Как работает DNS
Любой веб-ресурс в интернете — это набор файлов, которые физически находятся на серверах. Каждый компьютер или хостинг, подключенный к сети, получает уникальный IP-адрес. Именно этот цифровой идентификатор позволяет браузеру установить точный источник загрузки искомого сайта и направить туда трафик.
Если проводить аналогию, то IP-адрес представляет собой номер абонента, а DNS — телефонную книгу, где хранится эта запись.
Простыми словами DNS (domain name system) — это система доменных имен. Служба обеспечивает взаимосвязь между понятным человеку названием ресурса и его машинной цифровой записью, давая пользователю быстрый доступ к контенту.
|
Доменное имя |
IP-адрес |
|
yandex.ru |
5.255.255.5 |
|
google.com |
74.125.131.102 |
|
kokoc.com |
95.213.216.44 |
Пользователь вводит текстовый запрос в адресную строку, а система автоматически преобразует его в нужный формат и отдает ответ клиентскому устройству. Без этой технологии нам пришлось бы запоминать сложные комбинации цифр для каждой страницы.
Структурно архитектура днс напоминает перевернутое дерево. Доменные имена организованы по строгой иерархии. Главный верхний уровень занимает корневой домен (точка), ниже идут зоны первого уровня (.ru, .com). К ним присоединяются адреса второго уровня, затем третьего и так далее.
- Что такое DNS-сервер
- Алгоритм поиска IP-адреса домена
- Типы записей системы доменных имен
- Вместо вывода: файл hosts
Что такое DNS-сервер
Основной рабочий инструмент этой инфраструктуры — DNS-сервер. Этот специализированный узел решает две критические задачи:
- хранит базу соответствий пар «доменное имя — IP-адрес»;
- кэширует записи других машин для ускорения работы сети.
DNS-сервер — это мощный компьютер, содержащий маршрутные данные. Его принципиальная функция — выдача браузерам корректного IP, а также сохранение истории запросов. Полный список серверов можно найти по адресу https://public-dns.info/nameserver/ru.html.
Итак, вы вводите в адресную строку браузера определенный сайт. Чтобы найти соответствующий ему адрес, запрос к dns проходит цепочку из четырех уровней: рекурсивный резолвер провайдера → корневые серверы → TLD-сервер зоны (.com, .ru и т. п.) → авторитативные серверы домена.
DNS-сервер местного интернет-провайдера
Сначала программа-клиент обращается к локальному резолверу вашего провайдера. Цель — получить IP-адрес хоста, где лежат файлы сайта. Для этого в любую современную ОС встроен собственный системный клиент.
Важно знать: вы не обязаны использовать оборудование поставщика услуг. В любой момент можно выбрать публичные dns сервера. Их нужно просто указать в настройках сетевого подключения. Отличный пример — российский сервис от Яндекса.
Проверить текущие настройки dns в Windows легко: нажмите Win+R, введите «cmd», а в открывшейся консоли наберите команду ipconfig /all. В выведенном списке найдите параметры активного адаптера:
Компания Яндекс предоставляет три варианта использования своей службы:
|
Режим |
Базовый |
Безопасный |
Семейный |
|
IP (IPv4) |
77.88.8.8 77.88.8.1 |
77.88.8.88 77.88.8.2 |
77.88.8.7 77.88.8.3 |
|
Особенности |
Быстрый и надежный отклик |
Блокировка мошеннических сайтов и вирусов |
Фильтрация контента для взрослых |
Для протокола IPv6 адреса следующие: 2a02:6b8::feed:0ff и 2a02:6b8:0:1::feed:0ff.
Популярные публичные DNS (для замены DNS провайдера)
Если dns сервис провайдера работает нестабильно или не обеспечивает должный уровень защиты, рекомендую переключиться на альтернативные решения. Вот актуальный список надежных публичных узлов:
- Google Public DNS: 8.8.8.8, 8.8.4.4 (поддержка IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844).
- Cloudflare DNS: 1.1.1.1, 1.0.0.1. Доступны варианты с фильтрацией: 1.1.1.2/1.0.0.2 блокируют вредоносный код; 1.1.1.3/1.0.0.3 включают семейный фильтр.
- Яндекс.DNS: параметры указаны в таблице выше.
- AdGuard DNS: 94.140.14.14, 94.140.14.15. Автоматически вырезает рекламу на уровне сети.
- OpenDNS (Cisco Umbrella): 208.67.222.222, 208.67.220.220. Мощная защита от фишинга.
- Quad9: 9.9.9.9, 149.112.112.112. Блокирует опасные домены и гарантирует высокую конфиденциальность.
- SkyDNS: 193.58.251.251. Отличный выбор для отсечения DGA-доменов.
- Comodo Secure DNS: 8.26.56.26, 8.20.247.20. Дополнительный эшелон безопасности.
Зачем менять настройки по умолчанию? Чаще всего это делают ради повышения скорости загрузки страниц, создания резервного канала связи при сбоях у провайдера и активации встроенной фильтрации фишинговых атак.
DNS-сервер верхнего уровня
Корневые dns сервера направляют резолвер на TLD-серверы (доменов верхнего уровня: .com, .ru и т. д.), а те, в свою очередь, указывают на авторитативные машины конкретного сайта. Сами корневые узлы хранят глобальную информацию о зонах. С их помощью происходит разрешение имен первого уровня:
- NET;
- COM;
- RU;
- US;
- SU и т. п.
Изначально эти серверы находились исключительно в США, но со временем инфраструктура распределилась по всему миру. Существует 13 логических корневых серверов (от A до M). Физически они представлены более чем 1500 узлами по технологии Anycast в разных странах, включая 12 зеркал в России (Москва, Екатеринбург, Новосибирск). Такой подход снижает задержку при обращении к корневым серверам в 3–5 раз по сравнению с запросом к единому центральному дата-центру.
DNS-сервер, хранящий записи доменного имени
Владелец веб-проекта самостоятельно прописывает NS-записи в панели регистратора или хостинга. Именно там сервер и данные связываются воедино.
Узнать, какие адреса dns серверы обслуживают конкретный домен, позволяет любой WHOIS-сервис. Вводим URL и получаем результат:
Алгоритм поиска IP-адреса домена
Разберем процесс по шагам. Допустим, вы ввели в адресной строке kokoc.com, чтобы почитать свежие статьи из блога.
- Браузер первым делом проверяет локальный кэш и системный файл hosts. Если нужного значения там нет, программа отправляет dns-запрос к локальному резолверу провайдера интернета.
- На самом резолвере искомый IP не лежит, но сервер находится в постоянном контакте с глобальной сетью. Он делает запрос к корневым серверам. Корневой узел не знает точный IP kokoc.com, зато в курсе, какие серверы работают с зоной COM.
- Локальный резолвер получает координаты TLD-сервера и обращается к нему. Тот выдает адреса авторитативных NS-серверов, отвечающих непосредственно за домен kokoc.com.
- Провайдерский dns-сервер связывается с авторитативным узлом. Этот сервер содержит точную базу и отдает финальный IP-адрес.
- Локальная машина кэширует полученное значение и передает его браузеру.
- Браузер устанавливает прямое соединение с сервером по протоколу HTTPS (в нашем случае это 95.213.216.44) и загружает контент страницы.
Типы записей системы доменных имен
Одному домену (например, mail.ru) могут соответствовать несколько сетевых адресов: веб-сайт, почта, различные поддомены.
Как мы уже выяснили, сервер доменных имен хранит в себе все маршрутные соответствия. Его содержимое формирует DNS-зону. Для управления трафиком администратор добавляет ресурсные dns-записи — специальные инструкции, определяющие логику работы служб.
Существует множество форматов, но на практике чаще всего используются следующие:
| Тип записи | Расшифровка / Суть | Пример использования |
|---|---|---|
| A | Связывает домен с IPv4-адресом | site.ru → 74.125.131.102 |
| AAAA | Связывает домен с IPv6-адресом | site.ru → IPv6-адрес |
| CNAME | Псевдоним домена к каноническому имени | www.site.ru → site.ru |
| MX | Почтовый сервер и его приоритет | 10 mail.site.ru |
| TXT | Текстовые данные (в т. ч. SPF, DKIM, DMARC) | "v=spf1 …" |
| NS | Авторитативные Name Server для зоны | ns1.hosting.ru, ns2.hosting.ru |
| SOA | Адм. сведения о зоне (первичный NS, серийный номер, тайминги) | Start of Authority для zone |
| PTR | Обратное разрешение IP → домен | IP → host.site.ru |
| SRV | Местоположение сервиса (хост + порт) | _sip._tcp.site.ru → sip.site.ru:5060 |
С помощью специализированных инструментов — например, PR-CY — можно проверить конфигурацию любого ресурса.
Примечание: TTL (Time to Live) — время жизни кэша записи. Пока этот таймер не истечет, резолвер будет отдавать сохраненный в памяти ответ. Именно поэтому любые изменения в панели регистратора распространяются по миру не мгновенно, а занимают от нескольких минут до суток.
Безопасность и приватность DNS: что учесть
В вопросах администрирования критически важно обеспечить защиту данных. Обратите внимание на три ключевые технологии:
- DNSSEC: криптографическая подпись ответов. Защищает от подмены IP-адреса (spoofing). Включается на стороне авторитативных серверов зоны.
- DoH/DoT: шифрование запросов (DNS over HTTPS / DNS over TLS). Скрывает вашу активность от провайдера и исключает перехват трафика посредниками.
- TXT-записи для почты: протоколы SPF, DKIM и DMARC. Они подтверждают легитимность отправителя, снижают риск спуфинга писем и предотвращают попадание корпоративных рассылок в спам. Настраиваются как обычный TXT-блок.
Вместо вывода: файл hosts
Файл hosts по-прежнему остается важным системным элементом — он присутствует на каждом ПК.
В операционных системах семейства Windows этот документ без расширения находится по пути C:\Windows\System32\drivers\etc.
Как мы уже разобрали, браузер всегда начинает поиск нужного IP именно с этого локального справочника, игнорируя внешние dns системы, если находит совпадение.
По этой причине разработчики активно применяют hosts для локального маппирования доменов при создании сайтов, тестировании микросервисов или настройке контейнеров (Docker). В документ просто добавляют строку вида:
85.31.55.45 mydomain4test.ru # testing domain
Если синтаксис соблюден, браузер откроет mydomain4test.ru по указанному IP, а реальные данные из глобальной сети будут проигнорированы.
Однако у этого механизма есть серьезный вектор уязвимости. Вредоносные программы часто модифицируют hosts для фарминга — скрытого перенаправления пользователей на фишинговые копии банковских порталов или социальных сетей. Кроме того, пиратское ПО использует этот файл для блокировки серверов проверки лицензий. Поэтому современные антивирусы строго контролируют любые попытки изменения данного системного документа.


Комментарии (2)
Оставить комментарий