DNS: телефонная книга интернета

DNS (Domain Name System) — распределённая система, преобразующая понятные имена (google.com) в IP-адреса (142.250.185.14). Создана в 1983 Полом Мокапетрисом. Без DNS мы бы запоминали цифровые адреса каждого сайта.

Иерархия

• Корневая зона (root, ".")
• TLD (top-level domain): .com, .org, .ru, .рф
• Second-level domain: google.com
• Subdomain: mail.google.com

Как работает разрешение

1. Браузер запрашивает mail.google.com у локального DNS-резолвера (обычно у провайдера)
2. Резолвер спрашивает у корневого сервера: "где .com?"
3. Корневой отвечает адресом TLD-сервера .com
4. Резолвер спрашивает у TLD: "где google.com?"
5. TLD отвечает адресом authoritative-сервера Google
6. Резолвер спрашивает у Google: "где mail.google.com?"
7. Получает IP, кэширует, возвращает браузеру

Типы записей

• A: IPv4-адрес (142.250.185.14)
• AAAA: IPv6-адрес
• CNAME: алиас на другое имя
• MX: почтовый сервер домена
• NS: имена DNS-серверов зоны
• TXT: произвольный текст (SPF, DKIM, верификация)
• PTR: обратное разрешение (IP → имя)
• SOA: параметры зоны
• CAA: разрешённые CA для SSL-сертификатов

Кэширование

• TTL (time to live): сколько секунд можно хранить в кэше
• Обычно 300–3600 секунд для A-записей
• Большой TTL = меньше запросов, но медленнее обновление
• При смене хостинга снижают TTL заранее

Популярные публичные резолверы

• Google: 8.8.8.8, 8.8.4.4
• Cloudflare: 1.1.1.1, 1.0.0.1 (самый быстрый по тестам)
• Quad9: 9.9.9.9 (фильтрация вредоносных)
• Яндекс: 77.88.8.8, 77.88.8.1

DoH и DoT

• DNS-over-HTTPS (DoH): DNS-запросы через HTTPS. Cloudflare, Google, Mozilla
• DNS-over-TLS (DoT): DNS через TLS
• Зачем: шифрование. Без них провайдер видит все ваши запросы
• Браузеры (Firefox, Chrome) имеют собственные настройки DoH

DNSSEC

Расширение DNS с криптографическими подписями. Защищает от подмены ответов (DNS poisoning). Поддерживается, но не везде включено.

Регистрация домена

• Регистраторы: GoDaddy, Namecheap, Reg.ru, Beget
• Стоимость .com: $10-15/год
• Стоимость .ru: ~500 руб/год
• Регистратор обновляет NS-записи в TLD
• NS-записи указывают на ваши DNS-серверы (Cloudflare, Route 53, хостинг)

Проблемы

• Propagation delay: изменения расходятся по миру до 48 часов
• Подделка DNS в странах с цензурой
• DDoS на DNS: Mirai ботнет в 2016 вырубил DynDNS
• DNS-rebinding атаки

Диагностика

• nslookup example.com
• dig example.com (подробнее)
• host example.com
• whois example.com (информация о регистрации)
• онлайн: dnschecker.org, mxtoolbox.com

Email и DNS

• MX: куда слать письма
• SPF: разрешённые отправители (TXT-запись)
• DKIM: подпись писем (TXT-запись)
• DMARC: политика (TXT-запись)
• Без этих записей — ваша почта в спам

CDN и DNS

• Cloudflare, AWS CloudFront используют DNS для балансировки
• Anycast: один IP — много серверов по миру, DNS маршрутизирует к ближайшему
• GeoDNS: разные IP в зависимости от страны клиента

Блокировки

Многие блокировки в России работают на уровне DNS. Используя публичный DNS (8.8.8.8) можно обойти некоторые. Но DPI более надёжен со стороны блокировщиков.