Remove ads
用於計算機,服務或連接到互聯網或專用網絡的任何資源的分層分佈式命名系統 来自维基百科,自由的百科全书
網域名稱系統(英語:Domain Name System,縮寫:DNS)是互聯網的一項服務。它作為將域名和IP位址相互對映的一個分散式資料庫,能夠使人更方便地訪問互聯網。DNS使用TCP和UDP埠53[1]。當前,對於每一級域名長度的限制是63個字元,域名總長度則不能超過253個字元。
開始時,域名的字元僅限於ASCII字元的一個子集。2008年,ICANN通過一項決議,允許使用其它語言作為互聯網頂級域名的字元。使用基於Punycode碼的IDNA系統,可以將Unicode字串對映為有效的DNS字元集。因此,諸如「XXX.中國」、「XXX.台灣」的域名可以在地址列直接輸入並訪問,而不需要安裝外掛程式。但是,由於英語的廣泛使用,使用其他語言字元作為域名會產生多種問題,例如難以輸入、難以在國際推廣等。
DNS最早於1983年由保羅·莫卡派喬斯(Paul Mockapetris)發明;原始的技術規範在882號互聯網標準草案(RFC 882)中發佈。1987年發佈的第1034和1035號草案修正了DNS技術規範,並廢除了之前的第882和883號草案。在此之後對互聯網標準草案的修改基本上沒有涉及到DNS技術規範部分的改動。
早期的域名必須以英文句號.
結尾。例如,當用戶訪問維基百科的HTTP服務時必須在地址列中輸入:http://www.wikipedia.org.
,這樣DNS才能夠進行域名解析。如今DNS伺服器已經可以自動補上結尾的句號。
DNS系統中,常見的資源記錄類型有:
從 1983 年起源到最近,DNS 主要回答 UDP 埠 53 上的查詢。此類查詢包括從客戶端以單個 UDP 封包傳送的明文請求,響應為 從伺服器以單個 UDP 封包傳送的明文回覆。 當應答的長度超過 512 位元組並且客戶端和伺服器都支援 DNS 擴充機制 (EDNS) 時,可能會使用更大的 UDP 封包。 DNS-over-UDP 的使用受到限制,其中包括缺乏傳輸層加密、身份驗證、可靠傳遞和訊息長度。 1989 年,RFC 1123 為 DNS 查詢、回覆,特別是區域傳輸指定了可選的 TCP 傳輸。 通過長響應的分段,TCP 允許更長的響應、可靠的傳遞和重用客戶端和伺服器之間的長期連接。
加密 DNS 的 IETF 標準於 2016 年出現,利用傳輸層安全(TLS)來保護整個連接,而不僅僅是 DNS 有效負載。DoT 伺服器偵聽 TCP 埠 853。RFC 7858 指定可以支援機會加密和認證加密,但沒有強制伺服器或客戶端認證。
2018 年引入了 DNS 查詢傳輸的競爭標準,通過 HTTPS 隧道傳輸 DNS 查詢數據(進而通過 TLS 傳輸 HTTP)。DoH 被推廣為對網絡更友好的 DNS 替代方案,因為與 DNSCrypt 一樣,它在 TCP 埠 443 上載輸,因此看起來類似於網絡流量[2],儘管它們在實踐中很容易區分。 DoH 因相對於 DoT 降低用戶匿名性而受到廣泛批評[3]。
Oblivious DNS (ODNS)[4] 是由普林斯頓大學和芝加哥大學的研究人員發明和實施的,作為未加密 DNS 的擴充,在 DoH 本身被標準化和廣泛部署之前。Apple 和 Cloudflare 隨後將該技術部署在 DoH 環境中,稱為 Oblivious DoH (ODoH)[5]。ODoH 將入口/出口分離(在 ODNS 中發明)與 DoH 的 HTTPS 隧道和 TLS 傳輸層加密結合在一個協定中。[6]
與其他 Internet 協定一樣,DNS 可以通過 VPN 和隧道執行。 DNS-over-Tor 自 2019 年以來已經變得足夠普遍以保證其自己經常使用的首字母縮略詞的一種用途。Oblivious DNS 的私隱效果可以通過使用預先存在的入口和出口節點的 Tor 網絡以及 TLS 提供的傳輸層加密來獲得。[7]
DNSCrypt協定於 2011 年在 IETF 標準框架之外開發,在遞歸解析器的下游側引入了 DNS 加密,其中客戶端使用伺服器的公鑰加密查詢有效負載,這些公鑰在 DNS 中發佈(而不是依賴於第三方方證書頒發機構),進而可能受到 DNSSEC 簽章的保護。[8]DNSCrypt 使用 TCP 或 UDP 埠 443,與 HTTPS 加密的網絡流量相同的埠。這不僅引入了關於查詢內容的私隱,而且還引入了防火牆穿越能力的重要衡量標準。在 2019 年,DNSCrypt 進一步擴充以支援「匿名」模式,類似於提議的「Oblivious DNS」,其中入口節點接收已使用不同伺服器的公鑰加密的查詢,並將其轉發給該伺服器伺服器充當出口節點,執行遞歸解析。[9]建立用戶/查詢對的私隱,因為入口節點不知道查詢的內容,而出口節點不知道客戶端的身份。 DNSCrypt 於 2011 年 12 月由 OpenDNS 首次在生產環境中實現。有幾個免費和開源軟件實現額外整合了 ODoH[10]。它適用於各種作業系統,包括 Unix、Apple iOS、Linux、Android 和 MS Windows。
DNS通過允許一個名稱伺服器把它的一部分名稱服務(眾所周知的zone)「委託」給子伺服器而實現了一種階層的名稱空間。此外,DNS還提供了一些額外的資訊,例如系統別名、聯絡資訊以及哪一個主機正在充當系統組或域的郵件樞紐。
任何一個使用IP的電腦網絡可以使用DNS來實現它自己的私有名稱系統。儘管如此,當提到在公共的Internet DNS系統上實現的域名時,術語「域名」是最常使用的。
這是基於984個全球範圍的「根域名伺服器」(分成13組,分別編號為A至M)[11]。從這984個根伺服器開始,餘下的Internet DNS命名空間被委託給其他的DNS伺服器,這些伺服器提供DNS名稱空間中的特定部分。
DNS系統是由各式各樣的DNS軟件所驅動的,例如:
Punycode是一個根據RFC 3492標準而製定的編碼系統,主要用於把域名從地方語言所採用的Unicode編碼轉換成為可用於DNS系統的編碼。而該編碼是根據域名相異字表 (頁面存檔備份,存於互聯網檔案館)(由IANA制定),Punycode可以防止所謂的IDN欺騙。
舉一個例子,zh.wikipedia.org 作為一個域名就和IP位址198.35.26.96 相對應。DNS就像是一個自動的電話號碼簿,我們可以直接撥打198.35.26.96 的名字zh.wikipedia.org 來代替電話號碼(IP位址)。DNS在我們直接呼叫網站的名字以後就會將像zh.wikipedia.org 一樣便於人類使用的名字轉化成像198.35.26.96 一樣便於機器辨識的IP位址。
DNS查詢有兩種方式:遞歸和迭代。DNS客戶端設置使用的DNS伺服器一般都是遞歸伺服器,它負責全權處理客戶端的DNS查詢請求,直到返回最終結果。而DNS伺服器之間一般採用迭代查詢方式。
以查詢 zh.wikipedia.org 為例:
一個域名的所有者可以通過查詢WHOIS資料庫[12]而被找到;對於大多數根域名伺服器,基本的WHOIS由ICANN維護,而WHOIS的細節則由控制那個域的域序號產生器構維護。
對於240多個國家代碼頂級域名(ccTLDs),通常由該域名權威序號產生器構負責維護WHOIS。例如中國互聯網絡信息中心(China Internet Network Information Center)負責.CN域名的WHOIS維護,香港互聯網註冊管理有限公司(Hong Kong Internet Registration Corporation Limited)負責.HK域名的WHOIS維護,台灣網絡資訊中心(Taiwan Network Information Center)負責.TW域名的WHOIS維護。
此外,一些黑客通過偽造DNS伺服器將用戶引向錯誤網站,以達到竊取用戶私隱資訊的目的。[13]。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.