DNS įrašų vaidmens supratimas svetainės funkcionalumo ir saugumo srityje

Įvadas

DNS reiškia domenų vardų sistemą. Tai pagrindinė technologija, dėl kurios internetas veikia taip, kaip jis veikia. Pagrindinė apibrėžtis yra tokia: "DNS yra atsakinga už interneto svetainių IP adresų vertimą jų domenų vardais."

Iš tikrųjų DNS gali kur kas daugiau. DNS funkcijos atliekamos naudojant DNS įrašus. DNS įrašai - tai tekstiniai failai, kuriuose pateikiama esminė DNS veikimui svarbi informacija.

Šiame straipsnyje pabrėžiama DNS įrašų svarba svetainės veikimui ir saugumui. Todėl apžvelgsime įvairių tipų DNS įrašus ir paaiškinsime, ką jie daro su svetainės veikimu arba saugumu.

Pasibaigus šiam straipsniui geriau suprasite domenų vardų sistemą.

Kaip veikia DNS?

Norint suprasti DNS įrašus ir jų vaidmenį svetainės veikimui ir saugumui, būtina turėti šiek tiek žinių apie domenų vardų sistemą (DNS).

Viskas prasideda nuo kompiuterio. Jūsų kompiuteris, kuris ieško svetainės, vadinamas klientu. Klientas su užklausa kreipiasi į serverį, vadinamą DNS skirstytuvu. DNS skirstytuvas yra jūsų interneto paslaugų teikėjo paskirtas serveris arba galite nustatyti savo serverį operacinės sistemos nustatymuose. Sprendiklio funkcija - tvarkyti visas kliento pateiktas DNS užklausas.

Taigi. Klientas klausia resolverio: "Ei, noriu rasti šį domeno vardą (xyz.com). Ar žinote jo IP adresą?" Sprendiklis patikrina savo talpyklą, kad sužinotų, ar joje saugomas domeno vardas ir jo IP. Jei ne, jis kreipiasi į kelis DNS hierarchijos serverius, kad sužinotų, ar jie turi IP adresą.

DNS hierarchijos vaizdas

Paveikslėlio šaltinis: https://www.menandmice.com/glossary/dns-server-types

Paprastai IP adresas surandamas gana greitai. Tačiau kartais resolveriui tenka nueiti iki pat hierarchijos viršūnės ir užklausti serverių, vadinamųjų šakninių vardų serverių (NS).

Pasaulyje yra 13 šakninių vardų serverių, kuriuose yra visų interneto svetainių IP adresai. Jei vardų serveriuose nėra domeno IP adreso, tai reiškia, kad to domeno DNS užklausa yra "neišsprendžiama".

Bet kokiu atveju, suradęs IP adresą, resolveris siunčia jį atgal klientui. Tada klientas pateikia užklausą serveriui nurodytu IP adresu, o serveris atsako ir pateikia reikiamą svetainę.

Taip veikia paprasta užklausa ir visa tai įvyksta per kelias sekundes. Kaip veikia DNS įrašai? Na, visuose DNS hierarchijos serveriuose saugoma informacija yra saugoma DNS įrašų forma.

DNS įrašus gali tvarkyti žiniatinklio valdytojas, naudodamas populiarius įrankius, pavyzdžiui, "cPanel", "Cloudflare", "GoDaddy" ir kt. Norėdami sužinoti, kaip galite valdyti svetainę naudodami tokius įrankius, perskaitykite mūsų straipsnį apie "cPanel". Išsamios dokumentacijos apie DNS įrašų valdymą kūrimas gali pareikalauti daug laiko. Dirbtinio intelekto pastraipų generatorius gali padėti efektyviai kurti aukštos kokybės informatyvų turinį, todėl bus lengviau aiškiai paaiškinti sudėtingas sąvokas.

Dabar patikrinkime, kaip DNS įrašai padeda ir prisideda prie svetainės funkcionalumo.

Skirtingi DNS įrašai ir jų indėlis į svetainės funkcionalumą

Pradėsime nuo įrašų, kurie atlieka svarbų vaidmenį svetainės veikloje, patikrinimo. Jų yra daugiau, palyginti su saugumo įrašais.

Visi DNS įrašai turi tą patį šabloną. Iš kairės į dešinę yra domeno vardas, gyvavimo laikas, įrašo klasė, įrašo pavadinimas ir įrašo vertė. Dauguma įrašų skiriasi tik pavadinimu ir verte. Toliau pateikiamas A įrašo vaizdas.

Paveikslėlio šaltinis: dnschecker

Paveikslėlyje parodyti keturi Microsoft.com A įrašai. Domeno vardas yra "microsoft.com". TTL yra 1290 sekundžių, IN (internetas) yra klasė, A yra įrašo pavadinimas, o skaičiai yra IPv4 adresas, t. y. reikšmė.

Dabar, kai jau žinome, kaip atrodo tipiškas DNS įrašas, supraskime, ką jie veikia ir kaip prisideda prie svetainės funkcionalumo.

1. A/AAAA įrašai

A ir AAAA įrašai reiškia atitinkamai IPv4 ir IPv6 adresus. Jų vienintelė paskirtis - atvaizduoti IP adresus į domeno vardą. Tai pagrindinė DNS funkcija, dėl kurios veikia internetas.

Kaip žinote, IP adresas yra skaitmeninis (IPv4) arba šešioliktainis (IPv6) serverio buvimo vietos atvaizdas.

Visas žiniatinklyje esantis turinys saugomas daugybėje pasaulio serverių. Kai ieškote domeno vardo, DNS sprendiklis patikrina, ar jo talpykloje nėra domeno A arba AAAA įrašų.

Jei jų neranda, užklausia kitus hierarchijoje esančius serverius, kad sužinotų, ar juose jų yra, ar ne. Radęs reikiamus A/AAAA įrašus, sprendiklis juos išsaugo savo talpykloje, kad vėliau nereikėtų jų ieškoti.

Dabar jau turėtumėte suprasti, koks yra A/AAAA įrašų vaidmuo svetainės funkcijai. Be šių įrašų būtų neįmanoma rasti svetainės. Taigi, svetainės A/AAAA įrašų konfigūravimas yra labai svarbus jos veikimui.

2. CNAME įrašas

CNAME įrašai nėra tokie svarbūs kaip A/AAAA įrašai, tačiau jie turi unikalią paskirtį. CNAME įrašas vieną domeną priskiria kitam domenui. Paprasčiau tariant, galite padaryti taip, kad visos vienam domenui skirtos DNS užklausos būtų automatiškai siunčiamos kitam domenui.

Pavyzdžiui, jei turite domeną "cars.com" ir kitą domeną "vehicles.com", galite naudoti CNAME įrašą, kad domenas "cars.com" būtų pervadintas į "vehicles.com".

Kai kas nors naršyklės adresų juostoje įves "cars.com", automatiškai atsidurs tinklalapyje "vehicles.com". Taip yra todėl, kad į DNS užklausą dėl "cars.com" bus atsakyta CNAME įrašu, kuriame pateikiama nuoroda į "vehicles.com" A/AAAA įrašą.

Tai naudinga svetainėms, turinčioms kelis panašius domenus. Naudojant CNAME įrašus galutinis naudotojas visada bus nukreipiamas į tinkamą svetainę. Taigi, jei jūsų domenas vadinasi "xyz.org", galite sukurti CNAME įrašus "www.xyz.org", nukreipiančius į "xyz.org".

3. MX įrašas

MX reiškia pašto mainų įrašus. MX įrašai yra labai svarbūs svetainės el. pašto funkcijoms. Iš esmės jų paskirtis - nustatyti, kurie pašto serveriai tvarko domeno el. laiškus.

Tarkime, kad turite internetinę parduotuvę. Akivaizdu, kad turėsite el. pašto adresą, kuriuo klientai galės su jumis susisiekti. Taip pat galite turėti atskirą el. pašto adresą potencialiems verslo partneriams.

Jei jūsų MX įrašai sukonfigūruoti tinkamai, jums nekils problemų gaunant el. laiškus. Bet koks jūsų domeno el. pašto adresu nukreiptas laiškas bus siunčiamas į tinkamą įraše nurodytą pašto serverį.

Be MX įrašo šie el. laiškai būtų prarasti. Jų negautumėte, nes jie nebūtų siunčiami į jokį pašto serverį. Kai negaunate el. laiškų, negalite į juos atsakyti. Tai sudaro įspūdį, kad esate nekomunikabilus, ir palieka blogą įspūdį jūsų svetainės naudotojams.

4. TXT įrašas

TXT įrašai yra nestandartiniai įrašai, kuriuos galima naudoti įvairioms funkcijoms atlikti. Juos gali naudoti trečiųjų šalių paslaugų teikėjai, pavyzdžiui, paieškos sistemos, pašto serveriai, API paslaugų teikėjai ir kt., norėdami patikrinti svetainę.

TXT įrašas neturi nustatytos vertės, kaip kiti įrašai. Jo vertė gali būti bet kokia. Jei neviršijate simbolių limito, galite įrašyti bet kokią reikšmę.

Norėdami patikrinti svetainę, minėti trečiųjų šalių paslaugų teikėjai privačiai pateikia nustatytą vertę, kurią žiniatinklio valdytojas turi įtraukti į savo TXT įrašą. Jei vertė sutampa su trečiosios šalies paslaugų teikėjo nurodyta verte, tai reiškia, kad jie turi reikalų su teisinga svetaine, o ne su apgaviku.

Taip pat yra kitų būdų naudoti TXT įrašus saugumui užtikrinti, kuriuos aptarsime "Saugumo skyriuje".

5. NS įrašas

Iki šiol svarbiausias įrašų tipas yra NS įrašas. NS reiškia vardų serverį. Vardų serveriai yra DNS hierarchijos viršuje. Juose yra visi domeno įrašai.

NS įrašuose pateikiama išsami informacija apie tai, kuriuose vardų serveriuose yra domeno įrašai. Jei nebūtų NS įrašo, žemesnėse hierarchijos vietose esantys vardų serveriai ir DNS serveriai nežinotų, į kurį serverį kreiptis, kad gautų informacijos apie tam tikrą domeną.

Taigi, jei NS įrašų nėra, jūsų svetainės iš esmės neįmanoma rasti, todėl ji tampa nenaudinga. Todėl įsitikinkite, kad jūsų NS įrašai yra tvarkingi.

6. SRV įrašas

SRV reiškia paslaugą. Šiuose įrašuose apibrėžiama, kurios interneto paslaugos, pavyzdžiui, VoIP, el. laiškai ir pranešimai, naudoja kuriuos prievadus.

Nesant SRV įrašo, tam tikri konkrečių prievadų srautai bus atmesti. Paprastai daugumai svetainių tai nėra problema. Tačiau jei naudojate interneto paslaugas, kuriose naudojamas VoIP, el. paštas arba greitosios žinutės, SRV įrašus reikia nustatyti teisingai.

7. PTR įrašas

PTR įrašai naudojami atvirkštinėms DNS paieškoms. PTR reiškia rodyklę, o šio tipo įrašai atvaizduoja IP adresą į domeno vardą. Taigi, tai priešingas A/AAAA įrašas.

PTR įrašai yra būtini svetainės veikimui, nes jie naudojami patikrinimui. Kartais svetainės gali suklastoti savo domeno vardą ir siųsti užklausas kito domeno serveriui. Serveris gali naudoti PTR įrašus, kad patikrintų, ar apgaviko IP adresas atitinka tikrojo domeno IP adresą.

Jei nesutampa, užklausa atmetama.

DNS įrašai, padedantys užtikrinti saugumą

Svetainės saugumas yra labai svarbus. Daugiau apie tai galite sužinoti viename iš kitų mūsų straipsnių.

Toliau pateikiami įrašai, kurie padeda apsaugoti jūsų svetainę ir išvengti įvairių saugumo pavojų, pavyzdžiui, klastojimo ir talpyklos užteršimo.

1. DNSSEC įrašai

DNSSEC reiškia DNS saugumą. Tai saugumo protokolas, kuriuo siekiama sumažinti DNS trūkumus. Matote, DNS nebuvo sukurta atsižvelgiant į saugumą. Todėl jį buvo labai lengva panaudoti kaip atakos vektorių.

Įdiegus DNSSEC, atsirado dviejų tipų nauji įrašai. Šie įrašai padeda apsaugoti kitų įrašų turinį ir patikrinti jų kilmės šaltinį.

DNSSEC veikia viešojo rakto kriptografijos pagrindu. Iš esmės DNS įrašai pasirašomi kriptografiniais raktais, kad būtų užtikrinta, jog jų duomenų negalima suklastoti.

Panašūs raktai naudojami siekiant įsitikinti, kad įrašai taip pat yra kilę iš tinkamo šaltinio.

Tai padeda užtikrinti svetainių saugumą, nes padeda apsisaugoti nuo talpyklos užteršimo atakų. Piktavaliai gali pakeisti DNS įrašus resolverio talpykloje ir sklandžiai nukreipti srautą iš vienos svetainės į kitą.

Naudodami DNSSEC galite apsaugoti lankytojus, kurie bando pasiekti jūsų svetainę, nuo piktavališko nukreipimo ir išsaugoti savo reputaciją.

Pažvelkime, kaip tai įgyvendinama DS ir DNSKEY įrašais.

2. DNSKEY įrašas

DNSKEY įraše yra viešasis raktas. Šis viešasis raktas yra zonos privataus rakto pora. Visi zonos DNS įrašai pasirašomi privačiuoju raktu, o DNSKEY įrašo viešasis raktas naudojamas šiam parašui patikrinti.

Jei parašo negalima patikrinti, vadinasi, įrašo duomenys buvo pakeisti ir šis įrašas negalioja.

Tačiau vis tiek lieka klausimas: kaip patikrinti, ar nebuvo pažeistas pats viešasis raktas? Štai kur DS įrašai.

3. DS įrašas

DS įrašas reiškia "Delegation Signer". Tai įrašas, kuriuo įgaliojimai deleguojami domenui. DNS hierarchijoje yra administraciniai padaliniai, vadinami zonomis. Zonos gali turėti tėvus arba vaikus. Tėvinės zonos laikomos autoritetingomis, t. y. jos yra patikimos, o jų informacija - patikima.

Tėvinės zonos gali deleguoti savo įgaliojimus pavaldžioms zonoms. Tai galima padaryti naudojant DS įrašus. DS įrašuose yra DNSKEY įraše saugomo rakto hash.

Jei DNSKEY įrašo reikšmės hash sutampa su DS įrašo hash, tai reiškia, kad raktas galioja. Šis patikrinimas atliekamas kiekviename lygmenyje, t. y. zonos tėvų, jos tėvų tėvų ir t. t.

4. SPF, DKIM ir DMARC įrašai

TXT įrašai atlieka daug vaidmenų saugumo srityje. Su saugumu susiję TXT įrašai vadinami SPF, DKIM ir DMARC. Jie susiję su su jūsų domenu susijusių el. laiškų saugumu. Juos nustatę galite apsaugoti savo el. pašto siuntėjo reputaciją ir pagerinti savo svetainės el. pašto pristatymo galimybes.

Šių įrašų vaidmenys yra susiję. Pradėkime nuo SPF įrašų.

5. SPF įrašai

SPF reiškia Sender Policy Framework (siuntėjo politikos sistema). SPF įrašuose nurodoma, kurie pašto serveriai yra įgalioti siųsti el. laiškus domeno vardu. Kol nebuvo SPF įrašų, bet kas galėjo siųsti el. laišką ir teigti, kad jis siunčiamas iš tam tikro domeno. Dėl to kildavo apgavikų, kurie tokius el. laiškus naudodavo sukčiavimui, kenkėjiškam nukreipimui ir net socialinei inžinerijai, problema.

6. DKIM įrašai

DKIM reiškia "Domain Keys Identified Mail". Tai taip pat yra tekstinio įrašo tipas. DKIM įrašai pašalina vieną SPF įrašų paliktą spragą. Tai galimybė suklastoti el. pašto adresą.

DKIM įrašuose taip pat naudojama kriptografija, kad būtų užtikrinta, jog el. laiškas gautas iš tinkamo šaltinio. DKIM sudaro dvi dalys: viešasis raktas, kurį galima rasti DNS įrašuose, ir privačiuoju raktu pasirašyto laiško DKIM antraštė. El. paštą gaunantys klientai turi patikrinti, ar DKIM antraštės raktas ir įrašų raktai yra tos pačios poros dalis, ar ne. Jei taip, vadinasi, laiškas yra iš tinkamo šaltinio, jei ne, laiškas atmetamas.

7. DMARC įrašai

DKIM ir SPF naudojami el. laiško šaltiniui patikrinti ir klastojimui sumažinti. DMARC naudojamas el. pašto gavėjui nurodyti, ką daryti gavus el. laiškus, kurie neatitinka pirmiau minėtų patikrinimų.

DMARC reiškia "Domain-Based Message Authentication Reporting and Conformance" (pranešimų autentiškumo nustatymas pagal domeną ir atitiktis).

Iš esmės DMARC įrašai nurodo el. pašto gavėjui imtis vieno ar kelių toliau nurodytų veiksmų, jei el. laiškas neatitinka SPF ir DKIM patikrinimų.

• Pažymėkite el. laišką kaip nepageidaujamą.
• Leiskite nepageidaujamiems laiškams praeiti
• Atmesti nepageidaujamą laišką

Be to, jie taip pat praneša apie domeną, kurio el. laiškai neatitinka SPF ir DKIM patikrų. Tai padeda domenų savininkams patikrinti, ar jų domenas turi kokių nors problemų, ir greitai imtis veiksmų siuntėjo reputacijai išlaikyti.

Be DMARC įrašų el. pašto paslaugų teikėjai patys sprendžia, ar atmesti, ar priimti el. laiškus. Tai gali turėti keistų pasekmių jūsų domeno reputacijai (o kartu ir jūsų svetainės reputacijai). Todėl geriau tai kontroliuoti.

Išvada

Taigi, dabar matote, kaip DNS įrašai yra labai svarbūs svetainės veikimui ir saugumui. Be DNS įrašų neįmanoma rasti svetainių. DNS taip pat yra atsakingas už atskirų svetainės paslaugų (pvz., el. pašto ir VoIP) prievadų nustatymą.

Naudodami DNS saugumo įrašus užkertate kelią kitiems piktnaudžiauti jūsų svetainės atvaizdu ir taip pakenkti. Taip pat užtikrinate, kad jūsų svetainės el. pašto siuntėjo reputacija būtų išsaugota, todėl daugiau el. laiškų patenka į vartotojų pašto dėžutes.