Dns это: Что такое DNS-сервер — объясняем простыми словами

Содержание

Что такое DNS? – Знакомство с DNS – AWS

DNS (система доменных имен) преобразует доменные имена, удобные для человеческого восприятия (например, www.amazon.com), в IP-адреса, понимаемые машиной (например, 192.0.2.44).

 

 

Все компьютеры, подключенные к Интернету, включая смартфоны, настольные компьютеры и серверы, предоставляющие контент для огромных торговых веб-сайтов, находят друг друга и обмениваются информацией с помощью цифр. Эти цифры называются IP-адресами. Чтобы открыть веб-сайт в браузере, не требуется запоминать длинные наборы цифр. Достаточно ввести доменное имя, например example.com, и браузер откроет нужную страницу.

Служба DNS, например Amazon Route 53, – это глобальный распределенный сервис, преобразующий доменные имена, удобные для человеческого восприятия (например, www.example.com), в числовые IP-адреса (например, 192.0.2.1), используемые для взаимодействия компьютеров. Система DNS в Интернете очень похожа на телефонную книгу, которая устанавливает привязку имен абонентов к их телефонным номерам. Серверы DNS преобразуют запросы по именам в IP-адреса, обеспечивая соединение конечного пользователя с определенным сервером при вводе доменного имени в веб-браузер пользователя. Такие запросы называются

DNS-запросами.

Авторитативный DNS-сервис. Авторитативный DNS-сервис предоставляет механизм обновления, используемый разработчиками для управления публичными именами DNS. Он отвечает на запросы к DNS, преобразуя доменные имена в IP-адреса, чтобы обеспечить взаимодействие компьютеров между собой. Авторитативный DNS-сервис полностью отвечает за домен и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных DNS-серверов. Amazon Route 53 является авторитативным DNS-сервисом.

Рекурсивный DNS-сервис. Обычно клиенты не отправляют запросы напрямую к авторитативным DNS-сервисам. Вместо этого они взаимодействуют с другим DNS-сервисом, который называется

преобразователь имен или рекурсивный DNS-сервис. Рекурсивный DNS-сервис похож на управляющего в отеле: сам он не хранит записи DNS, но действует в качестве посредника, который может достать нужную информацию для вас. Если рекурсивный DNS-сервис хранит информацию в кэше или постоянном хранилище в течение определенного времени, тогда он отвечает на DNS-запрос, возвращая информацию об источнике или IP-адрес. Если он не хранит эту информацию, он передает запрос в один или несколько авторитативных DNS-серверов.

Что такое DNS-сервер и для чего он нужен?

480 auto

Если спросить среднего пользователя интернета, что такое сайт, скорее всего, он назовёт, например, yandex.ru, mail.ru, google.com, facebook.com, …

В практическом смысле этого вполне достаточно: нашёл интересный сайт, сообщил знакомым его доменное имя (или проще, «адрес»).

Однако настоящим адресом доменное имя не является. Ну это примерно так же, как отправить письмо с надписью на конверте: «город Екатеринбург, Петру Иванову». Здесь дело даже не в том, что Петров Ивановых в Екатеринбурге может быть несколько (представим, что человек с таким именем там единственный). Проблема в том, что адресат может перемещаться, минимум, по городу, и вручить ему письмо будет крайне проблематично.

Но письма-то доставляют и получают! — Да, конечно. Потому что они отправляют по почтовым адресам. Например, «город Ленинград, 3-я улица Строителей, дом 25, квартира 12».

Почтовым адресом в интернете является IP-адрес, состоящий из четырёх чисел от 0 до 255, например, 74.125.131.100. Это — один из IP-адресов сайта google.com. Если в адресной строке вашего браузера ввести эти числа, вы окажетесь на портале google.com, точнее, на google.ru, куда вас автоматически перенаправят.

Почему «один из адресов», и какого типа бывают IP-адреса, пока оставим в стороне.

В интернете IP-адрес задаёт, на какой компьютер нужно доставить данные.

Вам что-то напоминает IP-адрес? — Мне он напоминает длинный номер мобильного телефона.

Телефонная книга

К сожалению, запоминать длинные телефонные номера непросто. Мы их вносим в свои записные книжки («контакты», по-мобильнофонному) и добавляем к ним понятные имена, например,

Пётр Иванов, +7-343-123-45-67.

В дальнейшем нам не потребуется помнить сам телефонный номер Петра, достаточно того, что этот номер записан в нашу телефонную книгу. Когда нам будет нужно позвонить Петру, мы найдём его в списке наших контактов даже не взглянув на его номер.

В интернете роль телефонной книги играет система доменных имён (DNS, Domain Name System). В ней хранится связь между относительно легко запоминаемым названием сайта и его трудно запоминаемым числовым адресом.

Правда, есть одно существенное отличие этой «интернет-книги» от телефонной. — Её ведёт не каждый знакомый Петра Иванова в отдельности, а он сам.

В частной телефонной книге можно написать: «Петя», «Пётр», «Петруша», «Петруха», «Петруня», «любимый», …, а в «телефонной интернет-книге» записи ведут сами владельцы сайтов, например:

Название домена Адрес
pyotr-ivanov.ru 123.123.123.123

Если кто-то пожелает посетить сайт Петра Иванова, в адресной строке браузера он наберёт: pyotr-ivanov.ru, а система доменных имён сообщит браузеру (точнее, компьютеру, на котором работает браузер), соответствующий IP-адрес, в нашем примере: 123.123.123.123. Компьютер, который находится по этому адресу, обработает запрос браузера и пришлёт ему данные, для отображения запрошенной страницы веб-сайта.

 

 

Теперь понятно, как используются доменные имена? — Однако ещё не рассказано, где хранятся записи о связях между доменными именами сайтов и IP-адресами компьютеров, на которых эти сайты размещены.

DNS-сервер

Он-то и служит телефонной книгой. Он хранит информацию о том, какому IP-адресу соответствует то или иное доменное имя. В интернете DNS-серверов очень много. У них двойная роль:

  • главная — «телефонная интернет-книга»;
  • дополнительная (но тоже важная) — кэширование записей других DNS-серверов.

Сначала несколько слов о кэшировании. Выяснять связь между названием сайта и его IP-адресом требуется при каждом обращении к этому веб-сайту. Если сайт, который вы хотите посетить, находится достаточно далеко, многочисленные запросы к далёкому первичному DNS-серверу могут отнять много времени и замедлить загрузку веб-страниц. Чтобы избежать задержек, ближайший к вашему компьютеру DNS-сервер (обычно находящийся у вашего интернет-провайдера), сохраняет сведения о ранее запрошенных IP-адресах, и при повторном обращении к тому же сайту он сообщит его адрес очень быстро, так как будет хранить его в своём кэше.

Но чтобы что-то кэшировать, нужно иметь источник кэшируемого. Таким источником служат первичные DNS-сервера, хранящие изначальные связи между доменами и их IP-адресами.

Для регистрации доменного имени достаточно его придумать. Но для того, чтобы оно начало «работать», вы должны сообщить регистратору доменное имя DNS-сервера, который будет хранить подробные данные о регистрируемом вами домене. Об этих данных будет сказано чуть позже.

Обычно используют два DNS-сервера: первичный и вторичный. Но их может быть и больше. Большее число DNS-серверов повышает надёжность доступа к вашему домену: если один окажется недоступен, ответит другой.

В реальном мире двух — вполне достаточно.

 

 

Многие регистраторы доменных имён и просто интернет-провайдеры предлагают использовать свои DNS-серверы в режиме платной услуги.

Хорошая новость: в облаке 1cloud услугу DNS-хостинга можно получить бесплатно! Достаточно быть клиентом этого публичного облака.

DNS-зона

Для дальнейшего понимания системы доменных имён нужно узнать, что такое DNS-зона.

Дело в том, что мы рассмотрели только один из вариантов связи между доменным именем и IP-адресом: один домен – один сайт – один адрес. Однако с конкретным доменным именем может быть связан не только веб-сайт, но и, например, почтовый сервер. И у них могут быть разные адреса.

 

 

Одному и тому же домену может соответствовать веб-сайт или почтовый сервер с несколькими IP-адресами, каждый. Их используют для повышения надёжности и производительности сайта или почтовой системы.

А ещё нужно вспомнить о возможных поддоменах, например,

mail.company.ru, ftp.company.ru, sklad.company.ru, …

Все необходимые связи между доменным именем и IP-адресами отражаются в специальном файле, расположенном на DNS-сервере. Содержимое этого файла называется описанием DNS-зоны, или просто DNS-зоной.

В ней могут присутствовать записи разных типов.

Тип записи Пояснение
A Адрес «сайта» соответствующего доменного имени
MX Адрес почтового сервера в соответствующем домене
CNAME Синоним описываемого домена.
Например, здесь можно указать, что доменное имя www.company.ru является синонимом доменного имени company.ru, и запросы по этому синониму будут перенаправляться на адрес основного доменного имени
NS Здесь указывается доменные имена DNS-серверов, обслуживающих описываемый домен.
Например, ns1.1cloud.ru и ns2.1cloud.ru
TXT Любое текстовое примечание

Это — не полный перечень возможных типов полей. Он был сокращён для упрощения ознакомительного изложения.

Дополнение

Как в любом деле, в правильном описании доменного имени есть свои детали и нюансы. В этой статье они опущены, чтобы не усложнять начальное знакомство с темой. Однако для общего кругозора уже сейчас следует добавить несколько важных фактов.

  • Выше была описана адресация по стандарту IPv4. Адрес в нём состоит из четырёх чисел. Такая адресация имеет ограничение числа обслуживаемых компьютеров: 4 294 967 296. Это много, но при нынешнем числе устройств, подключенных к интернету адресов стало не хватать.
    Для преодоления этого объективного лимита ввели новый стандарт: IPv6, по которому длина адреса увеличилась, и стало возможным адресовать намного, намного больше компьютеров. В DNS-зоне тип записи для такого адреса обозначается: AAAA.
  • Одному домену могут соответствовать несколько IP-адресов.
    Обычно такое назначение делается для повышения надёжности или быстродействия. Порядок выдачи IP-адреса из списка на запрос по доменному имени зависит от настроек DNS-сервера. Чаще всего адрес выдаётся в случайном порядке.
  • Одному IP-адресу может соответствовать несколько доменов.
    Строго говоря, это противоречит логике системы доменных имён, которая предполагает однозначную связь IP-адреса с соответствующим доменом. Однако, как было сказано ранее, 4-числовой IP-адрес стал дефицитным ресурсом, который уже достаточно давно стараются экономить.
    На практике такая экономия может выглядеть следующим образом. На компьютере размещают несколько не очень больших веб-сайтов с разными доменными именами, которым присвоен одинаковый IP-адрес. Веб-сервер, работающий на этом компьютере и обслуживающий эти сайты, получив запрос, анализирует домен, в который он пришёл, и направляет его на правильный сайт.
    Такая практика не позволяет обеспечить однозначность обратной связи IP-адреса с доменным именем, ведь в этом случае их несколько. Но позволяет экономить IP-адреса.
     

Заключение

Изложенный порядок на первый взгляд может показаться сложным. Однако он позволяет:

  • пользоваться доменными именами, которые запоминаются легче, чем числовые адреса;
  • повышать надёжность доступа к интернет-ресурсам путём использования для них нескольких компьютеров, разнесённых по сети;
  • увеличивать производительность интернет-ресурсов за счёт распределения нагрузки внутри группы обеспечивающих компьютеров;
  • перемещать прикладные компьютеры по интернету, не меняя их доменного адреса.

С учётом изложенного в этой статье, определим DNS кратко так.

DNS (Domain Name System) — это система доменных имён, которая связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Эта система включает в себя как регламентирующие документы, так множество DNS-серверов, работающих в интернете и сообщающих IP-адреса в ответ на запрос по доменным именам.

 

P.S. Еще немного материалов по теме DNS:

Что такое DNS сервер и для чего он нужен | Что такое DNS простыми словами | REG.RU

В статье мы расскажем про DNS сервер — опишем, что это такое простыми словами, дадим определение, а также разберем принципы работы DNS-системы.

DNS — что такое и для чего используется

DNS сервера ― что это

Интернет — это бесчисленное количество физических устройств (серверов, компьютеров, планшетов и т.д.), связанных между собой в сеть. Любой сайт в Интернете по факту находится на физическом устройстве. Каждое устройство имеет свой уникальный номер — IP-адрес вида 123.123.123.123.

Чтобы попасть на сайт, нужно знать IP-адрес устройства, на котором расположен этот сайт. А теперь представьте, сколько сайтов в день вы посещаете и сколько цифр вам пришлось бы запомнить. Конечно, это нереально. Поэтому для удобства работы в Интернете в 80-х годах была создана система доменных имен — DNS (Domain Name System). Смысл её в том, что каждому цифровому IP-адресу присваивается понятное буквенное имя (домен). Например, IP-адресу сервера 194.58.116.30 соответствует домен reg.ru. Когда вы вводите в браузере доменное имя, сервера DNS автоматически преобразуют его в IP-адрес. Домен за доли секунды переводится в IP DNS-системой и вы попадаете на нужный сайт.

Для чего нужны DNS-серверы

Служба доменных имён работает благодаря DNS-cерверам. Именно эти жизненно важные «программы» хранят таблицы соответствий вида «имя домена» — «IP-адрес». Кроме того, DNS-серверы служат для хранения ресурсных записей доменов. Что это и как работает мы рассказали в статье Что такое ресурсные записи. В Интернете огромное количество DNS-серверов и каждый выполняет свою функцию в общей системе. Служба Domain Name System необходима для того, чтобы мы могли без проблем находить свои любимые сайты, не запоминая вереницы цифр.

Итак, вы вводите название сайта в адресную строку и нажимаете Enter. В те самые секунды, перед тем как сайт отобразится на вашем экране, DNS-серверы работают, не щадя себя. Посмотрим, что делают DNS-серверы. Следите за стрелочками.

DNS переводит имя домена в IP-адрес: как это работает

  1. 1.

    Когда вы вводите в строке браузера доменное имя, например, FAQ-REG.RU, браузер ищет на вашем локальном компьютере файл hosts. В нём задаётся соответствие домена IP-адресу. Допустим, в этом файлe есть запись для введённого домена. Что это значит? Что сайт откроется сразу (стрелка 9). Если же записи нет, браузер сформирует DNS-запрос к интернет-провайдеру (стрелка 1), чтобы тот нашёл IP-адрес домена.

  2. 2.

    У каждого интернет-провайдера есть локальные (кеширующие) DNS-серверы. После получения запроса провайдер ищет в своём кеше запись о соответствии требуемого домена IP-адресу. Если такая запись есть, браузер получит IP-адрес (стрелка 8). По этому адресу браузер обратится к хостингу, на котором расположен сайт, и пользователю откроется нужная страница (стрелка 9). Если запись отсутствует, провайдер перенаправит DNS-запрос на корневые DNS-серверы (стрелка 2).

  3. 3.

    Корневые DNS-серверы хранят информацию только о DNS-серверах, ответственных за доменные зоны. Корневой DNS-сервер не может предоставить провайдеру информацию об IP-адресе домена FAQ-REG.RU. Зато он отправит IP-адрес DNS-сервера доменной зоны, в данном случае зоны .RU (стрелка 3).

  4. 4.

    Теперь у интернет-провайдера есть IP-адрес DNS сервера доменной зоны .RU. Поэтому он обращается к этому DNS-серверу и запрашивает IP-адрес домена (стрелка 4).

  5. 5.

    DNS-серверы зоны .RU хранят только информацию о DNS-серверах всех доменов в этой зоне, а не их IP-адреса. Поэтому DNS-серверы зоны подскажут Интернет-провайдеру IP-адрес DNS-сервера домена FAQ-REG.RU (стрелка 5).

  6. 6.

    Интернет-провайдер получил IP-адрес DNS-сервера домена FAQ-REG.RU. Он обращается к DNS-серверу домена (например, к ns1.hosting.reg.ru) с запросом IP-адреса домена (стрелка 6).

  7. 7.

    После получения запроса DNS-сервер сначала проверяет, есть ли у него информация о домене FAQ-REG.RU и искомый IP-адрес для него. В случае успеха DNS-сервер отправит IP-адрес домена интернет-провайдеру (стрелка 7).

  8. 8.

    Интернет-провайдер получает IP-адрес домена и сохраняет его у себя в кеше. После этого он отправит браузеру результат DNS-запроса — IP-адрес домена FAQ-REG.RU (стрелка 8).

  9. 9.

    Браузер обращается к хостингу по полученному IP-адресу (стрелка 9). Теперь пользователю открывается запрашиваемый сайт FAQ-REG.RU.

Где находятся DNS-серверы

Основой DNS-системы являются корневые серверы. Их всего 13. Они принадлежат разным операторам и находятся в Северной Америке. Чтобы повысить устойчивость системы, были созданы копии основных серверов в разных странах. Таким образом, корневых серверов стало 123. Каждой копии присваивается тот же IP DNS-сервера, что и у главного устройства.

DNS-серверы расположены согласно интенсивности использования интернет-инфраструктуры. Больше всего серверов всё равно находится в Северной Америке, но копии сервера есть и в России, Европе, Австралии, Китае, Бразилии, ОАЭ и других странах, включая Исландию.

В России реплики корневых серверов DNS находятся в Москве, Санкт-Петербурге, Новосибирске, Ростове-на-Дону, Екатеринбурге.

Зачем прописывать DNS-серверы для домена

Допустим, вы зарегистрировали домен. Пока никто, кроме вас, об этом не знает. Чтобы о существовании вашего домена узнал Интернет, нужно выбрать и прописать для домена DNS-серверы. Они-то и расскажут другим DNS-серверам Интернета о вашем домене. Так что запоминаем: зарегистрировал домен — пропиши DNS-серверы!

Прописывают DNS-серверы чаще всего парами. Один из DNS является первичным, а остальные серверы, которых может быть от 1 до 12 для каждого домена, называются вторичными. Это делается для лучшей отказоустойчивости: если выйдет из строя первичный DNS-сервер, домен и сайт продолжат свою работу благодаря вторичным.

Почему домены начинают работать не сразу

DNS-серверы интернет-провайдера обновляются раз в сутки (принцип работы DNS-серверов). Если вы только что прописали или сменили DNS-серверы, придётся подождать 24 часа. Смена DNS-сервера чревата временным отсутствием работающего сайта. После обновления DNS сайт станет доступен. Если сайт не работает — в помощь вам инструкция: Прописал DNS-серверы, но сайт недоступен.

Если вы зарегистрировали домен, но ещё не создали на нём сайт, после обновления DNS-серверов на вашем домене будет открываться парковочная страница с надписью «Домен надёжно припаркован». Если вы хотите создать на домене сайт, вам поможет статья: Я зарегистрировал домен, что дальше?

Быстрый старт

Получите все необходимые инструменты для быстрого запуска бизнеса в Интернете. В пакет «Быстрый старт» входят домен в зоне .RU, производительный хостинг и SSL-сертификат.

Подробнее Помогла ли вам статья?

1964 раза уже помогла

Что такое DNS: гайд по технологии

Чтобы попасть на нужный сайт в интернете, мы вбиваем в строку браузера его доменное имя. Например, если набрать mcs.mail.ru, вы попадете на сайт нашей облачной платформы. Но доменное имя сайта — не его настоящий адрес. На самом деле адрес сайта состоит из чисел и называется IP-адресом.

Вам не нужно знать его, чтобы открыть нужную интернет-страницу, потому что работает DNS. Давайте разберем принцип работы DNS и посмотрим, что это за технология.

DNS — что это такое?

Служба доменных имен (DNS, domain name system) — это стандартный протокол, который позволяет пользователям получать доступ к веб-сайтам, используя удобочитаемые адреса. Как телефонная книга позволяет найти имя контакта и узнать его телефонный номер, так и DNS позволяет ввести адрес веб-сайта и автоматически определить его IP-адрес, то есть уникальный идентификатор конкретного устройства (сервера) в компьютерной сети.

Без DNS рухнул бы интернет — люди не могли бы получить доступ к интернет-серверам через понятные URL-адреса, то есть ссылки. Чтобы попасть на конкретный сайт, пришлось бы запоминать и вводить последовательность чисел IP-адреса, которая, к тому же, иногда меняется, в отличие от URL. То есть служба Domain Name System необходима для сопоставления понятных людям имен сайтов с числами, понятными компьютерам.

Например, доменное имя сайта mcs.mail.ru преобразуется в IP-адрес 95.163.254.192 — это 32-битный формат IPv4. Также IP-адреса могут быть в другом формате, например: 2002: 6814: 30b6: 0: 0: 0: 0: 0 — это более новый 128-битный формат IPv6.

Протокол DNS позволяет нескольким доменным именам соответствовать одному IP-адресу — это можно использовать для виртуального хостинга, когда несколько сайтов обслуживаются с одного хоста. Также одному доменному имени может соответствовать множество IP-адресов, чтобы распределить нагрузку на несколько серверов.

Каждый раз когда вы подключаетесь к локальной сети, интернет-провайдеру или Wi-Fi, модем или роутер шлет конфигурацию сети на ваше устройство, включая адреса одного или нескольких DNS-серверов.

Что такое DNS-серверы

Это серверы, которые хранят информацию о том, какому IP-адресу какое доменное имя соответствует — что-то вроде физической телефонной книги, только вместо имени и номера телефона там записаны доменные имена и IP-адреса. В интернете таких серверов много.

Предположим, что вы или кто-то другой захотели разместить свой сайт в интернете. Сначала надо придумать и зарегистрировать доменное имя (коротко — домен). Но для работы сайта этого недостаточно: регистратору также нужно доменное имя DNS-сервера, на котором будет храниться информация о вашем домене и его IP-адресе. Этот DNS-сервер станет полномочным сервером имен для вашего сайта и первичным источником данных о его адресе для DNS-системы, где «записывается» путь к нему.

Часто регистраторы доменных имен и интернет-провайдеры предлагают использовать свои DNS-серверы за определенную плату (услуга DNS-хостинга). Также эту услугу можно получить в облаке, если разместить там свой сайт, приложение или другой сервис.

Из чего состоит служба DNS и какова роль DNS-серверов

Назначение DNS-серверов не только в хранении информации о соответствии IP-адресов и доменных имен. Они также могут кэшировать (то есть сохранять) IP-адреса, запрошенные пользователем ранее.

Например: сайт, который вы посещаете, географически расположен далеко от вас. И где-то есть такой же удаленный от вас DNS-сервер, на котором хранится информация о доменном имени и IP-адресе этого сайта, его полномочный сервер имен. Если все время обращаться за этим IP-адресом к удаленному DNS-серверу, загрузка сайта будет занимать много времени. Чтобы решить такую проблему, информацию о часто посещаемых сайтах сохраняет ближайший к вашему компьютеру DNS-сервер, как правило, он находится у вашего интернет-провайдера. В результате другие пользователи, которые обращаются к этому же адресу через этот же DNS-сервер, будут получать IP-адрес уже из его кэша, это гораздо быстрее.

То есть запрос, который вы вводите в строку браузера, сначала отправляется на ближайший DNS-сервер. Если в кэше нужного IP-адреса нет, он перенаправляет запрос дальше — к вышестоящим DNS-серверам. Они передают запрос, пока он не попадет на первичный DNS-сервер сайта, где хранится нужный IP-адрес.

Возврат IP-адреса хоста в ответ на запрос доменного имени называют преобразованием его доменного имени в IP-адрес. Когда все работает хорошо, этот процесс происходит менее чем за секунду.

Информация об IP-адресах тех сайтов, куда вы заходили, может храниться не только на ближайшем DNS-сервере, но и в кэше вашего браузера или операционной системы. Это позволяет быстрее получать ответ на запрос.

По мере роста интернета первоначальный стандарт IP-адресов — протокол IPv4, который допускает только до 4,3 миллиарда IP-адресов, заменяется на протокол IPv6, который поддерживает до 3.4×1038 IP-адресов. DNS-серверы все чаще возвращают IP-адреса в формате IPv6.

Как работает DNS: посмотрим, что происходит с вашим запросом

Дальше мы немного углубимся в детали. Давайте представим, что вы ввели в браузер запрос mcs.mail.ru/cloud-servers. Этот адрес состоит из нескольких частей, с каждой из которых происходит отдельная история:

  • .ru — имя домена верхнего уровня;
  • mail.ru — доменное имя;
  • mcs.mail.ru — поддомен;
  • /cloud-servers — страница на поддомене.

Посмотрим, какой путь этот запрос может пройти.

  1. Сначала браузер смотрит, нет ли нужного соответствия в его кэше. Если нет — смотрится кэш операционной системы. Если нет и там — придется обращаться к DNS-серверу.
  2. Сначала запрос попадает на ближайший DNS-сервер. Если в его кэше также нет нужной информации, этот DNS-сервер последовательно обращается к вышестоящим DNS-серверам.
  3. Первым ближайший DNS-сервер обращается на корневой сервер DNS — это сервер, который знает, где хранятся данные для имен доменов верхнего уровня: ru, com и других. У него он узнает адрес сервера имен домена верхнего уровня, на котором хранятся данные о .ru.
  4. Теперь наш ближайший DNS-сервер запрашивает у сервера имен домена верхнего уровня .ru информацию о том, где искать данные о доменном имени сайта — в нашем случае mail.ru: то есть получает адрес его полномочного сервера имен.
  5. Наконец, наш ближайший DNS-сервер узнает у первичного сервера адрес домена и поддомена сайта, в нашем случае mcs.mail.ru. Этот первичный DNS-сервер знает нужный IP-адрес и отдает его.
  6. Наконец, страницу на поддомене (в нашем случае …/cloud-servers) можно найти уже на самом сервере, который нашелся по IP-адресу, соответствующему доменному имени.

В итоге браузер получил ответ, пользователь видит веб-страницу. Теперь основная задача DNS-сервера выполнена.

Что это такое, как он работает и как защитить DNS сервер от атак

DNS (Domain Name System) — система, хранящая информацию о доменах Интернета. Ключевая ее функция ― предоставление IP-адреса узла или ресурса по его полному доменному имени.

Оглавление:

Что это такое

Каждый узел Интернета, а также сетей, построенных на его стандартах, имеет свой собственный уникальный сетевой адрес, состоящий из четырех байт (в версии протокола IPv4) или 16 байт (в версии протокола IPv6). В символьном виде его можно представить, например, так: 192.124.0.8 (IPv4) или так: 2001:0fb6:89ac:0000:0000:8a4b:0330:8634 (IPv6). Понять, о каком именно узле сети из такой вот нотации бывает непросто, поэтому в Интернете принято обозначать узлы доменными именами, например, www.stormwall.pro. Полное доменное имя — это, по сути, синоним IP-адреса, более «человеческое» название, понятное многим пользователям.

Доменное имя выглядит как последовательность доменов (символьных имен областей Интернета, выстроенных в иерархическую систему), с точками в качестве разделителей. Например, domain1 в доменном имени domain3.domain2.domain1 — это домен самого верхнего уровня иерархии, domain2 — домен второго уровня, ddomain3 — домен третьего уровня. Аналогичным образом в доменном имени www.stormwall.pro домен pro — это домен самого верхнего уровня иерархии, stormwall — домен второго уровня, www — домен третьего уровня.

Соответствие между доменными именами и IP-адресами как раз и обеспечивает система DNS — она позволяет обращаться к отдельным интернет-узлам не по «загадочному» (с точки зрения людей) IP-адресу, а по доменному имени, указывая его, например, в браузере или в запросе к удаленной базе данных.

Серверы DNS

Работу DNS обеспечивают множество географически распределенных программных серверов, выстроенных в иерархическую (древовидную) структуру.

Система работает примерно так. Браузер или иная программа, взаимодействующая с Интернетом, отправляет запрос к «ближайшему» DNS-серверу, чтобы он по доменному имени нашел IP-адрес нужного узла. Если этот DNS-сервер «знает» адрес, то возвращает его в качестве ответа на запрос. Если же DNS-сервер не может найти адрес в своей базе данных, то отправляет запрос на вышестоящий по иерархии сервер либо на корневой. Вышестоящий сервер рассматривает запрос и поступает аналогичным образом: либо находит у себя и отправляет в качестве ответа IP-адрес искомого узла, либо передает запрос на корневой DNS-сервер, который начинает поиск на DNS-серверах, нижестоящих в иерархии доменов. Если IP-адрес удается найти, то он передается по цепочке тому DNS-серверу, с которого начался поиск, и тот отправляет ответ программе, которая сформулировала первоначальный запрос. Если поиск оказывается неудачным, то в программу возвращается сообщение об ошибке.

Поскольку программы очень часто по многу раз обращаются к одним и тем же доменам, их адреса хранятся поблизости — в файле hosts, локальном файле настроек DNS. При отсутствии нужного адреса обращение передается на стоящий внутри сети локальный DNS-сервер, где производится поиск адреса его в кэш-памяти, затем на локальный DNS-сервер интернет-провайдера, и так далее.

Аналогичным образом решается задача обратного поиска, когда по IP-адресу узла Интернета производится поиск его доменного имени. Такой поиск используется, в частности, в системах электронной почты.

Еще один важный вариант запроса — на добавление или изменение информации, содержащейся в DNS. Например, чтобы сайт с новым доменным именем (что-то вроде newservername.com) заработал, необходимо зарегистрировать его, сделать необходимые настройки и указать IP-адреса DNS-серверов, которые «знают», где находится новый сайт. Чтобы информация о новом доменном имени стала известна всему Интернету и чтобы новый сайт заработал, потребуется некоторое время — обычно 24 часа

Очень часто владельцы сайтов предпочитают не держать DNS-серверы у себя, а размещать их на сторонних хостинговых площадках — это позволяет повысить доступность сайтов. Чтобы свести риски к минимуму, владельцы сайтов пользуются услугами нескольких хостинг-провайдеров: если вдруг DNS-сервер на одной из площадок окажется недоступен, путь к сайту «укажут» DNS-серверы, расположенные на других площадках.

Отметим, что более продвинутые провайдеры услуг хостинга DNS-серверов, такие как StormWall, помимо собственно хостинга, предоставляют также сервисы защиты DNS от атак.

Зоны DNS

Всё пространство имен DNS поделено на зоны, ответственность за которые несут те или иные DNS-серверы или группы DNS-серверов. Ответственные (или уполномоченные) серверы DNS могут выполнять запросы внутри своих зон. Если представить всю структуру DNS как дерево доменных имен, то зона — это, по сути, часть этого дерева, которая хранится на ответственном DNS-сервере.

Нужно заметить, что не все DNS-серверы являются ответственными, часть из них не содержит конфигураций зон и выполняет только функции кэширования, помогая сократить трафик клиентских запросов, и перенаправления запросов, которые не удалось разрешить в данном узле, на вышестоящие DNS-серверы.

В зависимости от того, какой поиск может вестись внутри зоны (IP-адреса по доменному имени, или, наоборот, доменного имени по IP-адресу) принято разделять зоны прямого просмотра и зоны обратного просмотра.

Защита DNS-серверов от атак

Серверы DNS нередко подвергаются атакам, их результаты оказываются достаточно болезненными для владельцев интернет-ресурсов. Так, атаки на уязвимости DNS-серверов могут привести не только к потере работоспособности, но и искажению хранящейся на них информации, например, подмене прежних IP-адресов на новые (DNS-спуфинг), вследствие чего пользователи вместо нужного им сайта будут попадать на контролируемый злоумышленниками ресурс.

Основное следствие DDoS-атак на DNS-серверы — их недоступность для пользователей. И поскольку DNS-серверы перестают обслуживать полезные внешние запросы, то и сайты, находящиеся «за» ними, тоже становятся недоступными. В этом случае владельцы несут потери как материальные (недополученная прибыль, иски недовольных клиентов, снижение их лояльности и отток), так и репутационные (волна негатива в СМИ и соцсетях). К сожалению, отражение DDoS-атак на DNS-серверы оказывается весьма непростым из-за того, что многие атаки проводятся посредством протокола UDP, имеющего немало уязвимостей.

Наиболее распространенными видами DDoS-атак на серверы DNS являются следующие:

  • Простой DNS-флуд — генерация мощного потока запросов к DNS-серверу с целью создания чрезмерной нагрузки на DNS-сервер. Как правило, для создания достаточного для успешной атаки потока хватает относительно небольшой бот-сети.
  • DNS-атака с отражением (DNS Reflection) основана на том, что ответ на DNS-запрос оказывается в разы длиннее самого запроса. Для атаки на DNS-сервер, намеченный в качестве цели, на один или несколько других DNS-серверов высылаются DNS-запросы, в которых вместо IP-адреса источника указывается IP-адрес жертвы. В результате на нее обрушивается поток DNS-ответов, на анализ которых тратится значительная часть производительности сервера-жертвы — вплоть до полного отказа в обслуживании.
  • DNS-амплификация или на DNS-атака с усилением — разновидность DNS-атак с отражением, использующая уязвимости серверов DNS. Путем ряда манипуляций с использованием DNS-серверов, использующих рекурсивную обработку запросов, длина запроса увеличивается в 30-60 и более раз. Таким образом, злоумышленник, применяющий сеть ботов, отправляющих ложные запросы к рекурсивным серверам, получает возможность создать очень мощный поток ложных запросов к DNS-серверу — жертве.

В целях минимизации рисков хакерских атак на DNS и повышения целостности и достоверности хранимых в ней данных в серверы DNS встраиваются средства защиты и безопасности: DNSSEC, TSIG, DANE и др.

Кроме того, рекомендуется предпринять следующие шаги:

  • Убедиться, что DNS-серверы работают на выделенных физических серверах достаточной мощности. Желательно разместить их в разных дата-центрах, принадлежащих к разным сегментам сети и имеющим несколько маршрутов.
  • Обеспечить регулярное обновление программного обеспечения DNS-серверов.
  • Ограничить доступ к серверам DNS с правами администратора узкому кругу лиц, причем только изнутри сети или через VPN.
  • «Закрыть» на сервере обработку неиспользуемых сетевых протоколов и сервисов.
  • Отключить рекурсивную обработку запросов на DNS-серверах.
  • Запретить динамические обновления зон DNS.
  • Путем настроек обеспечить защиту от спуфинга.
  • Отменить дополнительный поиск IP-адресов серверов DNS.
  • Отключить перенос доменных зон на ваши DNS-серверы.
  • Запретить и отключить все прочие функции DNS-серверов, которые в данный момент не используются.
  • Обеспечить регулярное сканирование DNS-серверов на наличие известных уязвимостей.
  • Заранее подключить сервис предварительной фильтрации трафика, направляемого на DNS-серверы, с автоматическим включением отражения атак на DNS.

Чтобы мощная DDoS-атака на DNS-серверы не застала вас врасплох, следует заранее подготовить план ваших действий после ее начала, а также план аварийного восстановления в случае отказа ваших серверов DNS в обслуживании. Разумеется, необходимо обеспечить также регулярные тренировки действий ИТ-специалистов при начале атак на DNS-серверы.

Что такое DNS? Введение в систему доменных имён

Если вы хоть немного имели дело с интернетом и компьютерными сетями, то наверняка слышали о системе доменных имён (DNS). Прочитав статью узнаете, как это всё работает.

Само имя хоста не даст никакой информации о нахождении конкретной машины, с которой вы собираетесь связаться, поскольку все соединения происходят по IP-адресам.

Сервер доменных имён — это устройство, которое сопоставляет имя хоста с IP-адресом конкретной машины/железа.

В этой статье будет рассказано о деталях различных DNS-запросов, типах DNS-серверов и о разновидностях DNS-записей.

DNS-резолвер

Это компьютеры, которые провайдеры используют для поиска в их базе данных конкретного узла, запрашиваемого пользователем. Когда данные получены, пользователь перенаправляется на соответствующий IP-адрес. Резолверы играют крайне важную роль в DNS.

DNS-резолвер кэширует информацию. К примеру, сайт example.com расположен на машине с IP-адресом 35.195.226.230. Поэтому кэши резолверов со всего мира будут содержать следующее соответствие: example.com35.195.226.230.

Считается, что в будущем сайт может переместиться на любой другой хост с другим IP, скажем, 35.192.247.235. Кэши DNS-резолверов по всему миру некоторое время будут хранить прежний IP-адрес. Это может привести к недоступности сайта, пока изменения не дойдут до всех DNS.

Время, в течение которого запись хранится в резолвере, называется TTL (time to live).

Его можно установить в панели управления сервиса, на котором приобретался домен.

Типы DNS-серверов

Корневой DNS-сервер

Это DNS-сервер, который хранит в себе адреса всех TLD-серверов (TLD — top-level domain, домен верхнего уровня). По пути от имени хоста до IP-адреса запрос сначала попадает на корневой DNS-сервер.

Существует 13 корневых DNS-серверов:

Организации, управляющие корневыми DNS-серверами

Это не означает, что существует только 13 машин, которые обрабатывают все запросы со всего мира — существуют и второстепенные серверы, по которым распределяется трафик.

TLD-серверы

Эти серверы связаны с доменами верхнего уровня (TLD). Обычно они идут после корневых DNS-серверов. В TLD-серверах содержится информация о домене верхнего уровня конкретного хоста.

Скажем, если вы запросите IP-адрес хоста tproger.ru, то будет опрашиваться тот TLD-сервер, который соответствует домену .ru. TLD-сервер возвращает адрес авторитативного DNS-сервера для резолвера.

Теперь возникает вопрос — откуда TLD-серверы знают адрес авторитативных серверов? Ответ прост — после того, как вы покупаете любой домен у регистраторов вроде Godaddy или Namecheap, регистраторы привязывают авторитативные серверы к TLD-серверу.

Сейчас некоторые провайдеры предоставляют возможность использовать сторонние авторитативные серверы. Вы можете выбрать конкретный авторитативный сервер имён у регистратора.

Авторитативный DNS-сервер

Запрос на эти серверы поступает в самую последнюю очередь. Эти серверы хранят фактические записи типа A, NS, CNAME, TXT, и т. п.

Авторитативные DNS-серверы по возможности возвращают IP-адреса хостов. Если сервер этого сделать не может — он выдаёт ошибку, и на этом поиск IP-адреса по серверам заканчивается.

Типы DNS-запросов

Существует 3 типа DNS-запросов:

  1. Рекурсивный: подобные запросы выполняют пользователи к резолверу. Собственно, это первый запрос, который выполняется в процессе DNS-поиска. Резолвером чаще всего выступает ваш интернет провайдер или сетевой администратор.
  2. Нерекурсивные: в нерекурсивных запросах резолвер сразу возвращает ответ без каких-либо дополнительных запросов на другие сервера имён. Это случается, если в локальном DNS-сервере закэширован необходимый IP-адрес либо если запросы поступают напрямую на авторитативные серверы, что позволяет избежать рекурсивных запросов.
  3. Итеративный: итеративные запросы выполняются, когда резолвер не может вернуть ответ, потому что он не закэширован. Поэтому он выполняет запрос на корневой DNS-сервер. А тот уже знает, где найти фактический TLD-сервер.

К примеру, если вы пытаетесь получить IP-адрес medium.com, то корневой доменный сервер выдаст адрес TLD-сервера для .com. Этот адрес корневой сервер вернёт резолверу. После этого резолвер опросит TLD-сервер. TLD-сервер может не знать нужный IP-адрес, зато он может дать адрес авторитативного DNS-сервера для medium.com.

Попробуем рассмотреть этот процесс на рисунке:

Разберём рисунок выше:

  1. Пользователь выполняет запрос к резолверу для поиска IP-адреса. Это рекурсивный запрос.
  2. Резолвер по возможности просматривает свой кэш на наличие необходимого IP-адреса.
  3. Если у резолвера есть необходимый IP-адрес, то он возвращает его.
  4. В противном случае резолвер выполняет итеративный запрос на корневой DNS-сервер. Корневой DNS-сервер ищет нужный TLD для запрашиваемого адреса. К примеру, если хост — medium.com, то TLD — .com. Корневой DNS-сервер находит адрес .com-домена и возвращает ответ резолверу.
  5. Теперь резолвер выполняет итеративный запрос на TLD-сервер, чтобы получить необходимый IP-адрес. TLD-сервер возвращает адрес авторитативного сервера для запрашиваемого хоста.
  6. Авторитативный сервер хранит фактические записи сопоставления имени хоста с IP-адресом, который возвращается резолверу (тот, в свою очередь, возвращает его пользователю).
  7. Если на авторитативном сервере нужной записи не существует, то возвращается ошибка «DNS_PROBE_FINISHED_NXDOMAIN».
  8. Для всех серверов, через которые проходит запрос, результат кэшируется, и в случае повторного запроса результат уже будет на сервере.
  9. В среднем для DNS-поиска потребуется около 4 запросов, но время этого поиска будет составлять всего несколько миллисекунд.

Что в итоге?

Даже если вы измените запись у регистраторов, внесение изменений на резолверах всего мира займёт какое-то время. Этот процесс может длиться от 24 до 72 часов, но обычно завершается быстрее, т. к. за это время TTL-записи у провайдеров успевает истечь.

Перевод статьи «An introduction to the Domain Name System»

Александр Ланский

Что такое DNS-сервер и для чего он нужен?

DNS-сервер — это сервер системы DNS (Domain Name System), отвечающий за сопоставление имён доменов Интернета с IP-адресами компьютеров, на которых эти домены физически находятся. DNS-серверы позволяют пользователям набирать в браузере обычные адреса сайтов и избавляют от необходимости запоминать IP-адреса.

 Содержание

Что такое DNS-сервер простыми словами

Как работает DNS

Как настроить DNS-серверы

Основные DNS записи

 

Что такое DNS-сервер простыми словами

Сеть Интернет — это огромное количество сайтов, расположенных на физически существующих компьютерах и серверах. Каждая из этих машин имеет уникальный идентификатор во всемирной сети — IP-адрес. Он состоит из четырёх групп цифр, разделённых точками. Чтобы открыть сайт, нужно обратиться к серверу, на котором он находится, по IP-адресу. Применительно к обычным пользователям это выглядит нереалистично. Каждый день многие из нас посещают десятки и сотни сайтов — и совершенно невозможно допустить, чтобы мы запоминали десятки и сотни последовательностей цифр. Об этой проблеме задумались давно, и ещё в 80-годах разработали её решение — систему доменных имён, или DNS (Domain Name System).

 

Серверы, входящие в DNS, хранят в себе специальные таблицы соответствий. Доменные имена, то есть привычные всем буквенные имена веб-сайтов, сопоставлены в них с IP-адресами серверов, на которых эти сайты физически находятся.

Проще говоря, любой server системы DNS — это что-то вроде раздела «Контакты» смартфона, в котором имена людей сопоставлены с их телефонными номерами. Вам не нужно вспоминать цифры — вы просто выбираете человека, и вот вы уже разговариваете с ним. DNS-серверы работают точно так же! Впрочем, это — весьма упрощённое описание. Если углубиться в вопрос, мы увидим немало нюансов.

Как работает DNS

Система Domain Name System работает следующим образом. Вы решили посетить тот или иной сайт и вводите в адресной строке браузера его URL. Строго говоря, узла с таким названием во всемирной сети не существует — как было сказано выше, в ней есть лишь узлы с числовыми IP-адресами. Именно поэтому первое, что делает браузер — обращается к DNS-серверу, который указан в настройках вашего подключения (о том, как задать такие настройки, будет подробно рассказано далее). Сервер, получив доменное имя, ищет в таблице соответствующий ему IP-адрес, и, найдя его, возвращает вашему клиентскому устройству. Лишь после этого браузер обращается непосредственно к узлу, на котором хранится интересующий вас сайт, и по протоколу HTTP получает его содержимое, которое и отображается на вашем экране.

Alt — DNS

Наша планета огромна, и количество узлов, на которых хранится контент сайтов, не поддаётся исчислению. Невозможно представить некий единый DNS-сервер, который хранил бы в себе информацию абсолютно обо всех устройствах, содержащих веб-контент. Его и не нужно представлять — в действительности в мире существует великое множество DNS-серверов разных уровней, каждый из которых отвечает лишь за определённую, пусть и достаточно большую, зону, и содержит информацию лишь о близлежащих (с известной долей условности) сайтах. Но что произойдёт, если вы, находясь, например, в Новосибирске, решите посетить веб-сайт, контент которого физически расположен в Рио-де-Жанейро? Сначала запрос браузера попадёт на DNS-сервер, указанный в ваших локальных настройках. Соответствия между полученным бразильским доменным именем и каким-либо IP-адресом на нём не окажется. Несмотря на это, сервер не оставит запрос без внимания — он перенаправит его на вышестоящий, в котором необходимое соответствие вполне может найтись. Этот процесс будет повторяться столько раз, сколько понадобится для того, чтобы наконец выяснить IP-адрес сайта в Рио-де-Жанейро. Полученная информация по цепочке DNS-серверов вернётся обратно к вашему браузеру в Новосибирске, и он без проблем сможет открыть нужный вам бразильский сайт.

Система DNS, как мы видим, сложна и интеллектуальна — но не менее умны и современные браузеры. Допустим, на следующий день вы вновь решили посетить тот же сайт в солнечной Бразилии. В этот раз ваш запрос уже не будет передаваться по длинной цепочке от одного DNS-сервера к другому — браузер просто поднимет IP-адрес сайта из своего локального кеша, в который он записал его вчера, и соединение будет установлено быстрее. Миллионы браузеров по всему миру используют кеш, благодаря чему нагрузка на систему DNS существенно снижается.

 

Особого внимания заслуживает такое понятие, как DNS-зона. Выше мы рассмотрели связь только между доменным именем и IP-адресом сайта. Существуют, однако, и другие объекты — в частности, почтовые серверы и поддомены сайта. Они напрямую связаны с основным доменным именем, но вполне могут иметь разные IP-адреса. Как установить соответствие между всеми перечисленными объектами? Для этого на DNS-сервере создаётся специальный файл, в котором они и сопоставляются. Этот файл представляет собой описание DNS-зоны.

 

Как настроить DNS-серверы

Рассмотрим настройку DNS-серверов на примере одной из наиболее распространённых операционных систем — Windows 10. Адреса серверов задаются в разделе настроек, посвящённом доступу в Интернет, поэтому нас интересует именно он.

 

В системном трее (справа внизу) найдите значок подключения к Интернету. Кликните по нему правой кнопкой мыши и выберите пункт «Открыть «Параметры сети и Интернет». Перед вами появится окно с многочисленными разделами. В группе «Изменение сетевых параметров» найдите раздел «Настройка параметров адаптера» и откройте его, кликнув левой кнопкой мыши.

 

Перед вами — окно, в котором собраны все сетевые подключения компьютера. Вам нужно найти то из них, через которое осуществляется доступ в Интернет. Автор этой статьи пользуется проводным подключением, и соответствующая иконка называется «Ethernet/Network connection». Кликните правой кнопкой мыши по иконке активного подключения и выберите в появившемся контекстном меню нижний пункт — «Свойства».

 

В новом диалоговом окне вы увидите список компонентов, которые использует ваше активное подключение. Найдите в нём строчку «IP версии 4 (TCP/IPv4)», кликните по ней левой кнопкой мыши, а затем нажмите кнопку «Свойства», расположенную чуть ниже. Вы увидите окно, до которого и нужно было добраться. Именно в нём задаются адреса DNS-серверов (нижняя группа полей).

 

   

Обратите внимание на то, что операционная система даёт вам два варианта на выбор — получать адрес серверов DNS в автоматическом режиме или использовать желаемые адреса, которые можно ввести вручную. Если вы выберете первый вариант, все запросы из браузера будут отправляться интернет-провайдеру, а он, в свою очередь, сам будет назначать тот или иной DNS-сервер (причём с наибольшей вероятностью это будет сервер самого провайдера). Этот вариант удобен тем, что вам ничего не нужно прописывать — сайты должны открываться без проблем. У него, однако, есть и недостатки. Если DNS-сервер или провайдер в целом по той или иной причине «ляжет», вы фактически лишитесь доступа в Интернет до устранения проблемы — браузер не будет получать IP-адреса веб-сайтов. Кроме того, DNS-сервер провайдера может умышленно отдавать неверные ответы, и вы будете видеть не те сайты, которые хотели бы открыть (это, в частности, возможно при блокировке Роскомнадзором интересующего вас ресурса). Обойти эти проблемы можно, если выбрать второй вариант и прописать адреса предпочитаемого и альтернативного DNS-сервера вручную.

 

Закономерен вопрос: какие адреса серверов можно указать в настройках? Вот несколько наиболее распространённых и популярных вариантов:

 

l серверы Google: предпочитаемый — 8.8.8.8, альтернативный — 8.8.4.4;

l серверы Яндекс: предпочитаемый — 77.88.8.8, альтернативный — 77.88.8.2;

l серверы Яндекс, содержащие записи только о проверенных сайтах и защищающие от злоумышленников: предпочитаемый — 77.88.8.8, альтернативный — 77.88.8.2;

l семейные серверы Яндекс (то же, что в пункте выше, за минусом сайтов со «взрослым» контентом: предпочитаемый — 77.88.8.3, альтернативный — 77.88.8.7;

l серверы OpenDNS: предпочитаемый — 208.67.222.222, альтернативный — 208.67.220.220.

Это — далеко не полный перечень существующих DNS-серверов, которые можно указать вручную. Вооружившись терпением, вы сможете найти в Интернете и другие адреса.

 

Закончив настройку, нажмите кнопку «ОК» и закройте диалоговое окно активного подключения. Проверьте, корректно ли открываются веб-сайты в вашем браузере.

 

Основные DNS записи

Каждый DNS-сервер содержит так называемые ресурсные записи, необходимые для его работы. Перечень основных записей с расшифровкой их значений представлен ниже.

 

A: IP-адрес сервера, на котором расположен домен, по стандарту IPv4.

 

AAA: IP-адрес по стандарту IPv6.

 

TXT: произвольные текстовые сведения о домене. Длина этой записи не может превышать 255 символов.

 

MX: информация о почтовом сервере в формате mail.company.com. Если у домена несколько почтовых серверов, что не редкость, рядом с каждой записью указывается число от 0 до 65535, обозначающее приоритет (наивысший — 0). Считается стандартом указывать 10-й приоритет для первого сервера почты.

 

CNAME: так называемое каноническое имя хоста. Необходимо при изменении имени сервера для перенаправления запроса на иное доменное имя. Содержит поля Alies и Canonical name (в первом указывается старое имя, во втором — новое, на которое должно идти перенаправление).

 

_Service._Proto.Name: запись, состоящая из нескольких элементов. Здесь Service означает название службы (например, ldap), Proto — протокол для подключения клиентов (например, tcp), Name — доменное имя, к которому привязана служба. Кроме того, указываются приоритет (по аналогии с MX), относительный вес, номер порта и доменное имя службы.

 

SOA: главная запись о домене, содержащая его имя и срок жизни информации о нём. Считается стандартом указывать срок жизни 1 сутки (задаётся в секундах, которых в сутках 86400).

 

Что такое DNS? — Введение в DNS

DNS, или система доменных имен, преобразует удобочитаемые доменные имена (например, www.amazon.com) в машиночитаемые IP-адреса (например, 192.0.2.44).

Все компьютеры в Интернете, от вашего смартфона или ноутбука до серверов, которые обслуживают контент для крупных розничных веб-сайтов, находят друг друга и связываются друг с другом с помощью номеров.Эти номера известны как IP-адресов . Когда вы открываете веб-браузер и переходите на веб-сайт, вам не нужно запоминать и вводить длинное число. Вместо этого вы можете ввести доменное имя , например example.com, и по-прежнему оказаться в нужном месте.

Служба DNS, такая как Amazon Route 53, — это глобально распределенная служба, которая переводит удобочитаемые имена, такие как www.example.com, в числовые IP-адреса, например 192.0.2.1, которые компьютеры используют для подключения друг к другу.Система DNS в Интернете работает во многом как телефонная книга, управляя сопоставлением имен и номеров. DNS-серверы преобразуют запросы имен в IP-адреса, контролируя, к какому серверу перейдет конечный пользователь, когда он введет имя домена в свой веб-браузер. Эти запросы называются запросами .

Авторитетный DNS: Авторитетный DNS сервис предоставляет механизм обновления, который разработчики используют для управления своими общедоступными DNS-именами.Затем он отвечает на запросы DNS, переводя доменные имена в IP-адреса, чтобы компьютеры могли общаться друг с другом. Авторитетный DNS имеет окончательную власть над доменом и отвечает за предоставление ответов рекурсивным серверам DNS с информацией об IP-адресе. Amazon Route 53 — авторитетная система DNS.

Рекурсивный DNS : клиенты обычно не отправляют запросы напрямую авторитетным службам DNS. Вместо этого они обычно подключаются к другому типу службы DNS, известному как преобразователь или рекурсивная служба DNS .Рекурсивная служба DNS действует как консьерж отеля: хотя она не владеет никакими записями DNS, она действует как посредник, который может получить информацию DNS от вашего имени. Если рекурсивный DNS имеет ссылку DNS , кэшированную или сохраненную в течение определенного периода времени, то он отвечает на запрос DNS, предоставляя информацию об источнике или IP. В противном случае он передает запрос одному или нескольким авторитетным DNS-серверам для поиска информации.

Что такое DNS, как это работает + уязвимости

Система доменных имен (DNS) — это интернет-версия Желтых страниц.В старину, когда вам нужно было найти адрес компании, вы искали его в желтых страницах. DNS работает точно так же, за исключением того, что вам на самом деле не нужно ничего искать: ваш компьютер, подключенный к Интернету, сделает это за вас. Благодаря ему ваш компьютер находит Google, ESPN.com или Varonis.com.

Протокол требует, чтобы два компьютера обменивались данными в IP-сети. Подумайте об IP-адресе как о почтовом адресе — чтобы один компьютер «нашел» другой, ему нужно знать номер другого компьютера.Поскольку большинство людей лучше запоминают имена — www.varonis.com — чем числа — 104.196.44.111, им нужна была программа для компьютеров, которая переводила бы имена в IP-адреса.

Ненавидите компьютеры в профессиональном плане? Попробуйте карты против ИТ.

Программа для преобразования имен в числа и наоборот называется «DNS» или система доменных имен, а компьютеры, на которых работает DNS, называются «DNS-серверами». Без DNS нам пришлось бы запоминать IP-адрес любого сервера, к которому мы хотели подключиться, — неинтересно.

Как работает DNS

DNS является такой неотъемлемой частью Интернета, что важно понимать, как он работает.

Думайте о DNS как о телефонной книге, но вместо того, чтобы сопоставлять имена людей с их уличными адресами, телефонная книга сопоставляет имена компьютеров с IP-адресами. Каждое сопоставление называется «записью DNS».

В Интернете много компьютеров, поэтому нет смысла собирать все записи в одну большую книгу. Вместо этого DNS организован в виде небольших книг или доменов.Домены могут быть очень большими, поэтому они организованы в более мелкие книги, называемые «зонами». Ни один DNS-сервер не хранит все книги — это было бы непрактично.

Вместо этого существует множество DNS-серверов, которые хранят все записи DNS для Интернета. Любой компьютер, который хочет узнать номер или имя, может запросить свой DNS-сервер, а его DNS-сервер знает, как запрашивать — или запрашивать — другие DNS-серверы, когда им нужна запись. Когда DNS-сервер запрашивает другие DNS-серверы, он выполняет «восходящий» запрос.Запросы для домена могут идти «вверх по течению», пока не вернутся к полномочиям домена или «авторитетному серверу имен».

Авторитетный сервер имен — это то место, где администраторы управляют именами серверов и IP-адресами своих доменов. Всякий раз, когда администратор DNS хочет добавить, изменить или удалить имя сервера или IP-адрес, он вносит изменения в свой авторитетный DNS-сервер (иногда называемый «главным DNS-сервером»). Также существуют «подчиненные» DNS-серверы; эти DNS-серверы содержат копии DNS-записей для своих зон и доменов.

Четыре DNS-сервера, загружающие веб-страницу

  • DNS-рекурсор: DNS-рекурсор — это сервер, который отвечает на DNS-запрос и запрашивает адрес у другого DNS-сервера или уже имеет сохраненный IP-адрес для сайта.
  • Корневой сервер имен : корневой сервер имен — это сервер имен для корневой зоны. Он отвечает на прямые запросы и может возвращать список авторитетных серверов имен для соответствующего домена верхнего уровня.
  • Сервер имен TLD: Сервер домена верхнего уровня (TLD) является одним из DNS-серверов высокого уровня в Интернете.При поиске по адресу www.varonis.com сначала ответит сервер TLD для домена .com, а затем DNS выполнит поиск по запросу varonis.
  • Авторитетный сервер имен: Авторитетный сервер имен является последней остановкой для DNS-запроса. Официальный сервер имен имеет DNS-запись для запроса.

Типы DNS-сервисов

В Интернете есть два различных типа DNS-сервисов. Каждая из этих служб обрабатывает запросы DNS по-разному в зависимости от их функции.

  • Рекурсивный преобразователь DNS: Рекурсивный преобразователь DNS — это DNS-сервер, который отвечает на запрос DNS и ищет авторитетный сервер имен или кэшированный результат DNS для запрошенного имени.
  • Полномочный DNS-сервер: Полномочный DNS-сервер хранит DNS-запрос. Поэтому, если вы запрашиваете у авторитетного DNS-сервера один из его IP-адресов, ему больше не нужно спрашивать. Авторитетный сервер имен является последней инстанцией для этих имен и IP-адресов.

Общедоступный DNS и частный DNS

DNS был создан, чтобы люди могли подключаться к услугам в Интернете. Чтобы сервер был доступен в общедоступном Интернете, ему необходима общедоступная DNS-запись, а его IP-адрес должен быть доступен в Интернете — это означает, что он не заблокирован брандмауэром. Общедоступные DNS-серверы доступны всем, кто может к ним подключиться, и не требуют аутентификации.

Интересно, что не все записи DNS являются общедоступными. Сегодня, помимо разрешения сотрудникам использовать DNS для поиска вещей в Интернете, организации используют DNS, чтобы их сотрудники могли находить частные внутренние серверы.Когда организация хочет, чтобы имена серверов и IP-адреса оставались конфиденциальными или недоступными напрямую из Интернета, они не перечисляют их на общедоступных DNS-серверах. Вместо этого организации перечисляют их на частных или внутренних DNS-серверах — внутренние DNS-серверы хранят имена и IP-адреса для внутренних файловых серверов, почтовых серверов, контроллеров домена, серверов баз данных, серверов приложений и т. Д. — всего важного.

Что нужно запомнить — как и внешние DNS-серверы, внутренние DNS-серверы не требуют аутентификации.Это потому, что DNS был создан очень давно, когда безопасность не была такой большой проблемой. В большинстве случаев любой, кто находится внутри брандмауэра — путем проникновения или подключенного через VPN — может запрашивать внутренние DNS-серверы. Единственное, что мешает кому-либо «извне» получить доступ и запросить внутренние DNS-серверы, — это то, что они не могут подключиться к ним напрямую.

  • Общедоступный DNS: Чтобы сервер был доступен в общедоступном Интернете, ему нужна общедоступная запись DNS, а его IP-адрес должен быть доступен в Интернете.
  • Частный DNS : компьютеры, которые находятся за брандмауэром или во внутренней сети, используют частную запись DNS, чтобы локальные компьютеры могли идентифицировать их по имени. Внешние пользователи Интернета не будут иметь прямого доступа к этим компьютерам.

7 шагов поиска DNS

Давайте посмотрим, как именно работает DNS-запрос.

  1. Запрос DNS запускается, когда вы пытаетесь получить доступ к компьютеру в Интернете . Например, вы набираете www.varonis.com в адресной строке браузера.
  2. Первой остановкой для DNS-запроса является локальный DNS-кеш. При доступе к разным компьютерам эти IP-адреса сохраняются в локальном репозитории. Если вы ранее посещали www.varonis.com, у вас есть IP-адрес в вашем кеше.
  3. Если у вас нет IP-адреса в локальном кэше DNS, DNS проверит его с помощью рекурсивного DNS-сервера. Ваша ИТ-группа или поставщик услуг Интернета (ISP) обычно предоставляет для этой цели рекурсивный DNS-сервер.
  4. У рекурсивного DNS-сервера есть собственный кеш, и если у него есть IP-адрес, он вернет его вам. Если нет, он спросит другой DNS-сервер.
  5. Следующая остановка — это серверы имен TLD, в данном случае сервер имен TLD для адресов .com. У этих серверов нет нужного нам IP-адреса, но они могут отправить DNS-запрос в правильном направлении.
  6. Что есть у серверов имен TLD, так это расположение официального сервера имен для запрошенного сайта. Официальный сервер имен отвечает IP-адресом для www.varonis.com, а рекурсивный DNS-сервер сохраняет его в локальном кэше DNS и возвращает адрес вашему компьютеру.
  7. Ваша местная служба DNS получает IP-адрес и подключается к www.varonis.com для загрузки всего великолепного контента. Затем DNS записывает IP-адрес в локальный кеш со значением времени жизни (TTL). TTL — это время, в течение которого локальная запись DNS действительна, и после этого времени DNS снова выполнит процесс, когда вы запросите Varonis.com в следующий раз.

Какие типы DNS-запросов?

DNS-запросы — это компьютерный код, который сообщает DNS-серверам, что это за запрос и какую информацию он хочет получить обратно. В стандартном поиске DNS есть три основных DNS-запроса.

  • Рекурсивный запрос: В рекурсивном запросе компьютер запрашивает IP-адрес или подтверждение того, что DNS-сервер не знает этот IP-адрес.
  • Итеративный запрос: Итеративный запрос, который запрашивающая сторона запрашивает у DNS-сервера лучший ответ, который у него есть.Если DNS-сервер не имеет IP-адреса, он вернет авторитетный сервер имен или сервер имен TLD. Запрашивающая сторона будет продолжать этот итеративный процесс до тех пор, пока не найдет ответ или не истечет время ожидания.
  • Нерекурсивный запрос: Преобразователь DNS будет использовать этот запрос для поиска IP-адреса, которого нет в его кэше. Они ограничены одним запросом на ограничение использования полосы пропускания сети.

Что такое DNS-кеш + функции кеширования

DNS cache — это хранилище доменных имен и IP-адресов, которые хранятся на компьютере, поэтому ему не нужно каждый раз запрашивать IP-адрес.Представьте, что каждый раз, когда какой-либо пользователь пытается перейти на www.varonis.com, DNS должен запрашивать авторитетный сервер имен в Varonis. Трафик будет огромным! Сама мысль о таком большом трафике — вот почему у нас есть кеширование DNS. Кэширование DNS преследует две основные цели:

  • Ускорение DNS-запросов
  • Уменьшить пропускную способность DNS-запросов в Интернете

Однако методология кеширования DNS имеет некоторые проблемы:

  • Изменениям DNS требуется время для распространения — это означает, что может пройти некоторое время, прежде чем каждый DNS-сервер обновит свой кеш до последних данных IP.
  • Кеш DNS
  • — потенциальный вектор атаки для хакеров

В Интернете используется несколько различных типов кэширования DNS:

  • Кэширование DNS в браузере: Текущие браузеры примерно на 2018 год имеют встроенную функцию кэширования DNS.Разрешение DNS с помощью локального кеша выполняется быстро и эффективно.
  • Операционная система (ОС) Кэширование DNS: Ваш компьютер является DNS-клиентом, и на вашем компьютере есть служба, которая управляет разрешением и запросами DNS. Этот DNS-кеш также является локальным и, следовательно, быстрым и не требует полосы пропускания.
  • Рекурсивное разрешение кэширования DNS: Каждый рекурсор DNS имеет кеш DNS и хранит любой IP-адрес, который он знает для использования для следующего запроса

Слабые стороны и уязвимости DNS

Существует три основных уязвимости DNS, на которые следует обратить внимание, которые злоумышленники часто используют для злоупотребления DNS:

  1. Внутренние DNS-серверы хранят все имена серверов и IP-адреса для своих доменов и будут делиться ими со всеми, кто их спросит. Это делает DNS отличным источником информации для злоумышленников, когда они пытаются провести внутреннюю разведку.
  2. Кеши DNS не являются «авторитетными», и ими можно манипулировать. Если ваш DNS-сервер «отравлен» плохими записями, компьютеры могут быть обмануты, и они попадут в плохие места.
  3. DNS передает информацию о запросах с внутренних рабочих станций на внешние серверы, и злоумышленники научились использовать это поведение для создания «скрытых каналов» для эксфильтрации данных.

Использовать DNS для разведки

Как только злоумышленник оказывается внутри брандмауэра и получает контроль над компьютером, он может использовать DNS для поиска важных имен серверов. Злоумышленники могут искать имена, связанные с внутренними IP-адресами — почтовые серверы, серверы имен — все виды ценных вещей. Если они достаточно сообразительны, они могут даже получить внутренний DNS-сервер для отправки большого количества информации о зонах их домена — это называется «атакой передачи зоны DNS».”

Если у вас компьютер Windows, выполните следующие команды как есть; если вы пользователь Linux, вы можете найти соответствующие команды.

  1. Откройте командную строку (введите Ctrl + esc, буквы «cmd», затем введите).
  2. Тип ipconfig
  3. Вы увидите DNS-домен, в котором вы находитесь (DNS-суффикс для конкретного подключения), ваш IP-адрес и множество других вещей. Вы захотите вернуться к этому.
  4. Введите nslookup [IP-адрес] Вы увидите имя DNS-сервера, который отвечает, и, если имя известно, DNS-запись с указанием имени и IP-адреса.
  5. nslookup –type = soa [ваш домен] Эта команда возвращает ваш авторитетный DNS-сервер, это не поможет, если вы пытаетесь проникнуть в сеть.
  6. nslookup –type = MX [ваш домен] Эта команда возвращает все почтовые серверы в вашем локальном домене на случай, если вы хотите взломать почтовые серверы и не знаете, где они находятся.

Использовать DNS для перенаправления трафика

Помните, когда пользователь пытается перейти на веб-сайт, его компьютер запрашивает у своего DNS-сервера IP-адрес сайта или запись DNS.Если DNS-сервер имеет кэшированную копию записи, он отвечает. В противном случае он запрашивает «вышестоящий» DNS-сервер, передает результаты обратно конечному пользователю и кэширует их для следующего раза.

Злоумышленники нашли способ подделать ответы DNS или сделать так, чтобы ответы выглядели так, как будто они исходят от законных серверов DNS. Не вдаваясь в технические подробности, злоумышленники используют для этого три слабых места в DNS:

  1. DNS выполняет очень слабую проверку ответов, поступающих от вышестоящих серверов.Ответы просто должны содержать правильный идентификатор транзакции, который представляет собой всего лишь 16-битное число (0-65536). Оказывается, что вам не нужно столько людей в комнате, чтобы получить преимущество у двоих из них, имеющих один и тот же день рождения, оказывается, что угадать правильный идентификатор легче, чем вы думаете.
  2. DNS-серверы принимают одновременные (или почти одновременные) ответы на свои запросы , позволяя злоумышленникам делать несколько предположений об идентификаторе транзакции (что мало похоже на атаку грубой силы на пароль).
  3. IP-соединения, используемые DNS, легко подделать. Это означает, что злоумышленник может отправить трафик на DNS-сервер с одного компьютера и сделать так, чтобы он выглядел так, как будто он идет с другого компьютера, как действительный DNS-сервер. Только определенные типы IP-соединений легко подделать — DNS является одним из них.

Если злоумышленник успешно подделывает ответ DNS, он может заставить принимающий DNS-сервер кэшировать зараженную запись. Так как это поможет злоумышленникам?

Вот пример. Допустим, злоумышленник узнает, что ваша организация использует внешнее приложение для чего-то важного, например для расходов.Если они отравляют DNS-сервер вашей организации и отправляет каждого пользователя на сервер злоумышленника, все, что им нужно сделать, это создать легитимную страницу входа в систему, и пользователи будут вводить свои учетные данные. Они могут даже ретранслировать трафик на реальный сервер (действуя как «человек посередине»), чтобы никто не заметил. Затем злоумышленник может попробовать эти учетные данные в других системах, продать их или просто отпраздновать это злобным смехом.

Использование DNS в качестве скрытого канала

Допустим, злоумышленник сумел проникнуть в сеть (корп.com), скомпрометировали один или два хоста и обнаружили важные данные, которые они хотят эксфильтровать. Как они могут это сделать, не подавая никаких сигналов тревоги? Для этого злоумышленники используют метод, называемый «DNS-туннелирование». Они устанавливают DNS-домен (например, evil-domain.com) в Интернете и создают авторитетный сервер имен. Затем на взломанном хосте злоумышленник может использовать программу, которая разбивает данные на небольшие части и вставляет их в серию запросов, например:

  • nslookup My1secret1.evil-domain.com
  • nslookup is1that1I1know.evil-domain.com
  • nsllookup how2steal1data.evil-domain.com

DNS-сервер corp.com получит эти запросы, поймет, что результатов нет в его кеше, и ретранслирует эти запросы обратно на полномочный сервер имен evil-domain.com. Злоумышленник ожидает этот трафик, поэтому он запускает программу на полномочном сервере имен, чтобы извлечь первую часть запроса (все, что было до evil-domain.com) и собрать ее заново.Если организация не проверяет запросы своих DNS-серверов, они могут никогда не понять, что их DNS-серверы использовались для кражи данных.

DNS существует уже давно, и каждый компьютер, подключенный к Интернету, полагается на него. Злоумышленники теперь используют DNS как для внешней, так и для внутренней разведки, для перехвата трафика и создания скрытых каналов связи. К счастью, с помощью мониторинга DNS-серверов и применения аналитики безопасности многие из этих атак можно обнаружить и предотвратить.

Хотите увидеть, как? Присоединяйтесь к нашим семинарам по кибератакам в режиме реального времени, когда наши инженеры по безопасности проводят живую атаку, извлекают данные через туннелирование DNS и просматривают все в режиме реального времени!

Что такое DNS (система доменных имен)?

Не хотите смотреть?

Прочтите это:

Система доменных имен (или DNS) преобразует удобочитаемые доменные имена (например, www.google.com) в Интернет-протокол (IP) адреса (например: 173.194.39.78).

Компьютеры могут общаться только с помощью набора цифр, поэтому DNS был разработан как своего рода «телефонная книга», которая переводит домен, который вы вводите в своем браузере в компьютерно-читаемый IP-адрес.

Краткая история DNS

Тридцать лет назад, когда Интернет был еще в зачаточном состоянии, когда вы хотели посетить веб-сайт, вам нужно было знать IP-адрес. адрес этого сайта.Это потому, что компьютеры могут и могли общаться только с помощью цифр.

Это IP-адрес: 127.33.54.200.

Это долго, трудно запомнить, и мы (я полагаю, люди) не роботы. Нам нужен был способ сделать компьютерно-читаемый информацию в удобочитаемый. И он должен был быть быстрым, легким и масштабируемым.

В начале 1980-х Пол Мокапетрис придумал систему, которая автоматически сопоставляла IP-адреса с доменными именами.. и Так родился DNS. Эта же система до сих пор служит основой современного Интернета.

И все же лишь небольшая часть мира знает, что она существует, а еще меньшая группа понимает, что она делает. Реальность проблема в том, что люди, которым нужно знать, как это работает, и которые могут извлечь из этого пользу… не принимают время учиться.

Как это работает

Прежде чем мы перейдем к тому, как вы можете использовать DNS, нам нужно понять, как работает система.Мы уже знаем, что он отображает IP адреса к доменным именам, но где хранится эта информация? На серверах имен!

Серверы имен хранят записи DNS, которые представляют собой фактический файл, в котором говорится, что «этот домен» сопоставляется с «этим IP-адресом». Так есть ли комнату где-нибудь, где есть все серверы имен и записи DNS для каждого сайта в Интернете? Нет… это было бы смешно.

На самом деле они распространены по всему миру.Эти серверы имен называются корневыми серверами имен и вместо хранения в каждом домене хранятся местоположения TLD (доменов верхнего уровня).

TLD — это два или три символа, например .com, которые заканчиваются доменным именем. У каждого TLD есть собственный набор серверов имен, которые хранят информация о том, кто уполномочен хранить записи DNS для этого домена.

Авторитетным сервером имен обычно является DNS-провайдер или DNS-регистратор (например, GoDaddy, который предлагает как DNS-серверы, так и DNS-серверы). регистрация и хостинг).И здесь мы можем найти запись DNS, которая сопоставляет example.com с IP-адресом 127.66.122.88.

Большая картина

Соберем все вместе. Когда вы запрашиваете доменное имя, ваш первый шаг на самом деле не будет на корневых серверах имен. Вместо этого ваш браузер спросит у вашего локального разрешающего сервера имен, есть ли у них кэшированные записи DNS для этого домена.

Разрешающим сервером имен обычно является ваш интернет-провайдер, а если это популярный веб-сайт, например, youtube.ком они, скорее всего, будут иметь запись в своем кэше. В этом случае вы пропустите остальную часть процесса поиска DNS.

Однако эти записи хранятся только в течение короткого периода времени. Всякий раз, когда вы создаете запись, у вас есть возможность установить TTL (время жизни). TTL сообщает разрешающим серверам имен, как долго они могут хранить информацию о записях. TTL может варьироваться от 30 секунд до недели.

Что делать, если искомая запись не кэшируется? Затем разрешающий сервер имен запросит у корневых серверов имен TLD для этого домена, который будет указывать на поставщика, уполномоченного размещать записи.

Хорошо, нужно было пройти много шагов, чтобы просто найти IP-адрес. Да, кстати, этот процесс происходит всего за пара миллисекунд. Небольшая перспектива, вы моргаете примерно за 50 миллисекунд. Вы можете разрешить большинство DNS-запросов до 30 лет.

DNS — Что такое DNS? Узнайте, как работает система доменных имен

Система доменных имен (DNS) — это иерархическая система имен, построенная на основе распределенной базы данных для компьютеров, служб или любых ресурсов, подключенных к Интернету или частной сети.Что наиболее важно, он переводит удобочитаемые доменные имена в числовые идентификаторы, связанные с сетевым оборудованием, что позволяет определять местонахождение устройств и подключаться к ним по всему миру. Аналогично сетевой «телефонной книге», DNS — это то, как браузер может преобразовывать доменное имя (например, «facebook.com») в фактический IP-адрес сервера, на котором хранится информация, запрашиваемая браузером.

Основы DNS

Система доменных имен (то есть «DNS») отвечает за преобразование доменных имен в определенный IP-адрес, чтобы инициирующий клиент мог загружать запрошенные Интернет-ресурсы.Система доменных имен работает во многом как телефонная книга, где пользователи могут искать запрошенного человека и получать их номер телефона. DNS-серверы переводят запросы для определенных доменов в IP-адреса, контролируя, какие пользователи сервера имеют доступ, когда они вводят доменное имя в свой браузер.

Краткая история DNS

Когда появился Интернет, людям было легче соотносить определенные IP-адреса с конкретными компьютерами, но это длилось недолго, поскольку все больше устройств и людей присоединялись к растущей сети.Хотя по-прежнему можно ввести определенный IP-адрес в браузер и перейти на веб-сайт, пользователям нужны были имена веб-сайтов, которые было бы легче запомнить. Когда появился Интернет, Элизабет Фейнлер из Стэнфорда лично внесла эти имена и адреса в главный список каждого компьютера, подключенного к Интернету. Этот текстовый файл назывался hosts.txt.

По мере того, как Интернет разрастался до миллионов доменов, это не было устойчивым. В 1983 году Пол Мокапетрис, исследователь USC, получил задание разработать решение.Его решением была новая система, которую он назвал DNS, которая по-прежнему основана на фундаментальных принципах Mockapetris. Сегодня стандарты DNS поддерживаются Инженерной группой Интернета (IETF) в RFC 1035.

Как работают DNS-серверы

Каталог DNS распределен по всему миру и хранится на специальных серверах, называемых DNS-серверами (т. Е. «Доменом». серверы имен »), которые связаны между собой и регулярно обмениваются данными для синхронизации информации каталога и создания избыточности.

DNS-серверы и IP-адреса

DNS-сервер хранит определенную информацию, которая связывает доменное имя с определенными IP-адресами. С доменом может быть связано один или сотни IP-адресов. Amazon.com, например, имеет тысячи серверов по всему миру, и физический сервер, к которому подключается пользователь в одной стране, скорее всего, полностью отличается от другого пользователя в других странах мира. Глобальный характер интернет-сервисов требует наличия сети распределенных и масштабируемых DNS-серверов, чтобы пользователи могли быстро находить и определять местоположение запрошенного сервера, где бы они ни находились.

Процесс поиска в DNS

Назначение DNS — преобразовать доменное имя в соответствующий IP-адрес. Это делается путем поиска DNS-записей запрошенного домена. Обычно этот процесс поиска DNS состоит из восьми шагов, которые следуют по пути информации от исходного веб-браузера к DNS-серверу и обратно. На практике информация DNS часто кэшируется, чтобы сократить время отклика при поиске DNS. Если информация DNS не кэшируется, процесс поиска из восьми шагов выглядит следующим образом:

Восемь шагов поиска в DNS:

1.Пользователь вводит доменное имя (например, facebook.com) в свой браузер, и браузер отправляет запрос через isp своего интернет-провайдера рекурсивному преобразователю DNS.
2. Рекурсивный преобразователь DNS, в свою очередь, отправляет запрос корневому серверу имен DNS (.).
3. Корневой сервер возвращает преобразователю адрес корневого DNS-сервера домена верхнего уровня (т. Е. «TLD»), который имеет необходимую информацию для домена facebook.com. (Примеры TLD домена верхнего уровня включают «.com», «.net» и «.org », каждый TLD имеет собственный корневой DNS-сервер.)
4. Затем преобразователь, в свою очередь, отправляет информационный запрос серверу домена верхнего уровня (в данном случае серверу имен TLD« .com »).
5. Сервер имен TLD отвечает преобразователю целевым IP-адресом сервера имен домена. (В данном случае DNS-сервер для «facebook.com».)
6. Затем рекурсивный преобразователь DNS отправляет запрос DNS-серверу домена.
7. DNS-сервер домена затем возвращает IP-адрес преобразователю DNS для запрошенного домена (например,g., «facebook.com».
8. Наконец, распознаватель DNS возвращает IP-адрес запрошенного домена запрашивающему веб-браузеру. Браузер отправляет HTTPS-запрос на целевой IP-адрес, а сервер с этим адресом возвращает веб-страницу, которая отображается в браузере пользователя.

Типы служб DNS

Есть два основных типа служб, которые предоставляют DNS-серверы: авторитетный DNS и рекурсивный DNS. Оба являются неотъемлемой частью инфраструктуры DNS, но во время DNS-запроса они служат разным целям.Рекурсивный DNS-сервер в начале и полномочный DNS-сервер в конце DNS-запроса.

Рекурсивный DNS-сервер: Как обсуждалось в описании процесса поиска DNS, рекурсивный DNS-сервер отвечает на запрос от клиента и возвращает IP-адрес для запрошенного имени домена. Сервер рекурсивного преобразователя выполняет серию запросов, пока не достигнет полномочного сервера имен DNS для запрошенного домена.

Полномочный DNS-сервер: Полномочный DNS-сервер — это сервер, который фактически хранит и поддерживает запись для запрошенного домена.Авторитетный DNS-сервер также имеет обновленный механизм, позволяющий администраторам управлять своими общедоступными DNS-именами. Авторитетный DNS-сервер является последним источником истины для информации DNS домена и отвечает за предоставление информации IP-адреса домена обратно запрашивающему рекурсивному DNS-серверу.

ПОДРОБНЕЕ О системе доменных имен (DNS) И СВЯЗАННЫХ ТЕХНОЛОГИЯХ

В СООБЩЕСТВЕ INFOBLOX

Что такое DNS? Определение и принцип работы DNS

FortiGate можно настроить как DNS-сервер, что дает пользователям значительные преимущества.Например, если в организации есть веб-сервер в своих внешних сервисах, к которому имеют доступ сотрудники и пользователи за пределами компании, FortiGate можно использовать для кэширования запросов. Когда пользователи внутри компании переходят на веб-сайт, их запросы к сайту отправляются на DNS-сервер в Интернете. Затем этот сервер отправляет обратно либо IP-адрес, либо виртуальный IP-адрес. После того, как компания настроит внутренний DNS-сервер с помощью FortiGate, этот запрос будет разрешен внутренне с использованием внутреннего IP-адреса веб-сервера.Таким образом, уменьшается как входящий, так и исходящий трафик, а это значит, что на то, чтобы добраться до сайта, требуется меньше времени.

FortiGate также может выступать в качестве вторичного DNS-сервера. Для этого FortiGate связывается с внешним источником и использует его для получения информации об URL-адресе и IP-адресе. Если крупная компания с несколькими вспомогательными офисами хочет оптимизировать производительность своей сети, они могут использовать FortiGate таким образом. Основной сервер компании может использоваться для ведения списка доступных сайтов.Дополнительные офисы могут использовать FortiGate в качестве вторичного сервера для подключения к первичному DNS-серверу и получения необходимых IP-адресов.

FortiGate также предлагает защиту от DNS-туннелирования, типа кибератак, когда данные других программ или протоколов кодируются в DNS-запросах и ответах. Это дает злоумышленникам возможность передавать украденную информацию или вставлять вредоносное ПО в запросы DNS. DNS-туннелирование также может использоваться для скрытого общения и проскальзывания через брандмауэры.Решение FortiGate DNS защищает организацию от киберпреступников, стремящихся использовать DNS-туннелирование в своих интересах.

Система доменных имен (DNS) превращает доменные имена в IP-адреса, которые позволяют браузерам получать доступ к веб-сайтам и другим интернет-ресурсам. У каждого устройства в Интернете есть IP-адрес, который другие устройства могут использовать для поиска устройства. Вместо того, чтобы запоминать длинный список IP-адресов, люди могут просто ввести имя веб-сайта, и DNS получит для них IP-адрес.

Примером DNS является то, что предоставляется Google. Адрес основного DNS-сервера Google — 8.8.8.8.

На компьютере с Windows вы можете найти свой DNS, перейдя в командную строку, набрав «ipconfig / all» и нажав Enter.

Существует четыре типа DNS: рекурсивные преобразователи, корневые серверы имен, серверы имен TLD и полномочные серверы имен.

Да, смена DNS не представляет никаких опасностей.

Да, частный DNS может предложить вам повышенную безопасность по сравнению с другими вариантами DNS.

Как работают серверы доменных имен

Интернет и всемирная паутина — это дикие границы, которые полагаются на компьютерные языки и коды для поиска и обмена данными и информацией. Одним из наиболее фундаментальных инструментов Интернета является система доменных имен , или DNS . (Хотя многие люди думают, что «DNS» означает «Сервер доменных имен», на самом деле это означает «Система доменных имен»). DNS — это протокол в рамках набора стандартов, определяющих, как компьютеры обмениваются данными в Интернете и во многих частных сетях, известный как набор протоколов TCP / IP .Его цель жизненно важна, поскольку он помогает преобразовать простые для понимания доменные имена , такие как «howstuffworks.com», в IP-адрес, например 70.42.251.42, который компьютеры используют для идентификации друг друга в сети. Короче говоря, это система сопоставления имен с числами.

Концепция DNS подобна телефонной книге в Интернете. Без такой системы навигации вам пришлось бы прибегнуть к гораздо более сложным и эзотерическим средствам, чтобы просеивать виртуальные открытые равнины и густые города данных, разбросанных по глобальному Интернету… и вы можете поспорить, что это будет не так весело, особенно с учетом того, что сейчас существуют сотни миллионов доменных имен [источник: VeriSign].

Компьютеры и другие сетевые устройства в Интернете используют IP-адрес для маршрутизации вашего запроса на сайт, который вы пытаетесь достичь. Это похоже на набор номера телефона для связи с человеком, которому вы пытаетесь позвонить. Однако благодаря DNS вам не нужно вести собственную адресную книгу IP-адресов. Вместо этого вы просто подключаетесь через сервер доменных имен , также называемый DNS-сервером или сервером имен , который управляет массивной базой данных, которая сопоставляет доменные имена с IP-адресами.

Независимо от того, заходите ли вы на веб-сайт или отправляете электронную почту, ваш компьютер использует DNS-сервер для поиска имени домена, к которому вы пытаетесь получить доступ. Правильный термин для этого процесса — Разрешение DNS-имен , и можно сказать, что DNS-сервер разрешает доменное имя в IP-адрес. Например, когда вы вводите «www.howstuffworks.com» в своем браузере, часть сетевого подключения включает преобразование доменного имени «howstuffworks.com» в IP-адрес, например 70.42.251.42, для веб-серверов HowStuffWorks.

Но вы, вероятно, скорее вспомните «howstuffworks.com», когда захотите вернуться позже. Кроме того, IP-адрес веб-сайта может меняться со временем, и некоторые сайты связывают несколько IP-адресов с одним доменным именем.

Без DNS-серверов Интернет отключился бы очень быстро. Но как ваш компьютер узнает, какой DNS-сервер использовать? Обычно, когда вы подключаетесь к домашней сети, интернет-провайдеру (ISP) или сети Wi-Fi, модем или маршрутизатор, назначающий сетевой адрес вашего компьютера, также отправляет некоторую важную информацию о конфигурации сети на ваш компьютер или мобильное устройство.Эта конфигурация включает один или несколько DNS-серверов, которые устройство должно использовать при преобразовании имен DNS в IP-адрес.

Итак, вы прочитали о некоторых важных основах DNS. Остальная часть этой статьи более подробно посвящена серверам доменных имен и разрешению имен. Он даже включает введение в управление вашим собственным DNS-сервером. Давайте начнем с рассмотрения того, как структурированы IP-адреса и насколько это важно для процесса разрешения имен.

В чем разница между авторитетными и рекурсивными DNS-серверами имен?

В сегодняшнем сообщении блога мы поговорим о разнице между авторитетными и рекурсивными серверами системы доменных имен (DNS).Мы объясним, как эти два типа DNS-серверов составляют основу Интернета и помогают миру оставаться на связи.

Что такое система доменных имен?

Каждый компьютер в Интернете идентифицирует себя с помощью «Интернет-протокола» или «IP-адреса», который представляет собой серию цифр — точно так же, как номер телефона. Это означает, что вы можете связаться с любым из этих компьютеров, введя имя веб-сайта, или вы можете ввести IP-адрес в адресную строку браузера. Любой из этих методов приведет вас к одному и тому же месту назначения.Все серверы, на которых размещены веб-сайты и приложения в Интернете, также имеют IP-адреса.

Попробуйте: IP-адрес веб-сайта Cisco Umbrella — 67.215.70.40.

Систему доменных имен (DNS) иногда называют «телефонной книгой» Интернета. Вы можете подключиться к нашему веб-сайту, введя IP-адрес в адресной строке браузера, но гораздо проще ввести зонтик.cisco.com. DNS был изобретен для того, чтобы людям не нужно было запоминать длинные номера IP-адресов (например, номера телефонов), и они могли искать веб-сайты по понятным для человека именам, таким как зонтик.cisco.com вместо этого.

В Интернете слишком много сайтов, чтобы на вашем персональном компьютере можно было вести полный список. DNS-серверы обеспечивают работу службы каталогов веб-сайтов, чтобы упростить жизнь людям. Подобно телефонным справочникам, вы не найдете одну большую книгу, содержащую все записи для всех в мире (сколько страниц для этого потребуется? Это вопрос для другого сообщения в блоге).

Существует два типа DNS-серверов: авторитетных и рекурсивных . Авторитетные серверы имен подобны компании, занимающейся телефонными книгами, которая издает несколько телефонных книг, по одной для каждого региона.Рекурсивные DNS-серверы похожи на тех, кто использует телефонную книгу для поиска номера для связи с человеком или компанией. Имейте в виду, что эти компании фактически не решают, какой номер принадлежит какому лицу или компании — это ответственность регистраторов доменных имен.

Давайте поговорим о двух разных типах подробнее.

Что такое рекурсивный DNS-сервер?

Когда вы вводите адрес веб-сайта в адресную строку браузера, может показаться, что происходит волшебство.На самом деле система DNS позволяет без усилий просматривать Интернет. Сначала ваш браузер подключается к рекурсивному DNS-серверу . В мире существует много тысяч рекурсивных DNS-серверов. Многие люди используют рекурсивные DNS-серверы, которыми управляет их поставщик услуг Интернета (ISP), и никогда не меняют их. Если вы являетесь клиентом Cisco Umbrella, вместо этого вы используете наши рекурсивные DNS-серверы.

Когда ваш компьютер подключается к назначенному ему рекурсивному DNS-серверу, он задает вопрос: «Какой IP-адрес назначен этому веб-сайту?» У рекурсивного DNS-сервера нет копии телефонной книги, но он знает, где ее найти.Таким образом, он подключается к другому типу DNS-сервера, чтобы продолжить поиск.

Что такое авторитетный сервер имен DNS?

DNS-сервер второго типа содержит копию региональной телефонной книги, которая сопоставляет IP-адреса с доменными именами. Они называются авторитетными DNS-серверами . Авторитетные DNS-серверы имен отвечают за предоставление рекурсивным DNS-серверам имен о том, где можно найти определенные веб-сайты. Эти ответы содержат важную информацию для каждого домена, например IP-адреса.

Как и телефонные книги, существуют различные авторитетные DNS-серверы, охватывающие разные регионы (компания, местность, ваша страна и т. Д.). Независимо от того, какой регион он охватывает, авторитетный DNS-сервер выполняет две важные задачи. Во-первых, он хранит списки доменных имен и связанных с ними IP-адресов. Во-вторых, он отвечает на запросы рекурсивного DNS-сервера (человека, которому нужно найти номер) о правильном IP-адресе, назначенном для доменного имени. После получения ответа рекурсивный DNS-сервер отправляет эту информацию обратно компьютеру (и браузеру), который ее запросил.Компьютер подключается к IP-адресу, и веб-сайт загружается, что приводит к счастливому пользователю, который может продолжить свой день.

Собираем все вместе

Этот процесс происходит так быстро, что вы даже не замечаете, что это происходит — если, конечно, что-то не сломалось.

Давайте возьмем реальный пример. Представьте, что вы сидите за компьютером и хотите найти фотографии кошек в галстуках-бабочках (эй, мы не судим). Итак, вы решили посетить Google, чтобы выполнить поиск в Интернете.

Сначала вы набираете www.google.com в своем браузере. Однако вашему компьютеру неизвестен IP-адрес сервера www.google.com. Итак, ваш компьютер начинает с отправки запроса назначенному ему рекурсивному серверу имен DNS. В этом примере мы предположим, что вы один из наших клиентов. Итак, это сервер Cisco Umbrella. Ваш компьютер запрашивает у рекурсивного DNS-сервера IP-адрес www.google.com . Рекурсивному серверу DNS-имен Cisco Umbrella теперь поручено найти IP-адрес веб-сайта.Google — популярный веб-сайт, поэтому его результаты, вероятно, будут кешированы. Но если рекурсивный DNS-сервер имен еще не имеет записи DNS для www.google.com, кэшированной в его системе, ему нужно будет обратиться за помощью к авторитетной иерархии DNS, чтобы получить ответ. Это более вероятно, если вы собираетесь перейти на более новый или менее популярный веб-сайт.

Каждая часть домена, например www.google.com , имеет определенный полномочный DNS-сервер имен (или группу избыточных авторитетных серверов имен).

В верхней части дерева серверов находятся серверы имен корневого домена. Каждый адрес веб-сайта подразумевает «.» в конце, даже если мы не введем его. Это «.» обозначает корневые серверы имен DNS в верхней части иерархии DNS. Серверы имен корневых доменов будут знать IP-адреса авторитетных серверов имен, которые обрабатывают DNS-запросы для доменов верхнего уровня (TLD), например «.com», «.edu» или «.gov». Рекурсивный DNS-сервер Umbrella сначала запрашивает у корневого сервера доменных имен IP-адрес.com, так как www.google.com входит в домен .com.

Сервер имен корневого домена отвечает адресом сервера TLD. Затем рекурсивный DNS-сервер Umbrella запрашивает у авторитетного сервера TLD, где он может найти авторитетный DNS-сервер для www.google.com . Полномочный сервер TLD отвечает, и процесс продолжается. Авторитетный сервер для www.google.com спрашивает, где найти www.google.com , и сервер отвечает с ответом. Как только рекурсивный DNS-сервер Cisco Umbrella узнает IP-адрес веб-сайта, он отправит вашему компьютеру соответствующий IP-адрес. Ваш браузер загружает Google, и вы можете приступить к более важному делу: поиску изображений кошек в галстуках-бабочках.

Без DNS интернет перестает работать

Система DNS настолько важна для современного мира, что мы часто называем ее основой Интернета. Если ваша рекурсивная служба DNS по какой-то причине выйдет из строя, вы не сможете подключиться к веб-сайтам, если не введете IP-адреса напрямую — а кто хранит список IP-адресов на случай чрезвычайной ситуации на своем рабочем месте? Если рекурсивная служба DNS, которую вы используете, работает, но по какой-то причине была замедлена (например, в результате кибератаки), ваше соединение с веб-сайтами также будет замедлено.

Cisco Umbrella запустила свою рекурсивную службу DNS в 2006 году (как OpenDNS), чтобы предоставить каждому надежное, безопасное, интеллектуальное и быстрое подключение к Интернету. Umbrella имеет очень устойчивую рекурсивную DNS-сеть. У нас было 100% времени безотказной работы без сбоев DNS в нашей истории. Более 30 наших центров обработки данных по всему миру используют маршрутизацию Anycast для прозрачной отправки запросов в самый быстрый из доступных центров обработки данных с автоматическим переключением при отказе.

Настроив свою сеть для использования рекурсивной службы DNS Umbrella, вы получите самое быстрое и надежное соединение, которое вы можете себе представить.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *