Adress resolution mechanism
Domain name Resolver Bestimmen Sie die Domain Name Server, die für den betreffenden Domain Name verantwortlich sind, durch eine Abfolge von Abfragen, die mit der am weitesten rechts stehenden (Top-Level) Domain Label beginnen.,
Ein DNS-Resolver, der den von RFC 1034 vorgeschriebenen iterativen Ansatz implementiert; In diesem Fall konsultiert der Resolver drei Nameserver, um den vollständig qualifizierten Domänennamen aufzulösen. „www.wikipedia.org“.
Für den ordnungsgemäßen Betrieb seines Domain Name Resolvers wird ein Netzwerkhost mit einem anfänglichen Cache (Cache) der bekannten Adressen der Root Name Server konfiguriert. Die Hinweise werden von einem Administrator regelmäßig aktualisiert, indem ein Datensatz aus einer zuverlässigen Quelle abgerufen wird.,
Angenommen, der Resolver verfügt über keine zwischengespeicherten Datensätze, um den Prozess zu beschleunigen, beginnt der Auflösungsprozess mit einer Abfrage an einen der Root-Server. Im typischen Betrieb antworten die Root-Server nicht direkt, sondern antworten mit einem Verweis auf autorisierendere Server, z. B. eine Abfrage nach „www.wikipedia.org“ wird auf die Org-Server verwiesen. Der Resolver fragt nun die Server ab, auf die verwiesen wird, und wiederholt diesen Vorgang iterativ, bis er eine maßgebliche Antwort erhält. Das Diagramm veranschaulicht diesen Prozess für den Host, der nach dem vollständig qualifizierten Domänennamen benannt ist. „www.wikipedia.org“.,
Dieser Mechanismus würde eine große Verkehrsbelastung auf den Root-Servern platzieren, wenn jede Auflösung im Internet erforderlich, beginnend an der Wurzel. In der Praxis wird Caching in DNS-Servern verwendet, um die Root-Server auszuladen, und infolgedessen sind Root-Nameserver nur an einem relativ kleinen Bruchteil aller Anforderungen beteiligt.
Rekursiver und Caching-Nameserver
Theoretisch reichen autoritative Nameserver für den Betrieb des Internets aus., Da jedoch nur autorisierende Nameserver betrieben werden, muss jede DNS-Abfrage mit rekursiven Abfragen in der Stammzone des Domänennamensystems beginnen, und jedes Benutzersystem müsste Resolver-Software implementieren, die rekursiv arbeiten kann.
Um die Effizienz zu verbessern, den DNS-Datenverkehr im Internet zu reduzieren und die Leistung in Endbenutzeranwendungen zu steigern, unterstützt das Domänennamensystem DNS-Cache-Server, die DNS-Abfrageergebnisse für einen in der Konfiguration festgelegten Zeitraum speichern (time-to-live) des betreffenden Domänennamensatzes.,In der Regel implementieren solche Caching-DNS-Server auch den rekursiven Algorithmus, der erforderlich ist, um einen bestimmten Namen, der mit dem DNS-Stamm beginnt, bis zu den autorisierenden Nameserver der abgefragten Domäne aufzulösen. Mit dieser im Nameserver implementierten Funktion gewinnen Benutzeranwendungen Effizienz in Design und Betrieb.
Die Kombination von DNS-Caching und rekursiven Funktionen in einem Nameserver ist nicht zwingend erforderlich, die Funktionen können für spezielle Zwecke unabhängig in Servern implementiert werden.
Internet Service Provider stellen ihren Kunden in der Regel rekursive und Caching-Nameserver zur Verfügung., Darüber hinaus implementieren viele Heimnetzwerkrouter DNS-Caches und-Rekursionen, um die Effizienz im lokalen Netzwerk zu verbessern.
DNS-Resolver
Die Clientseite des DNS wird als DNS-Resolver bezeichnet. Ein Resolver ist für das Initiieren und Sequenzieren der Abfragen verantwortlich, die letztendlich zu einer vollständigen Auflösung (Übersetzung) der gesuchten Ressource führen, z. B. Übersetzung eines Domänennamens in eine IP-Adresse. DNS-Resolver werden nach einer Vielzahl von Abfragemethoden klassifiziert, z. B. rekursiv, nicht rekursiv und iterativ. Ein Auflösungsprozess kann eine Kombination dieser Methoden verwenden.,
In einer nicht-rekursiven Abfrage fragt ein DNS-Resolver einen DNS-Server ab, der einen Datensatz bereitstellt, für den der Server autorisierend ist, oder er liefert ein Teilergebnis, ohne andere Server abzufragen. Im Falle eines Caching-DNS-Resolvers liefert die nicht-rekursive Abfrage des lokalen DNS-Caches ein Ergebnis und reduziert die Belastung der Upstream-DNS-Server, indem DNS-Ressourcendatensätze nach einer ersten Antwort von Upstream-DNS-Servern für einen bestimmten Zeitraum zwischengespeichert werden.
In einer rekursiven Abfrage fragt ein DNS-Resolver einen einzelnen DNS-Server ab, der wiederum andere DNS-Server im Namen des Anforderers abfragen kann., Beispielsweise führt ein einfacher Stub-Resolver, der auf einem Heimrouter ausgeführt wird, normalerweise eine rekursive Abfrage an den DNS-Server durch, der vom ISP des Benutzers ausgeführt wird. Eine rekursive Abfrage ist eine, für die der DNS-Server die Abfrage vollständig beantwortet, indem er nach Bedarf andere Nameserver abfragt. Bei einem typischen Vorgang gibt ein Client eine rekursive Abfrage an einen rekursiven DNS-Caching-Server aus, der anschließend nicht rekursive Abfragen ausgibt, um die Antwort zu ermitteln und eine einzelne Antwort an den Client zurückzusenden., Der Resolver oder ein anderer DNS-Server, der rekursiv im Namen des Resolvers handelt, verhandelt die Verwendung eines rekursiven Dienstes unter Verwendung von Bits in den Abfrageheadern. DNS-Server sind nicht erforderlich, um rekursive Abfragen zu unterstützen.
Die iterative Abfrageprozedur ist ein Prozess, bei dem ein DNS-Resolver eine Kette von einem oder mehreren DNS-Servern abfragt. Jeder Server verweist den Client auf den nächsten Server in der Kette, bis der aktuelle Server die Anforderung vollständig auflösen kann. Zum Beispiel eine mögliche Auflösung von www.example.com würde einen globalen Root-Server abfragen, dann einen “ com “ – Server und schließlich einen „example.com“ server.,
Zirkuläre Abhängigkeiten und glue records
Name-Server in den Delegationen sind gekennzeichnet durch den Namen, statt die IP-Adresse. Dies bedeutet, dass ein auflösender Nameserver eine weitere DNS-Anforderung ausgeben muss, um die IP-Adresse des Servers herauszufinden, auf den er verwiesen wurde. Wenn der in der Delegation angegebene Name eine Unterdomäne der Domäne ist, für die die Delegation bereitgestellt wird, besteht eine zirkuläre Abhängigkeit.
In diesem Fall muss der Nameserver, der die Delegation bereitstellt, auch eine oder mehrere IP-Adressen für den in der Delegation genannten autorisierenden Nameserver angeben., Diese Information wird Kleber genannt. Der delegierende Nameserver stellt diese Zuordnung in Form von Datensätzen im zusätzlichen Abschnitt der DNS-Antwort bereit und stellt die Delegierung im Autorisierungsabschnitt der Antwort bereit. Ein Glue-Datensatz ist eine Kombination aus Nameserver und IP-Adresse.
Zum Beispiel, wenn der autoritative Nameserver für example.org ist ns1.example.org, ein Computer versucht zu lösen www.example.org erste Beschlüsse ns1.example.org. Wie ns1 enthalten ist in example.org, dies erfordert eine Lösung example.org erstens, was eine zirkuläre Abhängigkeit darstellt., Um die Abhängigkeit aufzubrechen, enthält der Nameserver für die Top-Level-Domain-Organisation Glue zusammen mit der Delegation für example.org. Die Glue-Datensätze sind Adressdatensätze, die IP-Adressen für ns1.example.org. Der Resolver verwendet eine oder mehrere dieser IP-Adressen, um einen der autorisierenden Server der Domäne abzufragen, wodurch die DNS-Abfrage abgeschlossen werden kann.
Record Caching
Eine gängige Praxis bei der Implementierung der Namensauflösung in Anwendungen besteht darin, die Belastung der Domänennamensystemserver zu reduzieren, indem die Ergebnisse lokal oder in Zwischenresolver-Hosts zwischengespeichert werden., Die Ergebnisse einer DNS-Anforderung sind immer mit der Time to Live (TTL) verknüpft, einer Ablaufzeit, nach der die Ergebnisse verworfen oder aktualisiert werden müssen. Die TTL wird vom Administrator des autorisierenden DNS-Servers festgelegt. Die Gültigkeitsdauer kann von wenigen Sekunden bis zu Tagen oder sogar Wochen variieren.
Aufgrund dieser verteilten Caching-Architektur werden Änderungen an DNS-Datensätzen nicht sofort im gesamten Netzwerk verbreitet, sondern erfordern, dass alle Caches ablaufen und nach der TTL aktualisiert werden. RFC 1912 vermittelt Grundregeln für die Bestimmung geeigneter TTL-Werte.,
Einige Resolver überschreiben möglicherweise TTL-Werte, da das Protokoll das Caching für bis zu achtundsechzig Jahre oder gar kein Caching unterstützt. Negatives Caching, d. H. Das Caching der Tatsache des Nichtbestehens eines Datensatzes, wird durch Namensserver bestimmt, die für eine Zone autorisiert sind und den Start des Authority (SOA) – Datensatzes enthalten müssen, wenn keine Daten des angeforderten Typs gemeldet werden. Der Wert des Mindestfelds des SOA-Datensatzes und der TTL des SOA selbst wird verwendet, um die TTL für die negative Antwort festzulegen.,
Reverse Lookup
Eine Reverse DNS Lookup ist eine Abfrage des DNS nach Domänennamen, wenn die IP-Adresse bekannt ist. Einer IP-Adresse können mehrere Domänennamen zugeordnet sein. Das DNS speichert IP-Adressen in Form von Domänennamen als speziell formatierte Namen in Pointer (PTR) – Datensätzen innerhalb der Infrastruktur-Top-Level-Domain-arpa. Für IPv4 ist die Domäne in-addr.arpa. Für IPv6 ist die Reverse-Lookup-Domäne ip6.arpa. Die IP-Adresse wird als Name in der Darstellung in umgekehrter Reihenfolge für IPv4 und in der Darstellung in umgekehrter Reihenfolge für IPv6 dargestellt.,
Bei einer umgekehrten Suche konvertiert der DNS-Client die Adresse in diese Formate, bevor er wie bei jeder DNS-Abfrage den Namen eines PTR-Datensatzes nach der Delegationskette abfragt. Angenommen, die IPv4-Adresse 208.80.152.2 ist Wikimedia beispielsweise zugewiesen, wird sie als DNS-Name in umgekehrter Reihenfolge dargestellt: 2.152.80.208.in-addr.arpa. Wenn der DNS-Resolver eine Pointer (PTR) – Anforderung erhält, fragt er zunächst die Root-Server ab, die auf die Server der American Registry for Internet Numbers (ARIN) für die 208.in-addr.arpa zone. Die Server von ARIN delegieren 152.80.208.in-addr.,arpa an Wikimedia, an die der Resolver eine weitere Abfrage für 2.152.80.208.in-addr.arpa, was zu einer maßgeblichen Antwort führt.
Client-Suche
DNS-Auflösungssequenz
Benutzer kommunizieren im Allgemeinen nicht direkt mit einem DNS-Resolver. Stattdessen erfolgt die DNS-Auflösung transparent in Anwendungen wie Webbrowsern, E-Mail-Clients und anderen Internetanwendungen., Wenn eine Anwendung eine Anforderung ausführt, für die eine Domänennamensuche erforderlich ist, senden solche Programme eine Auflösungsanforderung an den DNS-Resolver im lokalen Betriebssystem, der wiederum die erforderliche Kommunikation abwickelt.
Der DNS-Resolver verfügt fast immer über einen Cache (siehe oben), der aktuelle Suchvorgänge enthält. Wenn der Cache die Antwort auf die Anfrage bereitstellen kann, gibt der Resolver den Wert im Cache an das Programm zurück, das die Anfrage gestellt hat. Wenn der Cache die Antwort nicht enthält, sendet der Resolver die Anforderung an einen oder mehrere bestimmte DNS-Server., Im Falle der meisten Heimanwender liefert der Internetdienstanbieter, mit dem der Computer eine Verbindung herstellt, normalerweise diesen DNS-Server: Ein solcher Benutzer hat entweder die Adresse dieses Servers manuell konfiguriert oder DHCP erlaubt, sie festzulegen; Wenn Systemadministratoren jedoch Systeme für die Verwendung ihrer eigenen DNS-Server konfiguriert haben, verweisen ihre DNS-Resolver auf separat gepflegte Nameserver der Organisation. In jedem Fall wird der so abgefragte Nameserver dem oben beschriebenen Prozess folgen, bis er entweder erfolgreich ein Ergebnis findet oder nicht., Es gibt dann seine Ergebnisse an den DNS-Resolver zurück; Unter der Annahme, dass es ein Ergebnis gefunden hat, speichert der Resolver dieses Ergebnis ordnungsgemäß für die zukünftige Verwendung und übergibt das Ergebnis an die Software, die die Anforderung initiiert hat.
Defekte Resolver
Einige große ISPs haben ihre DNS-Server so konfiguriert, dass sie gegen Regeln verstoßen, z. B. indem sie TTLs nicht gehorchen oder angeben, dass ein Domänenname nicht existiert, nur weil einer seiner Nameserver nicht antwortet.
Einige Anwendungen wie Webbrowser verwalten einen internen DNS-Cache, um wiederholte Suchvorgänge über das Netzwerk zu vermeiden., Diese Vorgehensweise kann beim Debuggen von DNS-Problemen zusätzliche Schwierigkeiten verursachen, da sie den Verlauf solcher Daten verdeckt. Diese Caches verwenden normalerweise sehr kurze Caching-Zeiten in der Größenordnung von einer Minute.
Internet Explorer stellt eine bemerkenswerte Ausnahme dar: Versionen bis IE 3.x Cache DNS-Einträge standardmäßig 24 Stunden lang. Internet Explorer 4.x und spätere Versionen (bis IE 8) verringern den Standard-Timeout-Wert auf eine halbe Stunde, was durch Ändern der Standardkonfiguration geändert werden kann.
Wenn Google Chrome Probleme mit dem DNS-Server erkennt, wird eine bestimmte Fehlermeldung angezeigt.,
Andere Anwendungen
Das Domain Name System enthält mehrere weitere Funktionen und Funktionen.
Hostnamen und IP-Adressen müssen nicht in einer Eins-zu-Eins-Beziehung übereinstimmen. Mehrere Hostnamen können einer einzelnen IP-Adresse entsprechen, was beim virtuellen Hosting nützlich ist, bei dem viele Websites von einem einzelnen Host aus bedient werden. Alternativ kann ein einzelner Hostname in viele IP-Adressen aufgelöst werden, um Fehlertoleranz und Lastverteilung auf mehrere Serverinstanzen in einem Unternehmen oder im globalen Internet zu erleichtern.,
DNS dient neben der Übersetzung von Namen in IP-Adressen auch anderen Zwecken. Beispielsweise verwenden Mailübertragungsagenten DNS, um den besten Mailserver für die Zustellung von E-Mails zu finden: Ein MX-Datensatz stellt eine Zuordnung zwischen einer Domäne und einem Mail-Austauscher bereit; Dies kann eine zusätzliche Ebene der Fehlertoleranz und Lastverteilung bereitstellen.
Das DNS dient zur effizienten Speicherung und Verteilung von IP-Adressen von E-Mail-Hosts auf der schwarzen Liste., Eine gängige Methode besteht darin, die IP-Adresse des Subjekthosts in die Subdomäne eines Domänennamens höherer Ebene zu platzieren und diesen Namen in einen Datensatz aufzulösen, der eine positive oder negative Angabe anzeigt.
Zum Beispiel:
E-Mail-Server können Blacklist abfragen.beispiel, um herauszufinden, ob ein bestimmter Host, der eine Verbindung zu ihnen herstellt, auf der schwarzen Liste steht. Viele dieser Blacklists, entweder abonnementbasiert oder kostenlos, sind für E-Mail-Administratoren und Anti-Spam-Software verfügbar.,
Um im Falle eines Computer-oder Netzwerkausfalls widerstandsfähig zu sein, werden normalerweise mehrere DNS-Server für die Abdeckung jeder Domäne bereitgestellt. Auf der obersten Ebene des globalen DNS gibt es dreizehn Gruppen von Root-Nameserver, von denen zusätzliche „Kopien“ weltweit über Anycast-Adressierung verteilt werden.
Dynamic DNS (DDNS) aktualisiert einen DNS-Server mit einer Client-IP-Adresse im laufenden Betrieb, z. B. beim Wechsel zwischen ISPs oder mobilen Hotspots oder wenn sich die IP-Adresse administrativ ändert.