いきめいけい

本页使用了标题或全文手工转换
维基百科ひゃっか自由じゆうてき百科ひゃっかぜん
重定しげさだこうDomain Name System
  DNS重定しげさだむかいいたる此。关于其他用法ようほう,请见「DNS (しょう歧义)」。
あみぎわもう协议套組
應用おうようそう
つて輸層
あみそう
連結れんけつそう
互联网
Visualization of Internet routing paths
2005ねんOpte项目互联网一部分ぶぶんてきみちゆかりみちみち视化
がい
しんいきもと础设ほどこせ
ふく
指南しなん
互联网主题

あみいき名稱めいしょう系統けいとう英語えいごDomain Name System縮寫しゅくしゃDNSこれ互联网てきいち项服务。它作为将いきめいIP相互そうごうつてきいち分布ぶんぷしきすうすえのう够使じんさら方便ほうべん访问互联网。DNS使用しようTCPUDPはしこう53[1]とうまえ,对于ごと一级域名长度的限制是63个字いきめい总长不能ふのうちょう过253个字

开始时,いきめいてき仅限于ASCIIてきいち个子しゅう。2008ねんICANNつう过一项决议,まこと使用しよう其它语言さく为互联网顶级いきめいてき使用しようもとPunycode码的IDNAけい统,以将Unicodeくしうつ有效ゆうこうてきDNSしゅうよし此,诸如“XXX.中国ちゅうごく”、“XXX.台灣たいわんてきいきめい以在直接ちょくせつ输入并访问,而不需要じゅようあんそう插件。ただしゆかり于英语的广泛使用しよう使用しよう其他语言さく为域めいかい产生种问题,れい如难以输いれ、难以在国ざいこく际推广等。

歷史れきし[编辑]

DNS最早もはや于1983ねんゆかり罗·莫卡乔斯(Paul Mockapetris)发明;原始げんしてきわざ术规范在882ごういんとく网标じゅん草案そうあんRFC 882ちゅう发布。1987ねん发布てきだい10341035ごう草案そうあん修正しゅうせいりょうDNSわざ术规范,并废じょりょうまえてきだい882883ごう草案そうあんざい此之きさき对因とく网标じゅん草案そうあんてきおさむあらため基本きほんじょうぼつゆうわたる及到DNSわざ术规范部分ぶぶんてきあらため动。

早期そうきてきいきめい必须以英文句もんくごう.结尾。れい如,当用とうよう户访问維もと百科ひゃっかてきHTTPふく务时必须在地ざいち栏中输入:http://www.wikipedia.org.,这样DNS才能さいのう够进ぎょういきめい解析かいせき。如今DNSふく务器やめ经可以自动补じょう结尾てきごう

记录类型[编辑]

しゅ条目じょうもくいきめい伺服記錄きろく類型るいけいれつひょう

DNSけい统中,つね见的资源记录类型ゆう

  • しゅつくえ记录(A记录):RFC 1035てい义,A记录よう名称めいしょう解析かいせきてき重要じゅうよう记录,它将特定とくていてきしゅつくえめいうついた对应ぬしつくえてきIPじょう
  • 别名记录(CNAME记录): RFC 1035てい义,CNAME记录よう于将ぼう个别めい指向しこういたぼう个A记录じょう,这样就不需要じゅようさい为某个新名字みょうじ另外创建いちじょうしんてきA记录。
  • IPv6しゅつくえ记录(AAAA记录): RFC 3596てい义,あずかA记录对应,よう于将特定とくていてきしゅつくえめいうついたいち个主つくえてきIPv6
  • ふく位置いち记录(SRV记录): RFC 2782てい义,よう于定义提供ていきょう特定とくていふく务的ふく务器てき位置いち,如主つくえ(hostname),はしこう(port number)とう
  • いきめいふく务器记录(NS记录) :もちいらい指定してい该域めいよし哪个DNSふく务器らい进行解析かいせき。 您注さついきめい时,总有だま认的DNSふく务器,まい个注さつてきいきめいよしいち个DNSいきめいふく务器らい进行解析かいせきてき,DNSふく务器NS记录一般以以下的形式出现: ns1.domain.com、ns2.domain.comとう。 简单てき说,NS记录指定していよし哪个DNSふく务器解析かいせき你的いきめい
  • NAPTR记录:RFC 3403てい义,它提供ていきょうりょうせい则表达式方式ほうしきうついち个域めい。NAPTR记录非常ひじょう著名ちょめいてき一个应用是用于ENUM查询。

传输协议[编辑]

DNS over UDP/TCP/53 (Do53)[编辑]

从 1983 ねん起源きげんいた最近さいきん,DNS 主要しゅよう回答かいとう UDP はしこう 53 うえてき查询。此类查询包括ほうかつ从客户端以单个 UDP すうすえつつみ发送てき明文めいぶん请求,响应为 从服务器以单个 UDP すうすえつつみ发送てき明文めいぶんかい复。 とう应答てき长度ちょう过 512 节并且客户端和服わふく务器支持しじ DNS 扩展つくえせい (EDNS) 时,可能かのうかい使用しようさらだいてき UDP すうすえつつみ。 DNS-over-UDP てき使用しよう受到げんせい,其中包括ほうかつ缺乏けつぼう传输层加みつ份验证、もたれ传递消息しょうそく长度。 1989 ねんRFC 1123 为 DNS 查询、かい复,とく别是区域くいき传输指定していりょう选的 TCP 传输。 つう过长响应てき分段ぶんだん,TCP まこと许更长的响应、もたれてき传递重用じゅうようきゃく户端和服わふく务器间的长期连接。

DNS over TLS (DoT)[编辑]

しゅ条目じょうもくDNS over TLS

みつ DNS てき IETF 标准于 2016 ねん现,利用りよう传输层安全あんぜん(TLS)らい护整个连せっ,而不仅仅 DNS 有效ゆうこう负载。DoT ふく务器侦听 TCP はしこう 853。RFC 7858 指定してい支持しじつくえかいみつ认证みつただしぼっゆう强制きょうせいふく务器あるきゃく户端认证。

DNS over QUIC (DoQ)[编辑]

互联网工ほどにん务组てき RFC 9250 描述りょう DNS over QUIC

DNS over HTTPS (DoH)[编辑]

しゅ条目じょうもくDNS over HTTPS

2018 ねん引入りょう DNS 查询传输てき竞争标准,つうHTTPS 隧道すいどう传输 DNS 查询すうすえ(进而どおり过 TLS 传输 HTTP)。DoH 推广为对网络さら友好ゆうこうてき DNS がえだい方案ほうあんいん为与 DNSCrypt いち样,它在 TCP はしこう 443 じょう传输,いん此看おこりらい类似于网络流りょう[2]つきかん它们ざい实践ちゅう容易ようい区分くぶん。 DoH いんしょう对于 DoT くだていよう户匿めいせい而受到广泛批评[3]

Oblivious DNS Oblivious DoH[编辑]

Oblivious DNS (ODNS)[4] ゆかりりん斯顿大学だいがくしば哥大がくてき研究けんきゅうじん员发明和めいわ实施てきさく为未みつ DNS てき扩展,ざい DoH 本身ほんみ标准广泛部署ぶしょまえ。Apple Cloudflare ずいきさきはた该技术部しょざい DoH 环境ちゅうしょう为 Oblivious DoH (ODoH)[5]。ODoH はた入口いりくち/出口でぐちぶん离(ざい ODNS ちゅう发明)あずか DoH てき HTTPS 隧道すいどう TLS 传输层加みつ结合ざいいち个协议中。[6]

DNS over Tor[编辑]

あずか其他 Internet 协议いち样,DNS 以通过 VPN 隧道すいどう运行。 DNS-over-Tor 2019 ねん以来いらいやめ经变とくあし普遍ふへん以保证其自己じこ经常使用しようてきくび字母じぼ缩略词的いち用途ようと。Oblivious DNS てき隐私效果こうか以通过使用しよう预先存在そんざいてき入口いりくち出口でぐち节点てき Tor 网络以及 TLS 提供ていきょうてき传输层加みつ获得。[7]

DNSCrypt[编辑]

しゅ条目じょうもくDNSCrypt

DNSCrypt协议于 2011 ねんざい IETF 标准かまちそと开发,ざい递归解析かいせきてきゆう侧引にゅうりょう DNS みつ,其中きゃく户端使用しようふく务器てきおおやけ钥加みつ查询有效ゆうこう负载,这些こう钥在 DNS ちゅう发布(而不赖于だい三方方证书颁发机构),进而可能かのう受到 DNSSEC 签名てき护。[8]DNSCrypt 使用しよう TCP ある UDP はしこう 443,あずか HTTPS みつてき网络流量りゅうりょうしょうどうてきはしこう。这不仅引にゅうりょう关于查询内容ないようてき隐私,而且还引にゅうりょう防火ぼうか墙穿えつ能力のうりょくてき重要じゅうよう衡量标准。ざい 2019 ねん,DNSCrypt 进いち扩展以支持しじ匿名とくめいしき,类似于提议的“Oblivious DNS”,其中入口いりくち节点接收せっしゅうやめ使用しよう不同ふどうふく务器てきおおやけ钥加みつてき查询,并将其转发给该服务器ふく务器充当じゅうとう出口でぐち节点,执行递归解析かいせき[9]创建よう户/查询对的隐私,いん为入こう节点不知ふちどう查询てき内容ないよう,而出こう节点不知ふちどうきゃく户端てき份。 DNSCrypt 于 2011 ねん 12 がつゆかり OpenDNS くびざいなま产环さかいちゅう实现。ゆう几个めん费和开源软件实现额外集成しゅうせいりょう ODoH[10]。它适よう于各种操作そうさけい统,包括ほうかつ Unix、Apple iOS、Linux、Android MS Windows。

わざ术实现[编辑]

がいじゅつ[编辑]

DNSどおり过允许一个名称服务器把它的一部分名称服务(众所周知しゅうちてきzone)“ゆだねたく”给子ふく务器而实现了一种层次结构的名称空间。此外,DNS还提供ていきょうりょう一些额外的信息,れい如系统别めい、联系しんいき以及哪一个主机正在充当系统组或域的邮件枢纽。

にんなんいち使用しようIPてき计算つくえ网络使用しようDNSらい实现它自己じこてき私有しゆう名称めいしょうけい统。つきかん如此,とうひっさげいたざい公共こうきょうてきInternet DNSけい统上实现てきいきめい时,术语“いきめいさいつね使用しようてき

这是もと于984个全だま范围てきいきめいふく务器”(ぶんなり13组,ふん别编ごう为AいたりM)[11]。从这984个根ふく务器开始,てきInternet DNS命名めいめいそら间被たく给其てきDNSふく务器,这些ふく务器提供ていきょうDNS名称めいしょうそら间中てき特定とくてい部分ぶぶん

软件[编辑]

DNSけい统是ゆかりかくしきかく样的DNS软件しょ驱动てきれい如:

くに际化いきめい[编辑]

しゅ条目じょうもくPunycode

Punycodeいち根據こんきょRFC 3492標準ひょうじゅん而製じょうてきへん系統けいとう主要しゅようよう於把いきめいしたがえ地方ちほうげんしょ採用さいようてきUnicodeへん轉換てんかんなりため可用かよう於DNS系統的けいとうてきへん碼。而該へん碼是根據こんきょいきめいしょう異字いじひょう页面そん档备份そん互联网档あん)(ゆかりIANA制定せいてい),Punycode防止ぼうし所謂いわゆるてきIDN欺騙

いきめい解析かいせき[编辑]

举一个例zh.wikipedia.org さく为一个域名就和IP198.35.26.96 あい对应。DNS就像一个自动的电话号码簿,わが们可以直接ちょくせつ拨打198.35.26.96 てき名字みょうじzh.wikipedia.org らい代替だいたい电话ごう码(IP)。DNSざいわが直接ちょくせつよびさけべ网站てき名字みょうじ以后就会しょうぞうzh.wikipedia.org 一样便于人类使用的名字转化成像198.35.26.96 一样便于机器识别的IP

DNS查询ゆう两种方式ほうしき递归迭代。DNSきゃく户端设置使用しようてきDNSふく务器一般都是递归服务器,它负责全权处きゃく户端てきDNS查询请求,ちょくいたかえしかいさい终结はて。而DNSふく务器间一般采用迭代查询方式。

以查询 zh.wikipedia.org 为例:

  • きゃく户端发送查询报文"query zh.wikipedia.org"いたりDNSふく务器,DNSふく务器くびさき检查自身じしん缓存,如果存在そんざい记录则直接ちょくせつかえしかい结果。
  • 如果记录老化ろうかある存在そんざい,则:
    1. DNSふく务器むこういきめいふく务器发送查询报文"query zh.wikipedia.org",いきめいふく务器かえしかい顶级いき .org てき顶级いきめいふく务器
    2. DNSふく务器むこう .org いきてき顶级いきめいふく务器发送查询报文"query zh.wikipedia.org",いた级域 .wikipedia.org てき权威いきめいふく务器
    3. DNSふく务器むこう .wikipedia.org いきてき权威いきめいふく务器发送查询报文"query zh.wikipedia.org",いたしゅつくえ zh てきA记录,そんにゅう自身じしん缓存并返かい给客户端。

WHOISいき名数めいすうすえ库查询)[编辑]

いち个域めいてき所有しょゆうしゃ以通过查询WHOISすうすえ[12]而被找到;对于だい多数たすういきめい伺服基本きほんてきWHOISゆかりICANN维护,而WHOISてき细节则由ひかえせい个域てきいきちゅうさつつくえ构维护。

对于240国家こっかだい码顶级域めい(ccTLDs),通常つうじょうよし该域めい权威ちゅうさつつくえ构负责维护WHOIS。れい中国ちゅうごく互联网络しんいき中心ちゅうしん(China Internet Network Information Center)负责.CNいきめいてきWHOIS维护,香港ほんこん互聯もう註冊管理かんり有限ゆうげん公司こうし(Hong Kong Internet Registration Corporation Limited)负责.HKいきめいてきWHOIS维护,台灣たいわんもう中心ちゅうしん(Taiwan Network Information Center)负责.TWいきめいてきWHOIS维护。

其他[编辑]

此外,一些黑客通过伪造DNSふく务器しょうよう户引こう错误网站,以达到窃取せっしゅよう户隐私信ししんいきてき目的もくてき[13]

あい关条[编辑]

参考さんこう文献ぶんけん[编辑]

  1. ^ 英文えいぶんP. Mockapetris. RFC 1035 - DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION: Page 32. 1987-11 [2018-04-24]. (原始げんし内容ないようそん于2011-02-12). The Internet supports name server access using TCP [RFC-793] on server port 53 (decimal) as well as datagram access using UDP [RFC-768] on UDP port 53 (decimal). 
  2. ^ Csikor, Levente; Divakaran, Dinil Mon. Privacy of DNS-over-HTTPS: Requiem for a Dream? (PDF). National University of Singapore. February 2021 [2022-10-14]. (原始げんし内容ないようそん (PDF)于2023-03-15). We investigate whether DoH traffic is distinguishable from encrypted Web traffic. To this end, we train a machine learning model to classify HTTPS traffic as either Web or DoH. With our DoH identification model in place, we show that an authoritarian ISP can identify ~97.4% of the DoH packets correctly while only misclassifying 1 in 10,000 Web packets. 
  3. ^ Posch, Maya. DNS-over-HTTPS is the Wrong Partial Solution. Hackaday. 21 October 2019 [2022-10-14]. (原始げんし内容ないようそん于2023-03-14). DoH removes options for network operators (private and corporate) to secure their own network, as one of the architects behind DNS, Paul Vixie, pointed out on Twitter last year. DoH is essentially DNS-over-HTTP-over-TLS, resulting in its own mime Media Type of application/dns-message and significant added complexity. By mixing DoH in with existing protocols, it means that every DNS request and response goes through an HTTPS stack. For embedded applications this is a nightmare scenario, but it is also incompatible with nearly every piece of existing security hardware. When rogue apps like Firefox circumvent the system's DoT-based DNS and use its own DNS resolver over DoH instead, this makes for a highly opaque security situation. That DNS resolving would move into individual applications, as we see happening now, seems like a massive step backwards. 
  4. ^ Schmitt, Paul; Edmundson, Anne; Feamster, Nick. Oblivious DNS: Practical Privacy for DNS Queries (PDF). Privacy Enhancing Technologies. 2019, 2019 (2): 228–244 [2022-10-14]. S2CID 44126163. doi:10.2478/popets-2019-0028. (原始げんし内容ないようそん (PDF)于2023-03-15). 
  5. ^ Oblivious DNS Deployed by Cloudflare and Apple. [27 July 2022]. (原始げんし内容ないようそん于2023-03-06). 
  6. ^ Pauly, Tommy. Oblivious DNS Over HTTPS. IETF. 2 September 2021 [2022-10-14]. (原始げんし内容ないようそん于2022-05-24). 
  7. ^ Muffett, Alec. "No Port 53, Who Dis?" A Year of DNS over HTTPS over Tor (PDF). Network and Distributed System Security Symposium. February 2021 [2022-10-14]. (原始げんし内容ないようそん (PDF)于2023-03-06). DNS-over-HTTPS (DoH) obviates many but not all of the risks, and its transport protocol (i.e. HTTPS) raises concerns of privacy due to (e.g.) 'cookies.' The Tor Network exists to provide TCP circuits with some freedom from tracking, surveillance, and blocking. Thus: In combination with Tor, DoH, and the principle of "Don't Do That, Then" (DDTT) to mitigate request fingerprinting, I describe DNS over HTTPS over Tor (DoHoT). 
  8. ^ Ulevitch, David. DNSCrypt – Critical, fundamental, and about time.. Cisco Umbrella. 6 December 2011. (原始げんし内容ないようそん于1 July 2020) 美国びくにえい语). 
  9. ^ Anonymized DNSCrypt specification. GitHub. DNSCrypt. (原始げんし内容ないようそん于25 October 2019). 
  10. ^ Oblivious DoH · DNSCrypt/dnscrypt-proxy Wiki. GitHub. DNSCrypt project. [28 July 2022]. (原始げんし内容ないようそん于2023-03-06) えい语). 
  11. ^ 英文えいぶんRoot Server Technical Operations Assn. [2014ねん1がつ28にち]. (原始げんし内容ないようそん档于2017ねん8がつ24にち). 
  12. ^ Whois.net. [2018-08-05]. (原始げんし内容ないようそん于2021-01-20). 
  13. ^ JORDAN ROBERTSON. Use of Rogue DNS Servers on Rise. The Associated Press. [2008-02-18]. (原始げんし内容ないようそん档于2008-02-17). 

外部がいぶ链接[编辑]

规范ひかえせいすうすえ各地かくち 編輯維基數據鏈接
https://zh.wikipedia.org/w/index.php?title=いきめいけい统&oldid=82569758