什么是遞歸解析服務(wù)器?遞歸解析服務(wù)器的作用是什么?
在整個(gè)域名解析過(guò)程中,遞歸解析服務(wù)器承擔(dān)著至關(guān)重要的作用,可謂是整個(gè)解析環(huán)節(jié)的樞紐和核心。那么到底什么是遞歸解析服務(wù)器,遞歸解析服務(wù)器的作用是什么呢?接下來(lái)中科三方針對(duì)這個(gè)問(wèn)題做下簡(jiǎn)單介紹。
由于全世界的域名數(shù)量非常龐大,所以解析服務(wù)器采用了樹(shù)狀結(jié)構(gòu),每一層服務(wù)器只存儲(chǔ)著對(duì)應(yīng)域名的地址。在標(biāo)準(zhǔn)的域名解析過(guò)程中,客戶(hù)端針對(duì)某個(gè)域名發(fā)起訪問(wèn)時(shí),無(wú)法直接請(qǐng)求負(fù)責(zé)該域名解析的權(quán)威解析服務(wù)器,而是需要從根服務(wù)器到頂級(jí)服務(wù)器最終到權(quán)威解析服務(wù)器進(jìn)行全球一級(jí)一級(jí)地查詢(xún),最后獲得域名的權(quán)威解析結(jié)果。

在整個(gè)域名解析過(guò)程中,客戶(hù)端除了一開(kāi)始向遞歸解析服務(wù)器發(fā)起請(qǐng)求外,其余環(huán)節(jié)都是由遞歸解析服務(wù)器代替客戶(hù)端去進(jìn)行全球的解析查詢(xún)。
遞歸解析服務(wù)器大部分由網(wǎng)絡(luò)運(yùn)營(yíng)商提供,也有一些公開(kāi)的遞歸服務(wù)器地址,如114.114.114.114和8.8.8.8等,當(dāng)然企業(yè)也可以自建遞歸解析服務(wù)器。我們?cè)谑謾C(jī)和電腦網(wǎng)絡(luò)配置的DNS地址就是指的遞歸解析服務(wù)器。
由于大部分情況下都是由遞歸解析服務(wù)器為客戶(hù)端返回最終的解析結(jié)果,所以遞歸解析服務(wù)器直接影響著域名能否正常解析和訪問(wèn),其中最關(guān)鍵因素就是DNS緩存。
在實(shí)際的解析業(yè)務(wù)場(chǎng)景中,當(dāng)遞歸解析服務(wù)器請(qǐng)求到權(quán)威解析服務(wù)器時(shí),除了將權(quán)威解析記錄返回給客戶(hù)端,還會(huì)在自身緩存一段時(shí)間。在這個(gè)DNS緩存失效前,客戶(hù)端再次對(duì)該域名發(fā)起訪問(wèn)時(shí),遞歸解析服務(wù)器會(huì)直接從DNS緩存中將結(jié)果告知客戶(hù)端,而無(wú)需再次進(jìn)行全球解析查詢(xún),這樣就會(huì)使得解析效率得到明顯的提升。
但DNS緩存同樣也會(huì)給解析的安全性和準(zhǔn)確性帶來(lái)一定問(wèn)題。如果權(quán)威解析服務(wù)器中的解析記錄發(fā)生變更,遞歸解析服務(wù)器中的DNS緩存并不能同步更新,這樣就可能導(dǎo)致遞歸解析服務(wù)器會(huì)將錯(cuò)誤的舊解析地址告知客戶(hù)端,造成過(guò)訪問(wèn)出錯(cuò)。
還有一種情況就是緩存投毒,就是攻擊者利用DNS緩存機(jī)制,將錯(cuò)誤的解析數(shù)據(jù)注入DNS緩存中,當(dāng)客戶(hù)端發(fā)起解析請(qǐng)求時(shí),遞歸解析服務(wù)器就會(huì)將錯(cuò)誤的解析數(shù)據(jù)告知客戶(hù)端,從而讓客戶(hù)訪問(wèn)到受攻擊者控制的釣魚(yú)網(wǎng)站。
因此為了保障解析準(zhǔn)確性,客戶(hù)端需要定期對(duì)DNS緩存進(jìn)行清理,讓遞歸解析服務(wù)器更及時(shí)的獲取最新權(quán)威解析記錄。