معماری Multi-DNS معماری است که در آن از چندین سرور DNS معتبر به صورت هم زمان استفاده میشود.
بیشتر دهندگان خدمات DNS، از سرورهای نام متعدد برای در دسترس بودن و افزونگی بالا استفاده می کنند. این کار به آنها اجازه می دهد تا بسیاری از مشکلات را حتی بدون اطلاع مشتریان رفع کنند. با این حال، ارزش افزوده Multi-DNS این است که با بروز مشکلاتی که کل شبکه ارائه دهنده را تحت تأثیر قرار می دهد، باز کار می کند. مانند حملات هدفمند علیه ارائه دهنده خدمات DNS به عنوان یک مرکز کل. در این نوع حملهها DNS ها از مدار خارج میشوند و تمام سرورهای مرتبط را از مدار خارج میکنند.
ذکر این نکته مهم است که هنگام استفاده از چندین ارائهدهنده DNS، هیچ نقش اصلی یا مدیر وجود ندارد. به طور دقیق تر: الگوی یک نقطه شکست وجود ندارد. کلاینت ها و سرورهای DNS پایین دست آنها را به عنوان یک منبع DNS واحد می بینند.
به سه روش میتوان معماری DNS چندگانه را پیاده سازی کرد:
- اصلی/فرعی
- فرعی پنهان
- اصلی/اصلی
راهکار اصلی و فرعی
در این روش و از چندین سرور به عنوان تامین کننده استفاده میکنیم و همه آنها را به عنوان DNS مجاز برای دامنههای خودمان استفاده میکنیم.
زمانی که تمام سرورهای دامنه به صورت اصلی نقش ایفا میکنند، اولین سروری که انتخاب میشود به عنوان سرور اصلی خواهد بود و سایر سرورها به عنوان سرورهای فرعی در نظر گرفته میشوند.
این روش ساده و نگهداری آسانی دارد اما مشکل اصلی زمانی ایجاد میشود که سرور اصلی انتخاب شده از مدار خارج شده باشد. در این حالت هیچ راهکاری برای جایگزین کردن سرورهای فرعی به عنوان سرور اصلی وجود ندارد.
راهکار فرعی پنهان
این روش زمانی کاربرد داره که شما تمام تجهیزات رو در مجموعه خودتان مدیریت میکنید و برخی کاربران از بیرون از مجموعه به آنها دسترسی دارند.برای نمونه شما اتاق سروری ایجاد کردید و در آن تعدادی سرور قرار دادهاید و میخواهید این سرورها هم از داخل مجموعه و هم از بیرون در دسترس باشد.
در این روش سرور دامنه اصلی به صورت داخلی در خود مجموعه قرار دارد و سرورهای دامنه دیگر که خارج از مجموعه قرار دارد را به روز نگهداری میکند.
با استفاده از این روش سرور DNS داخلی از دسترسی مستقیم مهاجمان پنهان است و همواره سیستم داخلی میتواند بدون مشکل به کارهای خود ادامه دهد.
راهکار اصلی/اصلی
این استراتژی نیز مشابه استراتژی اول است، به این معنا که دو یا چند ارائه دهنده DNS نقش منبع معتبر DNS برای دامنه ما به کار گرفته شدهاند، اما در این پیکربندی هر دو ارائه دهنده به عنوان منبع اصلی عمل می کنند.
وضوح DNS مشابه استراتژی اول است، با این حال تفاوت اصلی از نحوه انتشار بهروزرسانیهای DNS به هر دو ارائهدهنده ارسال میشود.
این استراتژی همه چیزهایی را که ما قصد داریم پیدا کنیم را ارائه می دهد: مشتریان توسط چندین ارائه دهنده خدمات دریافت میکنند، و هیچ وابستگی بین این سرورها وجود ندارد. این به ما امکان میدهد اطمینان حاصل کنیم که هیچ ارائهدهنده DNS از دیگری اطلاعی ندارد و هیچ ارائهدهندهای نمیتواند روی در دسترس بودن دیگری تأثیر بگذارد.
با تمام قابلیتهایی که این راهکار ارائه میکند (به همین دلیل آن را انتخاب کردیم)، چالش جدیدی را معرفی میکند: با نبود یک منبع واحد از دادهها، چگونه رکوردهای DNS را به طور قابل اعتماد مدیریت کنیم؟ البته در قسمت بعدی به این سوال پاسخ داده خواهد شد.
داشتن سرورهای DNS که پاسخهای متفاوتی را برای یک دامنه میدهند، میتواند ویرانکننده باشد و ممکن است برای مدت طولانی در طول یک حمله سایبری شناسایی نشود، زیرا DNS هرگز «مظنون اصلی» نیستند. این همچنین می تواند باعث مشکلات متناوب شود که تشخیص آن بسیار دشوار است.
نتیجه
برای مدیریت سرورهای دامنه راهکارهای متفاوتی وجود دارد. هر کدام از این روشها برای محیطی خاصی مناسب هستند و قابلیتهای خود را دارند. سه روش عمده برای مدیریت این سرورها وجود دارد. مهمترین مشکل این روشها به روز بودن رکوردهای دامنه است.
در مقالات بعدی ما نشان دادهایم که چگونه این روشها را پیاده سازی کنید.