استفاده از معماری DNS چندگانه برای افزایش اطمینان از سرورها

معماری Multi-DNS معماری است که در آن از چندین سرور DNS معتبر به صورت هم زمان استفاده می‌شود.

بیشتر دهندگان خدمات DNS، از سرورهای نام متعدد برای در دسترس بودن و افزونگی بالا استفاده می کنند. این کار به آنها اجازه می دهد تا بسیاری از مشکلات را حتی بدون اطلاع مشتریان رفع کنند. با این حال، ارزش افزوده Multi-DNS این است که با بروز مشکلاتی که کل شبکه ارائه دهنده را تحت تأثیر قرار می دهد، باز کار می کند. مانند حملات هدفمند علیه ارائه دهنده خدمات DNS به عنوان یک مرکز کل. در این نوع حمله‌ها DNS ها از مدار خارج می‌شوند و تمام سرورهای مرتبط را از مدار خارج می‌کنند.

ذکر این نکته مهم است که هنگام استفاده از چندین ارائه‌دهنده DNS، هیچ نقش اصلی یا مدیر وجود ندارد. به طور دقیق تر: الگوی یک نقطه شکست وجود ندارد. کلاینت ها و سرورهای DNS پایین دست آنها را به عنوان یک منبع DNS واحد می بینند.

به سه روش می‌توان معماری DNS چندگانه را پیاده سازی کرد:

• اصلی/فرعی
• فرعی پنهان
• اصلی/اصلی

راهکار اصلی و فرعی

در این روش و از چندین سرور به عنوان تامین کننده استفاده می‌کنیم و همه آنها را به عنوان DNS مجاز برای دامنه‌های خودمان استفاده می‌کنیم.

زمانی که تمام سرورهای دامنه به صورت اصلی نقش ایفا می‌کنند، اولین سروری که انتخاب می‌شود به عنوان سرور اصلی خواهد بود و سایر سرورها به عنوان سرورهای فرعی در نظر گرفته می‌شوند.

این روش ساده و نگهداری آسانی دارد اما مشکل اصلی زمانی ایجاد می‌شود که سرور اصلی انتخاب شده از مدار خارج شده باشد. در این حالت هیچ راهکاری برای جایگزین کردن سرورهای فرعی به عنوان سرور اصلی وجود ندارد.

راهکار فرعی پنهان

این روش زمانی کاربرد داره که شما تمام تجهیزات رو در مجموعه خودتان مدیریت می‌کنید و برخی کاربران از بیرون از مجموعه به آنها دسترسی دارند.برای نمونه شما اتاق سروری ایجاد کردید و در آن تعدادی سرور قرار داده‌اید و می‌خواهید این سرورها هم از داخل مجموعه و هم از بیرون در دسترس باشد.

در این روش سرور دامنه اصلی به صورت داخلی در خود مجموعه قرار دارد و سرورهای دامنه دیگر که خارج از مجموعه قرار دارد را به روز نگهداری می‌کند.

با استفاده از این روش سرور DNS داخلی از دسترسی مستقیم مهاجمان پنهان است و همواره سیستم داخلی می‌تواند بدون مشکل به کارهای خود ادامه دهد.

راهکار اصلی/اصلی

این استراتژی نیز مشابه استراتژی اول است، به این معنا که دو یا چند ارائه دهنده DNS نقش منبع معتبر DNS برای دامنه ما به کار گرفته شده‌اند، اما در این پیکربندی هر دو ارائه دهنده به عنوان منبع اصلی عمل می کنند.

وضوح DNS مشابه استراتژی اول است، با این حال تفاوت اصلی از نحوه انتشار به‌روزرسانی‌های DNS به هر دو ارائه‌دهنده ارسال می‌شود.

​

این استراتژی همه چیزهایی را که ما قصد داریم پیدا کنیم را ارائه می دهد: مشتریان توسط چندین ارائه دهنده خدمات دریافت می‌کنند، و هیچ وابستگی بین این سرورها وجود ندارد. این به ما امکان می‌دهد اطمینان حاصل کنیم که هیچ ارائه‌دهنده DNS از دیگری اطلاعی ندارد و هیچ ارائه‌دهنده‌ای نمی‌تواند روی در دسترس بودن دیگری تأثیر بگذارد.

با تمام قابلیت‌هایی که این راهکار ارائه می‌کند (به همین دلیل آن را انتخاب کردیم)، چالش جدیدی را معرفی می‌کند: با نبود یک منبع واحد از داده‌ها، چگونه رکوردهای DNS را به طور قابل اعتماد مدیریت کنیم؟ البته در قسمت بعدی به این سوال پاسخ داده خواهد شد.

داشتن سرورهای DNS که پاسخ‌های متفاوتی را برای یک دامنه می‌دهند، می‌تواند ویران‌کننده باشد و ممکن است برای مدت طولانی در طول یک حمله سایبری شناسایی نشود، زیرا DNS هرگز «مظنون اصلی» نیستند. این همچنین می تواند باعث مشکلات متناوب شود که تشخیص آن بسیار دشوار است.

نتیجه

برای مدیریت سرورهای دامنه راهکارهای متفاوتی وجود دارد. هر کدام از این روش‌ها برای محیطی خاصی مناسب هستند و قابلیت‌های خود را دارند. سه روش عمده برای مدیریت این سرورها وجود دارد.  مهم‌ترین مشکل این روش‌ها به روز بودن رکوردهای دامنه است.

در مقالات بعدی ما نشان داده‌ایم که چگونه این روش‌ها را پیاده سازی کنید.