DNS (Domain Name System) — распределённая система, преобразующая понятные имена (google.com) в IP-адреса (142.250.185.14). Создана в 1983 Полом Мокапетрисом. Без DNS мы бы запоминали цифровые адреса каждого сайта.
Иерархия
- Корневая зона (root, ".")
- TLD (top-level domain): .com, .org, .ru, .рф
- Second-level domain: google.com
- Subdomain: mail.google.com
Как работает разрешение
- Браузер запрашивает mail.google.com у локального DNS-резолвера (обычно у провайдера)
- Резолвер спрашивает у корневого сервера: "где .com?"
- Корневой отвечает адресом TLD-сервера .com
- Резолвер спрашивает у TLD: "где google.com?"
- TLD отвечает адресом authoritative-сервера Google
- Резолвер спрашивает у Google: "где mail.google.com?"
- Получает IP, кэширует, возвращает браузеру
Типы записей
- A: IPv4-адрес (142.250.185.14)
- AAAA: IPv6-адрес
- CNAME: алиас на другое имя
- MX: почтовый сервер домена
- NS: имена DNS-серверов зоны
- TXT: произвольный текст (SPF, DKIM, верификация)
- PTR: обратное разрешение (IP → имя)
- SOA: параметры зоны
- CAA: разрешённые CA для SSL-сертификатов
Кэширование
- TTL (time to live): сколько секунд можно хранить в кэше
- Обычно 300–3600 секунд для A-записей
- Большой TTL = меньше запросов, но медленнее обновление
- При смене хостинга снижают TTL заранее
Популярные публичные резолверы
- Google: 8.8.8.8, 8.8.4.4
- Cloudflare: 1.1.1.1, 1.0.0.1 (самый быстрый по тестам)
- Quad9: 9.9.9.9 (фильтрация вредоносных)
- Яндекс: 77.88.8.8, 77.88.8.1
DoH и DoT
- DNS-over-HTTPS (DoH): DNS-запросы через HTTPS. Cloudflare, Google, Mozilla
- DNS-over-TLS (DoT): DNS через TLS
- Зачем: шифрование. Без них провайдер видит все ваши запросы
- Браузеры (Firefox, Chrome) имеют собственные настройки DoH
DNSSEC
Расширение DNS с криптографическими подписями. Защищает от подмены ответов (DNS poisoning). Поддерживается, но не везде включено.
Регистрация домена
- Регистраторы: GoDaddy, Namecheap, Reg.ru, Beget
- Стоимость .com: $10-15/год
- Стоимость .ru: ~500 руб/год
- Регистратор обновляет NS-записи в TLD
- NS-записи указывают на ваши DNS-серверы (Cloudflare, Route 53, хостинг)
Проблемы
- Propagation delay: изменения расходятся по миру до 48 часов
- Подделка DNS в странах с цензурой
- DDoS на DNS: Mirai ботнет в 2016 вырубил DynDNS
- DNS-rebinding атаки
Диагностика
- nslookup example.com
- dig example.com (подробнее)
- host example.com
- whois example.com (информация о регистрации)
- онлайн: dnschecker.org, mxtoolbox.com
Email и DNS
- MX: куда слать письма
- SPF: разрешённые отправители (TXT-запись)
- DKIM: подпись писем (TXT-запись)
- DMARC: политика (TXT-запись)
- Без этих записей — ваша почта в спам
CDN и DNS
- Cloudflare, AWS CloudFront используют DNS для балансировки
- Anycast: один IP — много серверов по миру, DNS маршрутизирует к ближайшему
- GeoDNS: разные IP в зависимости от страны клиента
Блокировки
Многие блокировки в России работают на уровне DNS. Используя публичный DNS (8.8.8.8) можно обойти некоторые. Но DPI более надёжен со стороны блокировщиков.
Есть вопрос?
Вопросы и ответы · 0
Не поняли что-то?
Зарегистрируйтесь — и сможете задать вопрос автору объяснения.
Загрузка комментариев…