• 网站基础设施与安全最佳实践

了解 DNS 记录在网站功能和安全方面的作用

  • Felix Rose-Collins
  • 9 min read
了解 DNS 记录在网站功能和安全方面的作用

介绍

DNS 是域名系统的缩写。它是互联网运行的核心技术。其最基本的定义是:"DNS 负责将网站 IP 地址解析为其域名"。

实际上,DNS 的功能远不止于此。DNS 功能是在 DNS 记录的帮助下实现的。DNS 记录是文本文件,其中包含对 DNS 运行至关重要的基本信息。

本文重点介绍 DNS 记录对网站功能和安全性的重要性。为此,我们将查看各种类型的 DNS 记录,并解释它们在网站功能或安全方面的作用。

本文结束时,您将对域名系统有一个更好的认识。

Understanding the Role of DNS Records in Website Functionality and Security

DNS 如何工作?

要了解 DNS 记录及其在网站功能和安全方面的作用,必须对域名系统 (DNS) 有一定的了解。

所以,一切都要从你的电脑开始。正在寻找网站的电脑被称为客户端。客户端向称为 DNS 解析器的服务器发出请求。DNS 解析器是由 ISP 指定的服务器,也可以在操作系统设置中自行设置。解析器的功能是处理客户端提出的所有 DNS 查询。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

那么。客户问解析器:"嘿,我想找到这个域名 (xyz.com)。你知道它的IP 地址吗?解析器会检查其缓存,看是否存储了域名及其 IP。如果没有,它会联系 DNS 层次结构中的一系列服务器,看它们是否有 IP 地址。

DNS 层次结构图像

DNS Hierarchy Image

图片来源:https://www.menandmice.com/glossary/dns-server-types

通常情况下,IP 地址很快就能找到。不过,有时解析器需要一直查询到层次结构的顶层,并查询称为根名称服务器 (NS) 的服务器。

全球共有 13 个根域名服务器,它们包含网络上所有网站的 IP 地址。如果某个域名的 IP 地址不存在于域名服务器上,则表示该域名的 DNS 查询 "无法解决"。

总之,在找到 IP 地址后,解析器会将其发送回客户端。然后,客户端向给定 IP 地址的服务器发出请求,服务器则回复所需的网站。

这就是一个简单查询的工作原理,而所有这一切都发生在几秒钟之内。DNS 记录从何而来?DNS 层次结构中所有服务器上存储的信息都以 DNS 记录的形式存储。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

网站管理员可以使用 cPanel、Cloudflare、GoDaddy 等常用工具管理 DNS 记录。要了解如何使用这些工具管理网站,请阅读我们关于cPanel 的文章。创建有关 DNS 记录管理的详细文档非常耗时。人工智能段落生成器可以帮助高效地生成高质量、内容翔实的内容,从而更容易清楚地解释复杂的概念。

现在,让我们来看看 DNS 记录是如何帮助和促进网站功能的。

不同的 DNS 记录及其对网站功能的贡献

我们将首先检查在网站功能中发挥作用的记录。与安全记录相比,这些记录数量更多。

所有 DNS 记录都使用相同的模板。从左到右依次是域名、生存时间、记录类别、记录名称和记录值。大多数记录只有名称和值不同。下面是 A 记录的图片。

dnschecker 图片来源:dnschecker

图片显示了 Microsoft.com 的四条 A 记录。域名是 "microsoft.com"。TTL 为 1290 秒,IN(internet)是类,A 是记录名称,数字是 IPv4 地址,即值。

现在,我们知道了典型 DNS 记录的样子,让我们来了解一下它们的作用以及它们对网站功能的贡献。

1.A/AAA 记录

A 和 AAAA 记录分别代表 IPv4 和 IPv6 地址。它们的唯一目的是将 IP 地址映射到域名。这是 DNS 最基本的功能,也是互联网运行的基础。

大家可能都知道,IP 地址是服务器位置的数字(IPv4)或十六进制(IPv6)表示法。

网络上的所有内容都存储在全球众多服务器上。当您搜索一个域名时,DNS 解析器会检查其缓存中是否有该域名的 A 或 AAAA 记录。

如果找不到,它会查询层次结构中的其他服务器,看它们是否有这些记录。找到相关 A/AAAA 记录后,解析器会将其保存在缓存中,这样以后就不用再查找了。

现在,您应该已经了解了 A/AAAA 记录对网站功能的作用。没有这些记录,就不可能找到网站。因此,配置网站的 A/AAAA 记录对网站功能至关重要。

2.CNAME 记录

CNAME 记录不像 A/AAAA 记录那样重要,但也有其独特的用途。CNAME 记录将一个域别名为另一个域。简单地说,你可以让一个域的所有 DNS 查询自动发送到另一个域。

例如,如果您有一个名为 "cars.com "的域名和另一个名为 "icles.com "的域名,您可以使用 CNAME 记录将 "cars.com "别名为 "icles.com"。

这样做的结果是,只要有人在浏览器地址栏中输入 cars.com,就会发现自己自动进入了 vehicles.com。这是因为,在 DNS 上查询 "cars.com "时,会得到一个引用了 "icles.com "的 A/AAAA 记录的 CNAME 记录。

这对拥有多个类似域名的网站非常有用。有了 CNAME 记录,最终用户将始终被引导到正确的网站。因此,如果您的域名名为 "xyz.org",您可以为 "www.xyz.org "创建指向 "xyz.org "的 CNAME 记录。

3.MX 记录

MX 代表邮件交换记录。MX 记录对网站电子邮件功能至关重要。基本上,它们的作用是定义哪些邮件服务器处理域名的电子邮件。

假设您正在经营一家网店。显然,您会有一个电子邮件地址供客户与您联系。您可能还会为潜在的业务合作伙伴准备一个单独的 电子邮件地址

如果您的 MX 记录配置正确,那么接收电子邮件就不会有任何问题。任何指向您域名电子邮件地址的电子邮件都会发送到记录中定义的适当邮件服务器。

如果没有 MX 记录,这些邮件就会丢失。因为它们不会被发送到任何邮件服务器,所以你收不到它们。如果收不到邮件,就无法回复。这会给人留下不善沟通的印象,给网站用户留下不好的印象。

4.TXT 记录

TXT 记录是一种非标准记录,可用于多种功能。它们可用于第三方服务提供商(如搜索引擎、邮件服务器、API 提供商等)的网站验证。

TXT 记录不像其他记录那样有一个固定值。它的值可以是你想要的任何值。只要不超出字符限制,就可以输入任何值。

对于网站验证,上述第三方服务提供商会私下给网站管理员一个设定值,让其添加到 TXT 记录中。如果该值与第三方服务提供商给出的值相同,则表示他们面对的是正确的网站,而不是冒名顶替者。

还有其他一些使用 TXT 记录的安全方法,我们将在 "安全部分 "进行检查。

5.NS 记录

到目前为止,最重要的记录类型是 NS 记录。NS 代表名称服务器。名称服务器位于 DNS 层次结构的顶端。它们包含所有域名记录。

NS 记录详细说明了哪些域名服务器包含某个域名的记录。如果没有 NS 记录,解析器和 DNS 服务器层级较低的服务器就不知道要查询哪个服务器才能获得特定域名的信息。

因此,如果您的 NS 记录不存在,您的网站基本上就不可能被找到,从而变得毫无用处。因此,请确保您的 NS 记录处于正常状态。

6.SRV 记录

SRV 代表服务。这些记录定义了哪些互联网服务(如网络电话、电子邮件和信息服务)使用哪些端口。

如果没有 SRV 记录,特定端口的特定流量将被丢弃。通常情况下,这对大多数网站来说都不是问题。但是,如果您使用的是 VoIP、电子邮件或即时信息等互联网服务,则需要正确设置 SRV 记录。

7.PTR 记录

PTR 记录用于 DNS 反向查询。PTR 代表指针,这种记录类型将 IP 地址映射到域名。因此,它与 A/AAAA 记录正好相反。

PTR 记录是网站功能所必需的,因为它们用于验证。有时,网站会伪造自己的域名,并向另一个域名的服务器发送请求。服务器可以使用 PTR 记录来检查假冒域名的 IP 地址是否与真实域名的 IP 地址一致。

如果不匹配,请求将被拒绝。

有助于提高安全性的 DNS 记录

alt_text

网站安全极其重要。您可以从我们的其他文章中了解更多相关信息。

以下是有助于确保网站安全和防止各种安全风险(如欺骗和缓存中毒)的记录。

1.DNSSEC 记录

DNSSEC 是 DNS 安全的缩写。这是一个安全协议,旨在遏制 DNS 的缺陷。要知道,DNS 在设计时并没有考虑到安全性。因此,将其用作攻击载体极其容易。

DNSSEC 引入了两类新记录。这些记录有助于保护其他记录的内容,并验证记录的来源。

DNSSEC 以公钥加密技术为基础。基本上,DNS 记录是用加密密钥签署的,以确保其数据不会被篡改。

类似的密钥用于确保记录也来自正确的来源。

这有助于抵御缓存中毒攻击,从而提高网站安全性。恶意行为者可以更改解析器缓存中的 DNS 记录,将流量从一个网站无缝重定向到另一个网站。

有了 DNSSEC,您就可以保护试图访问您网站的访客不被恶意重定向,并维护您的声誉。

让我们看看 DS 和 DNSKEY 记录是如何实现这一点的。

2.DNSKEY 记录

DNSKEY 记录包含一个公钥。该公钥与区的私钥成对。区的所有 DNS 记录都使用私钥签名,DNSKEY 记录中的公钥用于验证签名。

如果签名无法验证,则意味着记录中的数据已被更改,该记录无效。

然而,这仍然留下了一个问题:如何验证公钥本身没有被泄露?这就是 DS 记录的作用所在。

3.DS 记录

DS 记录代表授权签名者。这是一条向域授权的记录。在 DNS 层次结构中,有称为区的管理分区。区可以有父或子区。父区被认为是权威的,即它们是可信的,其信息也是可信的。

父区域可以将其权限下放给子区域。这需要借助 DS 记录。DS 记录包含存储在 DNSKEY 记录中的密钥的哈希值。

只要 DNSKEY 记录值的哈希值与 DS 记录中的哈希值一致,就说明密钥是有效的。这种验证在每一级都要进行,即区域的父区域、父区域的父区域等。

4.SPF、DKIM 和 DMARC 记录

TXT 记录在安全方面有很多作用。与安全相关的 TXT 记录称为 SPF、DKIM 和 DMARC。它们关系到与您的域名相关的电子邮件的安全性。通过设置这些记录,您可以保护电子邮件发件人的声誉,并提高网站的电子邮件可送达性

这些记录的作用是相关的。让我们从 SPF 记录开始。

5.SPF 记录

SPF 是发件人策略框架(Sender Policy Framework)的缩写。SPF 记录列出了哪些邮件服务器被授权代表某个域发送电子邮件。在 SPF 记录出现之前,任何人都可以发送电子邮件,并声称这是来自某个特定域的电子邮件。这就带来了冒名顶替者的问题,他们会利用这些电子邮件进行网络钓鱼、恶意重定向,甚至是社交工程。

6.DKIM 记录

DKIM 是域名密钥识别邮件的缩写。这也是一种文本记录。DKIM 记录覆盖了 SPF 记录留下的一个漏洞。这就是欺骗电子邮件地址的能力。

DKIM 记录还使用加密技术确保电子邮件来源正确。DKIM 包括两个部分:DNS 记录中的公钥和电子邮件中用私钥签名的 DKIM 标头。电子邮件接收客户端必须检查 DKIM 标头密钥和记录密钥是否属于同一对。如果是,则说明邮件来源正确;如果不是,则说明邮件被拒。

7.DMARC 记录

DKIM 和 SPF 用于验证电子邮件的来源,减少欺骗行为。DMARC 用于告诉电子邮件接收方在收到未通过上述检查的电子邮件时应如何处理。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

DMARC 是 "基于域的消息验证报告和一致性"(Domain-Based Message Authentication Reporting and Conformance)的缩写。

基本上,DMARC 记录会告诉电子邮件接收方,如果电子邮件未通过 SPF 和 DKIM 检查,应采取以下一项或多项措施。

  • 将电子邮件标记为垃圾邮件。
  • 让垃圾邮件通过
  • 拒收垃圾邮件

此外,它们还会向电子邮件未通过 SPF 和 DKIM 检查的域名反馈信息。这有助于域名所有者检查自己的域名是否存在问题,并迅速采取措施维护发件人声誉。

如果没有 DMARC 记录,电子邮件服务提供商就会自行判断是否拒绝或接受电子邮件。这可能会对您的域名声誉(以及您网站的声誉)造成奇怪的后果。因此,最好对其进行控制。

结论

现在,你明白 DNS 记录对网站功能和安全的重要性了吧。没有 DNS 记录,就无法定位网站。DNS 还负责为网站上的个别服务(如电子邮件和网络电话)定义端口。

有了 DNS 安全记录,您就可以防止他人滥用您网站的肖像权造成危害。您还可以确保您网站的电子邮件发件人声誉得到维护,从而让更多的电子邮件进入消费者的收件箱。

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

开始使用Ranktracker...免费的!

找出阻碍你的网站排名的原因。

创建一个免费账户

或使用您的证书登录

Different views of Ranktracker app