使得 DNS 难以理解的事情之一是它是 分布式的 。有成千上万(也许是几十万?我不知道!)的权威性域名服务器authoritative nameserver,以及至少 1000 万个解析器。而且它们正在运行许多不同的软件!不同服务器运行着不同的软件意味着 DNS 的工作方式有很多不一致的地方,这可能导致各种令人沮丧的问题。
但是,与其谈论这些问题,我更感兴趣的是弄清楚 ------ 为什么 DNS 是分布式的是一件好事?
为什么 DNS 是分布式的是件好事? {#%E4%B8%BA%E4%BB%80%E4%B9%88-dns-%E6%98%AF%E5%88%86%E5%B8%83%E5%BC%8F%E7%9A%84%E6%98%AF%E4%BB%B6%E5%A5%BD%E4%BA%8B}
一个原因是 可扩展性 ------ DNS 的分布式设计使其更容易扩展,对故障的恢复能力更强。我发现,尽管 DNS 已经有近 40 年的历史,但它的扩展性仍然很好,这真是令人惊讶。这一点非常重要,但这并不是这篇文章的主题。
相反,我想说的是,它是分布式的意味着你可以 控制 你的 DNS 的工作方式。你可以向巨大而复杂的 DNS 服务器中添加更多的服务器!添加你控制的服务器!
昨天我 在 Twitter 上问 为什么你要运行自己的 DNS 服务器,我得到了很多很好的答案,我想在这里总结一下。
你可以运行 2 种类型的 DNS 服务器 {#%E4%BD%A0%E5%8F%AF%E4%BB%A5%E8%BF%90%E8%A1%8C-2-%E7%A7%8D%E7%B1%BB%E5%9E%8B%E7%9A%84-dns-%E6%9C%8D%E5%8A%A1%E5%99%A8}
你可以运行 2 种主要类型的 DNS 服务器:
- 如果你拥有一个域名,你可以为该域名运行一个 权威名称服务器
- 如果你有一台电脑(或一个有很多电脑的公司),你可以运行一个 解析器 来为这些电脑解析 DNS。
DNS 不是静态数据库 {#dns-%E4%B8%8D%E6%98%AF%E9%9D%99%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93}
我经常看到 DNS 的 "电话簿" 比喻,域名就像人名,IP 地址就像电话号码。
这是一个不错的思维模型。但是,"电话簿" 思维模型可能会使你认为,如果你对 google.com
进行 DNS 查询,你将永远得到相同的结果。而这是不正确的。
你在 DNS 查询中得到的记录可能取决于:
- 你在世界的哪个地方(也许你会得到一个离你更近的服务器的 IP 地址)
- 你是否在企业网络里(你可以在其中解析内部域名)
- 该域名是否被你的 DNS 解析器认为是 "坏" 的(它可能被封锁!)
- 之前的 DNS 查询(也许 DNS 解析器正在做基于 DNS 的负载平衡,每次给你一个不同的 IP 地址)
- 你是否在使用机场 Wi-Fi 专属门户(机场 Wi-Fi 会在你登录前以不同的方式解析 DNS 记录,它会给你发送一个特殊的 IP 来重定向你)
- 随便什么
你可能想控制你自己的服务器的很多原因都与 DNS 不是一个静态数据库这一事实有关 ------ 对于如何处理 DNS 查询,你可能会有不同的选择(无论是为你的域名还是为你的组织)。
运行权威性名称服务器的理由 {#%E8%BF%90%E8%A1%8C%E6%9D%83%E5%A8%81%E6%80%A7%E5%90%8D%E7%A7%B0%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%9A%84%E7%90%86%E7%94%B1}
这些原因并没有任何特定的顺序。
对于其中一些原因,你不一定必须要运行你自己的权威名称服务器,你只需选择提供了该功能的权威名称服务器服务就行了。
要明确的是:有很多理由 不 运行自己的权威名称服务器 ------ 我就没有运行,我也不想说服你应该这样做。它需要时间来维护,你的服务可能不那么可靠,等等。
原因:安全 {#%E5%8E%9F%E5%9B%A0%E5%AE%89%E5%85%A8}
[存在] 攻击者通过你的 DNS 供应商的客户支持人员获得 DNS 变更权限的风险,客服本来只应该提供帮助。他们可以被你的 DNS 阻止(也许就是因为缺少这个)。内部可能更容易审计和验证内容。
原因:你喜欢运行 bind/nsd {#%E5%8E%9F%E5%9B%A0%E4%BD%A0%E5%96%9C%E6%AC%A2%E8%BF%90%E8%A1%8C-bindnsd}
有几个人提到的一个原因是:"我习惯于编写区域文件和运行 bind
或 nsd
,对我来说这样做更容易。"
如果你喜欢 bind/nsd 的方式,但又不想运维自己的服务器,有几个人提到,你也可以通过运行一个 "隐藏的主服务器" 来获得 bind 的优势,该服务器存储记录,但从一个 "辅助" 服务器提供所有的实际 DNS 查询。这里有一些我发现的关于配置辅助 DNS 的网页,以 NS1、cloudflare 和 Dyn 作为示例。
我真的不知道什么是最佳的权威 DNS 服务器。我想我只在工作中使用过 nsd。
原因:你可以使用新的记录类型 {#%E5%8E%9F%E5%9B%A0%E4%BD%A0%E5%8F%AF%E4%BB%A5%E4%BD%BF%E7%94%A8%E6%96%B0%E7%9A%84%E8%AE%B0%E5%BD%95%E7%B1%BB%E5%9E%8B}
并非所有的 DNS 服务都支持某些较新的 DNS 记录类型,但如果你运行你自己的 DNS,你就可以支持任何你想要的记录类型。
原因:用户界面 {#%E5%8E%9F%E5%9B%A0%E7%94%A8%E6%88%B7%E7%95%8C%E9%9D%A2}
你可能不喜欢你正在使用的 DNS 服务的用户界面(或 API,或干脆没有 API)。这与 "你喜欢运行 BIND "的原因差不多,也许你喜欢编写区域文件的方式。
原因:你可以自己修复问题 {#%E5%8E%9F%E5%9B%A0%E4%BD%A0%E5%8F%AF%E4%BB%A5%E8%87%AA%E5%B7%B1%E4%BF%AE%E5%A4%8D%E9%97%AE%E9%A2%98}
当问题出现时,能够自己解决,有一些明显的优点和缺点(优点:你可以解决问题,缺点:你必须解决问题)。
原因:做一些奇怪的、自定义的事情 {#%E5%8E%9F%E5%9B%A0%E5%81%9A%E4%B8%80%E4%BA%9B%E5%A5%87%E6%80%AA%E7%9A%84-%E8%87%AA%E5%AE%9A%E4%B9%89%E7%9A%84%E4%BA%8B%E6%83%85}
你可以写一个 DNS 服务器,做任何你想做的事情,它不一定要只返回一组静态记录。
有几个例子:
- Replit 有一篇博文介绍了 为什么他们编写自己的权威性 DNS 服务器来处理路由
- nip.io 将 10.0.0.1.nip.io 映射为 10.0.0.1
- 我为 乱用 dns 而写了一个自定义 DNS 服务器
原因:省钱 {#%E5%8E%9F%E5%9B%A0%E7%9C%81%E9%92%B1}
权威名称服务器似乎一般按每百万次 DNS 查询收费。比如,似乎 Route 53 每百万次查询收费 0.5 美元,NS1 每百万次查询收费约 8 美元。
我对一个大型网站的权威 DNS 服务器实际需要解决多少次查询没有概念(哪些类型的网站会对其权威 DNS 服务器进行 10 亿次 DNS 查询?可能是很多,但我没有这方面的经验)。但是有几个人在回复中提到成本是一个原因。
原因:你可以改变你的注册商 {#%E5%8E%9F%E5%9B%A0%E4%BD%A0%E5%8F%AF%E4%BB%A5%E6%94%B9%E5%8F%98%E4%BD%A0%E7%9A%84%E6%B3%A8%E5%86%8C%E5%95%86}
如果你为你的域名使用一个单独的权威名称服务器,而不是你的注册商的名称服务器,那么当你转移到一个不同的注册商时,你所要做的就是把你的权威 DNS 服务器设置为正确的值,从而使你的 DNS 恢复正常。你不需要迁移你所有的 DNS 记录,那非常痛苦。
但你不需要为此而运行你自己的名字服务器。
原因:地理 DNS {#%E5%8E%9F%E5%9B%A0%E5%9C%B0%E7%90%86-dns}
你可能想根据客户的位置为你的域名返回不同的 IP 地址,给他们一个离他们很近的服务器。
这是很多权威的域名服务器服务所提供的服务,你不需要为此而专门运行名字服务器。
原因:避免针对他人的拒绝服务攻击 {#%E5%8E%9F%E5%9B%A0%E9%81%BF%E5%85%8D%E9%92%88%E5%AF%B9%E4%BB%96%E4%BA%BA%E7%9A%84%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB}
许多权威 DNS 服务器是共享的。这意味着,如果有人攻击 google.com
或其他的 DNS 服务器,而你恰好在使用同一个权威 DNS 服务器,你可能会受到影响,即使攻击不是针对你。例如,2016 年的这次 对 Dyn 的 DDoS 攻击。
原因:把所有的配置放在一个地方 {#%E5%8E%9F%E5%9B%A0%E6%8A%8A%E6%89%80%E6%9C%89%E7%9A%84%E9%85%8D%E7%BD%AE%E6%94%BE%E5%9C%A8%E4%B8%80%E4%B8%AA%E5%9C%B0%E6%96%B9}
有一个人提到,他们喜欢把所有的配置(DNS 记录、let's encrypt、nginx 等)放在一台服务器上的同一个地方。
另类原因:把 DNS 当作 VPN 使用
显然,iodine 是一个可以让你通过 DNS 隧道传输流量的权威 DNS 服务器,它可以让你像 VPN 一样与外界联系,
运行解析器的原因 {#%E8%BF%90%E8%A1%8C%E8%A7%A3%E6%9E%90%E5%99%A8%E7%9A%84%E5%8E%9F%E5%9B%A0}
原因:隐私 {#%E5%8E%9F%E5%9B%A0%E9%9A%90%E7%A7%81}
如果有人能看到你所有的 DNS 查询,他们就有你(或你组织中的每个人)正在访问的所有域名的完整列表!你可能更愿意保持这种隐私。你可能更愿意保持这种隐私。
原因:阻止恶意网站 {#%E5%8E%9F%E5%9B%A0%E9%98%BB%E6%AD%A2%E6%81%B6%E6%84%8F%E7%BD%91%E7%AB%99}
如果你运行你自己的解析器,你可以(通过不返回任何结果)拒绝解析你认为 "坏" 的域名的 DNS 查询。
几个你可以自己运行(或只是使用)的解析器的例子:
- Pi-Hole 阻止广告商
- Quad9 阻止做恶意软件/网络钓鱼/间谍软件的域名。 Cloudflare 似乎有一个 类似的服务
- 我想也有一些企业安全软件会阻止那些托管恶意软件的域名的 DNS 查询
- DNS 不是静态数据库。它是非常动态的,答案往往实时取决于查询的 IP 地址、内容服务器的当前负载等。除非你将这些记录的服务委托给做出这些决定的实体,否则很难实时实现。
- DNS 委派控制使访问控制非常简单。从区域中切下的部分都由控制委派服务器的人控制,所以对一个主机名的责任是隐含在 DNS 委派中的。
原因:在 nginx 中获得动态代理 {#%E5%8E%9F%E5%9B%A0%E5%9C%A8-nginx-%E4%B8%AD%E8%8E%B7%E5%BE%97%E5%8A%A8%E6%80%81%E4%BB%A3%E7%90%86}
这里有一个很酷的故事,来自 这条推文:
我在一个应用程序中写了一个 DNS 服务器,然后把它设置为 nginx 的解析器,这样我就可以获得动态的后端代理,而不需要 nginx 运行 lua。Nginx 向应用程序发送 DNS 查询,应用程序查询 Redis 并作出相应的反应。这对我正在做的事情来说,效果非常好。
原因:避免恶意解析器 {#%E5%8E%9F%E5%9B%A0%E9%81%BF%E5%85%8D%E6%81%B6%E6%84%8F%E8%A7%A3%E6%9E%90%E5%99%A8}
一些 ISP 运行的 DNS 解析器会做一些不好的事情,比如把不存在的域名指向他们控制的 IP,向你显示广告或他们控制的奇怪的搜索页面。
使用你控制的解析器或你信任的另一个解析器可以帮助你避免这种情况。
原因:解析内部域名 {#%E5%8E%9F%E5%9B%A0%E8%A7%A3%E6%9E%90%E5%86%85%E9%83%A8%E5%9F%9F%E5%90%8D}
你可能有一个内部网络,其域名(比如 blah.corp.yourcompany.com
)并不在公共互联网上。为内部网络中的机器运行你自己的解析器,就有可能访问这些域名。
无论是访问只在本地的服务,还是为公共互联网上的服务获得本地地址,你都可以在家庭网络中做同样的事情。
原因:避免你的 DNS 查询被中间人劫持 {#%E5%8E%9F%E5%9B%A0%E9%81%BF%E5%85%8D%E4%BD%A0%E7%9A%84-dns-%E6%9F%A5%E8%AF%A2%E8%A2%AB%E4%B8%AD%E9%97%B4%E4%BA%BA%E5%8A%AB%E6%8C%81}
有一个人 说:
我在我的局域网路由器上运行了一个解析器,它的上游使用了基于 HTTPS 的 DNS(DoH),所以物联网和其他不支持 DoH 或 DoT 的设备不会在外面喷射明文 DNS 查询。
就是这样 {#%E5%B0%B1%E6%98%AF%E8%BF%99%E6%A0%B7}
对我来说,探索 DNS 的 "原因" 感觉很重要,因为它是一个如此复杂凌乱的系统,我认为大多数人如果不理解为什么这些复杂的东西是有用的,就很难有动力去学习这么复杂的主题。
感谢 Marie 和 Kamal 对这篇文章的讨论,也感谢 Twitter 上提供这些原因的所有人。
via: https://jvns.ca/blog/2022/01/05/why-might-you-run-your-own-dns-server-/
作者:Julia Evans 选题:lujun9972 译者:wxy 校对:wxy