YOUexample.com?93.184.215.14DNSresolvercache + recurse

Máy chủ DNS

11 đọc tối thiểuMạng

Mọi kết nối trên Internet đều bắt đầu bằng việc tra cứu DNS — chuyển đổi tên như example.com thành địa chỉ IP mà máy tính của bạn có thể kết nối. Cơ sở hạ tầng giúp cho hoạt động này hoạt động là một trong những phần được sử dụng nhiều nhất và ít được hiểu nhất trên Internet hiện đại, với nhiều loại máy chủ đóng vai trò riêng biệt trong mỗi yêu cầu.

Toàn bộ nội dung bài viết được cung cấp bằng tiếng Anh bên dưới.

A DNS server là bất kỳ máy tính nào trả lời các truy vấn Hệ thống tên miền. Hệ thống DNS có nhiều vai trò — trình phân giải đệ quy, máy chủ có thẩm quyền, máy chủ gốc, máy chủ TLD — cùng nhau biến tên thành địa chỉ IP. Hiểu vai trò nào sẽ làm rõ ai nhìn thấy truy vấn của bạn, chúng đến từ đâu và cách bảo vệ chúng.

Bốn loại máy chủ DNS

  • Trình phân giải đệ quy. Máy chủ DNS mà thiết bị của bạn giao tiếp. Nó thực hiện công việc tìm câu trả lời, truy vấn các máy chủ khác nếu cần và lưu trữ kết quả. Ví dụ: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), trình phân giải ISP của bạn.
  • Root máy chủ. 13 máy chủ gốc logic (với nhiều phiên bản vật lý, mỗi máy chủ thông qua Anycast) — A đến M — biết máy chủ nào xử lý các miền cấp cao nhất (.com, .org, .uk, v.v.). Được vận hành bởi các tổ chức do ICANN phối hợp.
  • TLD. Các máy chủ Một cho mỗi miền cấp cao nhất. .com được điều hành bởi Verisign; .org của Cơ quan đăng ký lợi ích công cộng; mã quốc gia theo NIC quốc gia. Họ biết máy chủ nào có thẩm quyền đối với các miền riêng lẻ theo TLD.
  • Máy chủ có thẩm quyền. Các máy chủ DNS lưu giữ các bản ghi thực tế cho một miền (A, AAAA, MX, TXT, v.v.). Ví dụ: example.com, máy chủ có thẩm quyền là bất kỳ máy chủ nào được chủ sở hữu tên miền định cấu hình tại công ty đăng ký.

A, từng bước

Bạn nhập example.com vào trình duyệt của mình. Điều gì xảy ra:

  1. Trình duyệt của bạn yêu cầu Hệ điều hành cung cấp IP của example.com.
  2. Hệ điều hành kiểm tra bộ đệm cục bộ của nó; nếu không tìm thấy, hãy truy vấn trình phân giải đã định cấu hình (thường là bộ định tuyến của bạn, chuyển tiếp tới trình phân giải của ISP hoặc trình phân giải công khai).
  3. Trình phân giải đệ quy sẽ kiểm tra bộ đệm của nó. Nếu không tìm thấy, hãy bắt đầu tra cứu.
  4. Trình phân giải truy vấn máy chủ root cho ".com". Thư mục gốc trả lời bằng tên và IP của máy chủ TLD .com.
  5. Trình phân giải truy vấn máy chủ TLD .com cho example.com. Máy chủ TLD trả lời bằng tên và IP của các máy chủ có thẩm quyền của example.com.
  6. Trình phân giải truy vấn máy chủ có thẩm quyền để tìm bản ghi A của example.com. Máy chủ có thẩm quyền trả lời bằng IP.
  7. Trình phân giải trả lại IP cho hệ điều hành, hệ điều hành này trả IP đó về trình duyệt để kết nối.

Hầu hết các bước đều được lưu vào bộ nhớ đệm. Một miền phổ biến như google.com được cung cấp từ bộ nhớ đệm trong hơn 99% thời gian; chỉ các truy vấn mới, không được lưu trong bộ nhớ đệm mới thực hiện toàn bộ bước đi.

PLZ53X

Trình phân giải DNS công khai

Các trình phân giải DNS công khai miễn phí chính và những gì chúng cung cấp:

  • 1.1.1.1 (Cloudflare) — nhanh chóng, tập trung vào quyền riêng tư, được kiểm tra bởi KPMG. Triển khai Anycast.
  • 8.8.8.8 (Google) — nhanh, được sử dụng rộng rãi, Google giữ lại một số nhật ký truy vấn.
  • 9.9.9.9 (Quad9) — có trụ sở tại Thụy Sĩ, chặn các miền độc hại đã biết, không ghi nhật ký truy vấn content.
  • 208.67.222.222 (Cisco OpenDNS) — trình phân giải công khai chính thống ban đầu. Cung cấp các cấp lọc.
  • NextDNS — lọc có thể tùy chỉnh, trả phí cho người dùng thành thạo.
  • AdGuard DNS — chặn quảng cáo và trình theo dõi ở cấp DNS.

Chọn trình phân giải công khai so với ISP của bạn: thường nhanh hơn, thường riêng tư hơn (tùy thuộc vào chính sách của trình phân giải), đôi khi có thể bỏ qua việc chặn miền cấp ISP.

Tại sao lựa chọn DNS của bạn lại quan trọng đối với quyền riêng tư

Trình phân giải của bạn nhìn thấy mọi miền bạn truy cập. Các trình phân giải ISP trong lịch sử đã ghi lại điều này. Một số vẫn làm như vậy và một số đã kiếm tiền từ dữ liệu. Các trình phân giải công khai có chính sách bảo mật mạnh mẽ (1.1.1.1, Quad9 của Cloudflare) là một cải tiến trên hầu hết các mặc định của ISP.

Encrypted DNS — DNS qua HTTPS, DNS qua TLS, DNSCrypt — bảo vệ hơn nữa các truy vấn từ bất kỳ ai trên mạng giữa bạn và trình phân giải. Nếu không mã hóa, Wi-Fi khách sạn của bạn sẽ thấy các truy vấn DNS đơn giản ngay cả khi lưu lượng truy cập web thực tế là HTTPS.

Bản ghi DNS bạn sẽ gặp

  • A — Địa chỉ IPv4 cho một tên
  • AAAA — Địa chỉ IPv6
  • CNAME — bí danh chỉ một tên vào một tên khác
  • MX — máy chủ thư cho miền
  • TXT - văn bản tùy ý. Được sử dụng cho SPF, DKIM, xác minh quyền sở hữu miền
  • NS — máy chủ tên có thẩm quyền cho miền
  • SOA — bắt đầu cấp quyền, xác định các tham số của vùng
  • CAA — CA nào được phép cấp chứng chỉ cho domain
  • HTTPS — loại bản ghi mới hơn, cho phép trình duyệt tìm hiểu hỗ trợ HTTP/3 trước khi kết nối

Cách kiểm tra DNS

  • dig example.com — dòng lệnh Unix; đầu ra kỹ lưỡng
  • dig +trace example.com — hiển thị từng bước từ gốc đến có thẩm quyền
  • nslookup example.com — công cụ cũ hơn, hoạt động trên Windows
  • host example.com — một dòng đơn giản hơn câu trả lời
  • Kiểm tra rò rỉ DNS của chúng tôi cho bạn biết trình phân giải nào mà thiết bị của bạn thực sự đang sử dụng

Câu hỏi thường gặp

Việc thay đổi máy chủ DNS của tôi có làm cho Internet nhanh hơn không?
Thỉnh thoảng. Nếu trình phân giải ISP của bạn chậm hoặc xa về mặt địa lý, việc chuyển sang 1.1.1.1 hoặc 8.8.8.8 có thể giảm hàng chục mili giây khỏi quá trình tra cứu DNS trong lần truy cập đầu tiên. Trên hầu hết các mạng hiện đại, sự khác biệt là nhỏ vì bộ đệm của trình phân giải đã ấm.
Ai điều hành máy chủ DNS gốc?
Mười hai tổ chức vận hành 13 máy chủ logic gốc — các trường đại học (ví dụ: Đại học Maryland), các công ty (Verisign), cơ quan chính phủ (DoD NIC) và các tổ chức phi lợi nhuận (ICANN, Internet Systems Consortium). Mỗi chữ cái gốc được sao chép trên hàng trăm trang web vật lý thông qua Anycast. Không có cơ quan trung ương nào giữ DNS làm con tin; cấu trúc đã được phân cấp một cách có chủ ý.
Tôi có thể chạy trình phân giải DNS của riêng mình không?
Đúng. Pi-hole, AdGuard Home, Unbound và BIND là những lựa chọn phổ biến. Trình phân giải tự lưu trữ cung cấp cho bạn toàn quyền kiểm soát bộ nhớ đệm, lọc và ghi nhật ký. Sự đánh đổi: bạn duy trì nó và trình phân giải mới bắt đầu có các truy vấn đầu tiên chậm hơn so với truy vấn công khai có bộ đệm ấm.
Sự khác biệt giữa DNS đệ quy và có thẩm quyền là gì?
Trình phân giải <em>recursive</em> thực hiện công việc tìm câu trả lời bằng cách truy vấn các máy chủ khác. Máy chủ <em>authoritative</em> lưu giữ các bản ghi thực tế cho một vùng cụ thể và trả lời các câu hỏi về vùng đó. Các trình phân giải công khai (1.1.1.1) có tính đệ quy; máy chủ tên miền của bạn trỏ đến có thẩm quyền.
DNS xử lý sự cố máy chủ như thế nào?
Hầu hết các miền đều có ít nhất hai máy chủ tên có thẩm quyền ở các vị trí khác nhau. Nếu một cái không thể truy cập được, trình phân giải sẽ thử cái tiếp theo. TTL (Giá trị thời gian tồn tại) giới hạn thời gian tồn tại của một câu trả lời cũ trong bộ đệm. Các lỗi DNS nghiêm trọng vẫn xảy ra — sự cố ngừng hoạt động vào tháng 10 năm 2021 của Facebook là một lần rút DNS khiến toàn bộ dịch vụ toàn cầu ngừng hoạt động — nhưng giao thức này được thiết kế cho các trường hợp ngừng hoạt động máy chủ thông thường.
Giải thích về máy chủ DNS: Cách tra cứu tên miền thực sự hoạt động