Что такое DNS-сервер

Поиск ролика на YouTube, сообщества любимой группы в социальной сети, рецепта определенного блюда – все это задачи, с которыми справится даже ребенок. Однако далеко не все знают, насколько сложные алгоритмы и технологии скрываются за такой простотой, как именно браузеры осуществляют поиск адреса, указанного в строке. Для большего понимания процесса следует разобраться, что такое DNS-сервер, какие функции он выполняет, по какому принципу функционирует.

Что такое DNS?

За аббревиатурой “DNS” скрывается определение “domain name systems”, проще говоря, “система доменных имен”. Задача данной системы – обеспечение связи между названием сайта и его IP-адресом, благодаря чему происходит сетевое взаимодействие компьютерного оборудования. Пользователю, желающему открыть тот или иной сайт, не нужно где-то узнавать и искать IP-адрес, достаточно ввести в строку русскоязычное или англоязычное наименование. Такой подход гораздо удобнее, не приходится держать в голове кучу непонятных цифр и чисел, чтобы открыть Google или Яндекс.

Современная система DNS должна отличаться следующими особенностями:

• Четкие зоны ответственности администрирования. Каждая системная область обслуживается определенным специалистом или организацией.
• Зональное хранение информации. На каждом сервере хранятся строго определенные данные, соответствующие его уровню и статусу.
• Возможность кэширования данных. С целью снижения нагрузки на серверы каждый из них поддерживают функцию хранения информации, не находящейся в его прямой зоне ответственности.
• Строгая иерархия. В основу системы положена классическая древовидная структура, серверы, находящиеся на ее высоких уровнях, могут поручать выполнение определенных действий тем, что расположены ниже.
• Функция резервирования. Одни и те же данные могут обслуживаться целым комплексом серверов, разделенных по физическим и логическим принципам. Это обеспечивает их максимальную надежность и защищенность от кражи, намеренного или случайного изменения.

Как работает DNS?

Работает DNS по алгоритму, напоминающему поиск абонента по номеру телефона в бумажном справочнике. Достаточно открыть его, чтобы узнать, кому принадлежит тот или иной номер, а при отсутствии информации – понять, что речь идет о каком-то незнакомце, не заслуживающем общения.

Адресная строка браузера при таком сравнении является областью для ввода адреса, аналога номера телефона. DNS-сервер проводит поиск по собственному “телефонному справочнику”, в котором собрано огромное количество IP-адресов различных сайтов, при совпадении – пользователь окажется на необходимом ему портале. Если же название в списках DNS не значится, то появится уведомление об ошибке.

Последовательность действий, по которой работает система, такова:

1. Ввод пользователем в адресную строку браузера необходимого ему сайта.
2. Переадресация данного запроса DNS-серверу.
3. Анализ сервером доменного имени, его трансформация в IP-адрес, пример формата которого – “203.113.89.134”.
4. Поиск необходимого адреса в Интернете.
5. Если поиск дает положительные результаты, то запрос успешно обрабатывается, и пользователь попадает на искомый ресурс.
6. В том случае, если обнаружить адрес не удалось, браузер выводит уведомление об ошибке.

История появления

До разработки и внедрения DNS добавление данных о сайтах выполнялось вручную. Именно такой принцип использовался, например, в эпоху ARPANET, первой компьютерной сети, разработанной специалистами из США. Ее можно было сравнить с невероятных размеров таблицей, где значились контакты сотен и тысяч сайтов. Добавление нового контакта предполагало звонок в специальный центр обработки данных, подробный рассказ о специфике сайта и предоставление всех сведений, необходимых ARPANET для корректной работы.

Количество сайтов, впрочем, продолжало расти в геометрической прогрессии, ручное добавление данных становилось все более сложным, возникла потребность в автоматизированной системе, которой и стала DNS. Базовый принцип остался прежним, система, как и прежде, хранит огромную “таблицу” с информацией о сайтах, только вот новые записи формируются не оператором, а автоматикой.

Концепция DNS была предложена в 1983 году, а ее авторами стали американские специалисты Джон Постел и Пол Мокапетрис. Благодаря множеству преимуществ, она очень быстро получила одобрение мирового IT-сообщества, стала активно внедряться множеством организаций. В 1984 состоялась презентация первого DNS-сервера BIND, работающего именно по указанному выше алгоритму, выполняющего автоматическое преобразование названия сайта в IP-адрес. 

Примечательно, что структура оказалась настолько удачной, что до сих пор не претерпела значительных изменений. Имели место только доработки, направленные на повышение общего уровня надежности и безопасности, а также расширения, добавления новых доменных зон. Например, в 2010 в Российской Федерации возник домен “.рф”, поддерживающий кириллицу. До этого времени ввод адресов сайтов был возможен исключительно символами латинского алфавита.

Что такое DNS-сервер?

DNS-сервер – это своеобразный аналог уже упомянутой телефонной книги или приложения с контактами в смартфоне. Именно здесь хранятся данные о сайтах. Нужно понимать, что сайтов – десятки и сотни тысяч, а потому для хранения информации требуются огромные компьютерные мощности. Таких серверов невероятное количество. Они используются всеми крупными IT-организациями, провайдерами, обеспечивают комфортный доступ в Интернет всем пользователям и клиентам таких компаний.

Для чего нужны DNS-серверы?

Итак, главная функция DNS-серверов – хранение сведений о доменных именах и их предоставление по пользовательскому запросу. Актуальна, однако, и дополнительная задача – кэширование записей DNS от других серверов.

Процесс кэширования следует разобрать более подробно, алгоритм достаточно сложен. Мощности одного сервера недостаточно для хранения абсолютного набора данных о сайтах и привязанных к ним IP-адресов. К группе исключений относятся только корневые сервера, которые будут более тщательно рассмотрены далее.

При указании определенного адреса браузер сначала проведет проверку локального файла, где закреплены настройки DNS, носящего название “hosts”. При отсутствии в нем необходимой информации, происходит дальнейшее направление запроса – к локальному серверу компании, предоставляющей услуги доступа в Интернет.

Как правило, локальный DNS-сервер отправляет запрос своим “коллегам” из региона, где зарегистрирован искомый ресурс. Нескольких запросов оказывается достаточно для обнаружения необходимых для открытия сайта данных. Найденная информация фиксируется в памяти локального сервера, что способствует ускорению дальнейшей работы, исключает необходимость в многочисленных дополнительных запросах. Именно такой алгоритм и получил название “кэширования”.

Продолжительность хранения данных, впрочем, ограничена, чтобы не перегружать память, так что время от времени поиск будет возвращаться к обычному, более длительному, алгоритму. 

Нередки ситуации смены IP-адреса, что бывает, например, при переезде сайта на новый хостинг. В этом случае пользователь может попадать на прежний, уже пустой, IP. Впрочем, локальные сервера довольно быстро обновляют кэш, для этого требуется около суток, так что серьезные проблемы и неудобства при переездах исключены.

Где находятся DNS-серверы?

Количество основных DNS-серверов, называемых корневыми – 13. Они используются для хранения данных обо всех сайтах. Такая численность, впрочем, не выглядит надежной, высок риск повреждения и масштабных потерь важных данных из-за природных, техногенных катастроф, человеческих ошибок, масштабных долговременных отключений электроэнергии. Чтобы исключить негативный сценарий, у всех 13 серверов имеются точные копии, расположенные в различных мировых государствах. Вместе с ними, численность составляет 123.

Распределение серверов можно представить следующим списком:

• 40 – североамериканские государства, США и Канада;
• 35 – европейский регион;
• 6 – Южная Америка;
• 3 – Африка.

Такое распределение имеет вполне логичное объяснение. Чем более развита региональная IT-инфраструктура, тем больше мощности и ресурсов нужно для ее стабильного функционирования.

Копии корневых DNS-серверов находятся и в Российской Федерации, в основном, сосредоточены они в наиболее населенных центральных регионах, в Москве, Петербурге, Ростове-на-Дону, однако, также имеются реплики в Екатеринбурге и Новосибирске.

Помимо корневых серверов, в системе присутствуют и их аналоги более младших уровней. Например, на нижней иерархической ступени располагаются авторитативные сервера, где хранится основная ресурсная информация, а выше них – TLD, необходимые для хранения доменов верхнего уровня определенных хостов. Несмотря на сложность структуры DNS, обработка запросов занимает считанные доли секунды, работа серверов всех уровней идеально отлажена, они четко и быстро взаимодействуют друг с другом.

DNS-зоны: разбор понятия

Довольно часто к одному доменному имени прикреплено несколько ресурсов, например, головной сайт и его почтовый сервер. Для большей стабильности функционирования каждый ресурс имеет собственный IP-адрес. Чтобы исключить проблемы в процессе поиска, данные относительно привязок сохраняются на DNS-серверах в формате особых файлов. Именно эти данные и называются зонами DNS. В файле имеются различные записи, у каждой из которых – свое уникальное обозначение и задача:

• A – адрес сетевого ресурса, связанного с определенным доменным именем.
• MX – адрес сервера, обеспечивающего корректную работу электронной почты.
• CNAME – запись, благодаря которой достигается надежная связь между идентичными доменными именами. Как правило, она нужна для того, чтобы привязать поддомены.
• NS – адресная запись DNS-сервера, отвечающего за информацию, хранящуюся в прочих ресурсных записях.
• TXT – все текстовые данные, касающиеся доменных имен.
• SPF – здесь закреплен список серверов, наделенных правом на рассылку электронной почты от имени определенного домена.
• SOA – исходная зональная запись, где значатся данные о сервере, шаблоны об имени-домене.

Как защитить DNS-сервера от атак?

Не нужно долго рассказывать, зачем нужна защита – без нее высок риск потери, намеренного изменения важной информации. Наибольшую угрозу представляют атаки на самые крупные, корневые, серверы, хранящие сведения обо всех IP-адресах. Такие попытки, к сожалению, не редкость, а одна из наиболее крупных зарегистрирована осенью 2002 года, когда DDoS-атаке подверглись почти все корневые серверы.

Выдача результатов по запросам в рамках DNS базируется на UDP, протоколе пользовательских диаграмм. Он построен на особой модели информационной передачи, что способствует максимальной безопасности и защищенности от внешних воздействий, однако, регулярно фиксируются атаки, направленные на намеренное изменение IP-адресов.

Противостоять злоумышленникам, повысить уровень безопасности DNS-серверов можно при помощи различных методик и алгоритмов:

1. uRPF. Суть защитной технологии состоит в том, что система проверяет каждый входящий пакет и дает разрешение на прием исключительно в ситуации, если интерфейс-отправитель имеет соответствующие права. Если отправитель данных не имеет авторизации и разрешений, то пакет отклоняется. Технология обеспечивает выявление и блокировку поддельного трафика, однако, не дает 100-процентной защиты. Она максимально эффективна только в том случае, если данные исходят с одного интерфейса на определенный адрес, что невозможно при предоставлении сетевого доступа несколькими провайдерами.
2. IP Source Guard. Это усовершенствованная версия предыдущей технологии. В ее основу положено отслеживание сетевого DHCP-трафика, фиксация IP-адресов, присвоенных сетевому оборудованию. Такая комбинация помогает обнаружить фальшивый трафик на тех или иных портах. После обнаружения информация фиксируется в общей проверочной таблице, которая является “эталоном” для последующих проверок. Если очередной пакет отправлен с нового IP-адреса, отсутствующего в базе данных, то автоматически принимается решение о его отклонении.
3. Программа DNS-Validator. Она следит за передачей всех пакетов DNS, проводит сравнение запросов и ответов. Любое несоответствие – повод для отправки тревожного уведомления сетевому администратору.

Получение злоумышленником доступа к DNS предприятия чревато множеством неприятностей. Например, он может взять на себя управление всеми сетевыми ресурсами, доступ к которым не заблокирован дополнительно, получать данные, указываемые пользователями во время авторизации, электронные письма. Таким образом, без надлежащей защиты серверов DNS нормальная работа компании попросту невозможна. Необходимо уделить решению этого вопроса должное внимание, причем постоянно быть на шаг впереди хакеров, регулярно внедрять новые защитные технологии, обновлять базы данных.

Работа по повышению уровня безопасности ведется в том числе и на самом высоком уровне, например, Mozilla и Google предлагают обновленный протокол DNS-over-HTTPS, куда более надежный, в сравнении со стандартным UDP. Он предполагает передачу запросов в зашифрованном виде, что дает защиту от фишинга, кражи личной информации, распространения вирусных приложений и других активностей, направленных на получение доступа к конфиденциальным данным, намеренное повреждение сетевой инфраструктуры.

Подведение итогов

DNS – это основная система, позволяющая пользователям успешно искать информацию в Интернете, делать онлайн-заказы, общаться и выполнять множество других действий. Без нее браузер попросту не сможет отыскать необходимый сайт и установить с ним надежную коммутацию.

DNS-сервер, в свою очередь, представляет собой хранилище данных о сайтах, благодаря которым обеспечивается работоспособность системы. Строгая упорядоченность информации – гарантия скорости и удобства поиска.