Mikä on DNS?

DNS-kysely käy läpi useita vaiheita. Jos IP-osoite löytyy jo ennestään tietokoneen välimuistista, DNS-kyselyä ei tarvitse tehdä. Tietokoneet tallentavat IP-osoitteita välimuistiin, kun tietyllä sivustolla vieraillaan ensimmäisen kerran. Kun sivustolla vieraillaan ensimmäistä kertaa, etenee DNS-kysely seuraavalla tavalla.

DNS-ratkaisija

Saapuvat DNS-kyselyt siirretään ensimmäisenä rekursiiviselle nimipalvelimelle, joka tunnetaan myös nimellä DNS-ratkaisija (engl. DNS resolver). Kyseessä on nimipalvelin, jota internet-palveluntarjoajasi käyttää. Ensimmäisenä rekursiivinen nimipalvelin tarkistaa, löytyykö siltä suoraan haettu IP-osoite. Jos IP-osoitetta ei löydy, siirtyy DNS-kysely eteenpäin jollekin juurinimipalvelimista.

DNS-ratkaisijaa voidaan ajatella kirjastonhoitajana, joka yrittää löytää halutun kirjan.

Rekursiivinen nimipalvelin vastaan pyyntöön ja etsii tarvittavat DNS-tiedot. Joskus DNS-tietojen löytämiseksi tarvitaan useita kyselyjä.

Juurinimipalvelin

Juuripalvelimet hallitsevat ylätason verkkotunnuksia (engl. top-level domain, TLD), kuten .com. Näitä juuripalvelimia on olemassa 13 sarjaa ja niitä hallinnoi 12 eri organisaatiota. Nämä palvelimet käyttävät maailmanlaajuisesti hajautettua fyysistä laitteistoa, jotta kaikki saapuvat DNS-kyselyt voidaan käsitellä nopeasti.

Kun DNS-ratkaisija lähettää pyynnön juurinimipalvelimelle, se ei vastaa suoraan halutulla IP-osoitteella, vaan se ohjaa pyynnön kyseisen ylätason verkkotunnuksen nimipalvelimelle.

Ylätason verkkotunnuksen nimipalvelin

Juuripalvelimen avustuksella DNS-ratkaisija pyytää tarvittavan IP-osoitteen ylätason verkkotunnuksen nimipalvelimelta (engl. Top-level Domain Name Server). Tässä tapauksessa se olisi .com, kun luet tätä artikkelia osoitteesta www.one.com.

Ajattele ylätason verkkotunnuksen nimipalvelinta kirjaston kategoriana, esimerkiksi romanttiset novellit.

Ylätason verkkotunnuksen nimipalvelin tallentaa kaikki osoite tiedot ylätason verkkotunnuksille. Kun DNS-ratkaisija lähettää IP-osoitekyselyn one.comista, ei myöskään verkkotunnuksen nimipalvelin IP-osoitetta, jolloin se jälleen kerran ohjaa kyselyn eteenpäin. Ylätason verkkotunnuksen nimipalvelin ohjaa DNS-ratkaisijan valtuutetulle nimipalvelimelle, mikä on DNS-kyselyn viimeinen vaihe.

Valtuutettu nimipalvelin

DNS-ratkaisija pyytää nyt IP-osoitetta one.comille valtuutetulta nimipalvelimelta (engl. authoritative name server), joka sisältää virallisen luettelon IP-osoitteista ja niitä vastaavista URL-osoitteista. Valtuutetut nimipalvelimet ovat vastuussa kaikista verkkotunnuksiin liittyvistä tiedoista. Luetteloa päivitetään aina, kun joku ostaa ja rekisteröi uuden verkkotunnuksen.

Valtuutettu nimipalvelin on viimeinen askel DNS-kyselyssä. Siltä voidaan pyytää halutun nettisivun IP-osoite, jota tarvitaan nettisivulle pääsemiseen.

Kun valtuutettu nimipalvelin saa DNS-pyynnön, se vastaa one.com-sivuston IP-osoitteella. DNS-ratkaisija välittää tämän tiedon tietokoneellesi ja sen jälkeen pääset vierailemaan one.com-sivustolla.

Nämä tiedot tallennetaan sekä tietokoneesi että DNS-ratkaisijan välimuistiin, jotta seuraava vierailu samalla sivustolle olisi nopeampi. Jos tietokone tunnistaa jo kyseisen sivun IP-osoitteen tai saa sen haettua suoraan DNS-ratkaisijalta, kaikkia edellä kuvattuja DNS-kyselyn vaiheita ei tarvita

Mikä on minun DNS-palvelin?

Internet-palveluntarjoajasi luo automaattisesti DNS-palvelimen, kun muodostat ensimmäistä kertaa yhteyden nettiin. Jos haluat tietää oman verkkoyhteytesi tiedot, tätä varten on olemassa erilaisia sivustoja. Esimerkiksi Browserleaks.com on hyvä sivusto, jos haluat tietää oman DNS-palvelimesi.

Jos sinulla on ongelmia oman DNS-palvelun kanssa, kannattaa kurkata meidän artikkelimme DNS-palvelin ei vastaa.

Hyvä tietää

Kuten aina muutenkin verkossa, kannattaa suojautua hakkereilta ja hyökkääjiltä. Olemme listanneet alle joitakin DNS-hyökkäyksiä, joista on hyvä olla tietoinen.

• DNS-heijastushyökkäykset

DNS-heijastushyökkäykset (engl. DNS reflection attacks) ovat tilanteita, joissa hyökkäyksen uhri saa suuren määrän viestejä DNS-ratkaisijan palvelimilta. Hyökkääjät etsivät suuria DNS-tiedostoja avoimena olevilta DNS-ratkaisija palvelimilta, tämä tehdään käyttämällä hyväksi uhrin IP-osoitetta. Kun DNS-ratkaisija vastaa tämän jälkeen saatuun pyyntöön, saa uhri liian monta DNS-tiedostoa, mikä ylikuormittaa uhrin tietokoneen.

• DNS-välimuistin myrkytys

DNS-välimuistin myrkyty (engl. DNS cache poisoning) voi houkutella käyttäjän sivustolle, jolla on haitalliset tavoitteet. Hyökkääjät tekevät tämän väärentämällä osoitetiedot DNS-tietoihin. Kun uhri pyytää IP-osoitetta jollekin näistä myrkytetyistä sivustoista, DNS vastaa hyökkääjän hallitseman sivuston IP-osoitteella. Jos uhri päätyy jollekin näistä sivustoista, voidaan häneltä pyrkiä viemänään esimerkiksi salasanoja tai muita tietoja.

• DNS-resurssien uuvutus

DNS-resurssien uuvutus (engl. DNS resource exhaustion) on hyökkäys, joka kohdistuu internet-palveluntarjoajan infrastruktuuriin. Sen takia tietyn palveluntarjoajan asiakkaat eivät voi vierailla haluamillaan sivustoilla. Hyökkääjät tekevät tämän käyttämällä uhrin nimipalvelinta verkkotunnuksen valtuutettuna nimipalvelimena. Tästä seuraa se, että valtava määrä DNS-kyselyjä tukkii kyseisen nimipalvelimen.

DNS-suojaus

Verkkotunnuksia säätelevä ICANN (Internet Corporation for Assigned Names and Numbers) on kehittänyt DNS-suojauksen varmistaakseen, että liikenne eri DNS-kyselyjen välillä olisi turvattua.

DNSSec kehitettiin varmistavaan, että hyökkääjät eivät pääse häiritsemään tai viemään DNS-kyselyn tietoja, sillä ne voisivat johtaa tietojenkalasteluyrityksiin. DNSSec-prosesissa jokaisen DNS-kyselyä käsittelevän tason on allekirjoitettava digitaalisesti ja samalla vahvistettava, ettei kyseessä ole hyökkääjä.