าที่อยู่ IP เช่น 192.168.1.1 (ใน IPv4) หรือที่อยู่ IP ที่เป็นตัวอักษรและตัวเลขที่ใหม่กว่าที่ซับซ้อนกว่า เช่น 1700:df00:5069:1::e753:dg9h7 (ใน IPv5)

DNS Forwarder กับ DNS Resolver ต่างกันอย่างไร?

DNS Forwarder (หรือมากกว่าหนึ่งรายการ) แจ้งบริการ DNS ว่าจะส่งคำถามไปที่ใดหากไม่ทราบคำตอบ (เช่น ไม่มีสิทธิ์หรืออยู่ในแคช)

การตั้งค่า DNS Resolver ระบุว่าควรส่งการสืบค้นไปที่ใดหากรายการนั้นจำเป็นต้องได้รับการแก้ไขหรือจำเป็นต้องค้นหาแบบย้อนกลับ

ประสิทธิภาพ DNS เหตุใดเว็บไซต์และธุรกิจอีคอมเมิร์ซจึงควรใส่ใจ

DNS เป็นหนึ่งในองค์ประกอบทางเทคนิคที่สำคัญที่สุดในธุรกิจออนไลน์ที่ประสบความสำเร็จ ไม่ว่าจะเป็นอีคอมเมิร์ซ การธนาคาร หรือบริการอินเทอร์เน็ตอื่นๆ

ผู้บริโภคจะไม่สามารถเข้าถึงหน้าเว็บหรือบริการที่เข้าถึงได้ทางออนไลน์หากไม่มี DNS

บทบาท Authoritative DNS สำหรับบริษัท

จากมุมมองของบริษัท DNS ที่เชื่อถือได้จะเป็นหัวข้อหลัก บริษัทต่างๆ อาจใช้ DNS ที่เชื่อถือได้เพื่อตั้งค่าสถานะออนไลน์ด้วยชื่อโดเมนที่พวกเขาเลือก (เช่น mybusiness.com)

ชื่อโดเมนจะเชื่อมโยงกับที่อยู่อินเทอร์เน็ตโปรโตคอล (อาจเป็นของบริษัทหรือบุคคลที่สาม)

การใช้โครงสร้างโดเมนที่รัดกุมจะเป็นประโยชน์ต่อการตลาดและช่วยให้ผู้เยี่ยมชมสามารถค้นหาเว็บไซต์ของคุณได้อย่างรวดเร็ว

ความสำคัญของ Recursive DNS สำหรับโดเมนธุรกิจ

ในทางกลับกัน DNS แบบเรียกซ้ำเป็นองค์ประกอบสำคัญที่มักไม่มีใครสังเกตเห็นเมื่อมีคนพูดถึง DNS

องค์ประกอบที่ช่วยให้ผู้บริโภคสามารถค้นหาชื่อโดเมนที่ธุรกิจได้สร้างขึ้นคือ DNS แบบเรียกซ้ำ

ทุกครั้งที่ผู้บริโภคอ่านข่าว ตรวจสอบบัญชีธนาคาร หรือเยี่ยมชมเว็บไซต์นี้ พวกเขาใช้บริการ DNS แบบเรียกซ้ำ

การโจมตี DNS และ DDoS แบบเรียกซ้ำ

DNS แบบเรียกซ้ำมีความสำคัญต่อการโจมตี DDoS อันเป็นผลมาจากสิ่งนี้

แม้ว่า DNS แบบเรียกซ้ำจะเป็นประโยชน์ต่อผู้ใช้อินเทอร์เน็ต

การโจมตี DNS Amplification เหล่านี้เรียกอีกอย่างว่าการโจมตี DDoS ความพร้อมใช้งานของเซิร์ฟเวอร์ DNS แบบเรียกซ้ำเป็นช่องโหว่แรกที่ผู้โจมตีที่เป็นอันตราย

เซิร์ฟเวอร์แบบเรียกซ้ำแบบเปิดไม่มีมาตรการรักษาความปลอดภัยหรือรายการเข้าถึง IP ทำให้ทุกคนบนอินเทอร์เน็ตสามารถใช้เป็นเซิร์ฟเวอร์ DNS แบบเรียกซ้ำได้

ตามข้อมูลของ Cisco แพ็กเก็ตการตอบสนอง DNS ของผู้โจมตี (โดยเฉพาะแพ็กเก็ตที่ใช้ประเภทระเบียน ANY หรือ DNSSEC) มีขนาดใหญ่กว่าแพ็กเก็ตการสืบค้นดั้งเดิม

การศึกษาหลายชิ้นแสดงให้เห็นว่าขนาดแพ็กเก็ตการสืบค้น DNS ดั้งเดิมถูกขยาย 25x เป็น 40x เมื่อเทียบกับแพ็กเก็ตการตอบสนอง DNS ที่ได้รับ

ผู้โจมตีที่ประสงค์ร้ายส่งคำถามจำนวนมากไปยังเซิร์ฟเวอร์ DNS แบบเรียกซ้ำแบบเปิดสำหรับโฮสต์หรือชื่อโดเมนเฉพาะ เพื่อค้นหาว่าเป้าหมายอยู่ที่ไหน

ในทางกลับกัน ผู้กระทำความผิดที่มุ่งร้ายจะแอบอ้างเป็นที่อยู่ IP ต้นทางและป้อนที่อยู่ IP ของเหยื่อที่ตั้งใจไว้แทนที่จะใช้ที่อยู่ IP ต้นทางของตนเอง

ผู้โจมตีที่มุ่งร้ายได้เปิดตัวการโจมตี DDoS ขนาดใหญ่อย่างมีประสิทธิภาพโดยใช้แพ็กเก็ตการตอบสนอง DNS แบบเรียกซ้ำ ซึ่งสามารถคูณด้วยจำนวนมหาศาล

เซิร์ฟเวอร์ DNS แบบเรียกซ้ำอาจถูกใช้เพื่อเริ่มการโจมตี DDoS แต่ก็มีแนวโน้มที่จะถูกโจมตีโดยตรงเช่นกัน

แม้ว่าการรายงานข่าวส่วนใหญ่จะเกี่ยวข้องกับการโจมตี DDoS บนเว็บไซต์และเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ การโจมตีบนเซิร์ฟเวอร์แบบเรียกซ้ำอาจปฏิเสธผู้ใช้ในทางเทคนิคในการเข้าถึงเนื้อหาหรือบริการที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ DNS แบบเรียกซ้ำมักโฮสต์บนที่อยู่ IP unicast ซึ่งอาจทำให้พวกเขาเสี่ยงต่อการถูกโจมตี

เซิร์ฟเวอร์จำนวนมาก โดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์ที่ดำเนินการโดยผู้ให้บริการอินเทอร์เน็ต ได้รับการกำหนดค่าในโหมด unicast ซึ่งหมายความว่าถูกปิดล้อมและเป็นอิสระจากกัน

บุคคลใดก็ตามที่เชื่อมต่อกับเว็บไซต์หรือบริการที่ต้องการบนอินเทอร์เน็ตโดยใช้เซิร์ฟเวอร์ DNS แบบเรียกซ้ำนั้นอาจถูกป้องกันไม่ให้ทำเช่นนั้น

ปัญหาคือผู้บริโภคจำนวนมากไม่ได้ตระหนักถึงบริการ DNS แบบเรียกซ้ำอื่น ๆ ซึ่งหมายความว่าผู้ใช้อินเทอร์เน็ตที่มีความชำนาญและเชี่ยวชาญด้านเทคโนโลยีจะรับรู้ถึงบริการเหล่านี้ แต่ไคลเอ็นต์ที่ไม่ใช่ด้านเทคนิคโดยเฉลี่ยจะไม่รับรู้

ผู้จัดการหลายคนไม่ทราบว่าเซิร์ฟเวอร์ DNS แบบเรียกซ้ำไม่ได้รับการปกป้อง

ด้วยเหตุนี้ อาชญากรไซเบอร์จึงมีอิสระในการใช้เซิร์ฟเวอร์ DNS แบบเรียกซ้ำแบบเปิดจำนวนมากบนอินเทอร์เน็ต

ความแตกต่างระหว่าง DNS Forwarder กับ DNS Resolver สรุป

DNS Forwarder สามารถแคชการสืบค้นได้โดยไม่ต้องดำเนินการแก้ไขใดๆ DNS แคช DNS Resolver สามารถแคชคำขอและแก้ไขได้หากจำเป็น

ตัวแก้ไขอาจใช้งานได้ดีกว่าเมื่อคุณมีโซนมากกว่าหนึ่งโซนในลำดับชั้น DNS ในขณะที่ตัวส่งต่ออาจดีกว่าเมื่อภูมิประเทศของลำดับชั้น DNS ของคุณต้องการให้คำขอ DNS ต้องข้ามเซิร์ฟเวอร์หลายเครื่อง

ตัวแก้ไขอาจเหมาะสมกว่าเมื่อคุณมีพื้นที่เก็บข้อมูลจำกัด เนื่องจากไม่แคชคำขอ

DNS Forwarder เหมาะที่สุดเมื่อเซิร์ฟเวอร์แคชไม่เข้ากับสถาปัตยกรรมปัจจุบันของคุณ และตัวแก้ไขจะดีที่สุดสำหรับการแก้ไขคำขอ DNS

สามารถใช้ร่วมกันได้ แต่จะเพิ่มความซับซ้อนให้กับสถาปัตยกรรมระบบของคุณ

ตัวส่งต่อการแคช DNS ช่วยเพิ่มความเร็วในกระบวนการค้นหา DNS โดยการแคชคำขอ DNS ก่อนที่จะส่งต่อ ซึ่งลดเวลาในการค้นหา DNS

ตัวแก้ไขการแคช DNS ช่วยลดเวลาในการค้นหา DNS โดยการแก้ปัญหาด้วยผลลัพธ์ที่แคชไว้หรือเซิร์ฟเวอร์ DNS อื่นๆ หากจำเป็น ซึ่งจะช่วยลดเวลาในการค้นหา DNS และเพิ่มอัตราความสำเร็จของการค้นหา DNS

การรวมกันของตัวส่งต่อและตัวแก้ไขให้ทั้งการแคชและการแก้ปัญหา แต่การใช้ร่วมกันสามารถเพิ่มความซับซ้อนให้กับสถาปัตยกรรมระบบของคุณ

เมื่อคุณใช้ตัวแก้ไข DNS และตัวส่งต่อร่วมกัน คำขอ DNS จะได้รับการแก้ไขโดยการแก้ไขเซิร์ฟเวอร์โดยใช้ข้อมูล DNS จากเซิร์ฟเวอร์แคช

DNS Forwarder สามารถแคชการสืบค้นได้โดยไม่ต้องดำเนินการแก้ไขใดๆ

ตัวแก้ไขแคช DNS สามารถทั้งคำขอแคชและแก้ไขได้หากจำเป็น

ในท้ายที่สุด อาจมีบางครั้งที่คุณต้องการใช้เฉพาะเซิร์ฟเวอร์การแก้ไข DNS อีกครั้ง เป็นการดีที่สุดที่จะใช้อย่างใดอย่างหนึ่ง แต่ไม่ใช้ทั้งสองอย่าง