Содержание

Что это такое, как он работает и как защитить DNS сервер от атак

DNS (Domain Name System) — система, хранящая информацию о доменах Интернета. Ключевая ее функция ― предоставление IP-адреса узла или ресурса по его полному доменному имени.

Оглавление:

Что это такое

Каждый узел Интернета, а также сетей, построенных на его стандартах, имеет свой собственный уникальный сетевой адрес, состоящий из четырех байт (в версии протокола IPv4) или 16 байт (в версии протокола IPv6). В символьном виде его можно представить, например, так: 192.124.0.8 (IPv4) или так: 2001:0fb6:89ac:0000:0000:8a4b:0330:8634 (IPv6). Понять, о каком именно узле сети из такой вот нотации бывает непросто, поэтому в Интернете принято обозначать узлы доменными именами, например, www.stormwall.pro. Полное доменное имя — это, по сути, синоним IP-адреса, более «человеческое» название, понятное многим пользователям.

Доменное имя выглядит как последовательность доменов (символьных имен областей Интернета, выстроенных в иерархическую систему), с точками в качестве разделителей. Например, domain1 в доменном имени domain3.domain2.domain1 — это домен самого верхнего уровня иерархии, domain2 — домен второго уровня, ddomain3 — домен третьего уровня. Аналогичным образом в доменном имени www.stormwall.pro домен pro — это домен самого верхнего уровня иерархии, stormwall — домен второго уровня, www — домен третьего уровня.

Соответствие между доменными именами и IP-адресами как раз и обеспечивает система DNS — она позволяет обращаться к отдельным интернет-узлам не по «загадочному» (с точки зрения людей) IP-адресу, а по доменному имени, указывая его, например, в браузере или в запросе к удаленной базе данных.

Серверы DNS

Работу DNS обеспечивают множество географически распределенных программных серверов, выстроенных в иерархическую (древовидную) структуру.

Система работает примерно так. Браузер или иная программа, взаимодействующая с Интернетом, отправляет запрос к «ближайшему» DNS-серверу, чтобы он по доменному имени нашел IP-адрес нужного узла. Если этот DNS-сервер «знает» адрес, то возвращает его в качестве ответа на запрос. Если же DNS-сервер не может найти адрес в своей базе данных, то отправляет запрос на вышестоящий по иерархии сервер либо на корневой. Вышестоящий сервер рассматривает запрос и поступает аналогичным образом: либо находит у себя и отправляет в качестве ответа IP-адрес искомого узла, либо передает запрос на корневой DNS-сервер, который начинает поиск на DNS-серверах, нижестоящих в иерархии доменов. Если IP-адрес удается найти, то он передается по цепочке тому DNS-серверу, с которого начался поиск, и тот отправляет ответ программе, которая сформулировала первоначальный запрос. Если поиск оказывается неудачным, то в программу возвращается сообщение об ошибке.

Поскольку программы очень часто по многу раз обращаются к одним и тем же доменам, их адреса хранятся поблизости — в файле hosts, локальном файле настроек DNS. При отсутствии нужного адреса обращение передается на стоящий внутри сети локальный DNS-сервер, где производится поиск адреса его в кэш-памяти, затем на локальный DNS-сервер интернет-провайдера, и так далее.

Аналогичным образом решается задача обратного поиска, когда по IP-адресу узла Интернета производится поиск его доменного имени. Такой поиск используется, в частности, в системах электронной почты.

Еще один важный вариант запроса — на добавление или изменение информации, содержащейся в DNS. Например, чтобы сайт с новым доменным именем (что-то вроде newservername.com) заработал, необходимо зарегистрировать его, сделать необходимые настройки и указать IP-адреса DNS-серверов, которые «знают», где находится новый сайт. Чтобы информация о новом доменном имени стала известна всему Интернету и чтобы новый сайт заработал, потребуется некоторое время — обычно 24 часа

Очень часто владельцы сайтов предпочитают не держать DNS-серверы у себя, а размещать их на сторонних хостинговых площадках — это позволяет повысить доступность сайтов. Чтобы свести риски к минимуму, владельцы сайтов пользуются услугами нескольких хостинг-провайдеров: если вдруг DNS-сервер на одной из площадок окажется недоступен, путь к сайту «укажут» DNS-серверы, расположенные на других площадках.

Отметим, что более продвинутые провайдеры услуг хостинга DNS-серверов, такие как StormWall, помимо собственно хостинга, предоставляют также сервисы защиты DNS от атак.

Зоны DNS

Всё пространство имен DNS поделено на зоны, ответственность за которые несут те или иные DNS-серверы или группы DNS-серверов. Ответственные (или уполномоченные) серверы DNS могут выполнять запросы внутри своих зон. Если представить всю структуру DNS как дерево доменных имен, то зона — это, по сути, часть этого дерева, которая хранится на ответственном DNS-сервере.

Нужно заметить, что не все DNS-серверы являются ответственными, часть из них не содержит конфигураций зон и выполняет только функции кэширования, помогая сократить трафик клиентских запросов, и перенаправления запросов, которые не удалось разрешить в данном узле, на вышестоящие DNS-серверы.

В зависимости от того, какой поиск может вестись внутри зоны (IP-адреса по доменному имени, или, наоборот, доменного имени по IP-адресу) принято разделять зоны прямого просмотра и зоны обратного просмотра.

Защита DNS-серверов от атак

Серверы DNS нередко подвергаются атакам, их результаты оказываются достаточно болезненными для владельцев интернет-ресурсов. Так, атаки на уязвимости DNS-серверов могут привести не только к потере работоспособности, но и искажению хранящейся на них информации, например, подмене прежних IP-адресов на новые (DNS-спуфинг), вследствие чего пользователи вместо нужного им сайта будут попадать на контролируемый злоумышленниками ресурс.

Основное следствие DDoS-атак на DNS-серверы — их недоступность для пользователей. И поскольку DNS-серверы перестают обслуживать полезные внешние запросы, то и сайты, находящиеся «за» ними, тоже становятся недоступными. В этом случае владельцы несут потери как материальные (недополученная прибыль, иски недовольных клиентов, снижение их лояльности и отток), так и репутационные (волна негатива в СМИ и соцсетях). К сожалению, отражение DDoS-атак на DNS-серверы оказывается весьма непростым из-за того, что многие атаки проводятся посредством протокола UDP, имеющего немало уязвимостей.

Наиболее распространенными видами DDoS-атак на серверы DNS являются следующие:

  • Простой DNS-флуд — генерация мощного потока запросов к DNS-серверу с целью создания чрезмерной нагрузки на DNS-сервер. Как правило, для создания достаточного для успешной атаки потока хватает относительно небольшой бот-сети.
  • DNS-атака с отражением (DNS Reflection) основана на том, что ответ на DNS-запрос оказывается в разы длиннее самого запроса. Для атаки на DNS-сервер, намеченный в качестве цели, на один или несколько других DNS-серверов высылаются DNS-запросы, в которых вместо IP-адреса источника указывается IP-адрес жертвы. В результате на нее обрушивается поток DNS-ответов, на анализ которых тратится значительная часть производительности сервера-жертвы — вплоть до полного отказа в обслуживании.
  • DNS-амплификация или на DNS-атака с усилением — разновидность DNS-атак с отражением, использующая уязвимости серверов DNS. Путем ряда манипуляций с использованием DNS-серверов, использующих рекурсивную обработку запросов, длина запроса увеличивается в 30-60 и более раз. Таким образом, злоумышленник, применяющий сеть ботов, отправляющих ложные запросы к рекурсивным серверам, получает возможность создать очень мощный поток ложных запросов к DNS-серверу — жертве.

В целях минимизации рисков хакерских атак на DNS и повышения целостности и достоверности хранимых в ней данных в серверы DNS встраиваются средства защиты и безопасности: DNSSEC, TSIG, DANE и др.

Кроме того, рекомендуется предпринять следующие шаги:

  • Убедиться, что DNS-серверы работают на выделенных физических серверах достаточной мощности. Желательно разместить их в разных дата-центрах, принадлежащих к разным сегментам сети и имеющим несколько маршрутов.
  • Обеспечить регулярное обновление программного обеспечения DNS-серверов.
  • Ограничить доступ к серверам DNS с правами администратора узкому кругу лиц, причем только изнутри сети или через VPN.
  • «Закрыть» на сервере обработку неиспользуемых сетевых протоколов и сервисов.
  • Отключить рекурсивную обработку запросов на DNS-серверах.
  • Запретить динамические обновления зон DNS.
  • Путем настроек обеспечить защиту от спуфинга.
  • Отменить дополнительный поиск IP-адресов серверов DNS.
  • Отключить перенос доменных зон на ваши DNS-серверы.
  • Запретить и отключить все прочие функции DNS-серверов, которые в данный момент не используются.
  • Обеспечить регулярное сканирование DNS-серверов на наличие известных уязвимостей.
  • Заранее подключить сервис предварительной фильтрации трафика, направляемого на DNS-серверы, с автоматическим включением отражения атак на DNS.

Чтобы мощная DDoS-атака на DNS-серверы не застала вас врасплох, следует заранее подготовить план ваших действий после ее начала, а также план аварийного восстановления в случае отказа ваших серверов DNS в обслуживании. Разумеется, необходимо обеспечить также регулярные тренировки действий ИТ-специалистов при начале атак на DNS-серверы.

Зачем вам может понадобиться собственный DNS-сервер? / Хабр

Одна из сложностей в понимании DNS заключается в его

децентрализованности

. Существуют тысячи (а может, сотни тысяч?) авторитетных серверов имён и по крайней мере

10 миллионов резолверов

. На них работает множество разного ПО! Из-за того, что на разных серверах выполняется своё ПО, в работе DNS присутствует большая несогласованность, что может вызывать кучу раздражающих проблем.

Но вместо того, чтобы обсуждать проблемы, я хочу разобраться, почему децентрализация DNS — это хорошо?

Чем хороша децентрализация DNS?

Одна из причин — это

масштабируемость

: децентрализованная структура DNS упрощает его масштабирование и делает его более устойчивым к сбоям. Мне кажется по-настоящему удивительным то, что DNS продолжает масштабироваться, несмотря на то, что ему почти 40 лет. Это очень важно, но наш пост не об этом.

Вместо этого я хотела бы поговорить о следующем: децентрализованность означает, что мы можем управлять

тем, как работает DNS. Мы можем добавить новые серверы в огромный запутанный клубок DNS-серверов! Серверы, которыми можно управлять!

Недавно я спросила в Twitter, почему кому-то может захотеться создать собственные DNS-серверы. Я получила много ответов, которые мне бы хотелось здесь резюмировать.

Можно создать два типа DNS-серверов

Существует два основных типа DNS-серверов, которые вы можете создать:

  1. Если у вас есть домен, то вы можете создать авторитетный сервер имён для этого домена.
  2. Если у вас есть компьютер (или компания с кучей компьютеров), то вы можете создать резолвер, резолвящий DNS для этих компьютеров.

DNS — это не статичная база данных

Я часто слышу, что DNS сравнивают с «телефонной книгой»: доменные имена — это фамилии, а IP-адреса — телефонные номера.

Для первого знакомства такая модель вполне подойдёт, однако сравнение с телефонной книгой может создать впечатление, что если сделать DNS-запрос к google.com, то результат всегда будет одинаковым, а это совершенно не так!

Запись, которую вы получите в ответ на DNS-запрос, зависит от следующих аспектов:

  • Вашего местонахождения в мире (вы можете получить IP-адрес сервера, который физически ближе к вам!).
  • Нахождения в корпоративной сети (в которой вы можете резолвить внутренние доменные имена).
  • Считается ли доменное имя «плохим» вашим резолвером DNS (оно может быть заблокировано!).
  • Предыдущий DNS-запрос (возможно, резолвер DNS выполняет балансировку нагрузки на основе DNS, чтобы каждый раз выдавать вам другой IP-адрес).
  • Используете ли вы captive portal WiFi в аэропорту (прежде чем вы выполните вход, WiFi аэропорта резолвит записи DNS по-другому, он отправит вам специальный IP для перенаправления).
  • И почти всё, что угодно.

Во многом желание контролировать свой собственный сервер связано с тем, что DNS не является статичной базой данных — существует множество вариантов, связанных с тем, как будут обрабатываться DNS-запросы (или для домена, или для организации).

Причины для создания авторитетного сервера имён

Для решения некоторых из перечисленных ниже задач вам необязательно создавать собственный авторитетный сервер имён, вы просто можете выбрать авторитетный сервер имён, имеющий нужные вам функции.

Надо сказать, что есть много причин не создавать собственный авторитетный сервер имён — у меня нет своего сервера и я не пытаюсь вас убедить, что он вам нужен. Обслуживание сервера требует времени, ваш сервис может быть не таким надёжным, и т. п.

Причина: безопасность

Об этом хорошо сказано в следующем твите

:

Существует опасность того, что атакующий получить доступ к изменению DNS через слишком желающего помочь сотрудника отдела поддержки клиентов. Или что вам заблокируют ваш DNS (например, из-за его отсутствия). Собственный сервер может быть проще контролировать и проверять его содержимое.

Причина: вам нравится управлять bind/nsd

Многие люди упоминали такую причину: «я привык писать файлы зон и управлять

bind

или

nsd

, мне проще делать именно так».

Если вам нравится интерфейс bind/nsd, но вы не хотите управлять своим собственным сервером, то пара человек говорила мне, что можно пользоваться преимуществами bind, создав «скрытый первичный» сервер, хранящий записи, но обслуживать все DNS-запросы со «вторичного» сервера. Вот примеры страниц о настройке вторичного DNS с NS1, cloudflare и Dyn.

Не знаю точно, какой авторитетный DNS-сервер является лучшим, я пользовалась nsd только на работе.

Причина: можно использовать новые типы записей

Некоторые новые типы записей DNS поддерживаются не всеми устройствами DNS, но если вы создадите собственное, то сможете поддерживать любые нужные вам типы записей.

Причина: интерфейс пользователя

Вам может не нравиться интерфейс пользователя (или API, или отсутствие API) используемого вами DNS-сервиса. На самом деле эта причина связана с причиной «вам нравится управлять BIND» — возможно, вы любите интерфейс файлов зон!

Причина: вы можете устранять проблемы

Существуют очевидные плюсы и минусы в возможности решать проблемы самостоятельно в случае их появления (плюс: вы можете устранить проблему, минус: вам придётся устранять проблему).

Причина: сделать что-то странное и уникальное

Вы можете написать DNS-сервер, способный делать всё, что вам нужно, он не обязан просто возвращать статичный набор записей.

Вот несколько примеров:


Причина: для экономии денег

Авторитетные серверы имён обычно взымают оплату за миллион DNS-запросов. Например, при беглом ознакомлении можно понять, что Route 53 взымает примерно 0,50 доллара за миллион запросов, а

NS1

взымает примерно 8 долларов за миллион запросов.

Я слабо представляю, сколько запросов авторитетный DNS-сервер большого сайта обычно должен резолвить (какие сайты получают 1 миллиард DNS-запросов на свой авторитетный DNS-сервер? Вероятно, многие, но у меня нет опыта в этом.). Однако некоторые люди упомянули, что причина может быть в стоимости.

Причина: можно поменять регистратора

Если вы используете отдельный авторитетный сервер имён для своего домена вместо сервера имён регистратора, то при необходимости перехода к другому регистратору для получения резервной копии DNS достаточно будет настроить в своём авторитетном DNS-сервере нужное значение. Вам не нужно будет выполнять миграцию всех записей DNS, а это очень сложная задача!

Для этого необязательно создавать собственный сервер имён.

Причина: географический DNS

Вам может потребоваться возвращать другие IP-адреса для вашего домена в зависимости от того, где находится клиент, чтобы передать ближайший к нему сервер.

Такую услугу предлагают многие сервисы авторитетных серверов имён, поэтому чтобы делать это, вам не нужно писать собственный.

Причина: избежать атак типа «отказ в обслуживании», нацеленных на кого-то другого

Многие авторитетные DNS-серверы являются общими. Это значит, что если кто-то нападёт на DNS-сервер

google.com

или какого-то другого сайта и окажется, что вы используете тот же авторитетный DNS-сервер, то на вас это тоже может повлиять, хотя и атака не нацелена на вас. Примером может служить эта

DDoS-атака на Dyn

в 2016 году.

Причина: хранение всей конфигурации в одном месте

Один человек сказал, что ему нравится хранить всю его конфигурацию (записи DNS, let’s encrypt, nginx и т. д.) в одном месте на одном сервере.

Странная причина: использовать DNS в качестве VPN

Похоже,

iodine

является авторитетным DNS-сервером, позволяющим направлять трафик по туннелю через DNS, если вы находитесь в сети, которая позволяет связываться с внешним миром только как VPN.

Причины для создания резолвера


Причина: конфиденциальность

Если кто-то может видеть все ваши операции DNS-поиска, то у него будет полный список доменов, которые вы (или кто-то из вашей организации) посещаете! Возможно, вы захотите сохранить их конфиденциальность.

Причина: блокировка вредоносных сайтов

Если вы создали собственный резолвер, то вы можете отказаться резолвить DNS-запросы (просто не возвращая никаких результатов) для доменов, которые вы считаете «плохими».

Вот несколько примеров резолверов, которые вы можете создать сами (или просто использовать):

  • Pi-Hole блокирует рекламодателей.
  • Quad9 блокирует домены, занимающиеся вредоносными программами/фишингом/шпионским ПО. Похоже, у Cloudflare есть похожий сервис.
  • Думаю, существует также ПО для корпоративной безопасности, блокирующее DNS-запросы доменов, хостящих вредоносные программы.
  • DNS — это не статичная база данных. Он очень динамичен, и ответы иногда могут в реальном времени зависеть от IP-адреса, с которого пришёл запрос, текущей нагрузки на контент серверов и т. д. Всё это сложно делать, в реальном времени, если вы не делегируете обслуживание таких записей сущности, принимающей подобные решения.
  • Делегирование управления DNS сильно упрощает управление доступом. Всё ниже среза зоны (zone cut) контролируется человеком, управляющим делегированным сервером, поэтому ответственность за имя хоста подразумевается в делегировании DNS.

Причина: получить динамическое проксирование в nginx

Вот отличная история из

этого твита

:

Я написал DNS-сервер в виде приложения, а затем сделал его резолвером для nginx, чтобы можно было получить динамическое проксирование бэкенда без необходимости запуска lua в nginx. Nginx отправляет DNS-запрос приложению, приложение запрашивает redis и отвечает соответствующим образом. Для моих целей такое решение сработало очень неплохо.

Причина: избежать злонамеренных резолверов

У некоторых ISP есть DNS-резолверы, делающие плохие вещи, например, резолвящие несуществующие домены в контролируемые ими IP, которые показывают рекламу или странную поисковую страницу, которую они могут контролировать.

Чтобы избежать этого, можно использовать или контролируемый вами резолвер, или другой резолвер, которому вы доверяете.

Причина: резолвинг внутренних доменов

Возможно, у вас есть внутренняя сеть с доменами (например,


blah.corp.yourcompany.com

), которые отсутствуют в публичном Интернете. Создание собственного резолвера для машин во внутренней сети позволяет получать доступ к этим доменам.

Можно сделать то же самое в домашней сети, или для доступа к локальным сервисам, или просто чтобы получить локальные адреса для сервисов, находящихся в публичном Интернете.

Причина: избежать MITM своих DNS-запросов

Один человек

сказал

:

На моём LAN-маршрутизаторе работал резолвер, использующий DNS через HTTPS для передачи вверх по потоку, чтобы IoT и другие устройства, не поддерживающие DoH или DoT, не распространяли наружу DNS открытым текстом.

На этом всё

Мне показалось важным исследование этих вопросов, потому что DNS — это сложная и запутанная система. Думаю, многие люди с трудом могут найти мотивацию к изучению таких сложных тем и они не понимают, почему вся эта сложность полезна.

DNS-сервер

DNS-сервер (Domain name server) — это протокол, который принимает от пользователей сети интернет запросы на доступ к сайтам в форме доменного имени www.site.com. Эти запросы требуют расшифровки доменных имен, которые легко воспринимаются и понимаются человеком. Однако для того, чтобы компьютер произвел соединение с веб-страницей c IP-адресом, соответствующим этому имени, требуется его преобразование в цифровой вид, поскольку компьютер может работать только с IP-адресами сайтов в двоичном представлении. Таким преобразованием и занимается DNS-сервер.

Если DNS-сервер установлен на выделенном хосте (физическом сервере), то им может также называться физический компьютер, на котором работает приложение протокола DNS.

DNS-сервер в общих чертах

В самых общих чертах DNS-сервер – это не только протокол, но база данных, в которой «прописаны» соответствия между именами хостов в буквенном виде, например,http://www.microsoft.com, и их IP-адресами в цифровом виде 192.168.124.1. Можно сказать, что DNS – это «телефонная книга для интернета».

Однако, внутреннее устройство DNS сложнее, чем телефонная книга.

Во-первых, база данных DNS является распределенной. Каждый отдельный DNS-сервер содержит лишь относительно небольшую часть всех записей в сети интернет об именах хостов и их соответствий IP-адресам. В случае, если запрос клиента относится к доменному имени, записи о котором нет в базе данных DNS-сервера, он производит поиск другого сервера, где есть такая запись. Иногда такой поиск занимает несколько поочередных запросов с одного DNS-сервера на другой. Набор записей соответствия имен хостов IP-адресам называется «пространство имен» (namespace).

Во-вторых, процесс поиска и передачи запроса на нижележащие уровни пространства имен продолжается до тех пор, пока не будет найдет DNS-сервер, который содержит искомую запись соответствия DNS-имени точному IP-адресу. Если доменное имя по запросу не найдено, то пользователю возвращается сообщение о неудачном поиске.

В-третьих, в базе данных DNS-сервера содержатся и другие типы записей, кроме записей соответствия доменного имени IP-адресу. Например, это могут быть записи почтовой службы MX (Mail Exchanger), которые обеспечивают почтовые серверы (e-mail server) информацией, необходимой для пересылки электронных писем.

Для чего нужен сервис DNS

DNS используется для следующих целей:

  • Разрешение имен сайтов WWW (World Wide Web).
  • Маршрутизация сообщений на почтовые серверы и службы webmail.
  • Соединение серверов приложений, баз данных и промежуточных программ (middleware) внутри веб-приложения.
  • Создание виртуальных частных сетей VPN (Virtual Private Networks).
  • Предоставление доступа к программным средствам (Peer-to-peer).
  • Работа совместных онлайн-игр (Multiplayer games).
  • Работа служб мгновенных сообщений и онлайн-конференций.
  • Связь между устройствами, шлюзами и серверами интернета вещей.

Это все, что нужно знать о DNS-серверах в самых общих чертах. Если нужно поподробнее, но тоже не слишком детально, можно читать дальше.

Как работает DNS-сервер

Хотя считается, что DNS означает Domain Name Server, однако, более правильным будет название Domain Name System (система доменных имен). Это одна из основополагающих систем интернета, которая позволяет находить в сети нужную информацию или предоставлять информацию в сеть для общего или ограниченного доступа.

DNS – это протокол, входящий в набор протоколов (платформу) по обмену информацией в сети интернет, TCP/IP (Transfer Control Protocol / Internet Protocol).

При доступе к веб-сайту, отправке электронной почты, сообщений в мессенджере и пр., компьютер использует DNS-сервер для поиска домена, к которому нужно получить доступ. Этот процесс называется разрешением доменного имени (DNS name resolution) и представляет собой трансляцию имени нужного домена в цифровой IP-адрес, который может быть воспринят компьютером.

Это кажется довольно простой задачей. Однако это не так, если иметь в виду следующее:

  • В сети интернет используются миллиарды IP-адресов, а многие компьютеры, кроме IP-адреса, имеют также и читабельное для людей имя.
  • DNS-серверы всего мира обрабатывают в секунду миллиарды запросов в сети интернет.
  • Миллионы людей добавляют и изменяют доменные имена и IP-адреса ежедневно и ежечасно.

Чтобы справиться с такими масштабными задачами, DNS-сервер использует в работе эффективные средства построения сети, а также нижележащие интернет-протоколы (IP). Каждый компьютер (или устройство на базе компьютерного процессора), подключенный к интернету, имеет уникальный IP-адрес, причем часто в двух стандартах – IPv4 и IPv6. Различие между ними в том, что адрес IPv4 состоит из 32 двоичных разрядов, а IPv6 – из 128 разрядов. Понятно, что в адресном пространстве IPv6 можно разместить во много раз (даже порядков) больше устройств с уникальными IP-адресами. Кто-то даже подсчитал, что на одном квадратном дюйме земной поверхности можно разместить около тридцати устройств с уникальным IP-адресом IPv6 в каждом.

Распределением IP-адресов занимается орган под названием IANA (Internet Assigned Numbers Authority).

Адрес IPv4 внешне выглядит как четыре десятичных числа, разделенных точками, например, 70.74.251.42. Для человека (если только он не профессионал в ИТ), такой вид IP-адреса мало о чем говорит, а для компьютера он точно описывает местоположение сервера (хоста), на котором находится нужная веб-страница или сайт.

Адрес IPv6 содержит восемь шестнадцатеричных чисел, разделенных двоеточиями, например 2001:0cb8:85a3:0000:0000:8a2e:0370:7334.

Некоторые адреса и диапазоны адресов помечены в IANA как зарезервированные для специальных функций. Например, адрес 127.0.0.1 используется для идентификации компьютера, на котором в данный момент работает пользователь.

Как генерируются и распределяются IP-адреса? Если говорить о персональном компьютере, то скорее всего IP-адрес для него будет получен от специального сервера в сети, который называется DHCP-сервер (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Термин «динамическая конфигурация» означает, что IP-адрес компьютера будет время от времени меняться. Например, если не включать компьютер в течение нескольких дней, то при новом включении он, скорее всего, получит новый IP-адрес. Пользователю данная операция заметна не будет. Но при желании можно выяснить свой текущий IP-адрес при помощи специальных команд операционной системы.

Есть, однако, компьютеры, на которых размещены веб-сайты и веб-страницы с общедоступной информацией (хостинг). Понятно, что таким серверам нужен постоянный, статический IP-адрес. Для закрепления статического IP-адреса за определенным сервером, его IP-адрес привязывается к уникальному MAC-адресу (Media Access Control) устройства, который присваивается при производстве.

Доменное имя

На рисунке показано доменное имя Amazon.co.uk, британского отделения американского интернет-магазина Amazon.

Пример доменного имени

Компания Amazon в качестве логотипа избрала свое зарегистрированное доменное имя, которое указывается на упаковках всех товаров, полученных из интернет-магазина Amazon.

Доменные имена представляют собой последовательность букв, разделенных точками. Последний в последовательности набор букв (в примере — «.uk») представляет собой т. н. «домен высшего уровня» (TLD, Top-Level Domain). Эти домены контролируются IANA и содержатся в «базе данных корневой зоны» (Root Zone Database).

В этой базе содержатся около 1000 доменных имен высшего уровня. Наиболее часто используемые из них следующие:

  • COM — коммерческие компании, для общего доступа.
  • NET — сетевые вебсайты, для общего доступа.
  • ORG — некоммерческие организации, для общего доступа.
  • EDU — школы и образовательные учреждения.
  • MIL — выделенное доменное имя для армии США.
  • GOV — выделенное доменное имя для правительства США.
  • US, UK, RU и другие двухбуквенные коды стран — имена присваиваются национальными регуляторами отдельных стран.

Перед точкой в доменном имени высшего уровня обычно идет имя сайта, сервиса или наименование организации, на которую зарегистрирован домен, например itelon.ru. Либо это может быть другое слово, каким-то образом обозначающее эту организацию. Чаще всего это точное совпадение с названием компании, но так бывает не всегда.

Известна деятельность т. н. киберсквоттеров, которые регистрируют коммерческие названия известных компаний в национальных доменах на себя в надежде продать доменное имя этой компании, когда она придет в ту или иную страну. Например, некоторое время назад, компания Nokia не могла зарегистрировать сайт в России вида nokia.ru. Это имя уже было зарегистрировано каким-то киберсквоттером и на главной (и единственной) странице этого сайта было написано, что это —клуб по обсуждению недостатков корейских автомобилей No KIA. Никакого клуба там, конечно, не было. Компания Nokia не пошла на поводу у вымогателей и зарегистрировала другое доменное имя, с дополнительными буквами перед .ru. В настоящее время этот вид вымогательства уже практически исчез, т. к. национальные суб-домены стало можно делать внутри главных доменов в сегменте .com, например, https://www.nokia.com/ru_int/ — для России, https://www.nokia.com/de_int/ — для Германии, и пр. На главной странице любого национального домена обычно бывает меню, где можно выбрать любой национальный суб-домен.

Буквы с левого края имени домена, например, www или mail, — это имя хоста (host name). Оно определяет имя сервера, выполняющего определенные функции в домене.

Наконец, протокольная часть имени http означает Hypertext Transfer Protocol («протокол передачи гипертекста»), при помощи которого происходит обмен информацией пользователя с веб-сайтом. В настоящее время более часто используется https, то есть протокол обмена с функциями безопасности (security), который передает данные в зашифрованном виде. Например, если вы хотите ввести номер кредитной карты на сайте интернет-магазина, а в адресной строке сайта магазина стоит http (а не https), то от такой операции лучше воздержаться, т. к. номер карты и ее трехзначный номер CVV могут быть перехвачены злоумышленниками. Если это htpps, то сведения передаются в зашифрованном виде, ключ шифра при этом взломать практически невозможно, во всяком случае за время транзакции это сделать точно нельзя.

Поскольку все имена в домене должны быть уникальными, то должны быть и средства проверки отсутствия совпадающих имен. Этим занимаются т. н. регистраторы доменных имен (registrar). Регистратор – это орган, который может выдавать доменные имена в одном или нескольких доменах высшего уровня и регистрировать их при помощи сервиса InterNIC — корпорации по управлению доменными именами и IP-адресами ICANN (Internet Corporation for Assigned Names and Numbers), которая следит за уникальностью доменных имен на просторах интернета. После регистрации доменное имя заносится в базу данных, которая называется Whois («кто это»).

Распределенная система

Три буквы WWW в доменном имени расшифровываются как World Wide Web («всемирная паутина»). Их наличие в доменном имени означает, что при запросе через службу www пользователь ищет что-то в сети. Сейчас эти буквы в доменном имени часто отсутствуют, поскольку если их нет, то по умолчанию подразумевается запрос DNS в домене высшего уровня WWW.

В эпоху раннего интернета, когда пропускная способность сети была невысокой и DNS-серверов было не так много, аббревиатура WWW иногда расшифровывалась как World Wide Waiting («всемирное ожидание»). Пока открывался сайт, иногда можно было сходить на кухню и заварить чай, а вернувшись, увидеть, что сайт еще не открылся.

Если вместо www в адресной строке браузера указано, например, mail, то это домен почтовой службы, где клиент может получить и отправить почту на почтовом сервере (mail server).

Здесь также могут быть буквы ftp (File Transfer Protocol), означающие протокол передачи файлов. При вводе имени, начинающегося с букв ftp в браузере не будет открываться никакой сайт, но отобразится некое дерево папок, в которых хранятся файлы, похожее на проводник в ОС Windows. Это, наверное, самый древний протокол, который использовался еще до возникновения интернета как такового.

Никакая другая база данных в мире не получает столько запросов в единицу времени и не модифицируется так часто, как база доменных имен в сети WWW из DNS-серверов. Эта база распределена по всему миру на миллионах компьютеров, ею пользуются и ее модифицируют миллионы людей, и тем не менее, она работает как единая интегрированная база данных! И ни одна подобная база данных не работает столь продолжительное время, как DNS. Это поразительный факт.

Задачи DNS-сервера

Основные задачи сервера DNS – следующие:

Работа DNS-сервера

DNS-сервер, к которому обращается клиент (шаг 1 на рис. 1), обычно управляется интернет-провайдером клиента ISP (Internet Service Provider). Как указывалось ранее, DNS-сервер провайдера ISP является частью сетевой конфигурации, которую клиент при подключении к сети получает от протокола DHCP. DNS-сервер провайдера обрабатывает запросы следующим образом:

  • Если запрошенное клиентом доменное имя и соответствующий ему IP-адрес содержатся в базе данных DNS-сервера провайдера, то он выполняет разрешение доменного имени (перевод его в IP-адрес) самостоятельно.
  • Если запрошенного доменного имени нет в базе данных DNS-сервера провайдера, он связывается с другим DNS-сервером. Таких операций может быть несколько (задача 2).
  • Если DNS-сервер получает ответ от другого DNS-сервера об успешном нахождении доменного имени и соответствующего ему IP-адреса, то он сообщает об этом клиенту и заносит эти данные в свой кэш на определенное время, чтобы при поступлении повторных запросов того же домена отправлять их без задержки клиенту, без опроса других DNS-серверов (задачи 3 и 4).
  • Если попытка поиска нужного доменного имени на других серверах не увенчалась успехом, то DNS-сервер провайдера возвращает клиенту (обычно в пределах минуты) сообщение о том, что такого имени не существует или оно введено неверно.

DNS-сервер, который управляет определенным доменом, называется «началом власти» (да, именно так) для этого домена — SOA (Start Of Authority). Постепенно, результаты запросов имен хостов на SOA распространяются на другие DNS-серверы, которые распространяют их на следующие DNS-серверы и так далее по всему интернету.

Такое распространение – результат того, что каждый DNS-сервер кэширует (сохраняет на определенное время во временном буфере) результаты поиска. Это время называется TTL (Time To Live), и оно может быть от нескольких минут до нескольких дней. Продолжительность TTL устанавливают администраторы серверов, поэтому этот показатель может варьироваться по сети интернет.

В эту паутину DNS-серверов входят также серверы корневых имен (root name servers), которые стоят во главе иерархии определенного домена. В каждом домене высшего уровня их может быть несколько сот. Хотя поиск доменного имени не обязательно должен начинаться с корневого сервера, к нему может быть обращение в качестве последней инстанции при неудачном поиске доменного имени.

Вот, например, как организована иерархия системы DNS такого известного ресурса, как Википедия:

На август 2020 года в мире существует 13 корневых серверов, которые управляются 12 организациями. Интерактивную карту корневых серверов и их реплик можно найти на сайте https://root-servers.org/. На этом сайте есть интерактивная карта, где можно получить более подробное расположение корневых серверов и их реплик.

Карта корневых серверов и их реплик (источник: root-servers.org)

Типы DNS-серверов

  • Авторитативный DNS-сервер. Авторитативный DNS-сервер дает возможность управления публичными именами DNS и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных DNS-серверов.
  • Рекурсивный DNS-сервер. Если рекурсивный DNS-сервер хранит информацию в кэше или хранилище в течение определенного времени, тогда он сам отвечает на DNS-запрос, предоставляя клиенту нужный ему IP-адрес. Если он не хранит эту информацию, он передает запрос в один или несколько авторитативных DNS-серверов, которые выдают ему информацию для клиента.

Создание нового доменного имени

Чтобы создать доменное имя нужно сделать следующее:

  • Найти уникальное незарегистрированное доменное имя, которое можно проверить по базе данных Whois. Есть ряд сайтов, которые предлагают услугу бесплатного поиска по Whois.
  • Зарегистрировать имя у одного из многочисленных регистраторов. Цена регистрации обычно зависит от домена: COM, NET, INFO, ORG, либо национальный домен (RU).
  • Можно также воспользоваться услугами сторонней компании, оказывающей услуги хостинга (хостер), которая от имени клиента произведет регистрацию у регистратора и даже выберет для него уникальное имя в соответствии с его пожеланиями.

Аренда DNS-сервера у регистратора или компании, оказывающей услуги хостинга, называется «парковкой домена» (parked domain). В этом случае физический DNS-сервер будет частью большой конфигурации DNS в компании-хостере.

Можно также самостоятельно установить у себя свой собственный DNS-сервер, который может быть как физической, так и виртуальной машиной. В последнем случае этот сервер будет физически находиться у провайдера, но это будет не провайдер интернет, а провайдер услуг дата-центра. Этот сервер становится SOA (Start Of Authority) для собственного домена.

В любом случае далее можно расширять и модифицировать установки DNS и добавлять суб-домены, получать и отправлять электронную почту в домене и управлять другими сервисами. Установки хранятся в «зоновом файле» (zone file) на DNS-сервере. Если DNS-сервер у клиента собственный, то, возможно, ему понадобится самостоятельно редактировать этот файл в текстовом редакторе. Многие регистраторы предоставляют специальный веб-интерфейс для администрирования установок зонового файла DNS клиента. Эти установки называются записями (records). Вот примеры этих записей:

  • Host (A) — основная запись о соответствии IP-адреса имени хоста.
  • Canonical Name (CNAME, каноническое имя) — это название домена. При вводе CNAME в адресную строку браузера происходит переадресация на IP-адрес Host (A).
  • Mail Exchanger (MX, почтовый обменник) — сервис, перенаправляющий электронную почту на специальный почтовый сервер, IP-адрес которого указан в записи MX. Например, если владелец домена использует почту Google в качестве службы e-mail, то в записи MX будет направление вида ghs.google.com.
  • Name Server (NS, сервер имен) — конфигурация этой записи информирует другие DNS-серверы о том, что данный DNS-сервер является SOA для данного домена.
  • Start of Authority (SOA) — это запись в начале каждого зонового файла на первичном сервере зоны и некоторая другая информация. В случае использования хостинга DNS-сервера у регистратора или хостера клиент не может самостоятельно управлять этой записью.

Рис. 5. Пример веб-интерфейса для редактирования записей DNS (источник: presslabs.com).

Для обычных пользователей наибольший интерес представляют записи MX и CNAME. MX позволяет направлять почту в другой почтовый сервис. CNAME дает возможность указывать для домена пользователя имена хостов в других местоположениях. Например, это может быть запись google.example.com для перенаправления на google.com.

Эволюция DNS

DNS – это не неизменная концепция. В ней постоянно появляются новые службы и функции. Например, в конце 2018 года корпорация ICANN ввела новые функции безопасности для системы DNS, включающие изменения криптографических ключей в протоколе безопасности DNSSEC (Domain Name System Security Extensions), такие как основной ключ входа KSK (Key Signing Key) для корневой зоны (root zone). Поскольку интернет постоянно развивается и разрастается, в частности, в области интернета вещей, поэтому и понадобились новые функции безопасности.

Меры безопасности очень важны, поскольку хакеры-криминалы находят все новые возможности взлома DNS-систем с целью похищения персональной информации или нарушения нормальной работы системы.

Однако ставки здесь могут быть и выше. Изощренные ИТ-профессионалы, организации и даже авторитарные политические режимы могут отслеживать трафик DNS. Эта информация может быть использована для разного рода злонамеренных действий, атак на государственные и корпоративные информационные системы, причем, обнаружение таких атак либо сильно затруднено, либо требует большего времени.

В 2018 году регулятор IETF (Internet Engineering Task Force) утвердил стандарт протокола DNS-over-HTTPS, который использует шифрование трафика между DNS-серверами, и, таким образом, обеспечивает более высокий уровень защиты персональных данных.

Аппаратные требования к DNS-серверу

Аппаратные требования к DNS-серверам, в общем, невысоки и для них можно использовать серверы начального и среднего уровня. Часто в качестве DNS-серверов используют списанные серверы, которые раньше обрабатывали активную нагрузку в дата-центрах. Однако конфигурация DNS-сервера требует достаточного опыта ИТ-профессионала, чтобы правильно установить записи на нем, например, размер и время хранения информации для кэша.

что это и какие бывают

Разбираемся в типах записей домена: NS, A, MX, TXT и пр.

Записи домена, или DNS-записи, — это информация, отражающая взаимосвязь доменного имени с IP-адресами, сервисами и др. Они редактируются на стороне компании, обслуживающей домен.

Когда домен размещен на хостинге, вы можете добавлять, редактировать и удалять записи домена на панели управления услугой.

Пример добавления записи домена:


Обычно используют несколько DNS-записей в работе. Делимся базовыми, с которыми часто работают владельцы сайтов.

Запись Предназначение
NS Указывает на серверы компании, которым делегирован домен. Например, компания-регистратор доменных имен или хостинг.
A Показывает связь между IP-адресом и доменным именем.
AAAA = А, но с IPv6-адресами.
Примечание: Обычно домен делегируют на хостинг с помощью указания NS и A-записей, или одной из них. Подробнее в нашей документации Справочного центра.
CNAME

Используется для создания алиасов — имен вашего сайта.

Например, для перенаправления с «www.reddock.ru» на «reddock.ru».
DNAME Используется для создания алиасов поддоменов. Настройки DNAME-записи не коснутся основного домена.
MX

Направление на почтовый сервер домена. Например, если используется почта для домена от Яндекса, то указывается запись — «mx.yandex.net.».

Таких записей может быть несколько — задаются разные приоритеты. Если первый ящик недоступен, то сообщение уйдет на почту с меньшим приоритетом.

TXT

Содержит текстовую информацию.

Применяется в разных случаях: от верификации до безопасности электронной почты.

PTR

Помогает пройти фильтрацию почтовыми сервисами.

Она связывает IP-адрес с доменом, если они сходятся с отправителем, то письмо не попадает в спам.

SPF

Помогает защитить отправку спама от лица компании.

В SPF-записи указывают список IP-адресов, с которых может отправляться почта. Так, с неизвестного IP-адреса рассылка писем от имени компании не уйдет.


Что такое name-серверы NS и DNS?

Определение DNS


DNS сервер это сокращение от Domain Name System (или Domain Name Service) — фактически система (или служба) серверов доменных имен.

DNS-серверы выполняют функцию преобразования доменных имен в IP-адреса и наоборот. Система DNS представляет собой базу данных, распределенную по всей сети Интернет, и целую сеть серверов. Каждый DNS-сервер знает своих «соседей» и способен быстро и автоматически, по специально разработанной иерархической схеме, опрашивать их, если к нему поступил запрос на установление соответствия «IP — доменное имя» или, наоборот, «доменное имя — IP». Для соединения с web-сервером и получения соответствующей web-страницы браузеру необходим IP-адрес этого имени. Браузер вызывает функцию DNS для получения данной информации. Функция отображения доменных имен в IP-адреса, которую предоставляет DNS, называется name resolution (разрешение имен). Протокол, который используется для выполнения функции разрешения имен, называется DNS-протокол.

«DNS-клиентами» являются практически все сайты, размещенные в сети Интернет. Всякий раз, когда вы при посещении wap или web-страниц набираете доменное имя, служба DNS серверов должна выяснить, какому IP-адресу соответствует данное имя домена. Именно по этой причине правильное задание DNS-серверов является одной из важнейших настроек для работы wap или web-сайтов в сети Интернет.

Интернет представляет собой самую большую компьютерную сеть. С точки зрения пользователя, каждый узел или ресурс в этой сети идентифицируется уникальным именем – так называемым доменным именем. Некоторыми примерами ресурсов Интернет, для которых определяются доменные имена, являются: Web-серверы; Mail-серверы.

С точки зрения сетевого оборудования (например, роутера), которое перенаправляет коммуникационные пакеты по Интернет, уникальный ресурс идентифицируется IP-адресом, который представляет собой набор из четырех групп чисел, разделенных точками (например, 123.67.43.245). Для доступа к ресурсам Интернета по доменным именам, понятным пользователям, а не по этим IP-адресам, пользователям нужна система, которая преобразовывает доменные имена в IP-адреса и обратно. Такое преобразование является первоочередной задачей сервисов, называемых Domain Name System (DNS).

Пользователи получают доступ к ресурсам Интернета (например, web-серверу) с помощью соответствующей клиентской программы (например, web-браузера), указывая доменное имя этого ресурса.

Функция DNS, описанная выше, включает следующие составные части. Во-первых, необходимо иметь репозиторий для хранения доменных имен и соответствующих им IP-адресов. Так как количество доменных имен весьма велико, то основными требованиями являются масштабируемость и эффективность. Также должно существовать ПО, которое управляет этим репозиторием и предоставляет функцию разрешения имен. Эти две функции (управление репозиторием доменных имен и предоставление сервиса разрешения имен) выполняются компонентой DNS, называемой name-сервер. Существует несколько категорий таких серверов – рекурсивный name-сервер и stub resolver, различающиеся по своим возможностям. Коммуникационный протокол, различные компоненты DNS, политики, которые определяют конфигурацию этих компонент, процедуры создания, хранения и использования доменных имен составляют инфраструктуру DNS.

Name-сервер


Name-сервер выполняет следующие функции:

  • предоставляет информацию о сервере который отвечает за дочернюю зону;
  • предоставляет преобразование доменного имени в IP-адрес или IP-адрес в доменное имя, называемое инверсным преобразованием;
  • предоставляет сообщение об ошибке, если запрос сделан для записи DNS, которой не существует.

Двумя основными компонентами ПО DNS являются name-сервер и resolver. Основные функции name-сервера состоят в обслуживании базы данных (называемой зонным файлом), содержащей информацию о зоне, и в предоставлении ответов на запросы разрешения имени посредством авторитетных ответов. Основной функцией ПО resolver’а является запрос или серия запросов разрешения имени. Основными данными DNS является зонный файл; другим типом данных DNS является конфигурационный файл.

Name-сервер (DNS-сервер, NS-запись) — это сервер, являющийся частью системы DNS. Для парковки домена на хостинг необходимо указывать у регистратора домена значение Primary и Secondary Name-серверов. Для нашего хостинга Name-серверы имеют следующий вид:

NS1.foxcloud.net
NS2.foxcloud.net

Существует два основных типа name-серверов: авторитетные name-серверы и кэширующие name-серверы. Термин авторитетный относится к зоне. Если name-сервер содержит ресурсные записи, касающиеся конкретной зоны, он называется авторитетным name-сервером для данной зоны. Такой сервер предоставляет ответы на запросы разрешения имен для данной зоны, используя ресурсные записи в своем собственном зонном файле. Кэширующий name-сервер, в противоположность предыдущему типу name-сервера, предоставляет ответы посредством серии запросов либо к авторитетным name-серверам, расположенным выше в иерархии доменов, либо из кэша, полученного из ответов на предыдущие запросы.

Resolver’ы


Такое ПО, как web-браузеры и e-mail клиенты, которые требуют доступа к ресурсам Интернета, используют DNS-клиент, называемый client resolver или stub resolver. Stub resolver формулирует запрос на разрешение имени для ресурса, который отыскивается в Интернете, и посылает этот запрос кэширующему name-серверу. Как правило, stub resolver сконфигурирован таким образом, чтобы иметь список кэширующих name-серверов для обеспечения большей надежности данной операции. Stub resolver обычно называется просто resolver’ом. Кэширующий name-сервер, который получил запрос от stub resolver’а, также формирует запросы для посылки их авторитетным name-серверам (если он не может ответить на запрос из своего кэша), и, следовательно, также иногда указывается как resolver, потому что он имеет рекурсивную компоненту и компоненту кэширования.

Надеемся, что после прочтения нашей небольшой статьи Вы будете иметь представление о том как работают и для чего нужны DNS и их службы.

DNS и DNS-зона: что это такое, какие функции выполняет

DNS (Domain Name System) – это система доменных имен, предназначенная для связывания доменов (названий сайтов) с IP-адресами компьютеров, обслуживающих их. То есть, данная система предназначена для облегчения поиска веб-сайтов.

Домен, который вы вводите в браузере, не является настоящим адресом сайта. Это равносильно тому, что вы отправите письмо человеку, указав на конверте лишь его Ф.И.О. и город проживания. Но как доставить ему письмо, если почтальон не знает конкретно, где находится адресат? Для этого на конверте и указывают почтовый адрес.

Для чего нужен DNS?​

Роль почтового адреса в интернете играет IP-адрес(по рус. Айпи). Он есть у всех устройств в сети, будь то домашняя сеть или Интернет. С его помощью устройства могут общаться между собой, отправляя запросы и отвечая на них по определенным IP-адресам. Они задают, на какое устройство необходимо отправить данные.

Айпи состоит из четырех чисел, начиная от 0 и заканчивая 255. К примеру, один из интернет-адресов сайта компании Google выглядит так: 77.214.53.237. Если вы скопируете данное сочетание цифр и вставите в адресную строку в браузере, то автоматически попадете на страницу google.com. Позже мы расскажем, почему домены могут иметь несколько IP.

Вы спросите: «А зачем вообще усложнять жизнь и почему нельзя оставить только доменные имена»? Суть в том, что любой доступный во Всемирной паутине сайт – это, грубо говоря, тот же компьютер со своим айпи. Все его файлы, папки и прочие материалы хранятся на сервере. Компьютеры способны работать только с цифрами – без DNS они не поймут символьный запрос.

В отличие от компьютеров, человеку тяжело держать в голове уйму цифр. IP-адрес очень похож на длинный мобильный номер. Чтобы не было необходимости запоминать номера телефонов, мы записываем их в «контакты» и называем, зачастую, именами владельцев этих номеров. Например: Иван Сидорович, +7-123-456-78-90. В следующий раз, когда мы захотим позвонить Ивану, нам достаточно ввести его имя, а про номер можно и вовсе забыть.

В Интернете роль подобной телефонной книжки отводится именно DNS. В этой системе прописана и сохранена связь сравнительно легко запоминающихся имен сайтов с тяжелыми к запоминанию цифровыми адресами. Вот только во Всемирной сети такую «книгу» ведут не знакомые Ивана Сидоровича, которые в собственных «контактах» могут назвать его как угодно, а лично он.

Например, чтобы зайти на сайт Ивана с доменным адресом yavanya.com, который он выбрал сам, достаточно ввести его в браузере, после чего DNS отправит компьютеру (через который вы сидите в браузере) необходимый IP-адрес. Допустим, 012.012.012.012 – это айпи, соответствующее сайту yavanya.com. Тогда сервер (компьютер), на котором размещен сайт, с таким адресом проанализирует введенный пользователем запрос и пришлет данные браузеру для отображения запрошенной страницы.

Где находятся записи соответствия доменов IP-адресам?​


Система доменных имен владеет собственными DNS-серверами. Именно в них содержится вся информация о принадлежности того или иного домена определенному IP-адресу. Подобных серверов большое количество и они выполняют две важных функции:
  • хранение списка айпи и соответствующих им доменов;
  • кэширование записей из других серверов системы.
Здесь стоит пояснить суть второй функции – кэширования. При каждом запросе пользователя, серверам приходится находить IP-адрес в соответствии с указанным названием ресурса. И если страница, которую вы запрашиваете, расположена слишком далеко, потребуется «добраться» до стартового DNS-сервера, где хранится эта информация, что значительно замедляет загрузку сайтов.

Предотвратить эту проблему призваны, так называемые, вторичные DNS-сервера, расположенные ближе к вашему устройству (как правило, они находятся у ваших провайдеров). Чтобы при повторном запрашивании какого-либо сайта не искать его адрес заново, в своем кэше они сохраняют данные о нем и оперативно сообщают IP.

Важно! Кэширование невозможно без первичных DNS-серверов, содержащих первую связь айпи с доменными именами. В процессе регистрации домена, перед тем, как ваш сайт заработает, необходимо уведомить регистратора о DNS-сервере, где будет храниться вся информация о вашем домене. А какая именно информация, об этом немного позже.

Что такое DNS-зона?​

Выше мы привели самый простой пример соответствия IP-адреса домену, которое происходит по такой схеме: одно доменное имя – один ресурс – один адрес. Тем не менее, к единственному домену, кроме сайта, одновременно может относиться и почтовый сервер, адресуемый уже другим айпи. В данном случае нельзя не упомянуть о поддоменах, про которые мы писали раньше. Простой пример поддомена популярного в России почтового сервиса: mail.yandex.ru.

И веб-ресурс, и почта могут иметь по несколько IP-адресов – это делается с целью повышения их надежности и обеспечения быстродействия. DNS-зона – это содержимое файла, в котором прописаны связи между доменами и IP-адресами. Она содержит следующую информацию:

  • А – адрес «сайта» домена.
  • MX – адрес «почтового сервера» того же домена.
  • CNAME – синоним домена. То есть, доменный адрес www.yavanya.com – синоним yavanya.com и, введя в браузере запрос без «www», вас все равно перенаправит на сайт.
  • NS – в данной записи содержатся домены DNS-серверов, обслуживающих конкретный домен.
  • TXT – тут может содержаться любое примечание в текстовом формате.
Это сокращенный список, включающий в себя основные поля DNS-зоны.

Дополнительная информация​

Есть еще множество нюансов, касающихся описания доменов. Но чтобы облегчить для начинающего изучение новой темы, мы избежали их. Однако, для общего понимания тематики рекомендуем вам ознакомиться еще с несколькими важными деталями:
  1. Мы говорили о доменах с адресами, включающими в себя четыре числа. Они относятся к стандарту IPv4 и могут обслужить ограниченное количество устройств: 4 294 967 296. Да, более четырех миллиардов компьютеров – это немало, но технологический прогресс стремителен и устройства, подключаемые к Интернету, приумножаются с каждым днем. Это привело к нехватке адресов. Во избежание данной проблемы были внедрены новые IPv6 – адреса с шестью числами, которые в DNS-зоне обозначаются, как AAAA. Благодаря новому стандарту, IP-адреса смогут получить значительно больше компьютеров.
  2. Чтобы повысить продуктивность и надежность сайта, одно доменное имя привязывают к нескольким адресам. Как правило, при запросе страницы DNS-сервера выдают IP в непроизвольном порядке.
  3. Один и тот же IP-адрес может быть связан с несколькими доменами. Вообще, это никак не отвечает принципам DNS, где предполагается однозначная связь айпи с доменом. Но, как мы уже упоминали выше, адресов IPv4 уже не хватает на все существующие сегодня интернет-устройства, и приходится экономить. На деле это выглядит так: на сервере с определенным IP-адресом размещают несколько мелких веб-ресурсов с разными доменами, но с одинаковыми адресами. Получая запрос, обслуживающий сайты компьютер обрабатывает запрашиваемый домен и отсылает пользователю нужный веб-ресурс.

Подводим итоги​

Система доменных имен нужна для того, чтобы облегчить людям поиск сайтов в Интернете. С помощью DNS-серверов можно использовать символьные названия сайтов, которые заменяют сложно запоминающиеся IP-адреса, а также увеличивать быстродействие и надежность доступа к веб-ресурсам за счет их привязки к нескольким компьютерам.

Основные сведения о DNS. Зоны и серверы DNS.

Продолжение. Начало — «Основные сведения о DNS. Введение.«

Сервис системы доменных имен строится по стандартной для информационных технологий схеме «клиент-сервер». В качестве клиентской части выступает прикладной процесс, который запрашивает информацию о соответствии имени адресу (или наоборот адреса имени). Это программное обеспечение и называют resolver.

В качестве сервера выступает специализированная программа-сервер DNS. Распределенное хранение таблиц базы данных соответствия доменных имен IP-адресам, поиск по этой распределенной базе данных и формирование ответа осуществляется именно DNS серверами.

В этой связи в системе доменных имен Интернет существует понятие — «зона». Зоной (zone) называется часть пространства имен DNS, за управление которой отвечает определенный сервер или группа серверов DNS. Она является в DNS основным механизмом для делегирования полномочий и применяется для установки границ, в пределах которых определенному серверу разрешено выполнять запросы. Любой сервер, который обслуживает какую-то определенную зону, считается полномочным или ответственным за эту зону.

Зона — это «зона ответственности» конкретного сервера доменных имен, т.е. понятие домена шире, чем понятие зоны. Если домен разбивается на поддомены, то у каждого из них может появиться свой сервер, отвечающий за свою зону — в данном случае поддомен и поддомены более высокого уровня.

При этом зоной ответственности сервера более высокого уровня будет только та часть описания домена, которая не делегирована другим серверам. Разбиение домена на поддомены и организация сервера для каждого из них называется делегирование прав управления зоной соответствующему серверу доменных имен, или просто делегированием зоны.

При заказе своего доменного имени mysite.ru можно делегировать управление им серверам регистратора (благо, что практически все регистраторы предоставляют такую услугу бесплатно), можно поднять свой собственный DNS сервер и делегировать управление доменным именем ему (только поднимать нужно не один, а 2 сервера и на разных физических серверах, о чем говорят регулирующие документы Интернет) или использовать сторонние DNS сервера (например yandex или mail.ru, которые предоставляют свои DNS сервера бесплатно).

У регистратора нужно только прописать ссылку на эти сервера. То-есть при настройке сервера, в его файлах конфигурации можно непосредственно прописать адреса серверов зон. В этом случае обращения к корневому серверу не производятся, т.к. местный сервер сам знает адреса удаленных серверов зон, которым он же и делегировал права управления этими зонами.

Корневые серверы DNS — DNS-серверы, содержащие информацию о доменах верхнего уровня (TLD), указывающую на DNS-серверы, поддерживающие работу каждого из этих доменов.

Основные корневые серверы DNS размещены в домене root-servers.org и обозначаются латинскими буквами от A до М, IP-адреса которых широко известны. Они управляются различными организациями, действующими по согласованию с ICANN.

Из-за существовавших в прошлом ограничений на размеры DNS-пакета (512 байт) в DNS-ответ могло быть помещено всего 13 серверов (от A до M — тринадцатой буквы в алфавите), сейчас за этими 13 именами стоят более 200 серверов. В частности, российское зеркало сервера F расположено в РосНИИРОС в Москве, сервера K — в Новосибирске, а сервера L — в Ростове-на-Дону.

Ближайший (к пользователю) адрес «зеркала» корневого сервера выбирается автоматически благодаря IP AnyCast. Так, при обращении к K.root-servers.net пользователь из Новосибирска скорее всего обратится к новосибирскому серверу (в NSK-IX).

В качестве серверов доменных имен чаще всего используются различные версии BIND (Berkeley Internet Name Domain). Если сервер реализован на платформе Windows, то тогда используют решение от Microsoft, хотя для этой платформы также существуют версии BIND.

В качестве клиентской части выступает прикладной процесс, который запрашивает информацию о соответствии имени адресу (или наоборот адреса имени). Это программное обеспечение и называют resolver.

Иногда, resolver не является отдельным сервисом или системной компонентой. Это набор процедур из библиотеки прикладного программного обеспечения (например, из библиотеки libc), которые позволяют программе, отредактированной с ними, выполнять запросы к системе доменных имен и получать ответы на них. Эти процедуры обращаются к серверу доменных имен и, таким образом, обслуживает запросы прикладных программ пользователя.

В некоторых операционных системах resolver (или его часть, отвечающая за кэширование запросов) является отдельным процессом, и прикладные программы через него реализуют взаимодействие с DNS.

Самостоятельный resolver может быть собран и в BIND версии 9. Это так называемый lightweight resolver. Он состоит из resolver-демона и библиотеки взаимодействия с этим демоном, процедуры которой линкуются с прикладным ПО. Данный resolver позволяет не только посылать запросы к серверу доменных имен, но кэшировать соответствия между доменным именем и IP-адресом.

 

Что такое DNS? Определение и принцип работы DNS

FortiGate можно настроить как DNS-сервер, что дает пользователям значительные преимущества. Например, если организация имеет веб-сервер в своих внешних службах, к которым обращаются сотрудники и пользователи из-за пределов компании, FortiGate можно использовать для кэширования запросов. Когда пользователи внутри компании заходят на веб-сайт, их запросы на сайт отправляются на DNS-сервер в Интернете. Затем этот сервер отправляет обратно либо IP-адрес, либо виртуальный IP-адрес.Как только компания настроит внутренний DNS-сервер с помощью FortiGate, этот запрос будет разрешен внутри с использованием внутреннего IP-адреса веб-сервера. Таким образом, снижается как входящий, так и исходящий трафик, а значит, требуется меньше времени, чтобы добраться до сайта.

FortiGate также может выступать в качестве вторичного DNS-сервера. Для этого FortiGate связывается с внешним источником и использует его для получения информации об URL-адресе и IP-адресе. Если крупная компания с несколькими дополнительными офисами хочет оптимизировать производительность своей сети, она может использовать FortiGate таким образом.Основной сервер компании может использоваться для ведения списка посещаемых сайтов. Дополнительные офисы могут использовать FortiGate в качестве вторичного сервера для подключения к первичному DNS-серверу и получения необходимых им IP-адресов.

FortiGate также обеспечивает защиту от DNS-туннелирования — типа кибератаки, при которой данные других программ или протоколов кодируются в DNS-запросах и ответах. Это дает преступникам возможность передавать украденную информацию или вставлять вредоносное ПО в DNS-запросы. Туннелирование DNS также можно использовать для скрытой связи и обхода брандмауэров.Решение FortiGate DNS защищает организацию от киберпреступников, стремящихся использовать туннелирование DNS в своих интересах.

 

Система доменных имен (DNS) превращает доменные имена в IP-адреса, которые позволяют браузерам получать доступ к веб-сайтам и другим интернет-ресурсам. Каждое устройство в Интернете имеет IP-адрес, который другие устройства могут использовать для определения местоположения устройства. Вместо того, чтобы запоминать длинный список IP-адресов, люди могут просто ввести название веб-сайта, и DNS получит для них IP-адрес.

Примером DNS является тот, который предоставляется Google. Адрес основного DNS Google — 8.8.8.8.

На компьютере с Windows вы можете найти свой DNS, перейдя в командную строку, введя «ipconfig/all», а затем нажав Enter.

Существует четыре типа DNS: рекурсивные преобразователи, корневые серверы имен, серверы имен TLD и полномочные серверы имен.

Да, изменение DNS не представляет никакой опасности.

Да, частный DNS может предложить вам повышенную безопасность по сравнению с другими вариантами DNS.

DNS, объяснение: что это такое и как это работает веб-страницу, которую вы посещаете. Благодаря DNS — телефонной книге Интернета — вам это не нужно.

DNS — это неотъемлемая часть всего, что вы делаете в Интернете, и, хотя это может показаться сложным, есть простые способы думать об этом. В следующих разделах объясняется, что такое DNS, и немного рассказывается о том, как он работает.

Что такое DNS?

DNS означает систему доменных имен. В общем смысле он действует как интернет-каталог и позволяет подключаться к веб-сайтам, используя слова вместо цифр.

В 1970-х, если вы хотели добавить новый адрес в зарождающийся Интернет, вам нужно было позвонить Элизабет «Джейк» Фейнлер из Стэнфордского исследовательского института. Она курировала каталог первой общедоступной компьютерной сети с коммутацией пакетов, которая называлась ARPANET. По вашему запросу Feinler вручную добавит ваше новое доменное имя и соответствующий ему числовой адрес в один файл под названием «HOSTS.ТЕКСТ’.

К концу 1980-х центральный адресный каталог Feinler стал слишком громоздким для обслуживания, и вместо него была создана система доменных имен (DNS), которая вместо этого распределяла каталог по нескольким серверам и местоположениям. С тех пор DNS постоянно обновлялся, чтобы приспособиться к современному Интернету.

DNS часто называют телефонной книгой Интернета, потому что она управляет сопоставлением имен и номеров. Чтобы освежить эту метафору, подумайте о DNS как о приложении контактов на вашем телефоне, которое упорядочивает и присваивает имя контактной информации всех, кого вы знаете.Благодаря приложению для контактов вы можете сказать Siri, например, «Позвонить маме», и ваш телефон наберет ее номер; благодаря DNS вы можете ввести «nytimes.com» в адресной строке, и ваш веб-браузер достигнет New York Times для отображения последних заголовков.

В частности, DNS — это веб-служба, которая переводит доменное имя, например «neeva.com», в IP-адрес, например «231.230.78.12», для подключения к веб-сайту и загрузки его ресурсов. DNS делает возможным интернет-связь, превращая удобочитаемые доменные имена в удобочитаемые компьютером числовые IP-адреса.Таким образом, вам не нужно запоминать сложные цепочки чисел. Вместо этого вы получаете доступ к информации в Интернете с помощью легко запоминающихся слов и терминов.

IP-адреса являются неотъемлемой частью любой онлайн-активности. Без них доступ в Интернет был бы невозможен. Все подключенные к Интернету устройства — от серверов до компьютеров и телефонов — находят друг друга и связываются друг с другом, используя эти номера. IP-адреса определяют, куда должны быть отправлены данные, почти так же, как адреса на посылках и конвертах определяют, где должна оказаться ваша почта.

Как работает DNS?

Чтобы вернуть ваш запрос или запрос с веб-сайтом, DNS сопоставляет доменное имя, которое вы вводите, с адресной строкой, чтобы найти соответствующий IP-адрес. Этот процесс называется поиском DNS. Просмотр веб-страниц зависит от поиска DNS для быстрого предоставления необходимых сведений, называемых записями DNS, для подключения вас к удаленному серверу, независимо от того, где вы и сервер соответственно находитесь. Поиск DNS занимает доли секунды, незаметен и не требует никакого взаимодействия с вашим устройством, кроме первоначального запроса.

DNS — это глобально распределенная служба, то есть она не существует на одном сервере, как это было в каталоге Файнлера, а состоит вместо большой распределенной системы серверов, принадлежащих множеству объектов в Интернете и по всему миру.

DNS организован в небольшие домены; ни один сервер не хранит каждый домен. Сервер отвечает только за свой домен и знает, как указывать на другие серверы, которые отвечают за другие домены. Когда сервер получает запрос об адресе внутри своего домена, он предоставляет ответ; когда сервер получает запрос на адрес за пределами своего домена, он перенаправляет запрос на другой сервер.

Чтобы не повторять этот процесс несколько раз для одного и того же запроса, серверы могут кэшировать, т. е. хранить информацию в течение заданного периода времени. Кэширование сокращает время загрузки, снижает пропускную способность и повышает эффективность. Продолжительность хранения записей DNS, известная как время жизни (TTL), зависит от различных факторов; более длительные периоды снижают нагрузку на серверы, тогда как более короткие периоды обеспечивают более точные ответы.

В рамках DNS поставщики доступа, включая предприятия, университеты, правительства и другие организации, имеют свои собственные присвоенные доменные имена и соответствующие IP-адреса и запускают свои собственные DNS-серверы для управления сопоставлением этих имен и адресов.Например, большинство URL-адресов настраиваются вокруг доменного имени сервера, который принимает запросы пользователей, т.е. «harvard.edu» или «usa.gov».

DNS предназначен не только для просмотра веб-страниц. Существует поиск DNS со всеми видами сетевых запросов, которые включают обращение к удаленному серверу, включая обновления программного обеспечения, мобильные приложения и, что еще хуже, вредоносное ПО. В каждом из этих примеров ваше устройство обращается к доменному имени, а не к IP-адресу, поэтому при изменении IP-адреса — что иногда происходит — вы все равно можете установить соединение с сервером.

Типы DNS

Серверы по всему миру поддерживают и доставляют записи DNS, включая имена серверов, IP-адреса и поддомены (например, «en» в «en.wikipedia.org»). Существуют различные типы DNS-серверов, между которыми должен проходить запрос, каждый из которых имеет разные роли в последовательности преобразования доменных имен в IP-адреса:

  • Рекурсивный DNS-сервер. Рекурсивный DNS-сервер или преобразователь DNS — это первый шаг в поиске DNS, которым обычно управляет ваш интернет-провайдер (ISP).Он принимает и обрабатывает ваши DNS-запросы (то есть доменные имена, которые вы вводите в своем веб-браузере), а затем либо предоставляет записи, если они были кэшированы, либо передает ваш запрос на другой сервер, расположенный выше по цепочке. Думайте о рекурсоре как о посреднике, который получает информацию от вашего имени, подобно библиотекарю, который помогает вам найти ваши книги.
  • Корневой сервер имен. Эти серверы, как следует из названия, составляют основу инфраструктуры DNS. Если записи не были кэшированы, рекурсивный DNS-сервер отправляет запрос на корневой сервер.Думайте о корневом сервере имен как об указателе, указывающем на различные серверы с запрашиваемой информацией, подобно указателю библиотеки, который указывает на различные книжные полки.
  • TLD-сервер. Сервер домена верхнего уровня или сервер TLD направляет ваш запрос на основе домена верхнего уровня (TLD). То есть на нем размещается последняя часть доменного имени, например «.com», «.org» или «.net». Например, если вы запрашиваете «neeva.com», сервер TLD для части «.com» ответит, а затем укажет вам на сервер имен для «neeva».Возвращаясь к метафоре с библиотекой, представьте себе сервер TLD как определенную стойку с книгами на полке.
  • Авторитетный DNS-сервер. Полномочный DNS-сервер, который иногда называют главным DNS-сервером или авторитетным сервером имен, является последней остановкой вашего запроса. Эти серверы являются высшим авторитетом домена; именно здесь администраторы управляют IP-адресами, субдоменами и именами серверов для своих доменов. Другими словами, эти серверы содержат определенные DNS-записи домена, которые авторитетные серверы отправляют обратно на рекурсивный сервер, где они могут кэшироваться для будущих поисков.

Подводя итоги и упрощая, подумайте о запросе DNS следующим образом: рекурсивный сервер запрашивает записи DNS (включая IP-адрес) от вашего имени, и полномочный сервер в конечном итоге отвечает на ваш запрос. Корневой сервер и сервер TLD обрабатывают ваш запрос, когда он перемещается между этими двумя конечными точками, и редко сами предоставляют записи. Каждый сервер играет свою роль и является неотъемлемой частью инфраструктуры DNS.

Общедоступный и частный DNS

Существует также различие между общедоступным и частным DNS.Организации часто используют DNS для внутренних запросов, связанных с обращением к удаленному серверу в их собственной сети. Это называется частным или локальным DNS. Публичный DNS, с другой стороны, относится к запросам, которые обращаются к более широкой сети, то есть к Интернету.

Типичные шаги поиска DNS

Чтобы лучше понять, как доменное имя преобразуется в соответствующий ему IP-адрес, полезно выполнить запрос в процессе поиска DNS. Вот некоторые из основных шагов типичного запроса:

  1. Вы открываете веб-браузер и вводите доменное имя, например «neeva.com’, в адресной строке.
  2. Ваш запрос направляется рекурсивному преобразователю DNS, чтобы выяснить, какому IP-адресу соответствует доменное имя. Если информация была закеширована, резолвер возвращает IP-адрес, и веб-сайт загружается.
  3. В противном случае преобразователь перенаправляет запрос на корневой сервер имен.
  4. Корневой сервер имен отвечает адресом сервера TLD.
  5. Затем преобразователь перенаправляет запрос на сервер TLD, на котором хранится информация о домене.
  6. Затем сервер TLD отвечает адресом уполномоченного сервера.
  7. Полномочный сервер ищет DNS-запись доменного имени и возвращает ее распознавателю. Если авторитетный сервер не может найти информацию, он возвращает сообщение об ошибке.
  8. Если информация найдена, резолвер возвращает IP-адрес вашему веб-браузеру, который загружает веб-сайт. Резолвер также кэширует IP-адрес для следующего получения запроса на ту же информацию.


Заинтересованы в новом и улучшенном способе поиска в Интернете? Neeva — первая в мире частная поисковая система без рекламы, которая стремится показывать вам наилучшие результаты при каждом поиске. Мы никогда не будем продавать или передавать ваши данные никому, особенно рекламодателям. Попробуйте сами Neeva на neeva.com

Что такое DNS (система доменных имен)?

Проще говоря, система доменных имен (DNS) представляет собой набор баз данных, которые преобразуют имена хостов в IP-адреса.

DNS часто называют телефонной книгой Интернета, потому что она преобразует легко запоминающиеся имена хостов, такие как www.google.com , в IP-адреса, такие как 216.58.217.46 . Это происходит незаметно после того, как вы введете URL в адресную строку веб-браузера.

Без DNS (и особенно поисковых систем, таких как Google) навигация в Интернете была бы непростой, поскольку нам пришлось бы вводить IP-адрес каждого веб-сайта, который мы хотим посетить.

Как работает DNS?

aa_amie / Getty Images

Если это все еще не ясно, основная концепция того, как DNS выполняет свою работу, довольно проста: каждый адрес веб-сайта, введенный в веб-браузер (например, Chrome, Safari или Firefox), отправляется на DNS-сервер, который понимает, как отображать это имя на его надлежащий IP-адрес.

Это IP-адрес, который устройства используют для связи друг с другом, поскольку они не могут и не передают информацию с использованием таких имен, как www.google.com , www.youtube.com и т. д. Мы можем просто ввести простое имя для этих веб-сайтов, в то время как DNS выполняет весь поиск за нас, предоставляя нам почти мгновенный доступ к правильным IP-адресам, необходимым для открытия нужных страниц.

Опять же, www.microsoft.com, www.lifewire.com, www.amazon.com и любое другое имя веб-сайта используется только для нашего удобства, потому что запомнить эти имена гораздо проще, чем запомнить их IP-адреса.

Компьютеры, называемые корневыми серверами , отвечают за хранение IP-адресов для каждого домена верхнего уровня. При запросе веб-сайта именно корневой сервер сначала обрабатывает эту информацию, чтобы определить следующий шаг в процессе поиска. Затем доменное имя перенаправляется на преобразователь доменных имен (DNR), который находится внутри провайдера, чтобы определить правильный IP-адрес. Наконец, эта информация отправляется обратно на устройство, с которого вы ее запросили.

Как очистить DNS

Операционные системы, такие как Windows и другие, будут хранить IP-адреса и другую информацию об именах хостов локально, чтобы к ним можно было получить доступ быстрее, чем постоянно обращаться к DNS-серверу.Когда компьютер понимает, что определенное имя хоста является синонимом определенного IP-адреса, эта информация может быть сохранена или кэширована на устройстве.

Хотя запоминание информации DNS полезно, иногда она может быть повреждена или устареть. Обычно операционная система удаляет эти данные через определенный период времени, но если у вас возникли проблемы с доступом к веб-сайту и вы подозреваете, что это связано с проблемой DNS, первым шагом будет принудительное удаление этой информации, чтобы освободить место для новых, обновленные записи DNS.

Вы должны иметь возможность просто перезагрузить компьютер, если у вас возникли проблемы с DNS, потому что кеш DNS не сохраняется при перезагрузке. Однако очистка кэша вручную вместо перезагрузки выполняется намного быстрее.

Вы можете очистить DNS в Windows через командную строку с помощью команды ipconfig /flushdns . Веб-сайт Что такое мой DNS? есть инструкции по выполнению этого в macOS и Linux.

Важно помнить, что в зависимости от того, как настроен ваш конкретный маршрутизатор, записи DNS также могут храниться там.Если очистка кеша DNS на вашем компьютере не решает вашу проблему с DNS, обязательно попробуйте перезагрузить маршрутизатор, чтобы очистить кеш DNS.

Записи в файле hosts не удаляются при очистке кэша DNS. Вы должны отредактировать файл hosts, чтобы удалить хранящиеся там имена хостов и IP-адреса.

Вредоносное ПО может влиять на записи DNS

Учитывая, что DNS отвечает за перенаправление имен хостов на определенные IP-адреса, должно быть очевидно, что это главная цель для злонамеренной деятельности.Хакеры могут перенаправить ваш запрос на нормально функционирующий ресурс на тот, который является ловушкой для сбора паролей или распространения вредоносных программ.

Отравление DNS и Подмена DNS — термины, используемые для описания атаки на кеш преобразователя DNS с целью перенаправления имени хоста на другой IP-адрес, чем тот, который действительно присвоен этому имени хоста, эффективно перенаправляя туда, куда вы намеревались перейти. Обычно это делается для того, чтобы перенаправить вас на веб-сайт, полный вредоносных файлов, или выполнить фишинговую атаку, чтобы обманом заставить вас получить доступ к похожему веб-сайту, чтобы украсть ваши учетные данные для входа.

Большинство служб DNS обеспечивают защиту от подобных атак.

Другой способ для злоумышленников повлиять на записи DNS — использовать файл hosts. Файл hosts — это локально хранимый файл, который использовался вместо DNS до того, как DNS стал широко распространенным инструментом для разрешения имен хостов, но этот файл все еще существует в популярных операционных системах. Записи, хранящиеся в этом файле, переопределяют настройки DNS-сервера, поэтому он является общей целью для вредоносных программ.

Простой способ защитить файл hosts от редактирования — пометить его как файл только для чтения.В Windows просто перейдите в папку с файлом hosts:

%Systemdrive%\Windows\System32\drivers\etc\

Щелкните его правой кнопкой мыши или нажмите и удерживайте, выберите Свойства , а затем установите флажок рядом с атрибутом Только для чтения .

Дополнительная информация о DNS

Интернет-провайдер, который в настоящее время предоставляет вам доступ в Интернет, назначил DNS-серверы для использования вашими устройствами (если вы подключены через DHCP), но вы не обязаны придерживаться этих DNS-серверов.Другие серверы могут предоставлять функции ведения журнала для отслеживания посещенных веб-сайтов, блокировщики рекламы, фильтры веб-сайтов для взрослых и другие функции. В этом списке бесплатных и общедоступных DNS-серверов есть несколько примеров альтернативных DNS-серверов.

Независимо от того, использует ли компьютер DHCP для получения IP-адреса или использует статический IP-адрес, вы все равно можете определить собственные DNS-серверы. Однако, если он , а не настроен с помощью DHCP, вы должны указать DNS-серверы, которые он должен использовать.

Явные настройки DNS-сервера имеют приоритет над неявными настройками сверху вниз.Другими словами, это настройки DNS, наиболее близкие к используемому устройству. Например, если вы измените настройки DNS-сервера на своем маршрутизаторе на что-то конкретное, то все устройства, подключенные к указанному маршрутизатору, также будут использовать эти DNS-серверы. Однако, если вы затем измените настройки DNS-сервера на ПК на что-то другое , этот компьютер будет использовать другие DNS-серверы, чем все другие устройства, подключенные к тому же маршрутизатору.

По этой причине поврежденный кеш DNS на вашем компьютере может препятствовать загрузке веб-сайтов, даже если те же самые сайты нормально открываются на другом компьютере в той же сети.

Собираем все вместе

Хотя URL-адреса, которые мы обычно вводим в наши веб-браузеры, представляют собой легко запоминающиеся имена, такие как www.lifewire.com , вы можете вместо этого использовать IP-адрес, на который указывает имя хоста, например https://151.101.1.121) для получить доступ к тому же веб-сайту. Это связано с тем, что вы по-прежнему обращаетесь к одному и тому же серверу в любом случае — один метод (используя имя) просто легче запомнить.

В этой заметке, если когда-нибудь возникнет какая-то проблема с вашим устройством, связывающимся с DNS-сервером, вы всегда можете обойти его, введя IP-адрес в адресную строку вместо имени хоста.Однако большинство людей не ведут локальный список IP-адресов, соответствующих именам хостов, потому что, в конце концов, это и есть основная цель использования DNS-сервера.

Это работает не с каждым веб-сайтом и IP-адресом, поскольку на некоторых веб-серверах настроен виртуальный хостинг, а это означает, что доступ к IP-адресу сервера через веб-браузер не описывает, какая именно страница должна открываться.

Поиск «телефонной книги», который определяет IP-адрес на основе имени хоста, называется прямым поиском DNS .Наоборот, обратный поиск DNS , это еще что-то, что можно сделать с DNS-серверами. Это когда имя хоста идентифицируется по его IP-адресу. Этот тип поиска основан на идее, что IP-адрес, связанный с этим конкретным именем хоста, является статическим IP-адресом.

Базы данных DNS хранят множество вещей помимо IP-адресов и имен хостов. Если вы когда-либо настраивали электронную почту на веб-сайте или переносили доменное имя, вы можете столкнуться с такими терминами, как псевдонимы доменных имен (CNAME) и почтовые обменники SMTP (MX).

Часто задаваемые вопросы

  • Как вы меняете DNS-серверы?

    Чтобы изменить DNS-серверы в Windows, вы можете использовать командную строку или пройти через настройки Windows. Использование настроек Windows предпочтительнее, если вам неудобно пользоваться командной строкой.

  • Как найти DNS-серверы?

  • Что такое динамический DNS?

    В отличие от DNS, который работает только со статическими IP-адресами, динамический DNS (или DDNS) также поддерживает динамические IP-адреса.В результате вы можете использовать службу DDNS для размещения своего веб-сайта из дома или удаленно управлять своей домашней сетью.

Спасибо, что сообщили нам!

Расскажите нам, почему!

Другой Недостаточно подробностей Сложно понять

Система доменных имен (DNS) и протокол динамической конфигурации хоста (DHCP) / Информационно-технологические службы UM

ITS внедрила проверку расширения безопасности DNS (DNSSEC) 30 января 2021 г. . DNSSEC обеспечивает дополнительную безопасность данных, проверяя цифровые подписи записей DNS, которые мы получаем от других.

Исторически у DNS не было возможности проверить подлинность IP-адресов, что подвергало пользователей риску преднамеренной отправки на мошеннические страницы. Проверка расширения безопасности DNS повышает безопасность UM, гарантируя достоверность поиска DNS и записей DNS.

Этап 2, который мы намерены завершить к концу 2021 года, — это подписание зоны DNSSEC, которое включает добавление цифровых подписей ко всем записям DNS UM.

Университетские услуги

BlueCat Networks — это поставщик, которого UM использует для консолидированного решения DHCP/DNS/IPAM.Хост-мастер университета предоставляет эти услуги без дополнительной платы в рамках более крупных сетевых услуг в кампусе.

Эти сервисы позволяют устройствам назначать и отслеживать IP-адреса для компьютеров, принтеров, IP-телефонов или других устройств в простом в использовании веб-интерфейсе с помощью диспетчера адресов BlueCat (BAM, ранее Proteus) и DNS/DHCP (BDDS, ранее Adonis). ). Существует также интерфейс прикладного программирования (API) с использованием JSON/REST или SOAP, доступный на различных языках программирования.Свяжитесь с Hostmaster для получения дополнительной информации.

Сетевые устройства BlueCat были созданы с учетом высокой доступности. Есть несколько устройств, расположенных в местах расположения основной сети и университетских центрах обработки данных, которые будут предоставлять эти услуги в случае сбоев.

Определения службы

  • Система доменных имен (DNS) — это интернет-служба, которая преобразует доменные имена (например, its.umich.edu) в IP-адреса.
  • Протокол динамической конфигурации хоста (DHCP) — это протокол для автоматического назначения IP-адресов и других конфигураций устройствам при их подключении к сети.
  • Управление адресами Интернет-протокола (IPAM) — это система баз данных для планирования, отслеживания и управления пространством IP-адресов.

Обучение

Система позволяет каждому устройству управлять своей собственной информацией DNS и DHCP. Доступ к BlueCat Address Manager предоставляется после прохождения краткого онлайн-курса обучения (примерно 30 минут). Этот онлайн-курс обучения, а также другую учебную документацию можно найти в нашем учебном документе Google.

NS Lookup — поиск сервера имен любого домена

О средстве поиска NS

Поиск сервера имен или NS Lookup — это инструмент для получения записей сервера имен для любого доменного имени. NS — это тип записи DNS, и он настраивается через хостинг-провайдера. Всякий раз, когда браузер отправляет DNS-запрос на DNS-сервер, он отправляет обратно записи сервера имен, а серверы имен затем используются для получения реального IP-адреса за доменным именем. Таким образом, удобно проверить записи вашего сервера имен, чтобы проверить, правильно ли они введены в интерфейсе управления хостингом, чтобы избежать простоев.

Что такое сервер имен и его назначение?

NS означает сервер имен. Записи NS — это записи серверов имен, которые содержат информацию о серверах имен, связанных с доменом.

Это тип записей DNS, который указывает

  • Какой DNS-сервер является полномочным для этого домена.
  • Какой DNS-сервер уполномочен обрабатывать запросы, связанные с этим доменом.
  • Какой DNS-сервер содержит фактические записи DNS или DNS-сервер, отвечающий за управление записями DNS для этого домена.
  • Где найти IP-адрес домена.

Пример записи NS может выглядеть следующим образом.

Запись Тип Значение ТТЛ
mydomain.com НС ns1.mydomain.com 3600
  • mydomain.com представляет домен записи
  • NS представляет тип записи DNS.
  • ns1.mydomain.com представляет значение записи. Это сервер имен для этого домена.
  • 3600 — это TTL (время жизни). Это время, в течение которого DNS-сервер кэширует запись. По истечении этого времени сервер обращается за свежими данными записей DNS.

Сервер имен никогда не может указывать на запись канонического имени (CNAME).

Может ли один домен иметь несколько серверов имен?

Домен часто настраивается для нескольких записей NS.Это первичные и вторичные записи NS .

Несколько записей NS указывают основной и дополнительный (резервный) серверы имен для этого домена. Если первичный сервер имен не может ответить, вторичный сервер имен отвечает на этот запрос.

Как правило, имеется один первичный сервер имен, а несколько вторичных серверов имен хранят точную копию DNS-записей первичного сервера имен. Обновление записи первичного сервера имен также приведет к обновлению вторичных серверов имен.

Без правильно настроенных записей NS веб-сайт, электронная почта или другие службы домена не будут работать. Пользователь не сможет загрузить веб-сайт или приложение.

Пример нескольких записей NS может выглядеть следующим образом.

Запись Тип Значение ТТЛ
google.com НС ns1.google.com 3600
google.com НС нс2.google.com 3600

Сколько серверов имен может иметь домен?

Как минимум, вам нужно только два DNS-сервера для каждого из ваших доменов. Вы также можете расширить это число до двух для вашего домена, но обычно максимум три, если у вас нет нескольких серверных ферм, где вы хотели бы разделить нагрузку поиска DNS.

Когда следует обновлять или изменять записи NS?

Администраторы домена должны обновлять свои записи NS, когда им нужно изменить свои серверы имен.Они также могут обновлять свои записи NS, когда хотят, чтобы их поддомен указывал на вторичный сервер имен.

В приведенном выше примере основным сервером имен для mydomain.com является ns1.mydomain.com. Если администратор mydomain.com хотел, чтобы blog.mydomain.com разрешался через ns1.mydomain.com, он мог настроить это, обновив записи NS.

При обновлении записей NS может потребоваться несколько часов для репликации изменений в DNS. Обычно это занимает 48 часов. По истечении этого времени выполните распространение DNS, чтобы проверить, полностью ли эти изменения распространяются по всему миру или нет?

Где расположены серверы имен вашего домена?

Когда вы регистрируете свой домен через регистратора доменов, ваш домен обычно сначала направляется на серверы имен вашего регистратора доменов.

Регистратор вашего домена — это место, где вы можете редактировать серверы имен вашего домена. Если вы хотите использовать эти серверы имен, отредактируйте записи DNS, чтобы ваше доменное имя указывало на вашего хостинг-провайдера.

Но эксперты советуют использовать серверы имен, предоставленные вашим веб-хостингом. Тем не менее, это зависит от ваших требований и потребностей.

Как проверить правильность указания серверов доменных имён?

Запишите серверы имен вашего домена. После того, как NS записывает обновления или изменения, требуется несколько часов, чтобы полностью отразить эти изменения.Перейдите к инструменту поиска NS и введите имя домена, чтобы убедиться, что серверы имен домена теперь указаны правильно.

DNS и сервер имен — это одно и то же?

DNS означает систему доменных имен или систему доменных имен, службу доменных имен, в зависимости от того, с кем вы разговариваете. Это глобальная система, которая переводит IP-адреса в удобочитаемые доменные имена.

С другой стороны, сервер имен используется для определения местоположения DNS-сервера. Сервер имен — это адрес DNS-сервера, на котором размещены записи для этого домена.

Также доступны дополнительные бесплатные инструменты DNS.

Понимание и настройка DNS | Юнос ОС

Прежде чем начать, настройте серверы имен с именем хоста и IP-адресом для ваше устройство Juniper Networks. Неважно, какой IP-адрес вы назначаете в качестве адрес вашего устройства на сервере имен, если это адрес, который достигает твое устройство. Обычно вы используете IP-адрес интерфейса управления, но можно выбрать IP-адрес интерфейса обратной связи или IP-адрес сетевого интерфейса.Ты можно даже настроить несколько адресов на сервере имен.

Для обеспечения избыточности рекомендуется настроить доступ к нескольким серверам имен. Ты может настроить максимум три сервера имен. Подход аналогичен способу Веб-браузеры преобразуют имена веб-сайтов в их сетевой адрес.

Вы можете использовать ОС Junos для настройки одного или нескольких доменных имен. Программное обеспечение использует эти доменные имена для разрешения имен хостов, которые не полностью квалифицированные (то есть имена хостов, для которых отсутствуют доменные имена).Быть способным настраивать доменные имена удобно, потому что вы можете использовать имя хоста при настройке и работа с программным обеспечением без необходимости указывать полное доменное имя. После добавив адреса серверов имен и доменные имена в вашу конфигурацию, вы можете использовать DNS разрешаемые имена хостов в ваших конфигурациях и командах вместо IP адреса.

При желании вместо настройки сервера имен на [править система] уровень иерархии, вы можете использовать группу конфигурации, как показано на эта процедура.Это рекомендуемая передовая практика для настройки сервера имен.

Вы можете маршрутизировать трафик между экземпляром маршрутизации управления и сервером DNS-имен. После настройки экземпляра маршрутизации на [edit system name-server server-ip-address ] уровень иерархии, имя сервер становится доступным через этот экземпляр маршрутизации.

Примечание:

Этот параметр экземпляра маршрутизации управления не поддерживается для серии SRX. устройства.

Чтобы включить экземпляр маршрутизации управления для DNS, используйте следующую конфигурацию:

 [email protected]# установить экземпляр управления системой
[email protected]# установить экземпляры маршрутизации mgmt_junos описание  описание 
[email protected]# установить системное имя-сервер  IP-адрес сервера  экземпляр маршрутизации mgmt_junos
 

Если вы настроили сервер имен с помощью группы конфигурации, используйте [изменить группы имя группы имя системы сервер] уровень иерархии, что является рекомендуемой практикой для настройки имени сервер.

Чтобы настроить устройство для преобразования имен хостов в адреса:

Службы доменных имен (DNS): TechWeb: Бостонский университет

Быстрый старт

Доступно для: Факультет, Исследователи, Персонал, Отделы

Стоимость:  Услуги доменных имен бесплатны, включая доступ к DNS-серверам, обновления записей DNS, назначение статических IP-адресов, а также управление и продление доменов.

Служба доменных имен

(DNS) позволяет получать доступ к онлайн-ресурсам с помощью часто используемых имен, таких как www.bu.edu . Большинство компьютеров в кампусе, включая компьютеры, использующие DHCP, автоматически настраиваются на использование DNS в кампусе, и им присваиваются имена. Клиенты, управляющие серверами или предоставляющие онлайн-сервисы, могут запрашивать определенное имя хоста для своей системы вместе со статическим адресом. Университет также управляет регистрацией, настройкой и продлением доменов за пределами bu.edu, например, заканчивающихся на .com и .org .

Преимущества

DNS упрощает использование многих служб в Интернете, позволяя людям использовать общие имена и имена собственные для доступа к сетевым службам. Работайте с IS&T, чтобы управлять своими доменами за пределами пространства имен bu.edu, поэтому вам не нужно беспокоиться о технических и административных проблемах — мы позаботимся о них за вас.

Основные характеристики

  • Назначение статических IP-адресов
  • Назначение имен хостов
  • Автоматическое обновление функций DNS, таких как записи MX
  • Управление доменами (например,г., agganisarena.com ), включая продление

Чего ожидать

Обычно эта услуга доступна круглосуточно и без выходных, за исключением стандартных периодов внесения изменений, как описано в стандартных политиках, процедурах и графиках внесения изменений IS&T.

Требования

Имена хостов и статические IP-адреса выдаются только преподавателям или сотрудникам Университета. Мы рекомендуем членам сообщества использовать DHCP вместо статических IP-адресов.Если система предоставляет услуги или контент и требует статический IP-адрес, вы должны предоставить следующую информацию при подаче запроса:

.
  • Краткое описание предоставляемых услуг или контента
  • Физическое расположение системы
  • Главный технический и административный контакт

Начало работы

Чтобы запросить статический IP-адрес, внести изменения в имена хостов или другие записи DNS, получить помощь в регистрации или переносе домена в университет, а также по вопросам, касающимся DNS или IP-адресов, свяжитесь с нами или отправьте электронное письмо по адресу [email protected]

Добавить комментарий

Ваш адрес email не будет опубликован.