ระบบชื่อโดเมน (DNS) จะแปลชื่อโดเมนที่มนุษย์อ่านได้ เช่น google.com เป็นที่อยู่ IP ที่เครื่องอ่านได้ของเว็บไซต์ เช่น 172.217.3.206 หากต้องการป้องกันภัยคุกคามต่อโดเมนของคุณ เช่น การโจมตีแบบ Cache Poison และการปลอมแปลง DNS ให้ตั้งค่าส่วนขยายความปลอดภัยของ DNS (DNSSEC)
เปิด DNSSEC สำหรับโดเมนของคุณ
สำคัญ
- โดเมนระดับบนสุด (TLD) บางโดเมนยอมรับระเบียนคีย์สาธารณะ DNS (DNSKEY) แทนระเบียน Delegation Signer (DS)
- หากซื้อชื่อโดเมนจาก Google Domains ตั้งแต่แรก ระบบอาจตั้งค่า DNSSEC ให้คุณแล้ว
- หากโดเมนของคุณมีระเบียน ALIAS คุณจะเปิดใช้ DNSSEC ไม่ได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับระเบียน ALIAS
หากต้องการตั้งค่า DNSSEC สำหรับโดเมน คุณต้องเพิ่มระเบียนทรัพยากรเฉพาะสำหรับ DNS หรือเพิ่มลายเซ็นลงในโซน แล้วเผยแพร่สำหรับโดเมนของคุณ หากคุณใช้การตั้งค่า DNSSEC อัตโนมัติของ Google Domains เราจะจัดการทั้ง 2 ขั้นตอนให้คุณ ระบบอาจใช้เวลาถึง 24 ชั่วโมงในการอัปเดตการเปลี่ยนแปลงทั่วทั้งอินเทอร์เน็ตก่อน DNSSEC จึงจะใช้งานได้
- ลงชื่อเข้าใช้ Google Domains
- เลือกโดเมนของคุณ
- ที่ด้านบนซ้าย ให้เลือกเมนู DNS
- เลือกเนมเซิร์ฟเวอร์เริ่มต้นหรือเนมเซิร์ฟเวอร์ที่กำหนดเอง
- เลื่อนไปที่การ์ดหรือช่อง "DNSSEC"
- สำหรับเนมเซิร์ฟเวอร์เริ่มต้น ให้คลิกเปิด ระบบจะแสดง "เปิดใช้ DNSSEC อยู่" หากมีการเปิด DNSSEC อยู่แล้ว
- สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง ให้คลิกจัดการระเบียน DS แล้วป้อนข้อมูลจากผู้ให้บริการ DNS
- ป้อนค่าที่ผู้ให้บริการ DNS บุคคลที่สามมอบให้สำหรับ DNSSEC หรือ DNSKEY ของเนมเซิร์ฟเวอร์ที่กำหนดเอง
- หากต้องการเพิ่มระเบียนหลายรายการพร้อมกัน ให้คลิกสร้างระเบียนใหม่
- คลิกบันทึก
เคล็ดลับ
- หากไม่ต้องการรอให้มีการเผยแพร่ระเบียน DNSKEY ให้ขยายการ์ด DNSSEC แล้วคลิกเผยแพร่ระเบียนเลยในส่วน "DNSSEC"
- เมื่อเปิด DNSSEC แล้ว Google Domains จะเพิ่มลายเซ็นลงในโซน DNS โดยอัตโนมัติและเผยแพร่ระเบียน Delegation Signer (DS) ภายใน 2 ชั่วโมง
หากใช้เนมเซิร์ฟเวอร์ที่กำหนดเอง คุณต้องทำงานร่วมกับผู้ให้บริการ DNS บุคคลที่สามเพื่อเพิ่มลายเซ็นลงในโซน DNS สำหรับโดเมนของคุณ สำหรับ DNSKEY แต่ละรายการ คุณจะรับค่าต่อไปนี้ได้จากผู้ให้บริการ DNS
- แท็กคีย์: ค่าตัวเลขที่อ้างถึงระเบียน DNSKEY ที่มีอยู่
- อัลกอริทึม: อัลกอริทึมการเข้ารหัสที่สร้างคีย์ความปลอดภัยในระเบียน DNSKEY ซึ่งโดยปกติแล้วจะจับคู่กับฟังก์ชันแฮช เช่น RSA/SHA1
- ประเภทไดเจสต์: อัลกอริทึมที่สร้างไดเจสต์ของระเบียน DNSKEY หรือเรียกว่าอัลกอริทึมสำหรับไดเจสต์ แฮชสำหรับไดเจสต์ หรือฟังก์ชันแฮชสำหรับไดเจสต์
- ไดเจสต์: ค่าที่แฮชของระเบียน DNSKEY ซึ่งระบุได้ไม่ซ้ำกันและไม่เปิดเผยค่าของคีย์ ความยาวจะแตกต่างกันไปตามประเภทของไดเจสต์ ดังนี้
- SHA1: เลขฐานสิบหก 40 หลัก
- SHA256: เลขฐานสิบหก 64 หลัก
- SHA384: เลขฐานสิบหก 96 หลัก
หากใช้เนมเซิร์ฟเวอร์ที่กำหนดเอง โปรดติดต่อผู้ให้บริการ DNS บุคคลที่สามเพื่อลงชื่อเข้าใช้โซน DNS ของโดเมน สำหรับ DNSKEY แต่ละรายการ คุณจะรับค่าต่อไปนี้ได้จากผู้ให้บริการ DNS
- แฟล็ก: ข้อมูลที่แจ้งให้ DNS และรีโซลเวอร์ทราบเกี่ยวกับวิธีตีความระเบียน DNSKEY โดยค่าเริ่มต้น ค่านี้จะตั้งไว้ที่ 256 หรือ 257
- โปรโตคอล: ระบุเวอร์ชันของ DNSSEC ที่ใช้ ค่านี้จะตั้งไว้ที่ 3 เสมอ
- อัลกอริทึม: ระบุประเภทของอัลกอริทึมการเข้ารหัสที่ใช้สำหรับคู่คีย์สาธารณะหรือส่วนตัว
- คีย์สาธารณะ: คีย์ที่รีโซลเวอร์ DNS ใช้เพื่อตรวจสอบความถูกต้องของระเบียน DNS ที่ยังไม่มีการปรับเปลี่ยน
ปิดใช้งาน DNSSEC สำหรับโดเมนของคุณ
- ลงชื่อเข้าใช้ Google Domains
- เลือกโดเมนของคุณ
- เลือกเมนู DNS
- เลื่อนไปที่การ์ดหรือช่อง "DNSSEC"
- สำหรับเนมเซิร์ฟเวอร์เริ่มต้น ให้เลือกปิด
- สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง: ให้คลิก "ลบ" ข้างระเบียนแต่ละรายการ
- เลือกบันทึก
เคล็ดลับ
- สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง คุณสามารถนำระเบียนทรัพยากรที่เกี่ยวข้องกับ DNSSEC ออกจากโซนได้ด้วยการทำงานร่วมกับผู้ให้บริการ DNS
- เมื่อปิด DNSSEC แล้ว Google Domains จะยกเลิกการเผยแพร่ระเบียน DS ของโดเมนทันที หลังจากที่ระบบอัปเดตการเปลี่ยนแปลงดังกล่าวทั่วทั้งอินเทอร์เน็ตแล้ว โดเมนของคุณจะไม่ได้รับการปกป้องโดย DNSSEC อีกต่อไป ซึ่งอาจใช้เวลาถึง 48 ชั่วโมง Google Domains อาจยกเลิกลายเซ็นในโซน DNS เพื่อปิดใช้งาน DNSSEC ให้เสร็จสมบูรณ์
ใช้ DNS แบบไดนามิก
สำคัญ: DNS แบบไดนามิกใช้ได้กับที่อยู่ IPv4 และ IPv6 แต่จะใช้พร้อมกันไม่ได้
DNS แบบไดนามิกช่วยให้คุณกำหนดเส้นทางโดเมนหรือโดเมนย่อยไปยังทรัพยากรที่อยู่เบื้องหลังเกตเวย์และมีที่อยู่ IP ที่กำหนดแบบไดนามิกได้ หากต้องการใช้ DNS แบบไดนามิก คุณต้องใช้เนมเซิร์ฟเวอร์เริ่มต้นของ Google Domains
หากตั้งค่า DNS แบบไดนามิกกับ Google Domains คุณจะทำสิ่งต่อไปนี้ได้
- สร้างระเบียน A หรือ AAAA สำหรับโดเมนหรือโดเมนย่อยที่ทำให้เนมเซิร์ฟเวอร์ของ Google รอ IP แบบไดนามิก
- สร้างชื่อผู้ใช้และรหัสผ่านที่โฮสต์หรือเซิร์ฟเวอร์ของคุณสามารถใช้สื่อสารที่อยู่ IP ใหม่ไปยังเนมเซิร์ฟเวอร์ของ Google
หลังจากตั้งค่า DNS แบบไดนามิกแล้ว คุณต้องตั้งค่าโปรแกรมไคลเอ็นต์ในโฮสต์ เซิร์ฟเวอร์ หรือเกตเวย์ที่ดำเนินการดังต่อไปนี้
- ตรวจจับการเปลี่ยนแปลงที่อยู่ IP
- ใช้ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้น
- สื่อสารที่อยู่ใหม่ไปยังเนมเซิร์ฟเวอร์ของ Google
ตั้งค่า DNS แบบไดนามิก
- ลงชื่อเข้าใช้ Google Domains ในคอมพิวเตอร์
- เลือกโดเมนของคุณ
- คลิกเมนู DNS
- เลือกเนมเซิร์ฟเวอร์เริ่มต้นของ Google Domains (ใช้งานอยู่)
- หากเลือก "เนมเซิร์ฟเวอร์ที่กำหนดเอง (ใช้งานอยู่)" ไว้ หมายความว่าคุณมีเนมเซิร์ฟเวอร์ที่กำหนดเองอยู่แล้วและจะใช้บริการ DNS แบบไดนามิกของ Google Domains ไม่ได้
- คลิกแสดงการตั้งค่าขั้นสูง
- คลิกจัดการ DNS แบบไดนามิก สร้างระเบียนใหม่
- หากต้องการกำหนด IP แบบไดนามิก ให้ป้อนชื่อของโดเมนย่อยหรือโดเมนราก
- คลิกบันทึก
ตัวเลือกอื่นๆ ในการจัดการ DNS แบบไดนามิกมีดังนี้
- หากต้องการดูค่าระเบียน ให้คลิกสามเหลี่ยมถัดจากระเบียน
- หากต้องการดูชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นสำหรับระเบียน ให้คลิกดูข้อมูลเข้าสู่ระบบ
- หากต้องการกำหนดค่าเกตเวย์หรือซอฟต์แวร์ไคลเอ็นต์เพื่อให้ติดต่อเนมเซิร์ฟเวอร์ของ Google ให้ใช้ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นสำหรับระเบียน
- วิธีลบระเบียน
- ไปที่ "ระเบียนทรัพยากร"
- คลิกสามเหลี่ยมถัดจาก "DNS แบบไดนามิก"
- เลือกลบ
ตั้งค่าโปรแกรมไคลเอ็นต์บนเกตเวย์ โฮสต์ หรือเซิร์ฟเวอร์
มีการใช้งานไคลเอ็นต์ DNS แบบไดนามิกที่ได้รับความนิยมหลายรายการ เช่น DDclient และ INADYN เราเตอร์ส่วนใหญ่สามารถตรวจจับการเปลี่ยนแปลง IP และสื่อสารการเปลี่ยนแปลงดังกล่าวกับเนมเซิร์ฟเวอร์ผ่านซอฟต์แวร์ในตัวได้
กำหนดค่าไคลเอ็นต์ DNS แบบไดนามิกด้วยสิ่งต่อไปนี้
- ผู้ให้บริการหรือ DNS หรือบริการ: ชื่อผู้ให้บริการ DNS ของคุณ
- ชื่อผู้ใช้หรือข้อมูลเข้าสู่ระบบ: ชื่อผู้ใช้ที่สร้างขึ้นในระเบียน DNS แบบไดนามิก
- รหัสผ่านหรือข้อมูลเข้าสู่ระบบ: รหัสผ่านที่สร้างขึ้นในระเบียน DNS แบบไดนามิก
โปรดทดสอบระเบียนหลังจากที่สร้างระเบียนและกำหนดค่าซอฟต์แวร์ไคลเอ็นต์แล้ว โดยป้อนโดเมนย่อยและโดเมนลงในเบราว์เซอร์หรือไคลเอ็นต์ที่เหมาะสม และตรวจสอบว่ามีการเชื่อมต่อกับทรัพยากรที่ถูกต้องหรือไม่
เคล็ดลับ: Google Domains ใช้โปรโตคอล dyndns2
ตัวอย่าง
DDclient มีการสนับสนุนสำหรับ Google Domains แล้วในตอนนี้
DDclient ที่มีการสนับสนุน Google Domains |
รายการ ddclient.conf:
|
ตัวอย่างการกำหนดค่าไคลเอ็นต์ทั่วไปมีดังนี้
DDclient ที่ไม่มีการสนับสนุน Google Domains |
INADYN |
ตัวอย่างรายการ ddclient.conf:
|
เพิ่มรายการต่อไปนี้ลงใน inadyn.conf ของคุณ
|
อัปเดตระเบียน DNS แบบไดนามิกด้วย API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
ตั้งค่า User Agent
สำคัญ: คุณต้องตั้งค่า User Agent ในคำขอด้วย
ระหว่างการทดสอบกับ URL ข้างต้นโดยตรง domains.google.com/nic/update
เว็บเบราว์เซอร์มักจะเพิ่ม User Agent ให้คุณ คำขอ HTTP สุดท้ายที่ส่งไปยังเซิร์ฟเวอร์ของเราควรมีลักษณะดังนี้
ตัวอย่างคำขอ HTTP
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
พารามิเตอร์คำขอ
พารามิเตอร์ | ต้องระบุหรือไม่บังคับ | รายละเอียด |
username:password |
ต้องระบุ | ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้น ซึ่งเชื่อมโยงกับโฮสต์ที่จะอัปเดต |
hostname |
ต้องระบุ | ชื่อโฮสต์ที่จะอัปเดต |
myip |
|
ที่อยู่ IP ที่ตั้งค่าโฮสต์ หากไม่ระบุ เราจะใช้ IP ของตัวแทนที่ส่งคำขอ
สำคัญ: ต้องระบุ |
offline |
ไม่บังคับ | ตั้งค่าโฮสต์ปัจจุบันให้มีสถานะออฟไลน์ หากคำขออัปเดตดำเนินการบนโฮสต์ออฟไลน์ ระบบจะนำโฮสต์ออกจากสถานะออฟไลน์ ค่าที่ใช้ได้คือ
|
หลังจากประมวลผลคำขอแล้ว ระบบจะแสดงการตอบกลับอย่างใดอย่างหนึ่งต่อไปนี้
สำคัญ: โปรดตรวจสอบว่าคุณตีความการตอบกลับอย่างถูกต้อง ไม่เช่นนั้น คุณมีความเสี่ยงที่จะบล็อกไคลเอ็นต์ของคุณจากระบบของเรา
คำตอบ | สถานะ | รายละเอียด |
good {user’s IP address} |
สำเร็จ | การอัปเดตสำเร็จ คุณไม่ควรพยายามทำการอัปเดตอื่นจนกว่าที่อยู่ IP ของคุณเปลี่ยนแปลง |
nochg {user’s IP address} |
สำเร็จ | ที่อยู่ IP ที่ระบุได้รับการตั้งค่าสำหรับโฮสต์นี้แล้ว คุณไม่ควรพยายามทำการอัปเดตอื่นจนกว่าที่อยู่ IP ของคุณเปลี่ยนแปลง |
nohost |
ข้อผิดพลาด | ไม่มีชื่อโฮสต์อยู่หรือไม่ได้เปิดใช้ DNS แบบไดนามิก |
badauth |
ข้อผิดพลาด | การผสมรวมชื่อผู้ใช้/รหัสผ่านไม่ถูกต้องสำหรับโฮสต์ที่ระบุ |
notfqdn |
ข้อผิดพลาด | ชื่อโฮสต์ที่ระบุไม่ใช่ชื่อโดเมนที่สมบูรณ์ในตัวเองที่ถูกต้อง |
badagent |
ข้อผิดพลาด | ไคลเอ็นต์ DNS แบบไดนามิกของคุณส่งคำขอที่ไม่ถูกต้อง โปรดตรวจสอบว่ามีการตั้งค่า User Agent ในคำขอแล้ว |
abuse |
ข้อผิดพลาด | การเข้าถึง DNS แบบไดนามิกสำหรับชื่อโฮสต์ถูกบล็อก เนื่องจากมีการตีความการตอบกลับก่อนหน้านี้อย่างไม่ถูกต้อง |
911 |
ข้อผิดพลาด | เกิดข้อผิดพลาดทางฝั่งของเรา โปรดรอ 5 นาทีแล้วลองอีกครั้ง |
conflict A |
ข้อผิดพลาด | ระเบียนทรัพยากร A หรือ AAAA ที่กำหนดเองขัดแย้งกับการอัปเดต โปรดลบระเบียนทรัพยากรที่ระบุในหน้าการตั้งค่า DNS แล้วลองอัปเดตอีกครั้ง |