谁告诉 DNS 服务器哪个 IP 对应新的网址?

谁告诉 DNS 服务器哪个 IP 对应新的网址?

假设我有自己的服务器,我想告诉 DNS 服务器我托管了哪些网站。但他们怎么会信任我呢?唯一知道我真实 IP 的人是我的 ISP。所以 DNS 服务器应该信任 ISP,仅此而已?那么电子邮件呢?

答案1

DNS 是一个分层系统,其中从单个根分支出所有子域以及它们的子子域等等。

每个域的 DNS 通常由其自己的 DNS 服务器管理。在这种情况下,DNS 父域已完成所谓的“域委派”,即授予组织对其自己的域或子域的完全权限。然后,该组织的 DNS 服务器将成为该域的权威名称服务器。

域名委派意味着完全信任——父母不实施审查,孩子有充分的权力来搞乱事情,仍然仅限于在自己的域名上将名称映射到 IP 地址。

这是一种非常不安全的局面,导致该系统可能被滥用,有时是被极权政权滥用,有时是被骗子滥用。

解决方案是 域名系统安全扩展 (DNSSEC)

来自 cloudflare DNSSEC 简介

DNSSEC 通过向现有 DNS 记录添加加密签名来创建安全的域名系统。这些数字签名与 A、AAAA、MX、CNAME 等常见记录类型一起存储在 DNS 名称服务器中。通过检查其相关签名,您可以验证所请求的 DNS 记录是否来自其权威名称服务器,并且未在途中被更改,而不是在中间人攻击中注入的虚假记录。

目前大多数高级 DNS 服务器均受到 DNSSEC 的保护。

答案2

DNS 并不关心它是否是“你的真实 IP”。你可以将域名指向任何地址,没有人会阻止你。

一般来说,域名查找是按照“域名⇒地址”的方向进行的,而不是相反,所以重要的是域名属于您。当您通过注册商(与管理每个 TLD 的注册机构签订了合同)“购买”域名时,其所有权将得到管理 - 然后,您可以使用注册商网站上的帐户指定(子)域名 IP 地址,或将整个域名指向您自己的 DNS 服务器。

电子邮件和网络的工作方式相同 - 无论有人向您的域发送邮件,还是访问您域上的网站,它仍然由域所有者管理(只是使用不同的 DNS 记录类型)。

(TLS 证书也仅将域名与您的服务器绑定,而不是 IP 地址 - 因此颁发 CA 会要求您通过添加特殊的 DNS 记录来证明域名所有权。)

相关内容