Alan Adı Sistemi
İşlev | Çeviri alanı adı içinde IP adresine |
---|---|
kısaltma | DNS |
Liman | 53 |
RFC |
1983 : RFC 882 - RFC 883 1987 : RFC 1034 - RFC 1035 1994 : RFC 1591 2011 : RFC 6195 2013 : RFC 6895 2018 : RFC 8375 - RFC 8467 - RFC 8483 - RFC 8484 2019 : RFC 8499 |
Alan Adı Sistemi yaygın kısaltılmış, DNS "alan adı sistemi" olarak tercüme edilebilir, bir dağıtık bilgisayar servisi çevirmek için kullanılan internet alan adları içine IP adresleri veya diğer kayıtları . İnternetin ilk yıllarından itibaren, 1985 civarında, dağıtılmış bir isim çözümleme hizmeti sağlayarak, DNS, ağın gelişiminde önemli bir bileşen olmuştur.
ABD talebi üzerine Savunma İleri Araştırma Projeleri Ajansı ( DARPA ), Jon Postel ve Paul Mockapetris tasarlanmış Alan Adı Sistemi içinde 1983 ve birinci uygulama yazdım.
İnternet gibi bir IP ağına bağlı ekipman ( ana bilgisayarlar ) , onları ağda tanımlayan bir IP adresine sahiptir. Bu adresler, makineler tarafından işlenmesini kolaylaştırmak için sayısaldır. In IPv4 , onlar “olarak temsil edilmektedir - - -. - - -. - - -. - - - ”, burada üç çizgiden oluşan her bir “grup”, 0 ile 255 arasında bir sayı ile ikame edilebilir ( ondalık gösterimde ). In IPv6 "....: ....: ....: ....: ....: ....: .... ....”, adresleri şeklinde temsil edilir , Dört noktadan oluşan her bir "grup", 0000 ila FFFF arasında onaltılık bir değerle ikame edilebilir.
Bir IP ağındaki ana bilgisayarlara erişimi kolaylaştırmak için, bir adı bir IP adresiyle ilişkilendirmek için bir mekanizma oluşturulmuştur. Hatırlanması daha kolay olan bu isme “ alan adı ” denir . Bir alan adının çözümlenmesi , onunla ilişkili IP adresini bulmayı içerir.
IP adreslerine ek olarak, anti- spam bağlamındaki kayıtlar ( SPF ), DNS bilgi güvenliği için RRSIG ( DNSSEC ) veya numaraları ilişkilendirmek için NAPTR gibi alan adlarıyla ek bilgiler ilişkilendirilebilir. telefondan e-posta adreslerine ( ENUM ) ).
DNS önce bir Internet adı çözümleme bir metin dosyası olarak adlandırılan aracılığıyla yapılması gerekiyordu hosts.txt ( RFC tarafından tutulan 608) NIC ait Stanford Research Institute (SRI) ve ağ dosya transferi her bilgisayar kopyalandı. 1982 yılında, bu merkezi sistem sınırları ve çeşitli değiştirme öneriler de ortaya gösterdi dağıtılmış sistem Grapevine gelen Xerox ve ien 116 birinci ( Grapevine ikinci (I TR 116) yeterli ise kabul çok karmaşık olan). Sonuçta, liderliğindeki ekip Elizabeth Feinler de NIC dağıtılmış ad sunucularına alan adlarının yönetimini devrederek internetin büyümesini yönetmek için Alan Adı Sistemi tanımlayacaktır. Paul Mockapetris , sistemin tasarımını 1983'te RFC 882 ve RFC 883'te yayınladı . İlgili standart 1987'de RFC 1034 ve RFC 1035'te yayınlandı . 1987'de HOSTS.TXT dosyası 5.500 giriş içeriyorken DNS'de 20.000 ana bilgisayar tanımlandı. .
Alan adı sistemi, tepesine kök adı verilen bir hiyerarşiden oluşur . İkincisini bir nokta ile temsil ediyoruz. Bir etki alanında, bir veya daha fazla alt etki alanı oluşturulabilir ve bunlar için bir yetkilendirme , yani bu alt etki alanına ilişkin bilgilerin başka bir sunucuda kaydedildiğinin bir göstergesi olabilir. Bu alt etki alanları, alt etki alanlarını diğer sunuculara devredebilir.
Tüm alt alanlar zorunlu olarak yetkilendirilmez. Temsilciler , belirli bir sunucuda yapılandırılan alanlar , yani etki alanı kümeleri ve bunların yetki verilmeyen alt etki alanlarını oluşturur. Alanlar genellikle alan adlarıyla karıştırılır.
Kökün hemen altında bulunan alanlara üst düzey etki alanı denir (TLD: Üst Düzey Etki Alanı). Bir ülke uzantısına karşılık gelmeyen alan adlarına, örneğin .org veya .com gibi genel alan adları (gTLD'ler) denir. Ülke kodlarına (fr, be, ch…) karşılık geliyorlarsa, bunlar ulusal üst düzey alan adlarıdır ve İngilizce ülke kodu TLD'den ccTLD olarak da adlandırılırlar .
Bir alan adı, bir nokta ile ayrılmış art arda alan adları belirtilerek temsil edilir, daha yüksek alan adları sağdadır. Örneğin, etki alanı org. kökün alt etki alanı olan bir TLD'dir. wikipedia.org etki alanı . .org'un bir alt alanıdır . Bu yetkilendirme, üst düzey etki alanındaki alt etki alanıyla ilişkili DNS sunucularının listesi belirtilerek gerçekleştirilir.
Bu nedenle, alan adları, hiyerarşiye yukarıdan göz atılarak ve ardışık delegasyonları takip ederek, yani alan adını sağdan sola doğru tarayarak çözülür.
Normal olarak çalışması için, bir alan adının üst düzey etki alanında uygun şekilde yetkilendirilmiş olması gerekir.
Ana bilgisayarlar, alan adı sistemi hakkında sınırlı bilgiye sahiptir. Bir adı çözmeleri gerektiğinde, kendilerini bir veya daha fazla sözde özyinelemeli ad sunucusuna yönlendirirler , yani DNS hiyerarşisine göz atacak ve bir yanıt sağlamak için isteği bir veya daha fazla başka ad sunucusuna ileteceklerdir. Bu özyinelemeli sunucuların IP adresleri genellikle DHCP aracılığıyla elde edilir veya ana makinede sabit olarak yapılandırılır . İnternet servis sağlayıcıları bu özyinelemeli sunucuların müşterilerine kullanılabilir hale. Olanlar gibi kamu özyinelemeli sunucuların da vardır Cloudflare , Yandex.DNS , Google Public DNS veya OpenNIC .
Özyinelemeli bir DNS sunucusunun fr.wikipedia.org'un IP adresini bulması gerektiğinde , DNS hiyerarşisini aramak için yinelemeli bir süreç başlar. Bu sunucu kök sunucu adı verilen DNS sunucularına , kuruluş bölgesi için hangi sunucuların kendisine yanıt verebileceğini sorar . Bunlar arasından sunucu, wikipedia.org bölgesi için hangi sunucuların kendisine yanıt verebileceğini bilmek için birini seçecektir . Ona fr.wikipedia.org'un IP adresini verebilecek olan da bunlardan biridir . Bir sunucunun yanıt vermediği tespit edilirse, listedeki başka bir sunucuya başvurulacaktır.
Sonraki sorguları optimize etmek için özyinelemeli DNS sunucuları ayrıca bir DNS önbelleği görevi görür : bir ad çözümlemesine verilen yanıtı bellekte ( önbellek ) tutarlar , böylece bu işlem daha sonra tekrar gerçekleştirilmez. Bu bilgiler adında bir süreyle tutulmaktadır canlı Zamanı ve her bir alan adıyla ilişkili.
Bir alan adı birden çok DNS sunucusu kullanabilir. Genellikle, alan adları en az iki tane kullanır: birincil ve ikincil. Birden çok ikincil sunucu olabilir.
Tüm birincil ve ikincil sunucular bir etki alanı için yetkilidir, yani yanıt başka bir sunucuda veya bir önbellekte çağrılmaz. Özyinelemeli sunucular, yerinde önbellek nedeniyle mutlaka güncel olmayan yanıtlar sağlar. Buna yetkili olmayan cevap denir .
Bu mimari, İnternet ağına isim çözümlemesinde belirli bir sürekliliği garanti eder. Bir DNS sunucusu çöktüğünde, ikincil sunucular mevcut olduğu sürece ad çözümlemenin düzgün işleyişinden ödün verilmez.
Bir IP adresiyle ilişkili alan adını bulmak için benzer bir ilke kullanılır. Bir alan adında en genel kısım sağdadır: fr.wikipedia.org'da org, bu nedenle çözümleme mekanizması alan adını sağdan sola doğru tarar. Bir V4 IP adresinde ise tam tersidir: 213, 213.228.0.42'nin en genel parçasıdır. Tutarlı mantığı korumak için, adresin dört teriminin sırasını tersine çevirir ve onu in-addr.arpa sözde etki alanına bağlarız . Örneğin, 91.198.174.2 IP adresinin alan adını bulmak için 2.174.198.91.in-addr.arpa'yı çözüyoruz.
Ters ifade, İnternet genel IP adreslerinde önemlidir, çünkü ters çözümlemenin olmaması, bir hizmete erişimin reddedilmesine neden olabilecek bir operasyonel hata ( RFC 1912) olarak kabul edilir . Örneğin, kendisini ters çözümlemeye (PTR) sahip olmayan bir IP adresiyle gönderiyor olarak sunan bir e-posta sunucusunun, uzak ana bilgisayar tarafından posta iletiminin reddedilme olasılığı çok yüksektir (reddetme mesajı türü: IP arama başarısız ).
Ek olarak, bu ters çözümleme, ağ tanılamasının gerçekleştirilmesi bağlamında önemlidir, çünkü traceroute komutunun sonuçlarını insanca kullanılabilir hale getirmeyi mümkün kılan budur . Ters ana bilgisayar adlarının adları genellikle yerelleştirme alt etki alanlarının (şehir, bölge, ülke) ve francetelecom.net (- - - -.nctou202.Toulouse .francetelecom.net) ve opentransit gibi İnternet erişim sağlayıcısının kesiştiğini gösteren açık etki alanlarının bileşimleridir. .net (- - - -.Aubervilliers.opentransit.net) için Fransa Telecom , ya proxad.net (- - - -.intf.routers.proxad.net) için Free .
Bir IP adresi, o adrese tahsis edilmiş .arpa alt etki alanında birkaç PTR girişi kaydederek farklı etki alanı adlarıyla ilişkilendirilebilir (in-addr.arpa. IPv4 ve ip6.arpa. IPv6 için ). Aynı IP adresi için birden çok PTR kaydının kullanılması, aynı IP adresi arkasında birden çok web etki alanının sanal olarak barındırılması bağlamında muhtemelen mevcut olabilir, ancak döndürülecek PTR alanlarının sayısı yanıtın istenen değeri aşmasına neden olabileceğinden önerilmez. UDP yanıt paketlerinin boyutu ve DNS sorgusuna yanıtı göndermek için TCP (kaynaklarda daha pahalı) kullanımına neden olur .
CIDR ters çözünürlükTers bölgelerin delegasyonları, adres blokları sınıfsal olarak dağıtıldığında çalışan ancak atanan bloklar herhangi bir boyutta olduğunda sorunlara neden olan bir bayt sınırındadır .
Örneğin, iki istemci A ve B'nin her birinin 192.168.0.0/25 ve 192.168.0.128/25 blokları varsa, 0.168.192.in-addr.arpa'ya yetki vermek mümkün değildir. ana bilgisayarlarına karşılık gelen PTR'leri tanımlayabilmesi için birincisine, çünkü bu ikincinin aynı şeyi yapmasını engelleyecektir.
RFC 2317 tanımlar bir yaklaşım, bu sorunu çözmek için, bu ara alan ve CNAME'i kullanımını sağlamaktır.
$ORIGIN 0.168.192.in-addr.arpa. 0/25 NS ns.clientA.fr. 128/25 NS ns.clientB.fr. 0 CNAME 0.0/25.0.168.192.in-addr.arpa. 1 CNAME 1.0/25.0.168.192.in-addr.arpa. ... 127 CNAME 127.0/25.0.168.192.in-addr.arpa. 128 CNAME 128.128/25.0.168.192.in-addr.arpa. ... 255 CNAME 255.128/25.0.168.192.in-addr.arpa.İstemci A, bölge 0 / 25.0.168.192.in-addr.arpa'yı tanımlar. :
$ORIGIN 0/25.0.168.192.in-addr.arpa. 1 PTR hote1.clientA.fr. ... 127 PTR hote127.clientA.fr.İstemci B, 128/25.0.168.192.in-addr.arpa için de aynısını yapar. ve 128 ila 255 arası adresler.
192.168.0.1'i tersine çevirmek aşağıdaki sorgulara neden olur:
1.0.168.192.in-addr.arpa. CNAME 1.0/25.0.168.192.in-addr.arpa. 1.0/25.0.168.192.in-addr.arpa. PTR hote1.clientA.fr.Bu, ek bir dolaylı seviye ile ters çözünürlüğün çalışmasını sağlar.
Kök sunucular on iki farklı kuruluş tarafından yönetiliyor: ikisi Avrupa, biri Japon ve diğer dokuzu Amerikan. Bu sunuculardan yedisi, anycast tekniği kullanılarak dünya çapında dağıtılır ve dokuzunun bir IPv6 adresi vardır . Anycast sayesinde dünya çapında 50 ülkede 200'den fazla sunucu bu hizmeti sağlıyor. a'dan m.root-servers.net'e çağrılan 13 isim yetkilisi var. Sunucu k , örneğin saniyede 70.000 ila 100.000 istek sırasını alır.nisan 2019.
DNS, kök sunucuların listesini keşfetmek için bir mekanizma sağlamaz , bu nedenle her sunucu, açık bir kodlama sayesinde başlangıçta bu listeyi bilmelidir. Bu liste daha sonra belirtilen sunuculardan birine danışılarak güncellenir. Bu liste, daha eski sunucuların çalışmaya devam etmesi için seyrek olarak güncellenir.
Tam nitelikli alan adı (FQDN) veya tam nitelikli alan adı , üst düzey etki alanına (TLD) kadar tüm alanlar dahil olmak üzere mutlak terimlerle yazılmış bir alan adı , bir nokta ile noktalanır, örneğin fr.wikipedia.org.
Standart, bir alan adının ( etiket adı verilen ) bir öğesinin 63 karakteri, bir FQDN'nin 253 karakteri aşamamasını sağlar.
İlk tanımlarında, alan adları A'dan Z'ye kadar olan karakterlerden (büyük harfler farklı değildir), rakamlardan ve kısa çizgiden oluşur.
RFC 3490 tanımlar, bir format Punycode daha büyük bir karakter kümesinin kodlayan sağlar.
Bir hizmet önemli trafik oluşturduğunda, birkaç IP adresini bir FQDN ile ilişkilendirmeyi içeren yük dengeleme tekniklerinden biri olan Round-Robin DNS tekniğini (Fransız turnike DNS'sinde) çağırabilir . Örneğin fr.wikipedia.org gibi Wikipedia'nın farklı sürümleri birkaç IP adresiyle ilişkilendirilir: 207.142.131.235, 207.142.131.236, 207.142.131.245, 207.142.131.246, 207.142.131.247 ve 207.142.131.248. Bu adreslerin döndürülme sırası bir istekten diğerine değişecektir. Bu çeşitli adresler arasındaki dairesel bir dönüş, bu önemli trafik tarafından üretilen yükün, bu IP adreslerine sahip çeşitli makineler arasında dağıtılmasını mümkün kılar. Ancak, bu dağıtım yalnızca ana bilgisayar adı çözümlendiğinde gerçekleştiğinden ve daha sonra çeşitli çözümleyicilerde (DNS istemcisi) önbellekte kaldığından nitelikli olmalıdır .
Kaynak kaydının türü (Kaynak Kaydı için RR) 16 bitte kodlanmıştır, IANA atanan kodların kaydını tutar. Tanımlanan ana kayıtlar şunlardır:
NS kaydı, bir alt etki alanından bir sunucu listesine bir temsilci oluşturur.
Kuruluş bölgesinde , aşağıdaki NS kayıtları wikipedia alt etki alanını oluşturur ve bunu belirtilen sunuculara devreder.
Sunucuların sırası isteğe bağlıdır. Listelenen tüm sunucular alan adı için yetkili olmalıdır.
wikipedia NS ns1.wikimedia.org. wikipedia NS ns2.wikimedia.org. wikipedia NS ns0.wikimedia.org.Bir A veya AAAA girişinin aksine, bir PTR girişi, bir IPv4 veya IPv6 adresinin hangi ana bilgisayar adına karşılık geldiğini gösterir . Belirtilmişse, bir DNS A veya AAAA girişinin ters kaydını içermelidir.
Örneğin (bir IPv4 adresi için ) bu PTR kaydı:
232.174.198.91.in-addr.arpa. IN PTR text.esams.wikimedia.org.bu A girişine karşılık gelir:
text.esams.wikimedia.org. IN A 91.198.174.232IPv6 adresi olması durumunda , PTR tipi girişler ip6.arpa bölgesinde saklanır. ( IPv4 adreslerinin in-addr.arpa bölgesinden kolye ).
Bir IPv6 adresine karşılık gelen girişi bulma kuralı, IPv4 adreslerine benzerdir ( adres tersine çevirme ve arpa bölgesinin ayrılmış bir alt etki alanında arama.), Ancak adı yazmak için kullanılan adresin bit sayısı farklıdır. PTR alanının aranacağı alan: burada IPv4 için adres bölme bayt ile yapılır, IPv6 için kullanılan kemirme ile bölmedir .
Örneğin, IPv6 adresinde:
2001:610:240:22:::c100:68balan adıyla eşleşir:
b.8.6.0.0.0.1.c.0.0.0.0.0.0.0.0.2.2.0.0.0.4.2.0.0.1.6.0.1.0.0.2.ip6.arpa. PTR www.ipv6.ripe.net.DNS MX girişi, belirli bir etki alanındaki bir kullanıcıya e-posta göndermek için iletişim kurulacak SMTP sunucularını belirtir . Örneğin :
wikimedia.org. IN MX 10 mchenry.wikimedia.org. wikimedia.org. IN MX 50 lists.wikimedia.org.@wikimedia.org adresine gönderilen e-postaların mchenry.wikimedia.org sunucusuna gönderildiğini görüyoruz. veya listeler.wikimedia.org. Sunucudan önceki sayı önceliği temsil eder. En düşük sayısal önceliğe sahip sunucu önce kullanılır. Yani burada mchenry.wikimedia.org. 10 değeriyle önce kullanılmalıdır.
Belirtilen sunucular, belirtilen alan adı için geçiş postasını kabul edecek şekilde yapılandırılmış olmalıdır. Yaygın bir hata, herhangi bir sunucuyu ikincil sunucu olarak belirlemektir; bu, birincil sunucuya erişilemediğinde postanın reddedilmesine neden olur. İkincil sunuculara sahip olmak şart değildir; gönderen sunucular, birincil sunucu tekrar kullanılabilir olana kadar mesajları belirli bir süre (genellikle birkaç gün) tutar.
MX girişleri, aynı şeyin sadece SMTP (e-posta) için değil, tüm hizmetler için yapılmasına izin veren SRV girişleri tarafından genelleştirilir . SRV girişlerinin MX girişlerine göre avantajı, daha verimli yük dengelemenin yanı sıra her hizmet için isteğe bağlı bir bağlantı noktasının seçilmesine izin vermeleridir . Dezavantajı, SRV girişlerini işleyen birkaç istemci programı olmasıdır. Ancak 2009 yılından itibaren VoIP üzerinden SIP servislerinin kullanımının artmasıyla birlikte DNS bölgelerinde SRV kayıtları daha yaygın hale gelmektedir.
CNAME kaydı, bir takma ad oluşturmak için kullanılır .
Örneğin :
fr.wikipedia.org. IN CNAME text.wikimedia.org. text.wikimedia.org. IN CNAME text.esams.wikimedia.org. text.esams.wikimedia.org. IN A 91.198.174.232Bu, başka herhangi bir kaydı ( RFC 1034 bölüm 3.6.2, RFC 1912 bölüm 2.4), yani aynı alan adı için hem CNAME hem de A kaydınız olamaz.
Örneğin, bu yasaktır:
fr.wikipedia.org. IN CNAME text.wikimedia.org. fr.wikipedia.org. IN A 91.198.174.232Ayrıca, performans nedenleriyle ve türdeki sonsuz döngülerden kaçınmak için
fr.wikipedia.org. IN CNAME text.wikimedia.org. text.wikipedia.org. IN CNAME fr.wikimedia.org.spesifikasyonlar ( RFC 1034 bölüm 3.6.2, RFC 1912 bölüm 2.4), bir CNAME'i başka bir CNAME'e veya bir DNAME'ye (bir ad ve tüm alt adları için diğer ad) yönlendirmemeyi önerir.
Böylece, ilk örnek tercihen aşağıdaki gibi kaydedilecektir:
fr.wikipedia.org. IN CNAME text.esams.wikimedia.org. text.wikimedia.org. IN CNAME text.esams.wikimedia.org. text.esams.wikimedia.org. IN A 91.198.174.232Yaygın (bunlar çoğunlukla tarafından kullanılan şu anda kullanılmaz ENUM ), bir a yeniden yazma tarif anahtarında (a alan adı) URI . Örneğin, ENUM'da, bir kişinin e-posta adresini bulmak için NAPTR kayıtları, telefon numarasını (bu, ENUM için bir anahtar görevi görür) bilmek için kullanılabilir.
Parametreleri sırayla:
NAPTR kaydı, RFC 3403 tarafından tanımlanır .
Bu kayıt, ana (birincil) ad sunucusunu, teknik irtibat kişisinin e-posta adresini (bir nokta ile değiştirilen @ ile) ve sona erme parametrelerini belirtmenize olanak tanır.
DNS hiyerarşisinde yetkiyi (yetki başlangıcı ) veya bölgeden sorumlu kişiyi belirtir . Bu, DNS bölgesinin doğum belgesidir.
Bu parametreler sırayla:
wikipedia.org. IN SOA ns0.wikimedia.org. hostmaster.wikimedia.org. 2010060311 43200 7200 1209600 3600BIND'nin ( adlandırılmış ) son sürümleri, sırasıyla dakika, saat, gün veya hafta cinsinden bir zaman aralığını belirtmek için M, H, D veya W soneklerini kabul eder.
Her kayıt, bir önbellek sunucusunda ne kadar süreyle tutulabileceğini belirleyen bir Yaşam Süresi (TTL) ile ilişkilendirilir . Bu süre tipik olarak bir gündür (86400 s) ancak NS kayıtları gibi nadiren değişen bilgiler için daha yüksek olabilir. TTL'yi sıfır olarak belirterek bilgilerin önbelleğe alınmaması gerektiğini belirtmek de mümkündür.
Web tarayıcıları gibi bazı uygulamalar da bir DNS önbelleğine sahiptir, ancak bu mutlaka DNS TTL'ye uymaz. Bu uygulama önbelleği genellikle bir dakika kadardır, ancak örneğin Internet Explorer , yapılandırılan TTL'den bağımsız olarak bilgileri 30 dakikaya kadar saklar.
Bir etki alanı, bu alt etki alanına ait bir ad sunucusuna devredildiğinde, döngüsel yönlendirmelerden kaçınmak için bu sunucunun IP adresini de sağlamak gerekir. Bu, bir etki alanının bilgilerinin DNS'de başka bir yerde çoğaltılmadığı genel ilkesinden sapar.
Örneğin, wikimedia.org alanı için NS'lerle ilgili aşağıdaki yanıtta:
wikimedia.org. IN NS ns2.wikimedia.org. wikimedia.org. IN NS ns1.wikimedia.org. wikimedia.org. IN NS ns0.wikimedia.org.Söz konusu etki alanının bir parçası olduklarından , yanıtta belirtilen sunucuların IP adreslerini de sağlamak gerekir ( yapıştırıcı kayıtlar ):
ns0.wikimedia.org. IN A 208.80.152.130 ns1.wikimedia.org. IN A 208.80.152.142 ns2.wikimedia.org. IN A 91.198.174.4Dinamik DNS (DDNS) adlı bir DNS uzantısı , bir istemcinin bir bölgeyi onunla ilgili bilgilerle güncellemesine olanak tanır ( RFC 2136). Bu, istemciler DHCP'den bir IP adresi aldıklarında ve DNS'nin makinenin gerçek adını yansıtmasını istediklerinde kullanışlıdır .
Güncellemeler, etki alanının birincil sunucusunda yapılır, ikincil sunucular, bölge aktarımı adı verilen bir mekanizmada birincil sunucudan bilgileri kopyalar . Bir bölge aktarımının gerçekleşip gerçekleşmeyeceğini belirlemek için ikincil sunucu, bölgenin sürüm numarasına bakar ve sahip olduğu sürümle karşılaştırır. Birincil sunucu, sürüm numarasının ne sıklıkta kontrol edileceğini belirler. Bir değişiklik yapıldığında, sunucular süreci hızlandırmak için ikincil sunuculara bildirim mesajları gönderir.
Ancak artık güncel olmayan bilgiler önbellek sunucularında tutulabilir. Daha sonra bu gizli bilgilerin kaybolması ve dolayısıyla güncellemenin tam olarak etkili olması için Yaşam Sürelerinin sona ermesini beklemek gerekir. Bir değişiklik işleminden önce değiştirilecek olan alan adlarıyla ilişkili TTL'yi azaltarak gereken süre en aza indirilebilir.
Ad sunucularının listesi değiştiğinde veya bir ' Yapıştırıcı kaydına ' tabi olan bir IP adresi değiştiğinde, üst düzey etki alanının yöneticisi ilgili güncellemeyi yapmalıdır.
Tek tek hata noktalarından kaçınmak için altyapıyı yetkili sunucular arasında paylaşmaktan kaçınırsınız. İkincil bir sunucu tercihen yerelleştirilmeyecek ve birincil sunucudan farklı şekilde yönlendirilecektir.
Bu teknik olarak mümkün olsa da, aynı sunucuda özyinelemeli DNS ve yetkili sunucunun rolünü karıştırmaktan kaçınıyoruz.
Benzer şekilde, bir ana bilgisayar birden çok özyinelemeli sunucu ile yapılandırılacaktır, böylece ilki isteğe yanıt vermezse bir sonraki kullanılacaktır. Genel olarak, ISP'ler tarafından sağlanan özyinelemeli sunucular, diğer ISP'lere ait IP adreslerinden gelen istekleri reddeder.
Açık özyinelemeli DNS hizmetleri vardır, yani tüm istemcilerden gelen istekleri kabul ederler. Bu nedenle, bir kullanıcının ISP tarafından sağlananlar yerine bunları yapılandırması mümkündür. Ancak bu, aşağıdaki sorunları ortaya çıkarır:
DNS protokolü, güvenlik için minimum endişe ile tasarlanmıştır. O zamandan beri birkaç DNS protokolü güvenlik açığı tespit edildi. DNS'deki ana kusurlar, içinde yayınlanan RFC 3833'te açıklanmıştır .Ağustos 2004.
Öne sürülen kusurlardan biri, iletilen paketlere müdahale etme olasılığıdır. DNS sunucuları benzersiz, imzasız paketler kullanarak iletişim kurar. Bu iki özellik, müdahaleyi çok kolaylaştırır. Engelleme, özellikle “ortadaki adam” tipi bir saldırı, aktarılan verileri dinleme ve sahte bir yanıt gönderme gibi farklı şekillerde gerçekleşebilir (aşağıdaki paragrafa bakın).
DNS sunucularının paketleri zayıf güvenlidir, bir istek numarasıyla kimliği doğrulanır, yanlış paketler üretmek mümkündür. Örneğin http://mabanque.example.com sitesine erişmek isteyen bir kullanıcı DNS sitesine istekte bulunur. Bu noktada, bir bilgisayar korsanının yalnızca DNS sunucusu ve kullanıcının bir kimlik avı sitesine girmesinden önce kullanıcının isteğine yanıt vermesi gerekir .
Sunucu ihaneti veya veri bozulması, teknik olarak paket müdahalesiyle aynıdır. Tek fark, kullanıcının isteğini gönüllü olarak sunucuya göndermesinden kaynaklanmaktadır. Bu, örneğin, DNS sunucusunun operatörü bir iş ortağını vurgulamak istediğinde olabilir.
DNS önbellek zehirlenmesi, DNS sunucularını hileliyken geçerli bir istek aldıklarına inandırmak için kullanılan bir tekniktir.
Hizmet reddi saldırısı (veya hizmet reddi saldırısı veya DoS saldırısı), bir bilgisayar sunucusuna yapılan ve sunucunun istemcilerinden gelen isteklere yanıt verememesiyle sonuçlanan bir saldırıdır.
Bu güvenlik açıklarına (veri bozulması, DNS önbellek zehirlenmesi vb.) karşı koymak için DNSSEC protokolü ( RFC 4033, RFC 4034, RFC 4035) geliştirilmiştir. Veri bütünlüğünü sağlamak için asimetrik kriptografi ve dijital imza ilkelerini ve ayrıca istenen kayıt mevcut değilse var olmadığının kanıtını kullanır. DNS kök bölgesi üzerinde oturum açıldı15 Temmuz 2010, ve DNSSEC'nin üst düzey etki alanlarında (TLD: Üst Düzey Etki Alanı) dağıtımı devam ediyor, kapsanan etki alanlarının bir listesi mevcut.
2015 yılından bu yana IETF, DNS iletişim kanalının (DNSSEC'in verileri koruduğu) güvenliği üzerinde çalışmaktadır. Bu, DNS istemcileri ve çözümleyiciler arasındaki iletişimi şifrelemek için TLS kullanımına izin veren birkaç RFC'nin yayınlanmasıyla sonuçlandı . Bunlar başlıca şunlardır: TLS üzerinden DNS ( RFC 7858, 853 numaralı bağlantı noktası kullanılır) ve HTTPS üzerinden DNS ( RFC 8484, DNS isteği bir HTTP isteğinde bulunur ve bir web sunucusu tarafından işlenir).
2018'de, bir çözümleyici ile yetkili bir sunucu arasındaki iletişimi TLS aracılığıyla şifreleme olanağı yoktur.
İçinde temmuz 2008, Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Ekibi'nin önbelleklerini zehirleyen DNS sunucusu güvenlik açığı hakkındaki raporunun yayınlanmasından birkaç gün sonra , birkaç büyük DNS sunucusuna saldırı düzenlendi. En önemlilerinden biri AT&T sunucularına karşı olandı . AT & T'nin DNS sunucularının önbelleğini zehirleyen saldırı, bilgisayar korsanının tüm Google isteklerini bir kimlik avı sitesine yönlendirmesine izin verdi .
DNS genellikle UDP ve 53 numaralı bağlantı noktasını kullanır. Kullanılan maksimum paket boyutu 512 bayttır. Bir yanıt bu boyutu aşarsa, standart, isteğin 53 numaralı TCP bağlantı noktasına geri gönderilmesini sağlar. Ancak bu durum nadirdir ve kaçınılır ve güvenlik duvarları genellikle 53 numaralı TCP bağlantı noktasını engeller.
EDNS 0 ( RFC 2671) uzantısı , daha büyük bir paket boyutunun kullanılmasına izin verir, desteği hem IPv6 hem de DNSSEC için önerilir.
Standart, sorgularla ilişkili bir sınıf olmasını sağlar . IN (İnternet), CH (Chaos) ve HS ( Hesiod ) sınıfları tanımlanmıştır, pratikte aslında sadece IN sınıfı kullanılmaktadır. Kaos sınıfı , sürüm numarasını ortaya çıkarmak için BIND tarafından kullanılır .
Bir ad ve bir IP adresi arasındaki ilişkiyi kontrol etmek için kullanılan işletim sistemlerine bağlı olarak birkaç komut mevcuttur.
Örneğin Windows'ta nslookup komutu , komut istemi aracılığıyla kullanılabilir:
> nslookup www.google.fr Serveur : Livebox-6370 Address: 192.168.1.1 Réponse ne faisant pas autorité : Nom : www.l.google.com Addresses: 209.85.229.104 209.85.229.106 209.85.229.103 209.85.229.147 209.85.229.105 209.85.229.99 Aliases: www.google.fr www.google.comya kazmak uyumlu sistemlerde UNIX :
> dig www.google.com aaaa ; <<>> DiG 9.7.0-P1 <<>> www.google.com aaaa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47055 ;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 4, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.google.com. IN AAAA ;; ANSWER SECTION: www.google.com. 422901 IN CNAME www.l.google.com. www.l.google.com. 77 IN AAAA 2a00:1450:8004::67 www.l.google.com. 77 IN AAAA 2a00:1450:8004::68 www.l.google.com. 77 IN AAAA 2a00:1450:8004::69 www.l.google.com. 77 IN AAAA 2a00:1450:8004::6a www.l.google.com. 77 IN AAAA 2a00:1450:8004::93 www.l.google.com. 77 IN AAAA 2a00:1450:8004::63 ;; AUTHORITY SECTION: google.com. 155633 IN NS ns2.google.com. google.com. 155633 IN NS ns1.google.com. google.com. 155633 IN NS ns3.google.com. google.com. 155633 IN NS ns4.google.com. ;; Query time: 0 msec ;; SERVER: ::1#53(::1) ;; WHEN: Sun May 23 16:23:49 2010 ;; MSG SIZE rcvd: 292