Лучшие dns сервера: Двадцать крупнейших DNS-серверов / Хабр

Содержание

Сравнение программного обеспечения DNS-серверов - Comparison of DNS server software

В этой статье представлено сравнение функций, поддержки платформы и упаковки многих независимых реализаций программного обеспечения сервера имен системы доменных имен (DNS) .

Сравнение серверов

Каждый из этих DNS- серверов представляет собой независимую реализацию протоколов DNS, способную разрешать DNS-имена для других компьютеров, публиковать DNS-имена компьютеров или и то, и другое. Из рассмотрения исключены однофункциональные инструменты DNS (такие как прокси, фильтры и брандмауэры) и перераспределение серверов, перечисленных здесь (многие продукты переупаковывают BIND, например, с собственными пользовательскими интерфейсами).

DNS-серверы сгруппированы в несколько категорий специализации обслуживания запросов системы доменных имен. Две основные роли, которые могут быть реализованы как уникально, так и комбинированно в данном продукте:

  • Полномочный сервер : авторитетные серверы имен публикуют сопоставления DNS для доменов, находящихся под их авторитетным контролем. Как правило, компания (например, «Примеры виджетов Acme») предоставляет свои собственные авторитетные услуги для ответа на запросы адреса или для получения другой информации DNS для
    www.example.int
    . Эти серверы перечислены в верхней части цепочки полномочий для своих соответствующих доменов и способны дать окончательный ответ. Авторитетные серверы имен могут быть первичными серверами имен , также известными как главные серверы, т.е. они содержат исходный набор данных, или они могут быть вторичными или подчиненными серверами имен , содержащими копии данных, обычно получаемые в результате синхронизации непосредственно с первичным сервером, либо через Механизм DNS или другие механизмы синхронизации хранилища данных.
  • Рекурсивный сервер : рекурсивные серверы (иногда называемые «кешами DNS», «серверами имен только для кэширования») обеспечивают разрешение имен DNS для приложений, ретранслируя запросы клиентского приложения в цепочку авторитетных серверов имен для полного разрешения сетевого имени. Они также (обычно) кэшируют результат, чтобы ответить на потенциальные будущие запросы в течение определенного периода истечения ( времени жизни ). Большинство интернет-пользователей обращаются к
    рекурсивному серверу,
    предоставленному их интернет-провайдером, чтобы найти интернет- хосты, такие как www.example.com .

BIG-IP DNS

Продукт F5 Networks предлагает DNS в качестве рекурсивного авторитетного сервера и добавляет дополнительные меры безопасности. Ключевым преимуществом является использование одного и того же контроллера доставки приложений для поддержки DNS и ускорения приложений.

BIND

BIND - это де-факто стандартный DNS-сервер. Это бесплатный программный продукт, который распространяется на большинстве платформ Unix и Linux, где его чаще всего называют именованным (name daemon). Это наиболее широко распространенный DNS-сервер. Исторически BIND подвергался трем основным изменениям, каждая из которых имела существенно отличающуюся архитектуру: BIND4, BIND8 и BIND9. BIND4 и BIND8 теперь технически устарели и не рассматриваются в этой статье. BIND9 - это переработанная версия BIND с полной поддержкой DNSSEC в дополнение к другим функциям и улучшениям.

Консорциум Internet Systems приступил к разработке новой версии BIND 10. Его первый выпуск был в апреле 2010 года, но участие ISC завершилось выпуском BIND 10 версии 1.2 в апреле 2014 года. ISC указала на нехватку ресурсов для продолжения разработки BIND 10, и они подтвердили свою приверженность BIND9.

Кодовая база BIND 10 продолжается как проект с открытым исходным кодом на http://bundy-dns.de/ ( там же ). В настоящее время она не включена в это сравнение.

Сетевой регистратор Cisco

CNR включает коммерческий DNS-сервер от Cisco Systems, обычно используемый вместе с сервером CNR DHCP (протокол динамической конфигурации хоста ). Он поддерживает высокие скорости динамического обновления.

CoreDNS

CoreDNS - рекомендуемый DNS-сервер для Kubernetes, выпускник CNCF в 2019 году.

Dnsmasq

Dnsmasq - это легкий, простой в настройке сервер пересылки DNS, предназначенный для предоставления услуг DNS (и, возможно, DHCP и TFTP ) в небольшой сети. Он может обслуживать имена локальных машин, не входящих в глобальный DNS.

Dnsmasq принимает DNS-запросы и либо отвечает на них из небольшого локального кеша, либо пересылает их на настоящий рекурсивный DNS-сервер. Он загружает содержимое / etc / hosts , так что имена локальных хостов, которые не отображаются в глобальном DNS, могут быть разрешены.

djbdns

Djbdns - это набор приложений DNS, включая tinydns , который был вторым по популярности бесплатным программным DNS-сервером в 2004 году. Он был разработан Дэниелом Дж. Бернстайном , автором qmail , с упором на соображения безопасности. В марте 2009 года Бернштейн заплатил 1000 долларов первому человеку, обнаружившему дыру в безопасности djbdns. Исходный код не централизованно поддерживается и был выпущен в общественное достояние в 2007 году по состоянию на март 2009 года, есть три вилки и более десятка патчей , чтобы добавить дополнительные функции Djbdns.

Узел DNS

Knot DNS - это бесплатный авторитетный DNS-сервер от CZ.NIC . Knot DNS стремится стать быстрым и отказоустойчивым DNS-сервером, который можно использовать для инфраструктуры (корневой и TLD) и служб хостинга DNS . Узел DNS поддерживает подписывание DNSSEC и, среди прочего, размещает корневую зону (K и L Root_name_servers ), несколько доменов верхнего уровня .

Узел Резольвер

Knot Resolver - это кэширующий полный преобразователь DNS от CZ.NIC , написанный на C и Lua и доступный как бесплатное программное обеспечение . Knot Resolver - это родственный проект Knot DNS , каждый из которых независим и служит разным целям. Knot Resolver используется Cloudflare для 1.1.1.1 , его бесплатной службы DNS.

MaraDNS

MaraDNS - это бесплатный DNS-сервер от Сэма Тренхолма, который заявляет о хорошей безопасности и простоте использования. Чтобы изменить какие-либо записи DNS, необходимо перезапустить MaraDNS. Как и djbdns dnscache, автономный рекурсивный преобразователь MaraDNS 2.0 («Deadwood») не использует потоки.

Microsoft DNS

Компонент Windows DNS Server Microsoft DNS. Одно и то же программное обеспечение можно настроить для поддержки авторитетного, рекурсивного и гибридного режима. Программное обеспечение интегрировано с Active Directory, что делает его программным обеспечением DNS по умолчанию для многих корпоративных сетей, основанных на Active Directory . Он также позволяет создавать зоны с помощью стандартного файла зоны DNS . Программное обеспечение поставляется как роль в Windows Server . Серверное программное обеспечение поставляется с приложением командной строки dnscmd, мастером графического интерфейса управления DNS и пакетом DNS PowerShell . В Windows Server 2012, винда DNS добавлена поддержка для DNSSEC, полноценными онлайн подписания с Dynamic DNS и NSEC3 поддержки, наряду с RSASHA и ECDSA подписания алгоритмов. Он предоставляет встроенного поставщика хранилища ключей и поддержку любого стороннего поставщика хранилища ключей, совместимого с CNG. Также были улучшены пользовательский интерфейс и поддержка PowerShell для управления DNS и DNSSEC. В Windows Server 2016 DNS-сервер поддерживает политики DNS, с помощью которых администраторы могут иметь больший контроль над процессом разрешения имен.

НРД

NSD - это авторитетный сервер бесплатного программного обеспечения, предоставляемый NLNet Labs. NSD - это тестовый сервер для DNSSEC; новые функции протокола DNSSEC часто прототипируются с использованием кодовой базы NSD. NSD обслуживает несколько доменов верхнего уровня и управляет тремя корневыми серверами имен .

pdnsd

Pdnsd - это кэширующий прокси-сервер DNS, который хранит кэшированные записи DNS на диске для длительного хранения. Pdnsd спроектирован таким образом, чтобы его можно было легко адаптировать к ситуациям, когда сетевое соединение является медленным, ненадежным, недоступным или очень динамичным, с ограниченными возможностями действовать в качестве авторитетного сервера имен. Он находится под лицензией GPL .

Посадис

Posadis - это бесплатный программный DNS-сервер, написанный на C ++, с поддержкой динамического обновления DNS .

PowerDNS

PowerDNS - это бесплатный программный DNS-сервер с множеством внутренних хранилищ данных и функциями балансировки нагрузки. Авторитетные и рекурсивные серверные функции реализованы как отдельные приложения.

Secure64 DNS

DNS Authority - это коммерческое программное обеспечение для авторитетных серверов имен от Secure64 , компании, которая создала приложения и операционную систему Genuinely Secure DNS и полностью автоматизировала развертывание DNSSEC.

DNS Cache - это масштабируемое, высокозащищенное рекурсивное программное обеспечение DNS от Secure64, которое обеспечивает встроенную защиту от массовых атак типа «отказ в обслуживании», включая атаки псевдослучайного субдомена (PRSD).

Простой DNS Plus

Simple DNS Plus - это коммерческий продукт DNS-сервера, работающий под Microsoft Windows с упором на простой в использовании графический интерфейс . Похоже, что обслуживание программного обеспечения в последние годы ослабло.

DNS-сервер Technitium

Technitium DNS Server - это бесплатное программное обеспечение с открытым исходным кодом, доступное по GPLv3, предназначенное для использования конечными пользователями, сетями SOHO или сетями среднего размера. Это авторитетный, а также рекурсивный DNS-сервер. Он обеспечивает встроенную поддержку синкхолинга с использованием списков блокировки в формате файла hosts . Он обеспечивает поддержку хостинга протоколов DNS-over-TLS и DNS-over-HTTPS , а также использование обоих этих протоколов в качестве сервера пересылки или условного сервера пересылки. DNS-сервер также поддерживает прокси HTTP и SOCKS5. Он предоставляет веб-интерфейс и поддерживает API на основе HTTP, чтобы разрешить доступ к стороннему программному обеспечению.

Несвязанный

Unbound - это проверяющий, рекурсивный и кэширующий DNS-сервер, разработанный для обеспечения высокой производительности. Он был выпущен 20 мая 2008 года (версия 1.0.0) как бесплатное программное обеспечение под лицензией BSD от NLnet Labs. Он устанавливается как часть базовой системы в FreeBSD, начиная с версии 10.0, и в NetBSD с версии 8.0. Версия также доступна в OpenBSD версии 5.6 и выше. (Предыдущие версии FreeBSD поставлялись с BIND.)

ЯДИФА

YADIFA [5] - это лицензированный BSD DNS-сервер с эффективным использованием памяти, написанный на C. Аббревиатура YADIFA означает еще одну реализацию DNS для всех . Он был создан EURid , который управляет доменом верхнего уровня .eu.

Особенности

Некоторые функции DNS актуальны только для рекурсивных серверов или авторитетных серверов. В результате матрица функций, подобная той, что представлена ​​в этой статье, не может сама по себе отражать эффективность или зрелость данной реализации.

Еще один важный квалификатор - это серверная архитектура. Некоторые DNS-серверы обеспечивают поддержку обеих ролей сервера в единой «монолитной» программе. Другие делятся на более мелкие программы, каждая из которых реализует подсистему сервера. Как и в классической дискуссии об микроядре в компьютерных науках , важность и полезность этого различия горячо обсуждается. В матрице функций в этой статье не обсуждается, предоставляются ли функции DNS в одной программе или в нескольких, при условии, что эти функции предоставляются с базовым серверным пакетом, а не с дополнительным программным обеспечением сторонних производителей.

Объяснение особенностей

Авторитетный
Основная категория функций DNS-сервера, см. Выше.
Рекурсивный
Основная категория функций DNS-сервера, см. Выше.
Рекурсивный контроль доступа
Серверы с этой функцией обеспечивают контроль над тем, на каких хостах разрешен рекурсивный поиск DNS. Это полезно для балансировки нагрузки и защиты служб.
Вторичный режим (или подчиненный режим)
Авторитетные серверы могут публиковать контент, исходящий из первичного хранилища данных (например, файлов зон или баз данных, подключенных к процессам бизнес-администрирования), иногда также называемых `` главными '' серверами, или могут быть
вторичными
(или подчиненными ) серверами, повторно публикуя контент, полученный с и синхронизируется с такими первичными серверами. Серверы с функцией «вторичного режима» имеют встроенную возможность извлекать и повторно публиковать контент с других серверов. Обычно, хотя и не всегда, это обеспечивается с помощью протокола AXFR DNS.
Кеширование
Серверы с этой функцией предоставляют рекурсивные службы для приложений и кэшируют результаты, чтобы на будущие запросы с тем же именем можно было быстро отвечать без полного поиска DNS. Это важная функция для повышения производительности, поскольку она значительно снижает задержку DNS-запросов.
DNSSEC
Серверы с этой функцией реализуют некоторые варианты протоколов DNSSEC . Они могут публиковать имена с подписями записей ресурсов (обеспечивая «безопасную службу авторизации») и могут проверять эти подписи во время рекурсивного поиска (обеспечивая «безопасный преобразователь»). DNSSEC становится все более распространенным, поскольку внедрение корневого ключа DNSSEC было выполнено ICANN . Развертывание на отдельные сайты растет, поскольку домены верхнего уровня также начинают развертывать DNSSEC. Наличие функций DNSSEC является важной характеристикой DNS-сервера.
TSIG
Серверы с этой функцией обычно предоставляют услуги DNSSEC. Кроме того, они поддерживают протокол TSIG , который позволяет клиентам DNS устанавливать безопасный сеанс с сервером для публикации динамических записей DNS или запроса безопасного поиска DNS без затрат и сложности полной поддержки DNSSEC.
IPv6
Серверы с этой функцией могут публиковать или обрабатывать записи DNS, относящиеся к адресам IPv6 . Помимо полной поддержки IPv6, они должны реализовать транспортный протокол IPv6 для запросов и зональных передач во вторичных / первичных отношениях и функций пересылки.
Подстановочный знак
Серверы с этой функцией могут публиковать информацию для записей с подстановочными знаками , которые предоставляют данные об именах DNS в зонах DNS, которые специально не указаны в зоне.
Разделить горизонт
Серверы с функцией DNS с расщеплением горизонта могут давать разные ответы в зависимости от исходного IP-адреса запроса.

Матрица характеристик

Сервер Авторитетный Рекурсивный Рекурсия ACL Вторичный режим Кеширование DNSSEC TSIG IPv6 Подстановочный знак Бесплатно программное обеспечение Интерфейс разделить горизонт
BIG-IP DNS да да да да да да да да да Нет API, командная строка да
BIND да да да да да да да Да (начиная с 9.x) Да (начиная с 4.x) да Интернет, командная строка да
PowerDNS да да да да да Да (с версии 3.0) Да (с версии 3.0) да да да REST, Интернет, командная строка Частичное
djbdns да да да да да Частичное Нет Частично через общие записи. [6] Частичное да командная строка и веб ( VegaDNS и NicTool ) да
dbndns да да да да да Нет Нет да Частичное да командная строка и веб да
pdnsd Частичное да Частичное Частичное да Нет Частичное да да да командная строка, программа pdnsd-ctl Частичное
MaraDNS да да да Частичное да Нет Нет Частичное да да командная строка Нет
Посадис да да да да да Нет Нет да да да командная строка, API Нет
Несвязанный Частичное да да Нет данных да да Нет да да да командная строка, API да
Dnsmasq Частичное Нет Нет Нет да Да (с версии 2.69) Нет да да да командная строка Частичное
НРД да Нет Нет данных да Нет данных да да да да да командная строка Нет
Узел DNS да Нет Нет данных да Нет данных да да да да да командная строка да
Узел Резольвер Нет да да Нет данных да да Нет да да да командная строка и веб Нет
ЯДИФА да Нет Нет данных да Нет данных да да да да да командная строка Нет
Microsoft DNS да да да да да да да да да Нет Графический интерфейс, командная строка, API, WMI , RPC да
Простой DNS Plus да да да да да да да да да Нет GUI, Интернет, командная строка да
Secure64 DNS Authority да Нет Нет да Нет да да да да Нет Командная строка или веб-интерфейс да
Secure64 DNS-кеш Нет да да Нет да да Нет да да Нет Командная строка или веб-интерфейс да
DNS-сервер Technitium да да Частичное да да Нет Нет да да да Веб-интерфейс и HTTP API Нет
Сервер Авторитетный Рекурсивный Рекурсия ACL Вторичный режим Кеширование DNSSEC TSIG IPv6 Подстановочный знак Бесплатно программное обеспечение Интерфейс разделить горизонт

Платформы

В этом обзоре поддержки операционной системы для обсуждаемого DNS-сервера следующие термины указывают уровень поддержки:

  • Нет означает, что он не существует или никогда не выпускался.
  • Частично означает, что пока сервер работает, ему не хватает важных функций по сравнению с версиями для других ОС; однако он все еще находится в стадии разработки.
  • Бета означает, что, хотя версия полностью функциональна и выпущена, она все еще находится в разработке (например, для обеспечения стабильности).
  • Да означает, что он был официально выпущен в полностью функциональной стабильной версии.
  • "Включено" означает, что сервер поставляется предварительно упакованным с операционной системой или интегрирован в нее.

Этот сборник не является исчерпывающим, а скорее отражает наиболее распространенные на сегодняшний день платформы.

Упаковка

Смотрите также

Рекомендации

внешние ссылки

5 бесплатных dns интернет-фильтров | Блог злобного админа

Главная » IT

DNS интернет-фильтр — это интернет сервис, который позволяет фильтровать нежелательные серверы в интерент по их доменным именам. Например сайт www.virus.org — распространяет вирус на компьютеры пользователей, которые на него заходят. Если у такого пользователя будет подключен интернет-фильтр на основе DNS то вместо зараженного сайта пользователь увидит сообщение о блокировке опасного сайта. То же самое произойдет с поддельным сайтом, который попытается украсть ваши пароли от соцсетей или номера кредитных карт. 

Еще одной сферой применения подобных фильтров является детская безопасность в интернет. Подобные сервисы позволяют включить блокировку не только сайтов с порнографией и насилием, но так же и сайты содержащие любые ссылки на них. Бонусом, некоторые интернет-фильтры могут блокировать и назойливую интернет-рекламу.

Значительным преимуществом является отсутствие необходимости в установке какого либо программного обеспечения на защищаемый компьютер. Все, что необходимо сделать — это прописать в настройках сетевого подключения компьютера нужный адрес DNS сервера, который и будет выполнять роль фильтра.

Как работает dns-фильтр

Сильно упрощенно это выглядит следующим образом:

  1. Пользователь вводит в строке браузера адрес сайта.
  2. Компьютер преобразует символьный адрес сайта в ip-адрес используя службу dns. Таким образом на сервер фильтра отправляется запрос с адресом сайта.
  3. Если адрес сайта на dns сервере не находится в черном списке, то компьютеру пользователя передаётся ip-адрес сервера обслуживающего сайт и пользователь получает в окне браузера содержимое сайта.
  4. Если адрес сайта находится в черном списке dns сервера, то пользователю передается ip-адрес специального веб-сервера который отображает в окне браузера пользователя сообщение о блокировке узла.

Как видите все просто и в целом достаточно эффективно. Область применения данных сервисов не ограниченна только домашними ПК. Если вы администратор сети предприятия то данные сервисы станут дополнительной защитой вашей сети, просто настройте резольвинг интернет-адресов вашей сети через dns-фильтр. Вы так же можете использовать фильтрацию на мобильных устройствах, таких как смартфоны или планшеты.

Общедоступные DNS-фильтры

На сегодняшний день существует много подобных сервисов и большинство из них предлагают возможности фильтрации бесплатно. У многих антивирусных компаний существуют свои закрытые и публичные dns-фильтры. Далее я перечислю наиболее известные публичные сервисы, которые уже проверены временем и людьми.

  1. Публичный DNS сервер Google. Этот сервер по сути создавался не для фильтрации, а для ускорения работы интернет за счёт очень быстрого резаольвинга, но кроме того публичный dns от Google так же фильтрует фишинговые и вредоносные серверы. Кроме того данный сервер умеет работать по IPv6
    Адреса DNS Google:
    IPv4 8.8.8.8, 8.8.4.4
    IPv6 2001:4860:4860::8888, 2001:4860:4860::8844
  2. OpenDNS — пожалуй старейший DNS-фильтр. Есть платные и бесплатные возможности. Умеет исправлять неправильно набранные адреса сайтов, а так же показывает страницу с поиском и рекламой, в случае если адрес исправить не удалось автоматически. Имеет профили для Родительского контроля доступные бесплатно после регистрации. Без регистрации декларируется быстрый резольвинг и фильтрацию вредоносных серверов. С недавних пор является частью компании Cisco.
    Адреса DNS OpenDNS:
    208.67.222.222
    208.67.220.220
    https://www.opendns.com/