آنچه در این مقاله میخوانید [پنهانسازی]
دنیای اینترنت بر پایه آدرسهای عددی پیچیده، معروف به آدرسهای پروتکل اینترنت (IP)، بنا شده است. با این حال، استفاده روزمره کاربران از اینترنت، نیازمند به خاطر سپردن نامهای دامنه قابل خواندن برای انسان، مانند «google.com» یا «www.companywebsite.com» است.
سیستم نام دامنه (DNS) وظیفه حیاتی تبدیل این نامهای دامنه به آدرسهای IP عددی را بر عهده دارد که توسط ماشینها قابل خواندن هستند. سرورهای DNS دستگاههایی هستند که بهطور خاص برای پاسخگویی به این پرسوجوهای DNS و هدایت مرورگرها به سمت سرورهای اصلی یا سرورهای لبه شبکه تحویل محتوا (CDN) طراحی شدهاند.
سرور DNS، که اغلب به عنوان «دفترچه تلفن اینترنت» شناخته میشود، کامپیوتری است که شامل یک پایگاه داده از آدرسهای IP عمومی مرتبط با نام وبسایتها است. هر دستگاه متصل به اینترنت دارای آدرس IP خاص خود است که توسط دستگاههای دیگر برای مکانیابی آن استفاده میشود. بدون DNS، کاربران مجبور بودند آدرسهای IP عددی تمام وبسایتهایی که بازدید میکنند را حفظ کنند. این سرورها فرآیند یافتن آدرس IP صحیح برای یک آدرس یکسان منبع (URL) وبسایت را آغاز میکنند تا مرورگر بتواند کاربر را به مقصد درست هدایت کند. سرورهای DNS برای اطمینان از تجربه مرور مثبت و ارتباطات اینترنتی سریع و قابل اعتماد ضروری هستند.
در یک فرآیند معمول جستجوی DNS که در آن از دادههای کششده استفاده نمیشود، چهار نوع سرور با همکاری یکدیگر کار میکنند تا آدرس IP را به کلاینت (کاربر) تحویل دهند. این فرآیند با وارد کردن URL توسط کاربر در مرورگر شروع میشود، اما از آنجایی که سرورها فقط میتوانند آدرسهای IP را بخوانند، سرور DNS باید آدرس IP متناظر را پیدا کرده و برای مرورگر بفرستد. این چهار سرور که به ترتیب با هم ارتباط برقرار میکنند، عبارتند از تفکیککننده بازگشتی DNS، سرورهای نام ریشه، سرورهای نام دامنه سطح بالا (TLD) و سرورهای نام معتبر.
در دوره نتورک پلاس (+Network) از صفر تا مفاهیم پایهای شبکه، OSI، TCP/IP، DHCP، DNS، Subnetting و اصول امنیت شبکه را یاد میگیرید تا بتوانید مثل یک متخصص شبکه ساختار اینترنت را تحلیل و عیبیابی کنید.
تفکیککننده بازگشتی، درخواست را از کلاینت DNS دریافت میکند و سپس با سایر سرورهای DNS تعامل میکند تا آدرس IP صحیح را پیدا کند. پس از دریافت درخواست، تفکیککننده خود به عنوان یک کلاینت عمل کرده و پرسوجوهایی را به سه نوع سرور دیگر (ریشه، TLD و معتبر) ارسال میکند.
سرور نام ریشه اولین گام در تبدیل نام دامنه قابل خواندن به آدرس IP است. وظیفه آن پاسخ دادن به درخواستهایی است که به آن ارسال میشود و با بازگرداندن فهرستی از سرورهای نام معتبری که با TLD صحیح (مانند .com یا .net) مرتبط هستند، پاسخ میدهد.
سرور TLD آدرس IP دامنه سطح دوم موجود در نام TLD را نگهداری میکند. این سرور سپس با آدرس IP سرور نام معتبر دامنه پاسخ میدهد و پرسوجو را به آنجا میفرستد.
سرور نام معتبر پاسخی واقعی به پرسوجوی DNS ارائه میدهد و اطلاعات سوابق DNS را نگهداری میکند. این سرور، آدرس IP سرور اصلی را به تفکیککننده بازمیگرداند. سرورهای نام معتبر دو نوع دارند: سرور اصلی (Master Server) که نسخههای اصلی سوابق منطقه را نگهداری میکند و سرور ثانویه (Slave Server) که یک کپی دقیق از سرور اصلی است و به عنوان پشتیبان عمل کرده و بار سرور را تقسیم میکند.
سیستم عامل (OS) دستگاه شما میتواند سوابق منبع DNS را با استفاده از کشینگ (Caching) ذخیره کند. کشینگ از تکرار فرآیند جستجو جلوگیری کرده و زمان لازم برای دسترسی به وبسایت را به شدت کاهش میدهد.
اگر دستگاه اخیراً به صفحهای که تلاش میکند به آن دسترسی یابد مراجعه کرده باشد، تفکیککننده میتواند فرآیند جستجوی معمول را نادیده گرفته و به سادگی آدرس IP ذخیرهشده در حافظه کش خود را به کلاینت پاسخ دهد. این دادهها برای مدت زمان محدودی ذخیره میشوند که به آن زمان زندگی (TTL) میگویند و صریحاً در سوابق DNS تعیین میشود؛ این امر ضروری است زیرا سرورهای وب گاهی آدرسهای IP خود را تغییر میدهند.
سرورهای DNS عمدتاً به دو دسته کلی تقسیم میشوند که نقشهای متفاوتی در فرآیند ترجمه نام دامنه دارند:
این سرورها اطلاعات سوابق DNS را نگهداری میکنند و دارای نسخهای از “دفترچه تلفن” هستند که آدرسهای IP را به نامهای دامنه مربوطه متصل میکند. آنها مسئول مناطق خاصی (مانند یک سازمان یا کشور) هستند و به پرسوجوهایی که توسط سرورهای DNS بازگشتی ارسال میشوند، پاسخهایی را ارائه میدهند که حاوی آدرسهای IP دامنههای مورد نظر است.
سرور بازگشتی به عنوان یک واسطه عمل میکند و بین کاربر نهایی و سرور معتبر قرار میگیرد. این سرور پس از دریافت URL از کاربر، ابتدا حافظه کش خود را برای یافتن آدرس IP بررسی میکند. اگر آدرس در کش موجود نباشد، فرآیند “بازگشتی” را از طریق درخت DNS برای دسترسی به سوابق دامنه آغاز میکند و پس از دریافت پاسخ از سرور معتبر، آن را برای مدت زمان TTL ذخیره کرده و سپس به مرورگر کاربر ارسال میکند.
از آنجایی که DNS کاربران را قادر میسازد تا به برنامههای کاربردی وب و APIها دسترسی داشته باشند، حفاظت از سرورهای DNS یک اولویت حیاتی برای تیمهای امنیتی فناوری اطلاعات است. هرگونه تهدیدی برای سرورهای DNS، تهدیدی برای عملیات تجاری، سودآوری و اعتماد مشتریان و شرکای تجاری محسوب میشود. با این حال، بسیاری از سازمانها به زیرساخت DNS کافی سرمایهگذاری نکردهاند و به چند سرور متکی هستند که این رویکرد سرویسهای DNS را در برابر حملات متعددی آسیبپذیر میکند.
سرورهای DNS، مانند هر چیز دیگری که به اینترنت متصل است، در برابر طیف وسیعی از حملات و جعل هویت آسیبپذیر هستند. تهدیدات رایج عبارتند از:
حملات DDoS و DNS Flood: این حملات منابع وبسایتها و شبکه را با ترافیک مخرب و درخواستهای DNS عظیم پر میکنند. این امر باعث میشود که سرورها دیگر نتوانند به پرسوجوهای کاربران قانونی پاسخ دهند.
DNS Spoofing یا Cache Poisoning: این یک نوع حمله سایبری است که در آن دادههای خراب DNS به کش دستگاه تفکیککننده وارد میشود و در نتیجه سرور نام، آدرس IP اشتباهی را برمیگرداند و ترافیک را به یک وبسایت جعلی هدایت میکند.
DNS Tunneling: در این روش، از دادههای رمزگذاری شده در پرسوجوها و پاسخهای DNS استفاده میشود تا سرور DNS ربوده شود و به مهاجمان اجازه مدیریت از راه دور را بدهد.
برای تضمین در دسترس بودن و امنیت، راهکارهای متعددی وجود دارد:
افزونگی (Redundancy)
خوشبختانه، امروزه افزونگی زیادی در DNS تعبیه شده است، مانند نمونههای متعدد از سرورهای ریشه و TLD، و داشتن تفکیککنندههای بازگشتی پشتیبان.
مقیاسپذیری و ظرفیت بالا
پلتفرمهای بزرگی مانند Akamai Edge DNS با مقیاس و ظرفیت بینظیر خود، میتوانند بزرگترین حملات DDoS را جذب کنند، در حالی که دسترسی به کاربران را فراهم میسازند.
DNSSEC
این اقدام امنیتی به جلوگیری از حملات ناشی از جعل DNS کمک میکند و امنیت سرورها و کاربران متکی به آنها را تضمین میکند.
مدیریت ترافیک جهانی (GTM)
GTM یک متعادلکننده بار سرور مبتنی بر DNS است که از مقیاس پلتفرم ابری برای توزیع ترافیک بهینه در مراکز داده مختلف استفاده میکند، که منجر به تحمل خطا، عملکرد بالا و در دسترس بودن بدون وقفه میشود.
در حالی که بسیاری از کاربران معمولی ممکن است نیازی به سرور DNS پولی نداشته باشند، سرورهای DNS پولی (پرمیوم) مزایای قابل توجهی را به ویژه برای کسبوکارها فراهم میکنند:
ضمانت در دسترس بودن و عملکرد
سرورهای DNS پولی اغلب با توافقنامه سطح خدمات (SLA) ارائه میشوند که نرخ بالایی از تفکیک DNS (اغلب بین 99% تا 100%) را تضمین میکند و عملکرد سریعتر و بهتری را نوید میدهند. برای مثال، Akamai Edge DNS یک SLA 100% برای زمان کارکرد خدمات DNS حیاتی ارائه میدهد.
پشتیبانگیری و افزونگی (Secondary DNS)
سرور DNS ثانویه اطمینان حاصل میکند که دامنه شما آفلاین نمیشود و یک پشتیبان یا افزونگی ارائه میدهد که در صورت بروز مشکل قابل دسترسی است.
امنیت پیشرفته
DNS پولی یک لایه حفاظتی اضافی برای وبسایت در برابر مهاجمان فراهم میکند. راهکارهای پولی میتوانند از طریق کنترلهایی مانند محدود کردن نرخ (Rate Limiting) درخواستها برای جلوگیری از مصرف بیش از حد منابع در حملات DNS Flood، امنیت را افزایش دهند.
مدیریت آسانتر و ویژگیهای خاص
بسیاری از سرویسهای پولی یک داشبورد برای مدیریت خدمات و همچنین ویژگیهایی مانند Dynamic DNS (DDNS) برای کار با آدرسهای IP متغیر، احراز هویت دو مرحلهای (2FA) برای حفاظت دامنه و خدمات مشتری ارائه میدهند.
کنترل هزینهها
برخی از خدمات مانند Edge DNS، صورتحساب مبتنی بر منطقه (Zone-based billing) را ارائه میدهند، که به شما امکان میدهد هزینههای DNS خود را با دقت بیشتری کنترل کنید و از هزینههای غیرمنتظره ناشی از استفاده بالا جلوگیری نمایید.
سرورهای DNS به عنوان ستون فقرات ترجمه در اینترنت عمل میکنند و نامهای دامنه را به آدرسهای IP تبدیل میکنند تا امکان دسترسی سریع و قابل اعتماد به وبسایتها و برنامهها فراهم شود. فرآیند جستجوی DNS شامل همکاری چهار جزء اصلی (تفکیککننده، ریشه، TLD و معتبر) است که از مکانیسم کشینگ برای سرعت بخشیدن به این فرآیند استفاده میکنند.
در دسترس بودن و امنیت سرورهای DNS برای عملیات تجاری بسیار حیاتی است، زیرا حملاتی مانند DDoS و DNS Spoofing میتوانند آسیبهای جدی وارد کنند. به همین دلیل، استفاده از راهحلهای پیشرفته مانند Akamai Edge DNS که افزونگی، مقیاسپذیری بالا و کنترلهای امنیتی مانند DNSSEC را فراهم میکنند، برای محافظت از زیرساختهای آنلاین ضروری است.
سیستم نام دامنه (DNS) نامهای دامنه را به آدرسهای IP تبدیل میکند، که مرورگرها از این آدرسها برای دسترسی به وبسایتها و سایر منابع اینترنتی استفاده میکنند. این سیستم به افراد اجازه میدهد تا به جای به خاطر سپردن لیست طولانی از آدرسهای IP، نام وبسایت را وارد کنند.
سرورهای معتبر اطلاعات سوابق DNS را نگه میدارند (دفترچه تلفن)، در حالی که سرور تفکیککننده بازگشتی مانند یک واسطه عمل میکند که بین کاربر نهایی و سرور معتبر قرار گرفته و از طریق درخت DNS جستجو میکند تا به سوابق دامنه دست یابد. تفکیککنندهها ابتدا کش خود را جستجو میکنند و در صورت عدم وجود سوابق، فرآیند کامل جستجو را آغاز میکنند.
در طول فرآیند جستجوی DNS، سه نوع پرسوجوی مختلف برای بهینهسازی تفکیک DNS و صرفهجویی در زمان ترکیب میشوند: پرسوجوی بازگشتی، پرسوجوی تکراری (Iterative) و پرسوجوی غیربازگشتی (Non-recursive).
هنگامی که پیامی مبنی بر “پاسخ ندادن سرور DNS” دریافت میکنید، به این معنی است که تلاش برای ارتباط با سرور DNS با شکست مواجه شده است. این ممکن است به دلیل ضعف یا ناپایداری اتصال اینترنت شما، نیاز به بهروزرسانی تنظیمات DNS یا مرورگر، یا مشکل واقعی در سرور DNS، مانند قطع برق در مرکز داده باشد.
مسمومیت کش DNS (DNS cache poisoning) که به آن DNS spoofing نیز میگویند، شامل وارد کردن دادههای خراب DNS به کش دستگاه تفکیککننده است. این عمل باعث میشود سرور نام آدرس IP اشتباهی را برگرداند و ترافیک را به یک وبسایت متقلبانه هدایت کند.
بله، DNS خصوصی میتواند امنیت پیشرفتهای را در مقایسه با سایر گزینههای DNS برای شما فراهم کند.
IP anycast یک تکنیک مسیریابی شبکه است که در آن چندین گره شبکه یکسان در یک شبکه توزیعشده مستقر میشوند تا یک آدرس IP مشترک واحد را ارائه دهند. ترافیک بر اساس پروتکلهای مسیریابی به نزدیکترین گره هدایت میشود و در نتیجه کمترین تأخیر (Latency) و بالاترین در دسترس بودن برای کاربران فراهم میگردد. Akamai Edge DNS از مدل IP anycast برای پاسخگویی به پرسوجوهای DNS استفاده میکند.
