DNS nedir;
Alan Adı Sistemi (DNS), alan adlarını (example.com gibi) IP adreslerine (204.39.xx gibi) dönüştüren bir protokoldür.
Alan adı sunucuları, bir kullanıcı bir web sayfasını yüklemeyi istediğinde kullanılabilen alan adlarının IP adreslerine eşlemelerini depolamak için kullanılır.
DNS'de kullanılan terimler:
IP Adresi: İnternet Protokolü adresi (IP adresi), İnternet Protokolünü (IPv4/IPv6) kullanarak iletişim kuran bir bilgisayar ağıyla ilişkili sayısal bir tanımlayıcıdır.
Alan adı: Alan adı, bir web sitesini veya İnternet kaynağını tanımlayan benzersiz bir harf dizisidir (alfanümerik).
Alt alan adı: Alt alan adı, belirli bir işleve yönelik içeriği web sitesinin geri kalanından (blog.example.com) ayırmak için alan adının başına eklenen alan adının bir parçasıdır.
Üst düzey alan adı (TLD): Üst düzey alan adı, alan adının en uzak kısmıdır ve tahsisi ICANN (İnternet Tahsisli Sayılar ve İsimler Kurumu) tarafından kontrol edilir. Yaygın örnekler arasında com, gov, org, io, net vb. yer alır. meydana gelmek.
Tam Nitelikli Alan Adı (FQDN): Tam nitelikli bir alan adı, yalnızca göreceli bir konum yerine ("blog.example.com"), üst düzey alan adı (TLD) dahil olmak üzere her ana alanın tam konumunu içeren mutlak bir alan adıdır. "). com') adıdır.
Bölge: DNS bölgesi, DNS ad alanının belirli bir yönetici veya kuruluş tarafından kontrol edilen bir kısmıdır. DNS bölgesi, DNS bileşenleri üzerinde daha hassas denetime izin veren bir yönetim bölgesidir. Örneğin example.com, tüm alt alan adlarını içeren bir bölge olabilir. Ancak ikinci.example.com ayrı bir bölge de olabilir.
Bölge dosyası:
Bölge dosyası, bir bölgenin gerçek temsilini ve bölge içindeki her etki alanı için tüm kayıtları içeren, DNS sunucusunda saklanan düz metin dosyasıdır. Bölge dosyası, alanla ilgili tüm bilgileri içerecektir:
- SOA kaydı yetkilendirmenin başlangıcını gösterir.
- IPv4 adres kaydı.
- IPv6 adresi için AAAA kaydı.
- Yetki alanı için yetki kaydını belirten bir CNAME kaydı.
- Alan adının alıcı e-posta sunucuları için MX kayıtları.
- Çeşitli doğrulama yöntemleri için TXT kayıtları
- Hizmet için SRV kaydı.
- Ters DNS araması için PTR.
DNS ana bölgesi
Bir DNS ana bölgesi (aynı zamanda DNS ana bölgesi olarak da bilinir), alan adınızı bu şekilde yöneteceğiniz, DNS kayıtlarını ekleme ve kaldırma üzerinde kontrol sahibi olduğunuz ad alanı parçasıdır. DNS ana bölgesi okumaya ve yazmaya izin verir. Ana yetki, ad sunucusunda bulunur.
Daha iyi güvenlik, kullanılabilirlik ve yedeklilik için, ikincil bir DNS sunucusu (İkincil DNS) içinde bir DNS ikincil bölgesi (DNS ikincil bölgesi) ayarlamanız gerekir. İkincil bölge, orijinal birincil bölgenin salt okunur bir kopyasıdır.
DNS nasıl çalışır?
Tarayıcınızda URL çubuğu aracılığıyla bir alan adını (örnek.com gibi) aradığınızda, DNS sunucusu adı doğru IP adresine dönüştürür. DNS istemcileri çoğu bilgi işlem cihazında yerleşiktir ve web tarayıcılarının bu sunucularla etkileşime girmesini sağlar. İşte nasıl çalışıyor:
Kullanıcı tarayıcıya bir URL adresi girer.
Web tarayıcısı cihazdaki işletim sistemini sorgular ve bu da DNS çözümleyicinin bir IP adresiyle veya bir hatayla yanıt vermesini ister. DNS çözümleyicileri genellikle İSS'niz tarafından sağlanır.
DNS çözümleyici, sorgulanan alan adı için IP adresinin kullanılabilirliği açısından DNS önbelleğini kontrol eder.
Etki alanı ayrıntıları önbellekte mevcut değilse çözümleyici, kök ad sunucularından birini sorgular.
Kök ad sunucusu bu sorguyu TLD sunucusuna gönderir.
Çözümleyici daha sonra TLD'nin ad sunucularından birini sorgular. TLD'ler genel (gTLD) veya devlet ülke kodu (ccTLD) olabilir.
TLD ad sunucusu, etki alanı kayıt kuruluşunu arar ve etki alanı eşlemesini içeren yetkili ad sunucusunun (ANS) IP adresiyle yanıt verir. Her alan adına, kayıt edildiğinde kayıt defterinde güncellenen bir ANS atanır.
ANS, doğru IP adresine bir eşleme sağlar ve çözümleyici, IP adresini işletim sistemine gönderir.
Tarayıcı daha sonra web sayfasını getirmek için HTTP isteğini yapmak üzere isteği doğru IP adresine gönderir. Daha sonra gelecekte hızlı yükleme için IP adresini önbelleğe alır.
DNS bölge aktarımı
AXFR/IXFR protokolünü kullanan DNS bölge aktarımı, DNS kayıtlarını DNS sunucuları arasında kopyalamaya yönelik en basit mekanizmadır. Birden fazla DNS sunucusundaki bilgileri düzenlemek zorunda kalmamak için, bir sunucudaki bilgileri düzenleyebilir ve ardından bilgileri diğer sunuculara kopyalamak için AXFR/IXFR'yi kullanabilirsiniz. Ancak sunucularınızı korumazsanız kötü niyetli kişiler AXFR'yi kullanarak tüm ana bilgisayarlarınız hakkında bilgi edinebilir.
İki tür bölge aktarımı vardır:
Tam bölge aktarımı (AXFR) — İkincil DNS sunucusunun tüm bölge dosyasını kopyaladığı bir tam bölge aktarımı.
Kısmi bölge aktarımı (IXFR) — Bu durumda ikincil sunucu, son güncellemeden bu yana meydana gelen tüm yeni değişiklikleri (silinmiş ve eklenen DNS kayıtları) kontrol eder ve yalnızca bu değişiklikleri alır.
AXFR/IXFR protokolünü kullanan DNS bölge aktarımı, DNS kayıtlarını DNS sunucuları arasında kopyalamaya yönelik en basit mekanizmadır. Birden fazla DNS sunucusundaki bilgilerin düzenlenmesini önlemek için, bilgileri bir sunucuda düzenleyin ve bilgileri diğer sunuculara kopyalamak için AXFR/IXFR'yi kullanın. Ancak sunucunuzu korumazsanız, kötü niyetli bir saldırgan AXFR'yi kullanarak tüm ana bilgisayarlarınız hakkında bilgi edinebilir.
İki tür bölge aktarımı vardır.
Tam Bölge Aktarımı (AXFR) — İkincil DNS sunucusunun tüm bölge dosyasını kopyaladığı bir tam bölge aktarımı.
Kısmi Bölge Aktarımı (IXFR) - Bu durumda ikincil sunucu, son güncellemeden bu yana meydana gelen tüm yeni değişiklikleri (DNS kaydı silme ve ekleme işlemleri) kontrol eder ve yalnızca bu değişiklikleri alır.
Sistemin sağlıklı çalışabilmesi için güncel tutulması gerekmektedir. Bu iki şekilde gerçekleşebilir:
Push — Birincil DNS sunucusu, bölge push'larını ikincil DNS sunucularına yayabilir.
Çekme — İkincil DNS sunucusu, birincil bölgedeki değişiklikleri kontrol edebilir ve SOA kayıtlarını karşılaştırarak herhangi bir fark bulunursa bir bölge aktarımı başlatabilir.
DNS bölge aktarımı neden gereklidir?
DNS kritik bir hizmettir. Bir bölgenin DNS sunucuları kapalıysa ve önbelleğe alınan bilgilerin süresi dolmuşsa, tüm hizmetler (web, posta vb.) etki alanına erişemeyecektir. Bu nedenle her bölgenin en az iki DNS sunucusuna sahip olması gerekir. Daha kritik alanlar için daha fazlası olabilir. Ancak alanlar büyük olabilir ve sık sık değişiklik gerektirebilir. Bölge verilerini her sunucuda tek tek manuel olarak düzenlerseniz, bu çok zaman alır ve birçok hata olasılığı vardır.
DNS bölge aktarımı için farklı mekanizmalar kullanabiliriz ancak en basit olanı AXFR'dir, AXFR, DNS bölge aktarımı sırasında kullanılan protokolü ifade eder. Bu müşteri tarafından başlatılan bir istektir. Bu nedenle, birincil DNS sunucusundaki bilgileri düzenleyebilir ve ardından AXFR'yi kullanarak tüm bölgeyi ikincil DNS sunucusundan karşıdan yükleyebilirsiniz.
İkincil bir sunucudan AXFR bölge aktarım isteği başlatmak, aşağıdaki dig komutunu kullanmak kadar basittir; burada Zonetransfer.me, bölge aktarımını başlatmak istediğimiz etki alanıdır.
Öncelikle alan adı için DNS sunucularının bir listesini almamız gerekiyor:
$ digzonetransfer.me -t ns
2. Bölgenin bir kopyasını ana sunucudan almak için bir AXFR isteği başlatabiliriz:
$ dig axfr Zonetransfer.me @nsztm1.digi.ninja.
AXFR herhangi bir kimlik doğrulama sağlamaz, dolayısıyla herhangi bir istemci DNS sunucusundan tüm bölgenin bir kopyasını talep edebilir. Bu, bir tür koruma sağlanmadığı sürece, bir saldırganın bir etki alanına ait tüm ana bilgisayarların bir listesini elde edebileceği anlamına gelir; bu da onlara birçok potansiyel saldırı vektörü sağlar. Bu güvenlik açığının oluşmasını önlemek için DNS sunucusunun yalnızca güvenilen IP adreslerinden bölge aktarımlarına izin verecek şekilde yapılandırılması gerekir.
Alan Adı Sistemi (DNS), alan adlarını (example.com gibi) IP adreslerine (204.39.xx gibi) dönüştüren bir protokoldür.
Alan adı sunucuları, bir kullanıcı bir web sayfasını yüklemeyi istediğinde kullanılabilen alan adlarının IP adreslerine eşlemelerini depolamak için kullanılır.
DNS'de kullanılan terimler:
IP Adresi: İnternet Protokolü adresi (IP adresi), İnternet Protokolünü (IPv4/IPv6) kullanarak iletişim kuran bir bilgisayar ağıyla ilişkili sayısal bir tanımlayıcıdır.
Alan adı: Alan adı, bir web sitesini veya İnternet kaynağını tanımlayan benzersiz bir harf dizisidir (alfanümerik).
Alt alan adı: Alt alan adı, belirli bir işleve yönelik içeriği web sitesinin geri kalanından (blog.example.com) ayırmak için alan adının başına eklenen alan adının bir parçasıdır.
Üst düzey alan adı (TLD): Üst düzey alan adı, alan adının en uzak kısmıdır ve tahsisi ICANN (İnternet Tahsisli Sayılar ve İsimler Kurumu) tarafından kontrol edilir. Yaygın örnekler arasında com, gov, org, io, net vb. yer alır. meydana gelmek.
Tam Nitelikli Alan Adı (FQDN): Tam nitelikli bir alan adı, yalnızca göreceli bir konum yerine ("blog.example.com"), üst düzey alan adı (TLD) dahil olmak üzere her ana alanın tam konumunu içeren mutlak bir alan adıdır. "). com') adıdır.
Bölge: DNS bölgesi, DNS ad alanının belirli bir yönetici veya kuruluş tarafından kontrol edilen bir kısmıdır. DNS bölgesi, DNS bileşenleri üzerinde daha hassas denetime izin veren bir yönetim bölgesidir. Örneğin example.com, tüm alt alan adlarını içeren bir bölge olabilir. Ancak ikinci.example.com ayrı bir bölge de olabilir.
Bölge dosyası:
Bölge dosyası, bir bölgenin gerçek temsilini ve bölge içindeki her etki alanı için tüm kayıtları içeren, DNS sunucusunda saklanan düz metin dosyasıdır. Bölge dosyası, alanla ilgili tüm bilgileri içerecektir:
- SOA kaydı yetkilendirmenin başlangıcını gösterir.
- IPv4 adres kaydı.
- IPv6 adresi için AAAA kaydı.
- Yetki alanı için yetki kaydını belirten bir CNAME kaydı.
- Alan adının alıcı e-posta sunucuları için MX kayıtları.
- Çeşitli doğrulama yöntemleri için TXT kayıtları
- Hizmet için SRV kaydı.
- Ters DNS araması için PTR.
DNS ana bölgesi
Bir DNS ana bölgesi (aynı zamanda DNS ana bölgesi olarak da bilinir), alan adınızı bu şekilde yöneteceğiniz, DNS kayıtlarını ekleme ve kaldırma üzerinde kontrol sahibi olduğunuz ad alanı parçasıdır. DNS ana bölgesi okumaya ve yazmaya izin verir. Ana yetki, ad sunucusunda bulunur.
Daha iyi güvenlik, kullanılabilirlik ve yedeklilik için, ikincil bir DNS sunucusu (İkincil DNS) içinde bir DNS ikincil bölgesi (DNS ikincil bölgesi) ayarlamanız gerekir. İkincil bölge, orijinal birincil bölgenin salt okunur bir kopyasıdır.
DNS nasıl çalışır?
Tarayıcınızda URL çubuğu aracılığıyla bir alan adını (örnek.com gibi) aradığınızda, DNS sunucusu adı doğru IP adresine dönüştürür. DNS istemcileri çoğu bilgi işlem cihazında yerleşiktir ve web tarayıcılarının bu sunucularla etkileşime girmesini sağlar. İşte nasıl çalışıyor:
Kullanıcı tarayıcıya bir URL adresi girer.
Web tarayıcısı cihazdaki işletim sistemini sorgular ve bu da DNS çözümleyicinin bir IP adresiyle veya bir hatayla yanıt vermesini ister. DNS çözümleyicileri genellikle İSS'niz tarafından sağlanır.
DNS çözümleyici, sorgulanan alan adı için IP adresinin kullanılabilirliği açısından DNS önbelleğini kontrol eder.
Etki alanı ayrıntıları önbellekte mevcut değilse çözümleyici, kök ad sunucularından birini sorgular.
Kök ad sunucusu bu sorguyu TLD sunucusuna gönderir.
Çözümleyici daha sonra TLD'nin ad sunucularından birini sorgular. TLD'ler genel (gTLD) veya devlet ülke kodu (ccTLD) olabilir.
TLD ad sunucusu, etki alanı kayıt kuruluşunu arar ve etki alanı eşlemesini içeren yetkili ad sunucusunun (ANS) IP adresiyle yanıt verir. Her alan adına, kayıt edildiğinde kayıt defterinde güncellenen bir ANS atanır.
ANS, doğru IP adresine bir eşleme sağlar ve çözümleyici, IP adresini işletim sistemine gönderir.
Tarayıcı daha sonra web sayfasını getirmek için HTTP isteğini yapmak üzere isteği doğru IP adresine gönderir. Daha sonra gelecekte hızlı yükleme için IP adresini önbelleğe alır.
DNS bölge aktarımı
AXFR/IXFR protokolünü kullanan DNS bölge aktarımı, DNS kayıtlarını DNS sunucuları arasında kopyalamaya yönelik en basit mekanizmadır. Birden fazla DNS sunucusundaki bilgileri düzenlemek zorunda kalmamak için, bir sunucudaki bilgileri düzenleyebilir ve ardından bilgileri diğer sunuculara kopyalamak için AXFR/IXFR'yi kullanabilirsiniz. Ancak sunucularınızı korumazsanız kötü niyetli kişiler AXFR'yi kullanarak tüm ana bilgisayarlarınız hakkında bilgi edinebilir.
İki tür bölge aktarımı vardır:
Tam bölge aktarımı (AXFR) — İkincil DNS sunucusunun tüm bölge dosyasını kopyaladığı bir tam bölge aktarımı.
Kısmi bölge aktarımı (IXFR) — Bu durumda ikincil sunucu, son güncellemeden bu yana meydana gelen tüm yeni değişiklikleri (silinmiş ve eklenen DNS kayıtları) kontrol eder ve yalnızca bu değişiklikleri alır.
AXFR/IXFR protokolünü kullanan DNS bölge aktarımı, DNS kayıtlarını DNS sunucuları arasında kopyalamaya yönelik en basit mekanizmadır. Birden fazla DNS sunucusundaki bilgilerin düzenlenmesini önlemek için, bilgileri bir sunucuda düzenleyin ve bilgileri diğer sunuculara kopyalamak için AXFR/IXFR'yi kullanın. Ancak sunucunuzu korumazsanız, kötü niyetli bir saldırgan AXFR'yi kullanarak tüm ana bilgisayarlarınız hakkında bilgi edinebilir.
İki tür bölge aktarımı vardır.
Tam Bölge Aktarımı (AXFR) — İkincil DNS sunucusunun tüm bölge dosyasını kopyaladığı bir tam bölge aktarımı.
Kısmi Bölge Aktarımı (IXFR) - Bu durumda ikincil sunucu, son güncellemeden bu yana meydana gelen tüm yeni değişiklikleri (DNS kaydı silme ve ekleme işlemleri) kontrol eder ve yalnızca bu değişiklikleri alır.
Sistemin sağlıklı çalışabilmesi için güncel tutulması gerekmektedir. Bu iki şekilde gerçekleşebilir:
Push — Birincil DNS sunucusu, bölge push'larını ikincil DNS sunucularına yayabilir.
Çekme — İkincil DNS sunucusu, birincil bölgedeki değişiklikleri kontrol edebilir ve SOA kayıtlarını karşılaştırarak herhangi bir fark bulunursa bir bölge aktarımı başlatabilir.
DNS bölge aktarımı neden gereklidir?
DNS kritik bir hizmettir. Bir bölgenin DNS sunucuları kapalıysa ve önbelleğe alınan bilgilerin süresi dolmuşsa, tüm hizmetler (web, posta vb.) etki alanına erişemeyecektir. Bu nedenle her bölgenin en az iki DNS sunucusuna sahip olması gerekir. Daha kritik alanlar için daha fazlası olabilir. Ancak alanlar büyük olabilir ve sık sık değişiklik gerektirebilir. Bölge verilerini her sunucuda tek tek manuel olarak düzenlerseniz, bu çok zaman alır ve birçok hata olasılığı vardır.
DNS bölge aktarımı için farklı mekanizmalar kullanabiliriz ancak en basit olanı AXFR'dir, AXFR, DNS bölge aktarımı sırasında kullanılan protokolü ifade eder. Bu müşteri tarafından başlatılan bir istektir. Bu nedenle, birincil DNS sunucusundaki bilgileri düzenleyebilir ve ardından AXFR'yi kullanarak tüm bölgeyi ikincil DNS sunucusundan karşıdan yükleyebilirsiniz.
İkincil bir sunucudan AXFR bölge aktarım isteği başlatmak, aşağıdaki dig komutunu kullanmak kadar basittir; burada Zonetransfer.me, bölge aktarımını başlatmak istediğimiz etki alanıdır.
Öncelikle alan adı için DNS sunucularının bir listesini almamız gerekiyor:
$ digzonetransfer.me -t ns
2. Bölgenin bir kopyasını ana sunucudan almak için bir AXFR isteği başlatabiliriz:
$ dig axfr Zonetransfer.me @nsztm1.digi.ninja.
AXFR herhangi bir kimlik doğrulama sağlamaz, dolayısıyla herhangi bir istemci DNS sunucusundan tüm bölgenin bir kopyasını talep edebilir. Bu, bir tür koruma sağlanmadığı sürece, bir saldırganın bir etki alanına ait tüm ana bilgisayarların bir listesini elde edebileceği anlamına gelir; bu da onlara birçok potansiyel saldırı vektörü sağlar. Bu güvenlik açığının oluşmasını önlemek için DNS sunucusunun yalnızca güvenilen IP adreslerinden bölge aktarımlarına izin verecek şekilde yapılandırılması gerekir.
