Home » DNS Architecture: Recursive, Authoritative และ DNS Security
ไม่มีหมวดหมู่

DNS Architecture: Recursive, Authoritative และ DNS Security

bom
March 9, 2026
1 View
DNS Architecture: Recursive, Authoritative และ DNS Security

DNS Architecture: Recursive, Authoritative และ DNS Security

DNS (Domain Name System) เป็น infrastructure สำคัญที่สุดของ internet ทำหน้าที่แปลง domain names เป็น IP addresses DNS architecture ประกอบด้วย recursive resolvers ที่ query แทน clients, authoritative servers ที่เก็บ zone data จริง และ DNS security mechanisms ที่ป้องกัน spoofing, cache poisoning และ DDoS

DNS เป็น single point of failure ที่สำคัญที่สุด — ถ้า DNS ล่ม ทุก service ที่ใช้ domain name จะใช้งานไม่ได้ แม้ servers จะ online อยู่ก็ตาม การออกแบบ DNS architecture ที่ resilient, secure และ performant จึงเป็นสิ่งจำเป็นสำหรับทุกองค์กร

DNS Resolution Flow

Step Action
1 Client query: “www.example.com” → ส่งไป recursive resolver (DNS server)
2 Resolver check cache → ถ้ามี = return answer (done)
3 ถ้าไม่มี cache → query root server (.) → ได้ referral ไป .com TLD
4 Query .com TLD server → ได้ referral ไป example.com authoritative NS
5 Query example.com authoritative server → ได้ IP address
6 Resolver cache answer (ตาม TTL) → return ให้ client

DNS Server Types

Type Function ตัวอย่าง
Root Servers Top of DNS hierarchy (13 root server addresses, a-m.root-servers.net) ICANN, Verisign, etc.
TLD Servers Top-Level Domain (.com, .org, .th) Verisign (.com), THNIC (.th)
Authoritative เก็บ zone data จริง (A, AAAA, MX, CNAME, etc.) ns1.example.com
Recursive Resolver Query แทน client, cache results ISP DNS, 8.8.8.8, 1.1.1.1
Forwarder Forward queries ไป upstream resolver (ไม่ iterate เอง) Corporate DNS → ISP DNS

DNS Record Types

Type Purpose ตัวอย่าง
A Domain → IPv4 address www.example.com → 93.184.216.34
AAAA Domain → IPv6 address www.example.com → 2606:2800:220:1:…
CNAME Alias → canonical name blog.example.com → example.com
MX Mail exchange server example.com MX 10 mail.example.com
NS Authoritative nameserver example.com NS ns1.example.com
TXT Text records (SPF, DKIM, DMARC, verification) “v=spf1 include:_spf.google.com ~all”
SRV Service location (port + weight + priority) _sip._tcp.example.com SRV 10 60 5060 sip.example.com
PTR IP → domain (reverse DNS) 34.216.184.93.in-addr.arpa PTR www.example.com
SOA Zone authority information Serial, refresh, retry, expire, minimum TTL
CAA Certificate Authority Authorization Specify which CAs can issue certs สำหรับ domain

Recursive vs Authoritative

Feature Recursive Resolver Authoritative Server
Function Query แทน client (iterate + cache) เก็บ zone data จริง (source of truth)
Cache Cache answers ตาม TTL ไม่ cache (ตอบจาก zone data)
Who queries Clients → recursive Recursive → authoritative
Security concern Cache poisoning, DDoS amplification Zone transfer, DDoS
Products Unbound, BIND (recursive mode), PowerDNS Recursor BIND, PowerDNS Auth, NSD, Knot DNS

Public DNS Resolvers

Provider Primary Secondary จุดเด่น
Cloudflare 1.1.1.1 1.0.0.1 Fastest, privacy-focused, WARP VPN
Google 8.8.8.8 8.8.4.4 Reliable, global, DNSSEC validation
Quad9 9.9.9.9 149.112.112.112 Threat blocking (malware domains), privacy
OpenDNS (Cisco) 208.67.222.222 208.67.220.220 Content filtering, threat protection

DNS Security Threats

Threat วิธีโจมตี ป้องกัน
Cache Poisoning Inject fake records เข้า resolver cache DNSSEC, source port randomization, 0x20 encoding
DNS Spoofing Forge DNS responses (man-in-the-middle) DNSSEC, DoH/DoT (encrypted DNS)
DNS Amplification DDoS ใช้ open resolvers amplify traffic ไปยัง victim Rate limiting, BCP38, disable open resolver
DNS Tunneling Encode data ใน DNS queries/responses (data exfiltration) DNS monitoring, payload analysis, block long queries
Domain Hijacking เปลี่ยน NS records ที่ registrar Registrar lock, DNSSEC, 2FA on registrar
Zone Transfer Leak Unauthorized AXFR request → ได้ทุก records Restrict zone transfer (allow-transfer)

Encrypted DNS

Protocol Port วิธีทำงาน
DoH (DNS over HTTPS) 443 DNS queries ใน HTTPS (ผ่าน web browser)
DoT (DNS over TLS) 853 DNS queries encrypted ด้วย TLS
DoQ (DNS over QUIC) 853 DNS queries ใน QUIC protocol (lower latency)

Best Practices

Practice รายละเอียด
Separate recursive + authoritative ไม่ run ทั้ง 2 บน server เดียว (security + performance)
DNSSEC Sign zones สำหรับ authoritative, validate สำหรับ recursive
Redundancy ≥ 2 authoritative servers (different networks)
Rate limiting Rate limit responses (ป้องกัน amplification)
Monitoring Monitor query rates, NXDOMAIN, response times
TTL tuning ต่ำ (300s) สำหรับ dynamic, สูง (86400s) สำหรับ static
Restrict zone transfers Allow AXFR เฉพาะ secondary NS servers

ทิ้งท้าย: DNS = Critical Internet Infrastructure

DNS Architecture Recursive resolver (cache + iterate) ↔ Authoritative server (zone data) Root → TLD → Authoritative = hierarchical resolution DNSSEC = sign + validate (ป้องกัน spoofing/poisoning) DoH/DoT = encrypted DNS (privacy) ≥ 2 authoritative NS + separate recursive = best practice

อ่านเพิ่มเติมเกี่ยวกับ DNSSEC และ PKI Certificate Lifecycle ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

บทความที่เกี่ยวข้อง

SiamCafe.net — ชุมชน IT ที่ใหญ่ที่สุด · Siam2R.com — Portfolio งาน IT

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart