Что такое DNS? Как он работает

Глобальная сеть Интернет, по-сути, представляет собой соединенное друг с другом большое количество аппаратных устройств. Это могут быть сервера, планшеты, персональные компьютеры, ноутбуки. И любой сайт также находится на физическом устройстве — сервере провайдера. Ему присвоен уникальный номер, IP-адрес, имеющий вид: 123.123.123.123. Следовательно, для попадания на сайт нужно знать его правильный адрес — верную последовательность из двенадцати цифр. Ни записать, ни тем более запомнить, это невозможно. Для упрощения этой задачи и служат DNS-серверы.

Что такое DNS-сервер

DNS (Domain Name System – система доменных имен) была создана в 80-х годах прошлого века. Ее принцип заключается в том, что каждому цифровому значению присваивается буквенный идентификатор — ДНС (домен). При написании его в адресной строке браузера, ДНС преобразуется в IP-адрес. Например, домен reg.ru соответствует IP-адресу сервера 194.58.116.30. Эта информация хранится в «таблицах соответствий» в службе доменных имен. DNS-серверы также предназначены для хранения ресурсных записей доменов.

По-сути, это своеобразная «телефонная книга» Интернета, где номер телефона — это IP-адрес, а контакты — домены. В «телефонную книгу» можно внести и другую информацию. Для этого нужно прописать ресурсные записи для домена. С их помощью серверы делятся сведениями о доменах с другими серверами.

Кабель на фоне сервера

Виды DNS серверов

В классификации DNS-серверов обычно выделяют два параметра: функции, которые выполняет сервер, и типы зон DNS. DNS серверы классифицируют по видам согласно их функциональным особенностям.

Авторитативный DNS-сервер несет ответственность за определенную зону. Делится на первичные («мастер-серверы») и вторичные (слейв) серверы.

Кэширующий DNS занимается обслуживанием DNS-клиентов (это специальные программы, которые работают с адресами сетевых узлов).

Перенаправляющий DNS является вспомогательным, перераспределяя запросы кэширующего DNS.

Коневой ДСН отвечает за 13 зон, имена которых лежат в диапазоне от a.root-servers.net до m.root-servers.net.

Регистрирующий сопоставляет запросы доменных имен, которые вводят пользователи интернета имеющимся IP-адресам ресурсов (сайтов).

DNSBL — это «черный список» доменных имен.

Что такое DNS зоны

Различают зоны прямого преобразования, то есть когда доменное имя преобразуется в IP-адрес и зоны обратного преобразования. В последнем случае все происходит наоборот: IP-адрес преобразуется в доменное имя.

Как работают

DNS-запросы в зонах RU, SU и RF обрабатываются корневыми DNS-серверами, которые являются полномочными для российских национальных доменов. Доступность всех информационных ресурсов, расположенных в доменах RU, SU и RF, зависит от их стабильной работы. Кратко алгоритм работы выглядит следующим образом.

После ввода имени домена в строке браузера, например, FAQ-REG.RU, браузер ищет файл hosts на вашем локальном компьютере. Потом устанавливает домен в соответствии с IP-адресом. Если этот файл содержит запись для введенного домена, сайт будет открыт в ту же минуту.

Если записи нет, браузер создаст DNS-запрос к провайдеру, чтобы найти IP-адрес домена.

У каждого провайдера есть локальные (кэширующие) DNS-серверы. После получения запроса провайдер ищет в своем кэше запись о том, что требуемый домен совпадает с IP-адресом.

Если такая запись есть, браузер получит IP-адрес. По этому адресу браузер «свяжется» с хостинг-провайдером, на котором расположена страница, и пользователю будет показана запрошенная страница. Если запись отсутствует, Интернет-провайдер перенаправит DNS-запрос на первичные DNS-серверы.

Программное обеспечение, информация

Первичные DNS-серверы хранят информацию только о DNS-серверах, отвечающих за доменные зоны, например, он не может предоставить Интернет-провайдеру IP-адрес домена FAQ-REG.RU. Но он отправит IP-адрес DNS-сервера доменной зоны, в данном случае зоны.RU. Провайдер связывается с этим DNS-сервером и запрашивает IP-адрес домена.

DNS-серверы в зоне «.RU» хранят информацию только о DNS-серверах всех доменов в этой зоне, но не их IP-адреса. Поэтому DNS-серверы зоны будут запрашивать у Интернет-провайдера IP-адрес DNS-сервера домена FAQ-REG.RU.

Провайдер получил IP-адрес DNS-сервера домена FAQ-REG.RU. Он связывается с DNS-сервером домена (например, ns1.hosting.reg.ru) с запросом IP-адреса домена. После получения запроса DNS-сервер сначала проверяет, доступна ли информация о домене FAQ-REG.RU и желаемом IP-адресе.

В случае успеха DNS-сервер отправляет IP-адрес домена Интернет-провайдеру.

Интернет-провайдер получает IP-адрес домена и сохраняет его в своем кэше. Затем в браузер отправляется результат DNS-запроса – IP-адрес домена FAQ-REG.RU.

Браузер обращается к хостингу через полученный IP-адрес. Теперь пользователь открывает запрошенный сайт FAQ-REG.RU.

RIPNDNS WAN DNS-хосты обеспечивают бесперебойную поддержку корневых DNS-серверов. Локальные узлы сети РИПНДНС расположены во всех федеральных округах России и за рубежом. Использование технологии anycast (RFC3258) обеспечивает высокую эффективность системы и простоту настройки для пользователей.

Где находятся

DNS-серверы верхнего уровня, содержащие информацию о корневой зоне DNS, называются корневыми DNS-серверами. Эти серверы управляются разными операторами. Изначально корневые серверы располагались в Северной Америке, но позже они появились и в других странах. Основных серверов 13, но для повышения стабильности интернета в случае сбоев созданы резервные копии, реплики корневых серверов. Таким образом, количество корневых серверов увеличилось с 13 до 123.

В Северной Америке 40 серверов (32,5%), в Европе – 35 (28,5%), еще 6 серверов расположены в Южной Америке (4,9%) и 3 – в Африке (2,4%). На карте они расположены в соответствии с интенсивностью использования инфраструктуры Интернета. Есть серверы в Австралии, Китае, Бразилии, Объединенных Арабских Эмиратах и других странах, включая Исландию.

Сеть и система сервера

Типы записей

Существует несколько типов ресурсных записей. Это: тип A, CNAME, MX, TXT и SPF и т.д.

Запись A (address) связывает домена с IP-адресом. Например, site.ru имеет значение 123.123.123.123.

Запись CNAME (Canonical name) привязывает домен к поддомену. Например, mail.site.ru соответствует значение webmail.hosting.reg.ru.

MX-запись нужна для работы с электронной почтой. Например, запись site.ru соответствует значению mx1.hosting.reg.ru. Здесь используется два сервера и есть приоритет записи — параметр, который определяет на какой почтовый ящик почту нужно отправлять запрос в первую очередь. И только если он «не работает», можно обратиться к другому значению записи. Чем ниже число, тем выше приоритет.

TXT (Text string) предназначена для работы с текстом. Цели этой записи различны:

  • подтверждение права собственности на домен;
  • обеспечение безопасности электронной почты;
  • подтверждение SSL-сертификата;
  • осуществление проверок на право владения доменом при подключении дополнительных сервисов;
  • в виде контейнера для записи SPF и ключа DKIM.

SPF-запись (Sender Policy Framework) содержит информацию о списке серверов, которые имеют право отправлять письма от имени заданного домена. Позволяет избежать несанкционированного использования. Настройка SPF прописывается в TXT-записи для домена. В качестве примера. Имени site.ru соответствует значение v=spf1 include:_spf.hosting.reg.ru ip4:123.123.123.123 a mx ~all.

NS-запись (Authoritative name server) важна для корректной работы службы ДНС. Она указывает на DNS-серверы, которые отвечают за хранение остальных ресурсных записей домена.

PTR — обратная ДНС-запись, которая связывает IP-адрес сервера с его каноническим именем (доменом). PTR-запись применяется для фильтрации почты.

Веб сеть и технологии сервера

SOA (Start of Authority) — начальная запись зоны, которая указывает, на каком сервере хранится эталонная информация о доменном имени. Критически важна для работы службы DNS.

Зачем нужно прописывать DNS-серверы

Прописывать ДНС-серверы нужно для того, чтобы созданный ресурс и, соответственно, зарегистрированный домен как-то отобразился в сети. Правильно прописывая серверы, владелец сайта делает его известным для других ресурсов.

Прописывают DNS-серверы всегда парами. Один из них является первичным, а остальные — вторичными. Их может быть от одного до двенадцати для каждого домена. Это делается для лучшей отказоустойчивости: если выйдет из строя один DNS-сервер, домен и сайт продолжат свою работу.

Защита DNS-серверов от атак

DNS-атаки стали очень популярными, потому что они предоставляют злоумышленникам множество преимуществ. При асимметричной атаке результат можно получить при использовании ограниченных технических и человеческих ресурсов, и небольшого трафика.

У хакеров получается оставаться анонимными, ведь протокол DNS позволяет злоумышленникам изменить свой исходный IP-адрес и легко замаскироваться. Используя метод отражение, злоумышленник даже не отправляет трафик непосредственно на сайт.

У владельца Интернет-ресурса страдает критическая инфраструктура. Это означает, что, если нарушается отлаженный процесс работы DNS, весь Интернет-трафик отключается. На более высоком уровне: если основные DNS-серверы выйдут из строя, весь Интернет перестанет функционировать.

Для обеспечения безопасности DNS планируется развертывание Domain Name System Security Extensions (DNSSEC). Однако DNSSEC не может оказать противодействие DDoS-атакам и сам по себе может быть причиной усиленных атак.