域名系統(DNS)的任務非常簡單,但也非常重要,隨著在IPv6網路中運行的設備的激增,該服務面臨一些挑戰。乍看之下,域名系統只是執行一組相對簡單的任務。它的主要目的是將易於閱讀和記住的網域轉換為數字IP位址。 IP位址是在區域網路和國際互聯網上識別電腦的基礎。作為DNS功能的例子,TechTarget網站的IPv4位址被DNS解析為206.19.49.102。
因此,在某一方面,DNS作為一種相對簡單的服務來理解。然而,如果人們深入了解一下,就會發現DNS由於其層次性和分散性而充滿複雜性。這也是一個存在著許多安全漏洞的日益老化的系統,人們擔心它可能無法滿足日益增長的全球需求,以及無法跟上網路趨勢的變化。
DNS的功能與架構
根據網路號碼分配機構(IANA)的統計,全球只有13個DNS根伺服器系統。在這13個DNS根伺服器系統中,有成千上萬的DNS伺服器扮演根伺服器角色。 DNS功能使用層次結構來管理來自頂級和二級域的數百萬個IP位址對映。而在這個層次結構的最底層,大中型組織經常在本地維護自己的子DNS伺服器,以便將專用伺服器對應到內部DNS名稱。當需要本地業務域以外的伺服器解析時,這些DNS伺服器會與遞歸解析器DNS伺服器聯繫。遞歸解析器伺服器通常是網際網路上的網際網路服務供應商(ISP)或第三方DNS服務。如果遞歸解析器伺服器沒有DNS所查詢的答案,其請求繼續向上請求查詢,直到到達根伺服器。雖然DNS的底層架構自成立以來一直沒有變化,但正在使用的DNS伺服器數量仍在增加。
安全仍是首要關注的問題
DNS管理人員在2018年最擔心的問題是如何處理不可避免的各種漏洞攻擊、錯誤配置和分散式拒絕服務(DDoS)攻擊。 2016年,DNS服務供應商Dyn公司遭遇了大規模DDoS攻擊,其中包括Twitter,GitHub和Spotify在內的主要網路網站也遭遇攻擊。並在同年,雲端運算服務供應商Scalr公司的一位管理員錯誤地刪除了由於「有缺陷的邏輯」而導致的DNS記錄,斷開了其客戶網站的網路連接,造成了不良影響。此外,在一些流行的DNS伺服器軟體中仍存在新的漏洞。谷歌公司在2017年10月發現了流行的Dnsmasq伺服器軟體中存在幾個遠端程式碼漏洞。這樣的情況比比皆是。關鍵DNS伺服器上的故障和攻擊仍然是互聯網的薄弱環節之一。儘管有許多方法和概念可以修復這些安全問題,但進展比較緩慢。
端點的指數級成長和IPv6的影響
幾乎每個駐留在IP網路上的端點都依賴DNS伺服器來尋找其他網路連線資源。雖然目前全球有80億至90億台物聯網設備,但根據調查機構Gartner 公司的預測,到2020年底,這一數字將增加一倍以上,物聯網設備將超過200億台。因此,除非營運中的DNS伺服器數量顯著增加,或DNS查詢流程得以簡化,否則物聯網設備的翻倍成長預計會給DNS伺服器帶來巨大的壓力。
2018年DNS伺服器部署的最大顛覆性影響可能是由於IPv6-only網路中運行的物聯網設備數量的增加。直到最近,IPv6 DNS發現的獨特問題已被大多數IPv6部署以雙堆疊模式運行的事實所掩蓋。雙堆疊是指端點同時運行IPv4和IPv6。但是,越來越多的網路供應商(特別是行動互聯網公司)正在開始推出IPv6協議,而不是與IPv4協議一起雙重堆疊地使用。
隨著這種只支援IPv6的設備的趨勢繼續發展,支援無狀態位址自動配置和DHCPV6(動態主機配置協定第6個版本)的架構問題可能會將IPv6 DNS伺服器部署分配到全球各地。因此,網路技術人員必須迅速解決這些低效率問題。
結論
有人說,DNS功能只是一個重要的網路標準和協議清單中的一個項目,但這麼說有些輕描淡寫。由於人們繼續依賴互聯網開展業務和個人使用,DNS執行的功能使其成為人們當今應用的最重要的服務之一。 隨著全球互聯網使用量的增加,並且隨著人們採用或遷移到新的更好的網路技術,DNS在效能、可靠性和可擴展性方面仍然保持至關重要的地位。