操作過程
一台沉洞伺服器並不意味著一定是一台大型DNS伺服器,其只需要存儲於域名解析鏈中即可。
網路級禁止
沉洞伺服器是被配置為對於沉洞列表內域名分發不可路由地址的標準DNS伺服器,這樣所有使用此伺服器作為DNS的主機將會無法訪問真實的網站。DNS伺服器所在的層級越高,被阻擋的主機就會越多。使用跨越整個網際網路的TLD沉洞技術可以使得一些大型的殭屍網路無法使用。DNS沉洞技術在檢測並阻擋有害流量、自動程式以及不需要的流量方面十分有用。
主機級禁止
存儲於Windows、Unix和Linux等平台上的hosts檔案可優先於DNS伺服器進行解析,此技術同樣可用於限制訪問網站。
套用
沉洞技術既可以是建設性的,比如牽制WannaCry病毒的蔓延;也可以像DoS攻擊中對DNS伺服器進行攻擊一樣具有摧枯拉朽的威力。
它的其中一種套用方式是用於防止殭屍網路,具體為限制殭屍網路用於協調的DNS域名。基於hosts的方法則常用於禁止廣告伺服器與突破網路封鎖。
域名
域名(英語: Domain Name),簡稱 域名、 網域,是由一串用點分隔的名字組成的Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。
網域名稱系統(DNS,Domain Name System,有時也簡稱為域名)是網際網路的一項核心服務,它作為可以將域名和IP位址相互映射的一個分散式資料庫,能夠使人更方便的訪問網際網路,而不用去記住能夠被機器直接讀取的IP位址數串。
例如,www.wikipedia.org是一個域名,和IP位址208.80.152.2相對應。DNS就像是一個自動的電話號碼簿,我們可以直接撥打wikipedia的名字來代替電話號碼(IP位址)。我們直接調用網站的名字以後,DNS就會將便於人類使用的名字(如www.wikipedia.org)轉化成便於機器識別的IP位址(如208.80.152.2)。
域名系統
域名系統(英文: Domain Name System,縮寫: DNS)是網際網路的一項服務。它作為將域名和IP位址相互映射的一個分散式資料庫,能夠使人更方便地訪問網際網路。DNS使用TCP和UDP連線埠53。當前,對於每一級域名長度的限制是63個字元,域名總長度則不能超過253個字元。
開始時,域名的字元僅限於ASCII字元的一個子集。2008年,ICANN通過一項決議,允許使用其它語言作為網際網路頂級域名的字元。使用基於Punycode碼的IDNA系統,可以將Unicode字元串映射為有效的DNS字元集。因此,諸如“x.中國”、“x.台灣”的域名可以在地址欄直接輸入並訪問,而不需要安裝外掛程式。但是,由於英語的廣泛使用,使用其他語言字元作為域名會產生多種問題,例如難以輸入,難以在國際推廣等。
DNS通過允許一個名稱伺服器把他的一部分名稱服務(眾所周知的zone)“委託”給子伺服器而實現了一種層次結構的名稱空間。此外,DNS還提供了一些額外的信息,例如系統別名、聯繫信息以及哪一個主機正在充當系統組或域的郵件樞紐。
任何一個使用IP的計算機網路可以使用DNS來實現他自己的私有名稱系統。儘管如此,當提到在公共的InternetDNS系統上實現的域名時,術語“域名”是最常使用的。
這是基於504個全球範圍的“根域名伺服器”(分成13組,分別編號為A至M)。從這504個根伺服器開始,餘下的Internet DNS名字空間被委託給其他的DNS伺服器,這些伺服器提供DNS名稱空間中的特定部分。
