使得 DNS 难以理解的事情之一是它是 分布式的。有成千上万(也许是几十万?我不知道!)的权威性域名服务器authoritative nameserver,以及至少1000 万个解析器。而且它们正在运行许多不同的软件!不同服务器运行着不同的软件意味着 DNS 的工作方式有很多不一致的地方,这可能导致各种令人沮丧的问题。
但是,与其谈论这些问题,我更感兴趣的是弄清楚 —— 为什么 DNS 是分布式的是一件好事?
一个原因是 可扩展性—— DNS 的分布式设计使其更容易扩展,对故障的恢复能力更强。我发现,尽管 DNS 已经有近 40 年的历史,但它的扩展性仍然很好,这真是令人惊讶。这一点非常重要,但这并不是这篇文章的主题。
相反,我想说的是,它是分布式的意味着你可以 控制你的 DNS 的工作方式。你可以向巨大而复杂的 DNS 服务器中添加更多的服务器!添加你控制的服务器!
昨天我 在 Twitter 上问为什么你要运行自己的 DNS 服务器,我得到了很多很好的答案,我想在这里总结一下。
你可以运行 2 种主要类型的 DNS 服务器:
我经常看到 DNS 的 “电话簿” 比喻,域名就像人名,IP 地址就像电话号码。
这是一个不错的思维模型。但是,“电话簿” 思维模型可能会使你认为,如果你对 google.com
进行 DNS 查询,你将永远得到相同的结果。而这是不正确的。
你在 DNS 查询中得到的记录可能取决于:
你可能想控制你自己的服务器的很多原因都与 DNS 不是一个静态数据库这一事实有关 —— 对于如何处理 DNS 查询,你可能会有不同的选择(无论是为你的域名还是为你的组织)。
这些原因并没有任何特定的顺序。
对于其中一些原因,你不一定必须要运行你自己的权威名称服务器,你只需选择提供了该功能的权威名称服务器服务就行了。
要明确的是:有很多理由 不运行自己的权威名称服务器 —— 我就没有运行,我也不想说服你应该这样做。它需要时间来维护,你的服务可能不那么可靠,等等。
这条推文说的很好:
[存在] 攻击者通过你的 DNS 供应商的客户支持人员获得 DNS 变更权限的风险,客服本来只应该提供帮助。他们可以被你的 DNS 阻止(也许就是因为缺少这个)。内部可能更容易审计和验证内容。
有几个人提到的一个原因是:“我习惯于编写区域文件和运行 bind
或nsd
,对我来说这样做更容易。”
如果你喜欢 bind/nsd 的方式,但又不想运维自己的服务器,有几个人提到,你也可以通过运行一个 “隐藏的主服务器” 来获得 bind 的优势,该服务器存储记录,但从一个 “辅助” 服务器提供所有的实际 DNS 查询。这里有一些我发现的关于配置辅助 DNS 的网页,以 NS1、cloudflare和Dyn作为示例。
我真的不知道什么是最佳的权威 DNS 服务器。我想我只在工作中使用过 nsd。
并非所有的 DNS 服务都支持某些较新的 DNS 记录类型,但如果你运行你自己的 DNS,你就可以支持任何你想要的记录类型。
你可能不喜欢你正在使用的 DNS 服务的用户界面(或 API,或干脆没有 API)。这与 “你喜欢运行 BIND ”的原因差不多,也许你喜欢编写区域文件的方式。
当问题出现时,能够自己解决,有一些明显的优点和缺点(优点:你可以解决问题,缺点:你必须解决问题)。
你可以写一个 DNS 服务器,做任何你想做的事情,它不一定要只返回一组静态记录。
有几个例子:
权威名称服务器似乎一般按每百万次 DNS 查询收费。比如,似乎 Route 53 每百万次查询收费 0.5 美元,NS1每百万次查询收费约 8 美元。
我对一个大型网站的权威 DNS 服务器实际需要解决多少次查询没有概念(哪些类型的网站会对其权威 DNS 服务器进行 10 亿次 DNS 查询?可能是很多,但我没有这方面的经验)。但是有几个人在回复中提到成本是一个原因。
如果你为你的域名使用一个单独的权威名称服务器,而不是你的注册商的名称服务器,那么当你转移到一个不同的注册商时,你所要做的就是把你的权威 DNS 服务器设置为正确的值,从而使你的 DNS 恢复正常。你不需要迁移你所有的 DNS 记录,那非常痛苦。
但你不需要为此而运行你自己的名字服务器。
你可能想根据客户的位置为你的域名返回不同的 IP 地址,给他们一个离他们很近的服务器。
这是很多权威的域名服务器服务所提供的服务,你不需要为此而专门运行名字服务器。
许多权威 DNS 服务器是共享的。这意味着,如果有人攻击 google.com
或其他的 DNS 服务器,而你恰好在使用同一个权威 DNS 服务器,你可能会受到影响,即使攻击不是针对你。例如,2016 年的这次对 Dyn 的 DDoS 攻击。
有一个人提到,他们喜欢把所有的配置(DNS 记录、let's encrypt、nginx 等)放在一台服务器上的同一个地方。
显然,iodine是一个可以让你通过 DNS 隧道传输流量的权威 DNS 服务器,它可以让你像 VPN 一样与外界联系,
如果有人能看到你所有的 DNS 查询,他们就有你(或你组织中的每个人)正在访问的所有域名的完整列表!你可能更愿意保持这种隐私。你可能更愿意保持这种隐私。
如果你运行你自己的解析器,你可以(通过不返回任何结果)拒绝解析你认为 “坏” 的域名的 DNS 查询。
几个你可以自己运行(或只是使用)的解析器的例子:
这里有一个很酷的故事,来自 这条推文:
我在一个应用程序中写了一个 DNS 服务器,然后把它设置为 nginx 的解析器,这样我就可以获得动态的后端代理,而不需要 nginx 运行 lua。Nginx 向应用程序发送 DNS 查询,应用程序查询 Redis 并作出相应的反应。这对我正在做的事情来说,效果非常好。
一些 ISP 运行的 DNS 解析器会做一些不好的事情,比如把不存在的域名指向他们控制的 IP,向你显示广告或他们控制的奇怪的搜索页面。
使用你控制的解析器或你信任的另一个解析器可以帮助你避免这种情况。
你可能有一个内部网络,其域名(比如 blah.corp.yourcompany.com
)并不在公共互联网上。为内部网络中的机器运行你自己的解析器,就有可能访问这些域名。
无论是访问只在本地的服务,还是为公共互联网上的服务获得本地地址,你都可以在家庭网络中做同样的事情。
有一个人 说:
我在我的局域网路由器上运行了一个解析器,它的上游使用了基于 HTTPS 的 DNS(DoH),所以物联网和其他不支持 DoH 或 DoT 的设备不会在外面喷射明文 DNS 查询。
对我来说,探索 DNS 的 “原因” 感觉很重要,因为它是一个如此复杂凌乱的系统,我认为大多数人如果不理解为什么这些复杂的东西是有用的,就很难有动力去学习这么复杂的主题。
感谢 Marie 和 Kamal 对这篇文章的讨论,也感谢 Twitter 上提供这些原因的所有人。
via: https://jvns.ca/blog/2022/01/05/why-might-you-run-your-own-dns-server-/
作者:Julia Evans选题:lujun9972译者:wxy校对:wxy
本文由 LCTT原创编译,Linux中国荣誉推出