Серверы днс: Что такое DNS-сервер — объясняем простыми словами

Содержание

DNS-сервер

DNS-сервер (Domain name server) — это протокол, который принимает от пользователей сети интернет запросы на доступ к сайтам в форме доменного имени www.site.com. Эти запросы требуют расшифровки доменных имен, которые легко воспринимаются и понимаются человеком. Однако для того, чтобы компьютер произвел соединение с веб-страницей c IP-адресом, соответствующим этому имени, требуется его преобразование в цифровой вид, поскольку компьютер может работать только с IP-адресами сайтов в двоичном представлении. Таким преобразованием и занимается DNS-сервер.

Если DNS-сервер установлен на выделенном хосте (физическом сервере), то им может также называться физический компьютер, на котором работает приложение протокола DNS.

DNS-сервер в общих чертах

В самых общих чертах DNS-сервер – это не только протокол, но база данных, в которой «прописаны» соответствия между именами хостов в буквенном виде, например,http://www.microsoft.com, и их IP-адресами в цифровом виде 192.

168.124.1. Можно сказать, что DNS – это «телефонная книга для интернета».

Однако, внутреннее устройство DNS сложнее, чем телефонная книга.

Во-первых, база данных DNS является распределенной. Каждый отдельный DNS-сервер содержит лишь относительно небольшую часть всех записей в сети интернет об именах хостов и их соответствий IP-адресам. В случае, если запрос клиента относится к доменному имени, записи о котором нет в базе данных DNS-сервера, он производит поиск другого сервера, где есть такая запись. Иногда такой поиск занимает несколько поочередных запросов с одного DNS-сервера на другой. Набор записей соответствия имен хостов IP-адресам называется «пространство имен» (namespace).

Во-вторых, процесс поиска и передачи запроса на нижележащие уровни пространства имен продолжается до тех пор, пока не будет найдет DNS-сервер, который содержит искомую запись соответствия DNS-имени точному IP-адресу. Если доменное имя по запросу не найдено, то пользователю возвращается сообщение о неудачном поиске.

В-третьих, в базе данных DNS-сервера содержатся и другие типы записей, кроме записей соответствия доменного имени IP-адресу. Например, это могут быть записи почтовой службы MX (Mail Exchanger), которые обеспечивают почтовые серверы (e-mail server) информацией, необходимой для пересылки электронных писем.

Для чего нужен сервис DNS

DNS используется для следующих целей:

  • Разрешение имен сайтов WWW (World Wide Web).
  • Маршрутизация сообщений на почтовые серверы и службы webmail.
  • Соединение серверов приложений, баз данных и промежуточных программ (middleware) внутри веб-приложения.
  • Создание виртуальных частных сетей VPN (Virtual Private Networks).
  • Предоставление доступа к программным средствам (Peer-to-peer).
  • Работа совместных онлайн-игр (Multiplayer games).
  • Работа служб мгновенных сообщений и онлайн-конференций.
  • Связь между устройствами, шлюзами и серверами интернета вещей.

Это все, что нужно знать о DNS-серверах в самых общих чертах. Если нужно поподробнее, но тоже не слишком детально, можно читать дальше.

Как работает DNS-сервер

Хотя считается, что DNS означает Domain Name Server, однако, более правильным будет название Domain Name System (система доменных имен). Это одна из основополагающих систем интернета, которая позволяет находить в сети нужную информацию или предоставлять информацию в сеть для общего или ограниченного доступа.

DNS – это протокол, входящий в набор протоколов (платформу) по обмену информацией в сети интернет, TCP/IP (Transfer Control Protocol / Internet Protocol).

При доступе к веб-сайту, отправке электронной почты, сообщений в мессенджере и пр., компьютер использует DNS-сервер для поиска домена, к которому нужно получить доступ. Этот процесс называется разрешением доменного имени (DNS name resolution) и представляет собой трансляцию имени нужного домена в цифровой IP-адрес, который может быть воспринят компьютером.

Это кажется довольно простой задачей. Однако это не так, если иметь в виду следующее:

  • В сети интернет используются миллиарды IP-адресов, а многие компьютеры, кроме IP-адреса, имеют также и читабельное для людей имя.
  • DNS-серверы всего мира обрабатывают в секунду миллиарды запросов в сети интернет.
  • Миллионы людей добавляют и изменяют доменные имена и IP-адреса ежедневно и ежечасно.

Чтобы справиться с такими масштабными задачами, DNS-сервер использует в работе эффективные средства построения сети, а также нижележащие интернет-протоколы (IP). Каждый компьютер (или устройство на базе компьютерного процессора), подключенный к интернету, имеет уникальный IP-адрес, причем часто в двух стандартах – IPv4 и IPv6. Различие между ними в том, что адрес IPv4 состоит из 32 двоичных разрядов, а IPv6 – из 128 разрядов. Понятно, что в адресном пространстве IPv6 можно разместить во много раз (даже порядков) больше устройств с уникальными IP-адресами.

Кто-то даже подсчитал, что на одном квадратном дюйме земной поверхности можно разместить около тридцати устройств с уникальным IP-адресом IPv6 в каждом.

Распределением IP-адресов занимается орган под названием IANA (Internet Assigned Numbers Authority).

Адрес IPv4 внешне выглядит как четыре десятичных числа, разделенных точками, например, 70.74.251.42. Для человека (если только он не профессионал в ИТ), такой вид IP-адреса мало о чем говорит, а для компьютера он точно описывает местоположение сервера (хоста), на котором находится нужная веб-страница или сайт.

Адрес IPv6 содержит восемь шестнадцатеричных чисел, разделенных двоеточиями, например 2001:0cb8:85a3:0000:0000:8a2e:0370:7334.

Некоторые адреса и диапазоны адресов помечены в IANA как зарезервированные для специальных функций. Например, адрес 127.0.0.1 используется для идентификации компьютера, на котором в данный момент работает пользователь.

Как генерируются и распределяются IP-адреса? Если говорить о персональном компьютере, то скорее всего IP-адрес для него будет получен от специального сервера в сети, который называется DHCP-сервер (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Термин «динамическая конфигурация» означает, что IP-адрес компьютера будет время от времени меняться. Например, если не включать компьютер в течение нескольких дней, то при новом включении он, скорее всего, получит новый IP-адрес. Пользователю данная операция заметна не будет. Но при желании можно выяснить свой текущий IP-адрес при помощи специальных команд операционной системы.

Есть, однако, компьютеры, на которых размещены веб-сайты и веб-страницы с общедоступной информацией (хостинг). Понятно, что таким серверам нужен постоянный, статический IP-адрес. Для закрепления статического IP-адреса за определенным сервером, его IP-адрес привязывается к уникальному MAC-адресу (Media Access Control) устройства, который присваивается при производстве.

Доменное имя

На рисунке показано доменное имя Amazon.co.uk, британского отделения американского интернет-магазина Amazon.

Пример доменного имени

Компания Amazon в качестве логотипа избрала свое зарегистрированное доменное имя, которое указывается на упаковках всех товаров, полученных из интернет-магазина Amazon.

Доменные имена представляют собой последовательность букв, разделенных точками. Последний в последовательности набор букв (в примере — «.uk») представляет собой т. н. «домен высшего уровня» (TLD, Top-Level Domain). Эти домены контролируются IANA и содержатся в «базе данных корневой зоны» (Root Zone Database).

В этой базе содержатся около 1000 доменных имен высшего уровня. Наиболее часто используемые из них следующие:

  • COM — коммерческие компании, для общего доступа.
  • NET — сетевые вебсайты, для общего доступа.
  • ORG — некоммерческие организации, для общего доступа.
  • EDU — школы и образовательные учреждения.
  • MIL — выделенное доменное имя для армии США.
  • GOV — выделенное доменное имя для правительства США.
  • US, UK, RU и другие двухбуквенные коды стран — имена присваиваются национальными регуляторами отдельных стран.

Перед точкой в доменном имени высшего уровня обычно идет имя сайта, сервиса или наименование организации, на которую зарегистрирован домен, например itelon. ru. Либо это может быть другое слово, каким-то образом обозначающее эту организацию. Чаще всего это точное совпадение с названием компании, но так бывает не всегда.

Известна деятельность т. н. киберсквоттеров, которые регистрируют коммерческие названия известных компаний в национальных доменах на себя в надежде продать доменное имя этой компании, когда она придет в ту или иную страну. Например, некоторое время назад, компания Nokia не могла зарегистрировать сайт в России вида nokia.ru. Это имя уже было зарегистрировано каким-то киберсквоттером и на главной (и единственной) странице этого сайта было написано, что это —клуб по обсуждению недостатков корейских автомобилей No KIA. Никакого клуба там, конечно, не было. Компания Nokia не пошла на поводу у вымогателей и зарегистрировала другое доменное имя, с дополнительными буквами перед .ru. В настоящее время этот вид вымогательства уже практически исчез, т. к. национальные суб-домены стало можно делать внутри главных доменов в сегменте .

com, например, https://www.nokia.com/ru_int/ — для России, https://www.nokia.com/de_int/ — для Германии, и пр. На главной странице любого национального домена обычно бывает меню, где можно выбрать любой национальный суб-домен.

Буквы с левого края имени домена, например, www или mail, — это имя хоста (host name). Оно определяет имя сервера, выполняющего определенные функции в домене.

Наконец, протокольная часть имени http означает Hypertext Transfer Protocol («протокол передачи гипертекста»), при помощи которого происходит обмен информацией пользователя с веб-сайтом. В настоящее время более часто используется https, то есть протокол обмена с функциями безопасности (security), который передает данные в зашифрованном виде. Например, если вы хотите ввести номер кредитной карты на сайте интернет-магазина, а в адресной строке сайта магазина стоит http (а не https), то от такой операции лучше воздержаться, т. к. номер карты и ее трехзначный номер CVV могут быть перехвачены злоумышленниками.

Если это htpps, то сведения передаются в зашифрованном виде, ключ шифра при этом взломать практически невозможно, во всяком случае за время транзакции это сделать точно нельзя.

Поскольку все имена в домене должны быть уникальными, то должны быть и средства проверки отсутствия совпадающих имен. Этим занимаются т. н. регистраторы доменных имен (registrar). Регистратор – это орган, который может выдавать доменные имена в одном или нескольких доменах высшего уровня и регистрировать их при помощи сервиса InterNIC — корпорации по управлению доменными именами и IP-адресами ICANN (Internet Corporation for Assigned Names and Numbers), которая следит за уникальностью доменных имен на просторах интернета. После регистрации доменное имя заносится в базу данных, которая называется Whois («кто это»).

Распределенная система

Три буквы WWW в доменном имени расшифровываются как World Wide Web («всемирная паутина»). Их наличие в доменном имени означает, что при запросе через службу www пользователь ищет что-то в сети. Сейчас эти буквы в доменном имени часто отсутствуют, поскольку если их нет, то по умолчанию подразумевается запрос DNS в домене высшего уровня WWW.

В эпоху раннего интернета, когда пропускная способность сети была невысокой и DNS-серверов было не так много, аббревиатура WWW иногда расшифровывалась как World Wide Waiting («всемирное ожидание»). Пока открывался сайт, иногда можно было сходить на кухню и заварить чай, а вернувшись, увидеть, что сайт еще не открылся.

Если вместо www в адресной строке браузера указано, например, mail, то это домен почтовой службы, где клиент может получить и отправить почту на почтовом сервере (mail server).

Здесь также могут быть буквы ftp (File Transfer Protocol), означающие протокол передачи файлов. При вводе имени, начинающегося с букв ftp в браузере не будет открываться никакой сайт, но отобразится некое дерево папок, в которых хранятся файлы, похожее на проводник в ОС Windows. Это, наверное, самый древний протокол, который использовался еще до возникновения интернета как такового.

Никакая другая база данных в мире не получает столько запросов в единицу времени и не модифицируется так часто, как база доменных имен в сети WWW из DNS-серверов. Эта база распределена по всему миру на миллионах компьютеров, ею пользуются и ее модифицируют миллионы людей, и тем не менее, она работает как единая интегрированная база данных! И ни одна подобная база данных не работает столь продолжительное время, как DNS. Это поразительный факт.

Задачи DNS-сервера

Основные задачи сервера DNS – следующие:

Работа DNS-сервера

DNS-сервер, к которому обращается клиент (шаг 1 на рис. 1), обычно управляется интернет-провайдером клиента ISP (Internet Service Provider). Как указывалось ранее, DNS-сервер провайдера ISP является частью сетевой конфигурации, которую клиент при подключении к сети получает от протокола DHCP. DNS-сервер провайдера обрабатывает запросы следующим образом:

  • Если запрошенное клиентом доменное имя и соответствующий ему IP-адрес содержатся в базе данных DNS-сервера провайдера, то он выполняет разрешение доменного имени (перевод его в IP-адрес) самостоятельно.
  • Если запрошенного доменного имени нет в базе данных DNS-сервера провайдера, он связывается с другим DNS-сервером. Таких операций может быть несколько (задача 2).
  • Если DNS-сервер получает ответ от другого DNS-сервера об успешном нахождении доменного имени и соответствующего ему IP-адреса, то он сообщает об этом клиенту и заносит эти данные в свой кэш на определенное время, чтобы при поступлении повторных запросов того же домена отправлять их без задержки клиенту, без опроса других DNS-серверов (задачи 3 и 4).
  • Если попытка поиска нужного доменного имени на других серверах не увенчалась успехом, то DNS-сервер провайдера возвращает клиенту (обычно в пределах минуты) сообщение о том, что такого имени не существует или оно введено неверно.

DNS-сервер, который управляет определенным доменом, называется «началом власти» (да, именно так) для этого домена — SOA (Start Of Authority). Постепенно, результаты запросов имен хостов на SOA распространяются на другие DNS-серверы, которые распространяют их на следующие DNS-серверы и так далее по всему интернету.

Такое распространение – результат того, что каждый DNS-сервер кэширует (сохраняет на определенное время во временном буфере) результаты поиска. Это время называется TTL (Time To Live), и оно может быть от нескольких минут до нескольких дней. Продолжительность TTL устанавливают администраторы серверов, поэтому этот показатель может варьироваться по сети интернет.

В эту паутину DNS-серверов входят также серверы корневых имен (root name servers), которые стоят во главе иерархии определенного домена. В каждом домене высшего уровня их может быть несколько сот. Хотя поиск доменного имени не обязательно должен начинаться с корневого сервера, к нему может быть обращение в качестве последней инстанции при неудачном поиске доменного имени.

Вот, например, как организована иерархия системы DNS такого известного ресурса, как Википедия:

На август 2020 года в мире существует 13 корневых серверов, которые управляются 12 организациями. Интерактивную карту корневых серверов и их реплик можно найти на сайте https://root-servers. org/. На этом сайте есть интерактивная карта, где можно получить более подробное расположение корневых серверов и их реплик.

Карта корневых серверов и их реплик (источник: root-servers.org)

Типы DNS-серверов

  • Авторитативный DNS-сервер. Авторитативный DNS-сервер дает возможность управления публичными именами DNS и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных DNS-серверов.
  • Рекурсивный DNS-сервер. Если рекурсивный DNS-сервер хранит информацию в кэше или хранилище в течение определенного времени, тогда он сам отвечает на DNS-запрос, предоставляя клиенту нужный ему IP-адрес. Если он не хранит эту информацию, он передает запрос в один или несколько авторитативных DNS-серверов, которые выдают ему информацию для клиента.

Создание нового доменного имени

Чтобы создать доменное имя нужно сделать следующее:

  • Найти уникальное незарегистрированное доменное имя, которое можно проверить по базе данных Whois. Есть ряд сайтов, которые предлагают услугу бесплатного поиска по Whois.
  • Зарегистрировать имя у одного из многочисленных регистраторов. Цена регистрации обычно зависит от домена: COM, NET, INFO, ORG, либо национальный домен (RU).
  • Можно также воспользоваться услугами сторонней компании, оказывающей услуги хостинга (хостер), которая от имени клиента произведет регистрацию у регистратора и даже выберет для него уникальное имя в соответствии с его пожеланиями.

Аренда DNS-сервера у регистратора или компании, оказывающей услуги хостинга, называется «парковкой домена» (parked domain). В этом случае физический DNS-сервер будет частью большой конфигурации DNS в компании-хостере.

Можно также самостоятельно установить у себя свой собственный DNS-сервер, который может быть как физической, так и виртуальной машиной. В последнем случае этот сервер будет физически находиться у провайдера, но это будет не провайдер интернет, а провайдер услуг дата-центра. Этот сервер становится SOA (Start Of Authority) для собственного домена.

В любом случае далее можно расширять и модифицировать установки DNS и добавлять суб-домены, получать и отправлять электронную почту в домене и управлять другими сервисами. Установки хранятся в «зоновом файле» (zone file) на DNS-сервере. Если DNS-сервер у клиента собственный, то, возможно, ему понадобится самостоятельно редактировать этот файл в текстовом редакторе. Многие регистраторы предоставляют специальный веб-интерфейс для администрирования установок зонового файла DNS клиента. Эти установки называются записями (records). Вот примеры этих записей:

  • Host (A) — основная запись о соответствии IP-адреса имени хоста.
  • Canonical Name (CNAME, каноническое имя) — это название домена. При вводе CNAME в адресную строку браузера происходит переадресация на IP-адрес Host (A).
  • Mail Exchanger (MX, почтовый обменник) — сервис, перенаправляющий электронную почту на специальный почтовый сервер, IP-адрес которого указан в записи MX. Например, если владелец домена использует почту Google в качестве службы e-mail, то в записи MX будет направление вида ghs.google.com.
  • Name Server (NS, сервер имен) — конфигурация этой записи информирует другие DNS-серверы о том, что данный DNS-сервер является SOA для данного домена.
  • Start of Authority (SOA) — это запись в начале каждого зонового файла на первичном сервере зоны и некоторая другая информация. В случае использования хостинга DNS-сервера у регистратора или хостера клиент не может самостоятельно управлять этой записью.

Рис. 5. Пример веб-интерфейса для редактирования записей DNS (источник: presslabs.com).

Для обычных пользователей наибольший интерес представляют записи MX и CNAME. MX позволяет направлять почту в другой почтовый сервис. CNAME дает возможность указывать для домена пользователя имена хостов в других местоположениях. Например, это может быть запись google.example.com для перенаправления на google. com.

Эволюция DNS

DNS – это не неизменная концепция. В ней постоянно появляются новые службы и функции. Например, в конце 2018 года корпорация ICANN ввела новые функции безопасности для системы DNS, включающие изменения криптографических ключей в протоколе безопасности DNSSEC (Domain Name System Security Extensions), такие как основной ключ входа KSK (Key Signing Key) для корневой зоны (root zone). Поскольку интернет постоянно развивается и разрастается, в частности, в области интернета вещей, поэтому и понадобились новые функции безопасности.

Меры безопасности очень важны, поскольку хакеры-криминалы находят все новые возможности взлома DNS-систем с целью похищения персональной информации или нарушения нормальной работы системы.

Однако ставки здесь могут быть и выше. Изощренные ИТ-профессионалы, организации и даже авторитарные политические режимы могут отслеживать трафик DNS. Эта информация может быть использована для разного рода злонамеренных действий, атак на государственные и корпоративные информационные системы, причем, обнаружение таких атак либо сильно затруднено, либо требует большего времени.

В 2018 году регулятор IETF (Internet Engineering Task Force) утвердил стандарт протокола DNS-over-HTTPS, который использует шифрование трафика между DNS-серверами, и, таким образом, обеспечивает более высокий уровень защиты персональных данных.

Аппаратные требования к DNS-серверу

Аппаратные требования к DNS-серверам, в общем, невысоки и для них можно использовать серверы начального и среднего уровня. Часто в качестве DNS-серверов используют списанные серверы, которые раньше обрабатывали активную нагрузку в дата-центрах. Однако конфигурация DNS-сервера требует достаточного опыта ИТ-профессионала, чтобы правильно установить записи на нем, например, размер и время хранения информации для кэша.

DNS сервер BIND (теория) / Хабр

Основная цель DNS — это отображение доменных имен в IP адреса и наоборот — IP в DNS. В статье я рассмотрю работу DNS сервера BIND (Berkeley Internet Name Domain, ранее: Berkeley Internet Name Daemon), как сАмого (не побоюсь этого слова) распространенного. BIND входит в состав любого дистрибутива UNIX. Основу BIND составляет демон named, который для своей работы использует порт UDP/53 и для некоторых запросов TCP/53.
Основные понятия Domain Name System

Исторически, до появления доменной системы имен роль инструмента разрешения символьных имен в IP выполнял файл /etc/hosts, который и в настоящее время играет далеко не последнюю роль в данном деле. Но с ростом количества хостов в глобальной сети, отслеживать и обслуживать базу имен на всех хостах стало нереально затруднительно. В результате придумали DNS, представляющую собой иерархическую, распределенную систему доменных зон. Давайте рассмотрим структуру Системы Доменных Имён на иллюстрации:


Доменная структура DNS представляет собой древовидную иерархию, состоящую из узлов, зон, доменов, поддоменов и др. элементов, о которых ниже пойдет речь. «Вершиной» доменной структуры является корневая зона. Настройки корневой зоны расположены на множестве серверов/зеркал, размещенных по всему миру и содержат информацию о всех серверах корневой зоны, а так же отвечающих за домены первого уровня (ru, net, org и др). Информация о серверах корневой зоны расположена на данном сайте корневых серверов. Настройки корневой зоны всегда доступны тут. Серверы корневой зоны обрабатывают и отвечают на запросы, выдавая информацию только о доменах первого уровня (то есть отвечают на любые запросы, как на нерекурсивные)! Итак, уже много раз повторилось слово зона. Пора этот термин объяснить.

Зона — это любая часть дерева системы доменных имен, размещаемая как единое целое на некотором DNS-сервере. Зону, для бОльшего понимания, можно назвать «зоной ответственности». Целью выделения части дерева в отдельную зону является передача ответственности (Делегирование) за эту ветвь другому лицу или организации. На иллюстрации, примеры зон выделены синим градиентом (зона name., зона k-max.name. со всем подчиненными ресурсами, www.openoffice.org со всем подчиненными поддоменами и ресурсами). На иллюстрации выделены не все зоны, а лишь некоторые для общего понимания и представления. В каждой зоне имеется, по крайней мере, один авторитетный сервер DNS, который хранит ВСЮ информацию о зоне, за которую он отвечает.

Домен — это именованная ветвь или поддерево в дереве имен DNS, то есть это определенный узел, включающий в себя все подчиненные узлы. Следующая цитата из книги Linux Network Administrators Guide хорошо проясняет картину относительно разницы между зоной и доменом:

Таким образом, пространство имен раздроблено на зоны ( zones), каждая из которых управляется своим доменом. Обратите внимание на различие между зоной (zone) и доменом (domain): домен groucho.edu затрагивает все машины в университете Groucho Marx, в то время как зона groucho.edu включает только хосты, которые работают в непосредственно компьютерном центре, например в отделе математики. Хост в отделе физики принадлежат другой зоне, а именно physics.groucho.edu.

Каждый узел в иерархии DNS отделен от своего родителя точкой. Если провести аналогию с файловой системой Linux, система доменных имен имеет похожую структуру, за тем исключением, что разделитель в файловой системе — слэш, а в DNS — точка. А так же DNS адрес читается справа налево (от корневого домена к имени хоста) в отличии от пути в файловой системе Linux. Доменное имя начинается с точки (корневого домена) и проходит через домены первого, второго и если нужно третьего и т.д. уровней и завершается именем хоста. Т.о. доменное имя полностью отражает структуру иерархии DNS. Часто (я бы сказал — всегда в повседневной жизни), последняя точка (обозначение корневого домена) в доменном имени опускается (то есть в браузере мы вводим не k-max.name., а k-max.name). Итак, разобрав структуру доменного имени, мы незаметно подошли к понятию FQDN.

FQDN (англ. Fully Qualifed Domain Name, полностью определённое имя домена) — это имя домена, однозначно определяющее доменное имя и включающее в себя имена всех родительских доменов иерархии DNS, в том числе и корневого. Своеобразный аналог абсолютного пути в файловой системе. Давайте разберем вышесказанное на примере имени домена mail.k-max.name:

mail.k-max.name.
 |     |  |  | |
 |     |  |  | +-корневой домен
 |     |  |  +---домен первого уровня
 |     |  +------точка, разделяющая домены/части FQDN
 |     +---------домен второго уровня
 +---------------поддомен/домен третьего уровня, возможно - имя хоста

Различие между FQDN и обычным доменным (неFQDN) именем появляется при именовании доменов второго, третьего (и т. д.) уровня. Для получения FQDN требуется обязательно указать в доменном имени домены более высокого уровня (например, mail является доменным именем, однако FQDN имя выглядит как mail.k-max.name.). Максимальный размер FQDN — 255 байт, с ограничением в 63 байта на каждое имя домена.

Поддомены, коротко говоря, это — подчиненные домены. По большому счету, все домены в интернете являются подчиненными за исключением корневого. Например домен k-max является поддоменом домена name, а name, в свою очередь — поддоменом корневого домена.

Итак, на схеме выше мы рассмотрели корневой домен, следующим в иерархии идут домены первого/верхнего уровня, они же TLD, они же Top-Level Domain. К данным доменам относятся национальные домены (ru., ua. и др) и общие домены (com., net., и др). Существуют так же специализированные домены, которые не опубликованы в системе DNS, но используются программами (домен .onion используется анонимной сетью Tor для перехвата и последующей маршрутизации обращений к скрытым сервисам этой сети). Еще есть т.н. зарезервированные доменные имена, определенные в RFC 2606 (Reserved Top Level DNS Names — Зарезервированные имена доменов верхнего уровня) определяет названия доменов, которые следует использовать в качестве примеров (например, в документации), а также для тестирования. К таким именам относятся например example.com, example.org и example.net, а также test, invalid и др. Ниже по иерархии, как видно, идут домены третьего уровня и т.д. Заканчивается доменная иерархия — именами хостов, которые задаются соответствующими ресурсными записями или хостовыми записями.

Ресурсные записи

Ресурсная запись — это то, собственно ради чего в конечном счете и существует DNS. Ресурсная запись — это единица хранения и передачи информации в DNS. Каждая такая запись несет в себе информацию соответствия какого-то имени и служебной информации в DNS, например соответствие имени домена — IP адреса.
Запись ресурса состоит из следующих полей:

  • имя (NAME) — доменное имя, к которому привязана или которому «принадлежит» данная ресурсная запись, либо IP адрес. При отсутствии данного поля, запись ресурса наследуется от предыдущей записи.
  • Time To Live (TTL) — дословно «время жизни» записи, время хранения записи в кэше DNS (после указанного времени запись удаляется), данное поле может не указываться в индивидуальных записях ресурсов, но тогда оно должно быть указано в начале файла зоны и будет наследоваться всеми записями.
  • класс (CLASS) — определяет тип сети, (в 99,99% случаях используется IN (что обозначает — Internet). Данное поле было создано из предположения, что DNS может работать и в других типах сетей, кроме TCP/IP)
  • тип (TYPE) — тип записи синтаксис и назначение записи
  • данные (DATA) — различная информация, формат и синтаксис которой определяется типом.

При этом, возможно использовать следующие символы:
  • ;   —  Вводит комментарий
  • #  —  Также вводит комментарии (только в версии BIND 4.9)
  • @  — Имя текущего домена
  • ( )    — Позволяют данным занимать несколько строк
  • *    — Метасимвол (только в поле имя)

Со всем набором ресурсных записей можно ознакомиться в wikipedia. Наиболее часто применяемые ресурсные записи следующими (далее, мы обязательно рассмотрим их на практике):
  • A — (address record/запись адреса) отображают имя хоста (доменное имя) на адрес IPv4. Для каждого сетевого интерфейса машины должна быть сделана одна A-запись. Например, следующая запись отображает доменное имя k-max.name. в IPv4 адрес хоста 81.177.139.65 (поле NAME k-max.name., поле TTL 86400, поле CLASS IN, поле DATA 81.177.139.65):
    k-max.name.             86400   IN      A       81.177.139.65
  • AAAA (IPv6 address record) аналогична записи A, но для IPv6.
  • CNAME (canonical name record/каноническая запись имени (псевдоним)) — отображает алиас на реальное имя (для перенаправления на другое имя), например, следующая запись задает алиас ftp для хоста www.k-max.name.:
    ftp             86400   IN      CNAME       www.k-max.name.
  • MX (mail exchange) — указывает хосты для доставки почты, адресованной домену. При этом поле NAME указывает домен назначения, поля TTL, CLASS — стандартное значение, поле TYPE принимает значение MX, а поле DATA указывает приоритет и через пробел — доменное имя хоста, ответственного за прием почты. Например, следующая запись показывает, что для домена k-max.name направлять почту сначала на mx.k-max.name, затем на mx2.k-max.name, если с mx.k-max.name возникли какие-то проблемы. При этом, для обоих MX хостов должны быть соответствующие A-записи:
    k-max.name.             17790   IN      MX      10 mx.k-max.name.
    k-max.name.             17790   IN      MX      20 mx2.k-max.name.
  • NS (name server/сервер имён) указывает на DNS-сервер, обслуживающий данный домен. Вернее будет сказать — указывают сервера, на которые делегирован данный домен. Если записи NS относятся к серверам имен для текущей зоны, доменная система имен их практически не использует. Они просто поясняют, как организована зона и какие машины играют ключевую роль в обеспечении сервиса имен. Например, зону name. обслуживают следующие NS:
    name.                   5772    IN      NS      l6.nstld.com.
    name.                   5772    IN      NS      m6.nstld.com.
    name.                   5772    IN      NS      c6.nstld.com.
    name.                   5772    IN      NS      j6.nstld.com.
    ......

    зону k-max.name обслуживают:
    k-max.name.             1577    IN      NS      ns2.jino.ru.
    k-max.name.             1577    IN      NS      ns1.jino.ru.
  • PTR (pointer) — отображает IP-адрес в доменное имя (о данном типе записи поговорим ниже в разделе обратного преобразования имен).
  • SOA (Start of Authority/начальная запись зоны) — описывает основные/начальные настройки зоны, можно сказать, определяет зону ответственности данного сервера. Для каждой зоны должна существовать только одна запись SOA и она должна быть первая. Поле Name содержит имя домена/зоны, поля TTL, CLASS — стандартное значение, поле TYPE принимает значение SOA, а поле DATA состоит из нескольких значений, разделенных пробелами: имя главного DNS (Primary Name Server), адрес администратора зоны, далее в скобках — серийный номер файла зоны (Serial number). При каждом внесении изменений в файл зоны данное значение необходимо увеличивать, это указывает вторичным серверам, что зона изменена, и что им необходимо обновить у себя зону. Далее — значения таймеров (Refresh — указывает, как часто вторичные серверы должны опрашивать первичный, чтобы узнать, не увеличился ли серийный номер зоны, Retry — время ожидания после неудачной попытки опроса, Expire — максимальное время, в течение которого вторичный сервер может использовать информацию о полученной зоне, Minimum TTL — минимальное время, в течение которого данные остаются в кэше вторичного сервера). Ниже в примере приведено 2 одинаковые записи SOA (хотя вторая и записана в несколько строк), но они одинаковы по значению и формат записи второй более понятен в силу его структурированности:
    k-max.name.             86400   IN      SOA     ns1.jino.ru. hostmaster.jino.ru. 2011032003 28800 7200 604800 86400
    k-max.name.             86400   IN      SOA     ns1.jino.ru. hostmaster.jino.ru. (
                                                      2011032003 ; serial (серийный номер)
                                                      28800 ; refresh (обновление)
                                                      7200 ; retry (повторная попытка)
                                                      604800 ; expire (срок годности)
                                                      86400) ; minimum TTL (минимум)
  • SRV (server selection) — указывают на сервера, обеспечивающие работу тех или иных служб в данном домене (например  Jabber и Active Directory).

Давайте рассмотрим, что есть Делегирование. Делегирование (корректнее сказать делегирование ответственности) — это операция передачи ответственности за часть дерева доменных имен (зону) другому лицу или организации. За счет делегирования, в DNS обеспечивается распределенность администрирования и хранения зон. Технически, делегирование заключается в выделении какой-либо части дерева в отдельную зону, и размещении этой зоны на DNS-сервере, принадлежащем другому лицу или организации. При этом, в родительскую зону включаются «склеивающие» ресурсные записи (NS и А), содержащие указатели на авторитативные DNS-сервера дочерней зоны, а вся остальная информация, относящаяся к дочерней зоне, хранится уже на DNS-серверах дочерней зоны. Например, на иллюстрации корневой домен делегирует полномочия серверам отвечающим за TLD, TLD же в свою очередь, делегируют полномочия управления зонами — серверам второго уровня, иногда на этом цепочка заканчивается, но бывает, что делегирование простирается до 4 и даже 5 уровней.

Для бОльшего понимания, приведу пример. Делегирование управления поддоменом k-max.name другому лицу (в моем случае — хостеру) приводит к созданию новой зоны, которая администрируется независимо от остального пространства имен (независимо от вышестоящего name.). Зона k-max.name после делегирования полномочий теперь не зависит от name. и может содержать все (вернее сказать — любые имена, которые я захочу) доменные имена, которые заканчиваются на *.k-max.name. С другой стороны, зона name. содержит только доменные имена, оканчивающиеся на *.name., но не входящие в делегированные этой зоны, такие, например, как k-max.name или a-lab.name или любая другая. k-max.name может быть поделен на поддомены с именами вроде mail.k-max.name, ftp.k-max.name и некоторые из этих поддоменов могут быть выделены в самостоятельные зоны, и ответственность за данные зоны может так же быть делегирована. Если ftp.k-max.name будет являться самостоятельной зоной, то зона k-max.name не будет содержать доменные записи, которые заканчиваются на *.ftp.k-max.name.

Т.о. после делегирования ответственности, информация хранимая делегирующей зоной уже не включает информацию по делегированному поддомену и его ресурсным записям хостов, а хранит информацию о серверах имен, являющихся для делегируемого поддомена авторитативными. Это и есть «склеивающие» записи, о чем я выше уже говорил. В таком случае, если у DNS-сервера родительского домена запрашиваются данные об адресе, принадлежащем делегированному поддомену, в ответ предоставляется список DNS-серверов, которые обладают соответствующей информацией.

Серверы DNS

Выше, при рассмотрении типов ресурсных записей я упоминал о первичном и вторичном сервере. Кроме данных типов, существует еще один тип — кэширующий.

Главный сервер DNS (он же первичный, он же master, он же primary) — это авторитетный сервер (иногда называют — авторитативный, как правильнее называть — не знаю), который хранит главную копию файла данных зоны, сопровождаемую администратором системы.

Вторичный сервер — тоже является авторитетным, но он копирует главный файл зоны с первичного сервера. Отличие главного от вторичного лишь в том, что главный загружает свою информацию из конфигурационных файлов зоны, а вторичный — загружает (получает) настройки зон — с главного сервера. Вторичный DNS может получать свои данные и от другого вторичного сервера. Любой запрос относительно хоста в пределах зоны, за которую отвечает авторитетный сервер, будет в конце концов передан одному из этих серверов (главному или вторичному). Вторичных серверов может быть сколько угодно много. В зависимости от настроек, главный сервер может посылать вторичному сигнал о изменении зоны, при этом вторичный, получив сигнал производит копирование. Данное действие называется трансфер зоны (zone transfer). Существует два механизма копирования зоны: полное копирование (AXFR) и инкрементальное (incremental) копирование зоны (IXFR).

Кэширующие серверы НЕ АВТОРИТЕТНЫ, данные серверы хранят в памяти (кэше), ответы на предыдущие запросы, если данный сервер получил запрос, то он сначала просматривает информацию в кэше, и если в кэше не оказалось необходимого ответа, то отправляет запрос вышестоящему серверу DNS.

Возможно так же настроить DNS в режиме stels (т.н. невидимый), информацию о данном сервере невозможно получить используя прямые запросы. Это может быть полезно для организации primary сервера в защищенной среде и тем самым оградить зону от атак на зону.

Клиенты DNS (resolver)

Как же программы на конечных машинах знают куда и в каком виде посылать запросы DNS? Они этого не знают. Для разрешения имен и IP адресов клиентскими приложениями используется библиотека Resolver. Это не какое-то специальное приложение, это функциональность системы (ядра). Т.о. приложения посылают системные вызовы gethostbyname(2) и gethostbyaddr(2), а ядро уже на основании настроек в файле /etc/nsswitch.conf определяет по какому пути ему далее действовать. Данный файл определяет какие сервисы (будь то файл /etc/hosts или DNS) и в каком порядке использовать. В ранних версиях библиотеки Linux — libc, использовался файл /etc/host.conf. Вот фрагмент файла, который нас интересует:
root@DNS:~# cat /etc/nsswitch.conf
......
hosts:          files dns
networks:       files

Две строки данного фрагмента указывают ядру производить преобразование имен хостов в IP (строка hosts: files dns) сначала из файла hosts, затем силами DNS, а так же преобразование имен сетей в IP (строка networks: files) с помощью файла /etc/network.Возможны так же параметры nis или nisplu, определяющие использовать Network Information System (NIS) чтобы найти адрес. Порядок, в котором перечислены сервисы, определяет последовательность их опроса.
Если согласно /etc/nsswitch.conf запрос отправляется DNS, то используются настройки из файла /etc/resolv.conf, который определяет какие серверы DNS использовать. Вот типичный пример файла /etc/resolv.conf:
root@DNS:~# cat /etc/resolv.conf
nameserver 192.168.1.1
nameserver 192.168.1.2
domain  examle.com

Директива nameserver определяет адрес сервера доменных имен, который будет выполнять рекурсивные запросы resolver. В данном файле указано использовать север имен сначала 192.168.1.1 затем, если первый не смог обработать запрос, 192.168.1.2. Рекомендуется не использовать более 3х параметров nameserver. Если опция nameserver не задана, то резолвер попытается соединиться с сервером на локальном хосте. Параметр domain определяет заданное по умолчанию имя домена, которое будет подставлено, когда DNS не удастся найти имя хоста. Существует так же опция search, которая задает дополнительные домены, в которых необходимо произвести поиск и разрешение имени хоста. Опции search и domain нельзя использовать совместно.

Кроме кэша на ДНС сервере, существуют кэши интернет-браузеров, кэши резолверов. Довольно прозрачную картину предоставляет Wikipedia:

Запросы DNS

В DNS имеются следующие типы запросов: итеративный (он же прямой), обратный и рекурсивный.

Итеративный (он же прямой, он же нерекурсивный) запрос посылает доменное имя DNS серверу и просит вернуть либо IP адрес этого домена, либо имя DNS сервера, авторитативного для этого домена. При этом, сервер DNS не опрашивает другие серверы для получения ответа. Так работают корневые и TLD серверы.

Рекурсивный запрос посылает DNS серверу доменное имя и просит возвратить IP адрес запрошенного домена. При этом сервер может обращаться к другим DNS серверам.

Обратный запрос посылает IP  и просит вернуть доменное имя.

Любой DNS-server должен отвечать на итеративные запросы. Возможно настроить DNS отвечать и на рекурсивные запросы. Если DNS не настроен отвечать на рекурсивные запросы, он обрабатывает их как итеративные.

Обычно, провайдер выдает в локальной сети стоит DNS-сервер, обрабатывающий рекурсивные запросы, а так же, скорее всего, он настроен на кэширование запросов, что экономит трафик и снижает нагрузку на сеть. Схему взаимодействия клиента и DNS серверов можно представить следующей картинкой:

Давайте разберем, что тут нарисовано по шагам:

  1. Клиент (браузер, почтовая программа, либо любое другое приложение) отправляет запрос резолверу, резолвер на основании указанных конфигов определяет адрес настроенного сервера имен.
  2. Резолвер посылает запрос указанному серверу имен.
  3. Сервер имен принимает данный рекурсивный запрос и, т.к. не имеет информации ни о домене, ни, возможно, даже о зоне name., отправляет рекурсивный (или нерекурсивный в зависимости от настроек) запрос серверу, отвечающему за корневую зону.
  4. Сервер корневой зоны не обрабатывает рекурсивные запросы, в результате обрабатывает данный запрос как итеративный и возвращает имя и адрес сервера, авторитетного за зону name.
  5. Сервер последовательно продолжает опрашивать авторитативные сервера для последующих зон, в порядке убывания уровня зон в имени
  6. пока не получает удовлетворительный ответ, данных шагов может быть больше, в зависимости от длины доменного имени
  7. и «вложенности» доменных имен.
  8. В итоге, сервер получает необходимый ответ от сервера имен, хранящего необходимую ресурсную запись о хосте.
  9. Сервер провайдера локальной сети возвращает резолверу клиента запрошенные данные.

Обычно, количество шагов сокращено до минимума, т.к. на пути прохождения запросов встречается кэширующий сервер, который хранит необходимую информацию в кэше. В данной схеме может возникнуть вопрос: каким образом локальный DNS сервер, получивший рекурсивный запрос от резолвера, выбирает DNS-сервер из списка авторитативных? Существует множество корневых DNS-серверов в сети Интернет, какому из корневых серверов наш DNS-сервер отправит запрос?

Для решения данного вопроса DNS-серверы BIND используют метрику, называемую временем отклика (roundtrip time, или RTT), для выбора среди авторитативных DNS-серверов одной зоны. RTT определяет задержку, с которой приходит ответ на запросы от удаленного сервера. Каждый раз, при передаче запроса удаленному серверу, DNS-сервер BIND запускает внутренний таймер. Таймер останавливается при получении ответа, и метрика фиксируется локальным сервером. Если приходится выбирать один из нескольких авторитативных серверов, выбор падает на сервер с наименьшим показателем RTT.

До того как BIND впервые послал запрос какому-либо серверу и получил от него ответ, удаленному серверу присваивается случайное значение RTT, которое меньше, чем все прочие, полученные на основании замеров. Таким образом, DNS BIND гарантированно опросит все авторитативные серверы для определенной зоны случайным образом, прежде чем начнет выбирать предпочтительный на основании метрики.

Ответы DNS сервера

Ответы DNS бывают следующего типа:
  • Авторитативный ответ (authoritative response) приходит от серверов, являющихся ответственными за зону.
  • Неавторитативный ответ (non authoritative response) приходит от серверов, которые не отвечают за зону (от кэширующих).

Ответ DNS обычно содержит следующую информацию:
  • Запись заголовка — служебную информацию о запросе.
  • Запись запроса — повторяет отправленный запрос.
  • Запись ответа — собственно, сам ответ.
  • Записи авторитетных серверов — информацию об авторитетных серверах, хранящих информацию по текущему запросу.
  • Дополнительную информацию — дополнительные записи, например адреса NS-серверов.

Вышенаписанное наглядно подтверждается утилитой dig:
root@DNS:~# dig ya.ru
; <<>> DiG 9.7.3 <<>> ya.ru (раздел заголовка)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53499
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION: (раздел запроса)
;ya.ru.                         IN      A

;; ANSWER SECTION: (раздел ответа)
ya.ru.                  4813    IN      A       87.250.250.203
ya.ru.                  4813    IN      A       87.250.251.3
ya.ru.                  4813    IN      A       93.158.134.3
ya.ru.                  4813    IN      A       93.158.134.203
ya.ru.                  4813    IN      A       213.180.204.3
ya.ru.                  4813    IN      A       77.88.21.3
ya.ru.                  4813    IN      A       87.250.250.3

;; AUTHORITY SECTION: (авторитативные сервера)
ya.ru.                  4813    IN      NS      ns1.yandex.ru.
ya.ru.                  4813    IN      NS      ns5.yandex.ru.

;; ADDITIONAL SECTION: (дополнительная информация - адреса авторитативных name servers)
ns5.yandex.ru.          345565  IN      A       213.180.204.1
ns1.yandex.ru.          345565  IN      A       213.180.193.1
ns1.yandex.ru.          3565    IN      AAAA    2a02:6b8::1

;; Query time: 7 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Jul  2 23:02:45 2011
;; MSG SIZE  rcvd: 238

Обратное преобразование имен

DNS используется в первую очередь для преобразования доменных имён в IP-адреса, но он также может выполнять обратный процесс, называемый Обратное преобразование имен или обратным отображением. Т.к. записи в прямой базе DNS структурированы иерархически по доменным именам, DNS не может эффективно выполнять поиск по IP адресу в такой базе. Для обратного преобразования в DNS используется специальный домен in-addr.arpa. Ресурсные записи в данном домене в поле Name содержат IP-адреса, в поле TypePTR, а в поле DataFQDN-имя соответствующее данному IP.

На схеме представлена структура домена arpa. Думаю, что тут все довольно наглядно. Домен arpa. имеет 2 поддомена in-addr и ip6, отвечающие за IPv4 и IPv6 адреса соответственно. Домен in-addr.arpa. имеет от *.0.in-addr.arpa. до *.255.in-addr.arpa. поддоменов, каждый из которых так же имеет по 256 поддоменов.

В целях уменьшения объёма нежелательной корреспонденции (спама) многие почтовые серверы могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии.

Наглядно приведенную схему можно представить командами:

[root@DNS~]# dig www.ru
...
;; QUESTION SECTION:
;www.ru                                IN      A

;; ANSWER SECTION:
www.ru                 52119   IN      A       194.87.0.50
...
[root@DNS~]# dig -x 194.87.0.50
...
;; QUESTION SECTION:
;50.0.87.194.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
50.0.87.194.in-addr.arpa. 30385 IN      PTR     www.ru
....

При этом, команду dig -x 194.87.0.50 правильнее будет представить как dig 50.0.87.194.in-addr.arpa., то есть записи в поддоменах *.in-addr.arpa. представлены в так называемой обратной нотации (или reverse форме), то есть хосту с IP 194.87.0.50 будет соответствовать PTR-запись, имеющая FQDN 50.0.87.194.in-addr.arpa., которая в свою очередь указывает на домен www.ru  Хочется отметить, что чаще всего за обратную зону и ее редактирование отвечает поставщик интернета.

Как и обещал, описываю ресурсную запись PTR в домене IN-ADDR.ARPA, соответствующая приведенной выше записи А для машины www.ru. будет иметь такой вид:

50.0.87.194 IN PTR www.ru

Имя 50.0.87.194 не заканчивается точкой и поэтому является относительным. Вопрос: относительным относительно чего? Ни в коем случае не относительно «www.ru». Для того чтобы эта запись была FQDN, домен по умолчанию должен называться «IN-ADDR.ARPA.». Этого можно добиться либо поместив записи PTR в отдельный файл, в котором доменное имя зоны по умолчанию — IN-ADDR.ARPA. (заданный в файле начальной загрузки демона named), либо изменив этот домен с помощью директивы $ORIGIN. Если домен по умолчанию определен как 0.87.194.IN-ADDR.ARPA., то запись можно представить так:

80 IN PTR www.ru
Регистрация доменных имен

В двух словах хотел бы затронуть вопрос регистрации доменных имен.

Регистрация доменов — это действие, посредством которого клиент сообщает регистратору, каким DNS-серверам следует делегировать поддомен, и также снабжает регистратора контактной и платежной информацией. Регистратор передает информацию в соответствующий реестр. Чаще всего, это процесс внесения в реестр зоны первого уровня (то есть в TLD зоны ru, com или др.), записи о новом доменном подимени.

Регистратор доменных имён — это организация, имеющая полномочия создавать (регистрировать) новые доменные имена и продлевать срок действия уже существующих доменных имён в домене, для которого установлена обязательная регистрация.

Уровни доменов, для которых необходима обязательная регистрация лица, ответственного за домен, следующие:

  • корневой домен
  • все домены первого уровня (TLD)
  • некоторые домены второго уровня (например, com.ru или co.uk)

Регистратором для корневого домена является организация ICANN. Чтобы стать регистратором доменов в зонах второго уровня (.com .net .org .biz .info .name .mobi .asia .aero .tel .travel .jobs …), необходимо получить аккредитацию ICANN.

Правила регистрации в международных (gTLD — com., org, и др.) доменах устанавливаются ICANN. Правила регистрации в национальных (ccTLD — ru, us и др.) доменах устанавливаются их регистраторами и/или органами власти соответствующих стран, например единые правила для всех регистраторов в доменах .ru, и.рф задаются Координационным центром национального домена сети Интернет. Для многих доменов (в том числе и для ru) регистратор не единственный. При наличии нескольких регистраторов все они должны использовать единую (централизованную или распределённую) базу данных для исключения конфликтов и обеспечения уникальности доменного имени.

Услуга регистрации домена в большинстве случаев платная, цену и условия регистрации определяет регистратор. Для регистрации домена, необходимо выбрать свободное имя и отправить заявку на регистрацию у одного из регистраторов (например nic.ru), оплатить предоставление услуги. После подтверждения регистрации, необходимо в интерфейсе регистратора определить (делегировать) dns сервера, скорее всего это будут DNS вашего хостера.

В завершение статьи хочу отметить так же о таком маркетинговом нюансе, что иногда домены второго уровня называют именами доменов ПЕРВОГО уровня, тем самым «опуская» значение корневого домена и принимая за корневой домен — домены TLD.

Так же хочу отметить, что доменный адрес и IP-адрес не тождественны — один IP-адрес может иметь множество имён, что позволяет поддерживать на одном компьютере множество веб-сайтов (это называется виртуальный хостинг). Обратное тоже справедливо — одному имени может быть сопоставлено множество IP-адресов: это позволяет создавать балансировку нагрузки.

Резюме

Итак, в сегодняшней статье я постарался как можно понятней описать работы доменной системы имен. Надеюсь, это у меня получилось. Мы рассмотрели иерархическую структуру базы данных DNS, а так же рассмотрели процессы взаимодействия клиентов и серверов DNS, а так же разновидности серверов DNS. В следующей статье я рассмотрю практические вопросы установки и настройки DNS сервера BIND на Linux. Буду рад Вашим комментариям.
Что еще почитать:

man (5) resolver: http://www.opennet.ru/man.shtml?topic=resolver&category=5&russian=0
man (3) gethostbyname:  http://www.opennet.ru/cgi-bin/opennet/man.cgi?topic=gethostbyname&category=3
Linux Network Administrators Guide v2 Russian: скачать.
RFC882, 1035, 1183

Разместил с разрешения mcsim85, у которого еще нет полноценного аккаунта на хабре, но который за такие качественный статьи безусловно его заслуживает! На всякий случай ссылка на оригинал.

Давайте уже разберемся в DNS / Хабр


Внимательный читатель найдет на этой картинке IPv6

Люди часто озадачены доменами. Почему мой сайт не работает? Почему эта хрень поломана, ничего не помогает, я просто хочу, чтобы это работало! Обычно, вопрошающий или не знает про DNS, или не понимает фундаментальных идей. Для многих DNS — страшная и непонятная штука. Эта статья — попытка развеять такой страх. DNS — это просто, если понять несколько базовых концепций.


Что такое DNS

DNS расшифровывается как Domain Name System. Это глобальное распределенное хранилище ключей и значений. Сервера по всему миру могут предоставить вам значение по ключу, а если им неизвестен ключ, то они попросят помощи у другого сервера.

Вот и все. Правда. Вы или ваш браузер запрашивает значение для ключа www.example.com, и получает в ответ 1.2.3.4.


Базовые штуки

Большой плюс DNS в том, что это публичная услуга, и можно потыкать в сервера если хочется разобраться. Давайте попробуем. У меня есть домен petekeen.net, который хостится на машине web01.bugsplat.info. Команды, используемые ниже, можно запустить из командной строки OS X (ой, то есть macOS, — прим. пер.).

Давайте взглянем на маппинг между именем и адресом:

$ dig web01.bugsplat.info

Команда dig это такой швейцарский армейский нож для DNS-запросов. Крутой, многофункциональный инструмент. Вот первая часть ответа:

; <<>> DiG 9.7.6-P1 <<>> web01.bugsplat.info
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51539
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

Здесь есть только одна интересная деталь: информация о самом запросе. Говорится, что мы запросили запись и получили ровно один ответ. Вот:

;; QUESTION SECTION:
;web01.bugsplat.info.       IN  A

dig по-умолчанию запрашивает A-записи. A это address (адрес), и это один из фундаментальных видов записей в DNS. A содержит один IPv4-адрес. Есть эквивалент для IPv6-адресов —  AAAA. Давайте взглянем на ответ:

;; ANSWER SECTION:
web01.bugsplat.info.    300 IN  A   192.241.250.244

Тут говорится, что у хоста web01.bugsplat.info. есть один адрес A192.241.250.244. Число 300 это TTL, или time to live (время жизни). Столько секунд можно держать значение в кэше до повторной проверки. Слово IN означает Internet. Так сложилось исторически, это нужно для разделения типов сетей. Подробнее об этом можно почитать в документе IANA’s DNS Parameters.

Оставшаяся часть ответа описывает сам ответ:

;; Query time: 20 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Jul 19 20:01:16 2013
;; MSG SIZE  rcvd: 56

В частности, здесь говорится, как долго сервер откликался, какой у сервера IP-адрес (192.168.1.1), на какой порт стучался dig  (53, DNS-порт по-умолчанию), когда запрос был завершен и сколько байтов было в ответе.

Как видите, при обычном DNS-запросе происходит куча всего. Каждый раз, когда вы открываете веб-страницу, браузер делает десятки таких запросов, в том числе для загрузки всех внешних ресурсов вроде картинок и скриптов. Каждый ресурс отвечает за минимум один новый DNS-запрос, и если бы DNS не был рассчитан на сильное кэширование, то трафика генерировалось бы очень много.

Но в этом примере не видно, что DNS-сервер 192.168.1.1 связался с кучей других серверов чтобы ответить на простой вопрос: «куда указывает адрес web01.bugsplat.info?». Давайте запустим трейс чтобы узнать о всей возможной цепочке, которую пришлось бы пройти dig‘у, если бы информация не был закэширована:

$ dig +trace web01.bugsplat.info

; <<>> DiG 9.7.6-P1 <<>> +trace web01.bugsplat.info
;; global options: +cmd
.           137375  IN  NS  l.root-servers.net.
.           137375  IN  NS  m.root-servers.net.
.           137375  IN  NS  a.root-servers.net.
.           137375  IN  NS  b.root-servers.net.
.           137375  IN  NS  c.root-servers.net.
.           137375  IN  NS  d.root-servers.net.
.           137375  IN  NS  e.root-servers.net.
.           137375  IN  NS  f.root-servers.net.
.           137375  IN  NS  g.root-servers.net.
.           137375  IN  NS  h.root-servers.net.
.           137375  IN  NS  i.root-servers.net.
.           137375  IN  NS  j.root-servers.net.
.           137375  IN  NS  k.root-servers.net.
;; Received 512 bytes from 192.168.1.1#53(192.168.1.1) in 189 ms

info.           172800  IN  NS  c0.info.afilias-nst.info.
info.           172800  IN  NS  a2.info.afilias-nst.info.
info.           172800  IN  NS  d0.info.afilias-nst.org.
info.           172800  IN  NS  b2.info.afilias-nst.org.
info.           172800  IN  NS  b0.info.afilias-nst.org.
info.           172800  IN  NS  a0.info.afilias-nst.info.
;; Received 443 bytes from 192.5.5.241#53(192.5.5.241) in 1224 ms

bugsplat.info.      86400   IN  NS  ns-1356.awsdns-41.org.
bugsplat.info.      86400   IN  NS  ns-212.awsdns-26.com.
bugsplat.info.      86400   IN  NS  ns-1580.awsdns-05.co.uk.
bugsplat.info.      86400   IN  NS  ns-911.awsdns-49.net.
;; Received 180 bytes from 199.254.48.1#53(199.254.48.1) in 239 ms

web01.bugsplat.info.    300 IN  A   192.241.250.244
bugsplat.info.      172800  IN  NS  ns-1356.awsdns-41.org.
bugsplat.info.      172800  IN  NS  ns-1580.awsdns-05.co.uk.
bugsplat.info.      172800  IN  NS  ns-212.awsdns-26.com.
bugsplat.info.      172800  IN  NS  ns-911.awsdns-49.net.
;; Received 196 bytes from 205.251.195.143#53(205.251.195.143) in 15 ms

Информация выводится в иерархической последовательности. Помните как dig вставил точку . после хоста, web01.bugsplat.info? Так вот, точка . это важная деталь, и она означает корень иерархии.

Корневые DNS-сервера обслуживаются различными компаниями и государствами по всему миру. Изначально их было мало, но интернет рос, и сейчас их 13 штук. Но у каждого из серверов есть десятки или сотни физических машин, которые прячутся за одним IP.

Итак, в самом верху трейса находятся корневые сервера, каждый определен с помощью NS-записи. NS-запись связывает доменное имя (в данном случае, корневой домен) с DNS-сервером. Когда вы регистрируете доменное имя у регистратора типа Namecheap или Godaddy, они создают NS-записи для вас.

В следующем блоке видно, как dig выбрал случайный корневой сервер, и запросил у него A-запись для web01.bugsplat.info. Видно только IP-адрес корневого сервера (192.5.5.241). Так какой именно корневой сервер это был? Давайте узнаем!

$ dig -x 192.5.5.241

; <<>> DiG 9.8.3-P1 <<>> -x 192.5.5.241
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2862
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;241.5.5.192.in-addr.arpa.  IN  PTR

;; ANSWER SECTION:
241.5.5.192.in-addr.arpa. 3261  IN  PTR f.root-servers.net.

Флаг -x заставляет dig провести обратный поиск по IP-адресу. DNS отвечает записью PTR, которая соединяет IP и хост, в данном случае — f.root-servers.net.

Возвращаясь к нашему начальному запросу: корневой сервер F вернул другой набор NS-серверов. Он отвечает за домен верхнего уровня infodig запрашивает у одного из этих серверов запись A для web01.bugsplat.info, и получает в ответ еще один набор NS-серверов, и потом запрашивает у одного из этих серверов запись A для web01.bugsplat.info.. И, наконец, получает ответ!

Уф! Сгенерировалось бы много трафика, но почти все эти записи были надолго закэшированы каждым сервером в цепочке. Ваш компьютер тоже кэширует эти данные, как и ваш браузер. Чаще всего DNS-запросы никогда не доходят до корневых серверов, потому что их IP-адреса почти никогда не изменяются («Наверно все таки речь идет о большом TTL для записей в их базе. Если у DNS сервера IP адрес вообще ни разу не изменялся, то это не означает, что его база навечно закеширована» — прим. от rrrav). Домены верхнего уровня comnetorg, и т.д. тоже обычно сильно закэшированы.


Другие типы

Есть еще несколько типов, о которых стоит знать. Первый это MX. Он соединяет доменное имя с одним или несколькими почтовыми серверами. Электронная почта настолько важна, что у нее есть свой тип DNS-записи. Вот значения MX для petekeen.net:

$ dig petekeen.net mx

; <<>> DiG 9.7.6-P1 <<>> petekeen.net mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18765
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;petekeen.net.          IN  MX

;; ANSWER SECTION:
petekeen.net.       86400   IN  MX  60 web01.bugsplat.info.

;; Query time: 272 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Jul 19 20:33:43 2013
;; MSG SIZE  rcvd: 93

Заметьте, что MX-запись указывает на имя, а не на IP-адрес.

Еще один тип, который вам скорее всего знаком, это CNAME. Расшифровываетя как Canonical Name (каноническое имя). Он связывает одно имя с другим. Давайте посмотрим на ответ:

$ dig www.petekeen.net

; <<>> DiG 9.7.6-P1 <<>> www.petekeen.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16785
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.petekeen.net.      IN  A

;; ANSWER SECTION:
www.petekeen.net.   86400   IN  CNAME   web01.bugsplat.info.
web01.bugsplat.info.    300 IN  A   192.241.250.244

;; Query time: 63 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Jul 19 20:36:58 2013
;; MSG SIZE  rcvd: 86

Сразу видно, что мы получили два ответа. Первый говорит, что www.petekeen.net указывает на web01.bugsplat.info. Второй возвращает запись A для того сервера. Можно считать, что CNAME это псевдоним (или алиас) для другого сервера.


Что не так с CNAME

Записи CNAME очень полезны, но есть важный момент: если есть CNAME с каким-то именем, то нельзя создать другую запись с таким же именем. Ни MX, ни A, ни NS, ничего.

Причина в том, что DNS производит замену таким образом, что все записи того места, куда указывает CNAME, также валидны для CNAME. В нашем примере, записи у www.petekeen.net и web01.bugsplat.info будут совпадать.

Поэтому нельзя делать CNAME на корневом домене вроде petekeen.net, потому что обычно там нужны другие записи, например, MX.


Запросы к другим серверам

Давайте представим, что конфигурация DNS испорчена. Вам кажется, что вы исправили проблему, но не хотите ждать когда обновится кэш чтобы удостовериться. С помощью dig можно сделать запрос к публичному DNS-серверу вместо своего дефолтного, вот так:

$ dig www.petekeen.net @8.8.8.8

Символ @ с IP-адресом или хостом заставляет dig прозводить запрос к указанному серверу через порт по-умолчанию. Можно использовать публичный DNS-сервер Гугла или почти-публичный-сервер Level 3 по адресу 4.2.2.2.


Типичные ситуации

Давайте рассмотрим типичные ситуации, знакомые многим веб-разработчикам.


Редирект домена на www

Часто нужно сделать редирект домена iskettlemanstillopen.com на www.iskettlemanstillopen.com. Регистраторы типа Namecheap или DNSimple называют это URL Redirect. Вот пример из админки Namecheap:

Символ @ означает корневой домен iskettlemanstillopen.com. Давайте посмотрим на запись A у этого домена:

$ dig iskettlemanstillopen.com
;; QUESTION SECTION:
;iskettlemanstillopen.com.  IN  A

;; ANSWER SECTION:
iskettlemanstillopen.com. 500   IN  A   192.64.119.118

Этот IP принадлежит Namecheap’у, и там крутится маленький веб-сервер, который просто делает перенаправление на уровне HTTP на адрес http://www.iskettlemanstillopen.com:

$ curl -I iskettlemanstillopen.com
curl -I iskettlemanstillopen.com
HTTP/1.1 302 Moved Temporarily
Server: nginx
Date: Fri, 19 Jul 2013 23:53:21 GMT
Content-Type: text/html
Connection: keep-alive
Content-Length: 154
Location: http://www.iskettlemanstillopen.com/

CNAME для Heroku или Github

Взгляните на скриншот выше. На второй строке там CNAME. В этом случае www.iskettlemanstillopen.com указывает на приложение, запущенное на Heroku.

$ heroku domains
=== warm-journey-3906 Domain Names
warm-journey-3906.herokuapp.com
www.iskettlemanstillopen.com

С Github похожая история, но там нужно создать специальный файл в корне репозитория, и назвать его CNAME. См. документацию.


Wildcards

Большинство DNS-серверов поддерживают шаблоны (wildcards). Например, есть wildcard CNAME для *.web01.bugsplat.info указывает на web01.bugsplat.info. Тогда любой хост на web01 будет указывать на web01.bugsplat.info и не нужно создавать новые записи:

$ dig randomapp.web01.bugsplat.info

;; QUESTION SECTION:
;randomapp.web01.bugsplat.info. IN  A

;; ANSWER SECTION:
randomapp.web01.bugsplat.info. 300 IN CNAME web01.bugsplat.info.
web01.bugsplat.info.    15  IN  A   192.241.250.244

Заключение

Надеюсь, теперь у вас есть базовое понимание DNS. Все стандарты описаны в документах:


Есть еще пара интересных RFC, в том числе 4034, который описывает стандарт DNSSEC и 5321, который описывает взаимосвязь DNS и email. Их интересно почитать для общего развития.

Какой dns сервер лучше прописать, когда стандартный не работает

Как правило, то время, которое система тратит на подключение к серверу DNS при посещении веб-ресурсов, невелико. Чаще всего, те сервера, которые провайдер использует по умолчанию, работают стабильно и быстро. Однако бывают ситуации, когда стандартные DNS работают недостаточно быстро. В этом случае можно попробовать сменить сервер.

Google Public DNS

Со слов самих разработчиков, этот DNS способен значительно ускорить загрузку веб-страниц. Для того, чтобы воспользоваться этим сервером, в настройках подключения необходимо прописать адреса 8.8.8.8 и 8.8.4.4 для первичного и вторичного DNS соответственно.

Если вас интересуют серверы или система хранения данных, то компания Server City предлагает вам купить серверы DELL, IBM, а также системы хранения данных по выгодной цене. Здесь на сайте server-city.ru вы можете более подробно почитать про все услуги, которые предлагает компания.

Яндекс.DNS

Последовав примеру компании Google, Яндекс разработал собственный альтернативный DNS-сервер. Кроме того, разработчики добавили возможности семейного контроля на тот случай, если возникнет необходимость блокировки потенциально опасных ресурсов. Для использования DNS без функций фильтрации, в настройках подключения необходимо ввести адрес 77.88.8.8. Если вы введете адрес 77.88.8.88, то сможете воспользоваться функциями фильтрации опасных ресурсов. В том случае, если вы введете адрес 77.88.8.7, вы активизируете фильтрацию опасных сайтов и порно-ресурсов.

OpenDNS

Этот сервис достаточно популярен в сети и не зря. OpenDNS позволяет использовать современные методы защиты в интернете, быстр и обладает многими приятными функциями, например, функцией исправления опечаток в набираемых адресах.

Сервис имеет платный и бесплатный режимы.

Бесплатный режим со стандартными настройками доступен по следующим адресам:

  • 208.67.222.222
  • 208.67.220.220

SkyDNS

Этот сервис лидирует в русскоязычном интернете в области безопасности и фильтрации нежелательного контента. Как заверяет сам разработчик, сервисом пользуются десятки тысяч пользователей, крупные компании, интернет-провайдеры и др. Доступны платный и бесплатный режимы.

Подключение к бесплатному режиму доступно после прохождения процедуры регистрации, которая не отнимет много времени. Для использования SkyDNS вам будет предложено загрузить небольшое приложение SkyDNS Agent, либо сообщить свой IP. Впрочем, воспользоваться сервисом можно и без установки приложения.

Для этого вам необходимо будет указать адрес DNS 193.58.251.251.

Кроме этого, для поиска подходящего DNS можно воспользоваться соответствующим ПО, которого на просторах интернета немало.

Предпочитаемый DNS-сервер: использовать провайдера или альтернативный

DNS — аббревиатура, означающая Domain Name System. Это система, хранящая информацию о доменах. Ее наличие облегчает работу с интернетом. Потребителю проще посмотреть и запомнить название сайта, нежели IP-адрес. Предпочитаемый ДНС указывается вручную или автоматически в настройках интернет-подключения.

Как узнать, какой ДНС-сервер предоставляется провайдером

Поставщик услуг всегда имеет несколько серверов: первичный и альтернативный DNS. Они дублируют друг друга для распределения чрезмерной нагрузки.

Для компании собственный ДНС – предпочтительный, поэтому клиента автоматически подключают к нему.

Если читателю понадобилось узнать адрес DNS-сервера, к использованию предлагается несколько способов:

С помощью командной строки компьютера

Для разных версии ОС строка открывается несколькими способами:

  • Для Window XP. Зайти в «Пуск», выбрать «Выполнить».
  • Для Windows 7. Открыть «Пуск» — «Все программы» — папку «Стандартные». Кликнуть на «Командную строку».
  • Для Windows 8,10. Открыв «Пуск», прописать cmd или «Командная строка», кликнуть на появившееся в поисковике приложение.
  • Альтернативный способ — нажатие комбинации клавиш Win + R:

В появившемся окне ввести cmd. После чего откроется окошко командной строки, где надо написать ipconfig/all. Приложение отобразит полную информацию, какой предпочитаемый сервер предоставлен рабочей станции.

Другие способы

  1. Вручную посмотреть адрес ДНС-сервера провайдера (предпочитаемого) можно через настройки сети. Необходимо открыть панель управления, зайти в «Сеть и Интернет», после — «Центр управления сетями и общим доступом», выбрать «Подключение» и в открывшемся окошке нажать «Сведения».
  2. Нужная информация размещается на официальном сайте поставщика услуг, карте оплаты, в договоре или справочных буклетах. Также рекомендуется обратиться в службу техподдержки онлайн или напрямую к сотруднику.
  3. На сайтах, предоставляющих данные о компьютере потребителя, существуют сервисы получения информации о сервере по имени домена или IP-адресу (например, 2ip.ru).

Альтернативные серверы ДНС

К сожалению, локальные провайдеры не всегда гарантируют 100%-ную работоспособность ДНС-сервера. Чтобы не ждать, пока сервис восстановят, клиент может подстраховаться.

Существует множество альтернатив, подключившись к которым улучшаются стабильность, быстродействие и удобство подсоединения.

Потребитель, возможно, захочет сменить предпочитаемый ДНС по причине территориального ограничения доступа к информации, нестабильной работы сервера или для повышения уровня защиты своего ПК. Предлагается использовать следующие адреса DNS на замену предпочитаемому провайдером:

  • Google DNS. Корпорация была одной из первых, предоставившей свои адреса как общедоступные.
  • Open DNS. Крупный сервис, быстро реагирующий на любые запросы DNS, родительский контроль, блокировку вредоносных сайтов.
  • «Яндекс. ДНС» – известная поисковая система, предоставляющая для своих клиентов три варианта защиты при подключении к сервису DNS.
  • Comodo Secure DNS – поставщик, распределенный по миру, не требует какого-либо ПО или оборудования. Действует в сфере информационной безопасности, также предлагает воспользоваться бесплатной услугой.
  • Level 3 ДНС – сервис, содержащий многочисленные возможности. Занимает одно из лидирующих мест по популярности. Гибкая и надежная сеть.
  • Open NIC DNS – некоммерческий проект, управляемый волонтерами. Никакой цензуры сайтов и большая инфраструктура сети.

Выберите наиболее подходящий ДНС (предпочитаемый), настройка параметров подключения пользователя в тупик точно не поставит.

Заключение

Использовать альтернативу предпочитаемому DNS-серверу — самый простой способ увеличить скорость своего интернет-подключения, улучшить безопасность, стабильность, а также убрать недостатки, имеющиеся у аппаратуры провайдера. Именно от пользователя зависит удобство и комфорт применения интернета. Узнать DNS провайдера (предпочитаемый) также не составит труда, используя данную статью.

Загрузка…

Публичные DNS сервера — ТОП-10

Название сервера

Адреса для IPv4

Адреса для IPv6

Особенности

Google Public DNS

8.8.8.8
8.8.4.4

2001:4860:4860::8888

2001:4860:4860::8844

Ускоренная загрузка благодаря повышенной эффективности кэширования данных. Улучшенная защита от  DoS-атак и IP-спуфинга.

Яндекс.DNS

Базовый:
7.88.8.8

77.88.8.1

С повышенной безопасностью:
77.88.8.88

77.88.8.2

С блокировкой рекламы 18+:
77.88.8.7

77.88.8.3

Базовый:
2a02:6b8::feed:0ff

2a02:6b8:0:1::feed:0ff

С повышенной безопасностью:
2a02:6b8::feed:bad

2a02:6b8:0:1::feed:bad

С блокировкой рекламы 18+:
2a02:6b8::feed:a11

2a02:6b8:0:1::feed:a11

Защита от ботнетов, зараженных и мошеннических сайтов.
Блокировка сайтов и рекламного контента 18+.

OpenDNS

208.67.222.222

208.67.220.220

208.67.222.220

208.67.220.222

2620:119:35::35

2620:119:53::53

Бесплатный и платный режимы.
Исправление опечаток при введении адресов.

Фильтр фишинговых сайтов. Корпоративный, родительский и образовательный контроль.

Comodo Secure DNS

8.26.56.26
8.20.247.20

15 узлов на 5 континентах. В состав каждого сетевого узла входит набор серверов, соединенных интернетом через несколько провайдеров 1-го уровня.

Neustar

Базовый #1:
156.154.70.1

156.154.71.1

Базовый #2:
156.154.70.5
156.154.71.5

C повышенной безопасностью:
156.154.70.2

156.154.71.2

С семейным контролем:
156.154.70.3
156.154.71.3

С корпоративным контролем:
156.154.70.4
156.154.71.4

Базовый #1:
2610:a1:1018::1, 2610:a1:1019::1

 

Базовый #2:

2610:a1:1018::5 2610:a1:1019::5

C повышенной безопасностью:
2610:a1:1018::2 2610:a1:1019::2

 

С семейным контролем:

2610:a1:1018::3 2610:a1:1019::3

 

С корпоративным контролем:

2610:a1:1018::4 2610:a1:1019::4

Защита от угроз, вредоносного ПО, фишинга и вымогательств.

Блокировка рекламы алкоголя, наркотиков, 18+.

Анонимные прокси.

Семейный и корпоративный контроль.

Level 3

209.244.0.3

209.244.0.4

Один из самых надежных и бесперебойных серверов.
Предусмотрена автоматическая маршрутизация запросов до ближайшего DNS-сервера Level3.

DNS.Watch

84.200.69.80
84.200.70.40

2001:1608:10:25::1c04:b12f
2001:1608:10:25::9249:d69b

Быстрый и надежный. Отличается повышенной конфиденциальностью за счет того, что не предусматривает регистрацию исходящих запросов.

Quad9

Базовый #1:
9.9.9.9

149.112.112.112

Базовый #2:

9.9.9.10

149.112.112.10

С повышенной безопасностью:
9.9.9.11

149.112.112.11

Базовый #1:
2620:fe::fe

2620:fe::9

Базовый #2:

2620:fe::10
2620:fe::fe:10

 

С повышенной безопасностью:

2620:fe::11

2620:fe::fe:11

Использование рекурсивных серверных имен. Наличие серверов с высокой степенью безопасности.
Шифрование NDS. Блокировка вредоносных доменов.

Cloudflare

1.1.1.1
1.0.0.1

2606:4700:4700::1111

2606:4700:4700::1001

Бесплатные DNS сервера, которые основаны на методе Anycast.
Скорость соединения достигает 5.75 мс, что является одним из самых быстрых показателей в мире.

CleanBrowsing

С семейным контролем:

185.228.168.168
185.228.169.168

С фильтром контента 18+:
185.228.168.10
185.228.169.11

С повышенной безопасностью:

185.228.168.9
185.228.169.9

С семейным контролем:
2a0d: 2a00: 1 ::

С фильтром контента 18+:
2a0d: 2a00: 1 :: 1

С повышенной безопасностью:
2a0d: 2a00: 1 :: 2

Блокировка контента 18+.
Наличие прокси и VPN.
Защита от фишинговых и вредоносных доменов.
Отличный выбор для родителей, которые хотят огородить ребенка от нежелательного контента.

DNS серверов в РФ

195.239.36.27 Москва 3216 ПВымпелКом 2020-12-28 18:29:42 UTC действительный 81% Кто
193.9.240.62 Ряжск 49311 ООО «Региональные ТелеСистемы» 2020-11-18 17:12:25 UTC действительный 97% Кто
176.103.130.136 176-103-130-136.dns.adguard.com. 199274 Сервероид, ООО 2020-11-18 06:11:59 UTC действительный DNSSEC 100% Кто
77,88,8,88 safe.dns.yandex.ru. 13238 ООО «ЯНДЕКС» 2020-11-18 06:11:51 UTC действительный DNSSEC 100% Кто
86.102.66.130 Владивосток 12332 Ростелеком 9.12.3-П1 2020-11-15 23:18:07 UTC действительный 75% Кто
37.195.200.66 l37-195-200-66.novotelecom.ru. Новосибирск 31200 ООО «Новотелеком» 2020-09-30 03:00:54 UTC действительный 100% Кто
77.88.8.3 secondary.family.dns.yandex.ru. 13238 ООО «ЯНДЕКС» 2020-09-18 00:56:56 UTC действительный DNSSEC 100% Кто
77.88.8.7 family.dns.yandex.ru. 13238 ООО «ЯНДЕКС» 8)»> PowerDNS Recursor 4.0.8 (построено 11 декабря 2017 г. 10:39:35 пользователем root @ 4351f98) 2020-09-15 20:01:25 UTC действительный 100% Кто
193.58.251.251 dns.skydns.ru. 51289 SkyDNS Ltd 2020-09-15 20:01:24 UTC действительный 97% Кто
77.88.8.2 secondary.safe.dns.yandex.ru. 13238 ООО «ЯНДЕКС» 8)»> Рекурсор PowerDNS 4.0.8 (построено 11 декабря 2017 г. 10:39:35 пользователем root @ 4351f98) 2020-09-15 20:01:17 UTC действительный 100% Кто
176.103.130.130 176-103-130-130.dns.adguard.com. 199274 Сервероид, ООО 2020-09-15 12:51:14 UTC действительный DNSSEC 100% Кто
77.88.8.1 вторичный.dns.yandex.ru. 13238 ООО «ЯНДЕКС» Microsoft DNS 6.1.7601 (1DB1446A) 2020-07-24 08:43:29 UTC действительный 29% Кто
194.186.122.210 relay.nwcompany.ru. Калининград 3216 ПВымпелКом 2020-07-16 09:40:39 UTC действительный 95% Кто
213.24.238.26 12389 Ростелеком 2020-07-16 04:49:42 UTC действительный 97% Кто
37.193.226.251 l37-193-226-251.novotelecom.ru. Новосибирск 31200 ООО «Новотелеком» 2020-07-16 04:39:32 UTC действительный 63% Кто
81.1.217.134 extdns2.eseti.ru. Новосибирск 21127 ООО «Зап-Сиб ТрансТелеКом», Новосибирск Microsoft DNS 6.1.7601 (1DB15CD4) 2020-07-14 21:27:34 UTC действительный 88% Кто
37.235,70,59 new.mega.nn.ru. Нижний Новгород 39289 ООО «МедиаСети» 2020-07-14 18:29:06 UTC действительный 83% Кто
46.231.210.26 46-231-210-26.obit.ru. Москва 8492 ООО «ОБИТ» 14.07.2020 16:12:10 UTC действительный 50% Кто
89.235.136.61 89-235-136-61.adsl.sta.mcn.ru. 34352 ООО «МСН Телеком» 14.07.2020 16:10:38 UTC действительный 50% Кто
212.46.234.217 Королев 3216 ПВымпелКом Microsoft DNS 6.1.7601 (1DB15F75) 14.07.2020 16:09:49 UTC действительный 50% Кто
89.113.0.68 16345 Публичное акционерное общество «Вымпел-Коммуникации» dnsmasq-2.22 2020-07-14 16:09:45 UTC действительный DNSSEC 50% Кто
83.149.227.152 mail-gw2.portal.amsd.com. Москва 3058 Федеральное государственное учреждение «Федеральный научно-исследовательский институт системного анализа» РФ 14.07.2020 16:08:13 UTC действительный 50% Кто
84.52.103.114 84-52-103-114.westcall.net. Санкт-Петербург 25408 ОАО «ЭР-Телеком Холдинг» 14.07.2020 16:07:14 UTC действительный 50% Кто
217.112.27.34 Москва 25513 ПАО Московская городская телефонная сеть 14.07.2020 16:04:23 UTC действительный 50% Кто
83.246.140.204 ip-83-246-140-204.intelbi.ru. Барнаул 31364 Акционерное общество «ТрансТелеКом» dnsmasq-2.59 14.07.2020 16:03:12 UTC действительный 50% Кто
213.5.120.2 Шумерля 50048 Андрей Чуенков ЧП 9.5.1-П3 2020-07-14 16:03:02 UTC действительный 50% Кто
212.100.143.211 Москва 8732 ОАО «Комкор» 2020-07-14 16:03:02 UTC действительный 50% Кто
109.202.11.6 host-109-202-11-6.avantel.ru. Барнаул 8711 АО Авантел несвязанный 1.4.22 14.07.2020 16:02:49 UTC действительный 50% Кто
212.58 212,83 Санкт-Петербург 12380 Ростелеком 14.07.2020 16:02:46 UTC действительный DNSSEC 50% Кто
46.20.67.50 46.20.67.50.svttk.ru. Самара 15774 Акционерное общество «ТрансТелеКом» dnsmasq-2.68 14.07.2020 16:02:26 UTC действительный 50% Кто
194.247.190.70 194-247-190-70.wlc-net.ru. Раменское 50182 Проксима Лтд 14.07.2020 16:01:53 UTC действительный 50% Кто
91.200.227.141 91-200-227-141.client.linkline.ru. Реутов 44041 ООО «Корпорация Связи» 14.07.2020 16:01:27 UTC действительный 50% Кто
91.122.77.189 ppp91-122-77-189.pppoe.avangarddsl.ru. Санкт-Петербург 12389 Ростелеком 14.07.2020 16:00:55 UTC действительный 50% Кто
91.203.177.216 Смоленск 47118 ООО «МАН нетт» 2020-07-14 16:00:39 UTC действительный 50% Кто
195.162.8.154 44622 ООО «Телеком Плюс» 2020-07-14 16:00:18 UTC действительный 50% Кто

Лучшие бесплатные DNS-серверы | 14 вариантов для оформления заказа

В Allconnect мы работаем над тем, чтобы предоставлять качественную информацию с редакционной честностью. Хотя этот пост может содержать предложения от наших партнеров, мы придерживаемся собственного мнения. Вот как мы зарабатываем деньги.

Как мы зарабатываем деньги

Allconnect — это независимый издатель и служба сравнения, поддерживаемая рекламой.Наши партнеры могут компенсировать нам, когда вы переходите по ссылкам или подписываетесь на услуги через наш сайт. Эта компенсация может повлиять на то, как, где и в каком порядке появляются товары. Кроме того, мы иногда используем партнерские ссылки Amazon, рекомендуя продукт в наших статьях. Мы можем получить компенсацию, если вы перейдете по ссылке и сделаете покупку. Ваша информация передается только выбранным вами поставщикам услуг во время оформления заказа. Эти партнерские отношения позволяют нам бесплатно связывать вас с лучшими поставщиками и продуктами.

Наше мнение — наше

С 1998 года цель Allconnect состоит в том, чтобы помочь вам с уверенностью сравнивать поставщиков и продукты домашних услуг. Мы знаем, что вы доверяете нам точность и беспристрастность. Хотя на нашем сайте представлены не все поставщики или продукты, представленные на рынке, наши рекомендации по статьям основаны на независимых исследованиях и честных мнениях нашей редакционной группы. Наша редакция не получает подарков или прямых компенсаций от наших партнеров.

DNS или сервер доменных имен — это то, что помогает преобразовывать понятные человеку URL-адреса в удобные для компьютера IP-адреса.Это то, что позволяет вашим устройствам подключаться к Интернету и получать доступ к контенту, который вы хотите видеть.

Когда люди меняют свой DNS, обычно это делается для повышения производительности, безопасности или и того, и другого! И хотя есть много платных вариантов, мы всегда любим бесплатные. Ниже мы рассмотрим, что следует учитывать при переключении DNS и 14 лучших бесплатных DNS-серверов для этого.

Совет от профессионалов . Если вы ищете бесплатные или дополнительные дополнения, ознакомьтесь с лучшими предложениями в Интернете в этом месяце!

Что следует учитывать при переключении DNS

Несколько вещей, на которые следует обратить внимание, прежде чем мы углубимся:

  • DNS по умолчанию vs.сторонний DNS — Когда у вас есть интернет-сервис, ваш интернет-провайдер (ISP) имеет DNS по умолчанию, который ваша сеть использует для подключения к Интернету. Интернет-провайдеры могут собирать данные о клиентах и ​​их активности в Интернете. Сторонний DNS может делать то же самое, хотя становится все труднее приписать соединение конкретным лицам или домохозяйствам.
  • Бесплатный DNS против платного DNS — Помимо очевидной финансовой разницы между бесплатным и платным DNS, бесплатные варианты обычно имеют меньше функций.Платный DNS будет иметь более продвинутые функции безопасности и производительности, а также лучшую поддержку клиентов и больше возможностей настройки. Вообще говоря, бесплатный DNS подойдет для большинства целей.
  • Общедоступный DNS и частный DNS — Общедоступный DNS доступен для широких слоев населения и обычно поступает от вашего интернет-провайдера или специального поставщика DNS. Частный DNS обычно используется компаниями для облегчения доступа сотрудников к внутренним веб-сайтам / IP-адресам.Обычно вы пользуетесь общедоступным DNS дома, а на работе — частным или общедоступным.

Лучшие бесплатные DNS-серверы 2020 года

OpenDNS

208.67.222.222

Принадлежащий Cisco OpenDNS имеет два бесплатных варианта: Family Shield и Home. Family Shield подходит для родителей, которые хотят убедиться, что их дети не могут получить доступ к неприемлемому контенту. Home фокусируется на безопасности и производительности в Интернете.

Cloudflare

1.1.1.1

«Самый быстрый DNS-преобразователь на Земле», бесплатная DNS-служба Cloudflare:

  • Неограниченное снижение DDoS-атак
  • Глобальный CDN
  • Общий SSL-сертификат
  • Трехстраничные правила
  • Неограниченная пропускная способность
1.1.1.1 с Warp

1.1.1.1

Подпродукт Cloudflare, 1.1.1.1 с Warp разработан для мобильных устройств. Когда вы загружаете приложение на свой смартфон или планшет, оно «заменяет соединение между телефоном и Интернетом на современный оптимизированный протокол.«Они также обещают никогда не продавать ваши данные, что всегда является бонусом.

Google Public DNS

8.8.8.8

Собственный DNS-продукт Google также является бесплатным. Основное внимание уделяется «скорости, безопасности и достоверности результатов». Он предлагает только разрешение и кеширование DNS — в общедоступном DNS нет блокировки сайтов.

Comodo Secure DNS

8.26.56.26

Облачный пакет Secure Internet Gateway Gold от Comodo Secure DNS предоставляется бесплатно (до 300 000 запросов DNS в месяц).Это дает вам:

  • Защита от сложных угроз, фишинга, вредоносных программ и обратных вызовов C&C
  • Веб-фильтрация для 80+ категорий контента
  • Защита политикой веб-доступа в сети и за ее пределами
  • Видимость в реальном времени для всех подключенных устройств

Quad9

9.9.9.9

Quad9 делает упор на безопасность, конфиденциальность и производительность — компания была основана с целью сделать Интернет безопаснее для всех. Он блокирует вредоносные домены, фишинг и вредоносное ПО, сохраняя при этом вашу анонимность.Quad9 постоянно выходит в новые регионы. Сейчас он занимает 8-е место в рейтингах DNS Performance Analytics и Comparison.

Verisign Public DNS

64.6.65.6

Verisign рекламирует свои превосходные функции стабильности и безопасности, а также тот факт, что они не продают пользовательские данные сторонним компаниям или для продажи / таргетинга рекламы. Verisign станет Neustar UltraDNS Public в четвертом квартале 2020 года после продажи активов 9 октября.

OpenNIC

13.239.157.177

По своей сути OpenNIC — это попытка борьбы с цензурой. Этот бесплатный DNS-сервер, управляемый добровольцами, делает всю сеть доступной для всех. Они также предотвращают «перехват DNS», когда интернет-провайдер перехватывает часто ошибочные URL-адреса.

UncensoredDNS

91.239.100.100

Компания UncensoredDNS находится в Дании и полностью управляется и финансируется основателем Томасом Стин Расмуссеном. Это отличный вариант для тех, кто работает с FreeDNS, в комплекте с функциями безопасности, повышением производительности и надежностью.

CleanBrowsing

185.228.168.168

Доступны как бесплатная, так и платная версии CleanBrowsing. Бесплатный DNS-сервер ориентирован на конфиденциальность, особенно для семей с детьми. Он поставляется с тремя бесплатными фильтрами и блокирует большую часть контента для взрослых.

Яндекс DNS

77.88.8.7

Этот вариант для России имеет целый список функций:

  • Производительность — Обеспечивает более быстрый доступ к Интернету
  • Защита — Блокирует вредоносные программы и ботов
  • Фильтрация контента — Запрещает доступ к контенту для взрослых

UltraRecursive DNS

156.154.70.1

UltraRecursive DNS Neustar также является хорошо продуманным вариантом. Он предлагает повышение производительности за счет быстрого разрешения запросов и надежной инфраструктуры. Он также блокирует вредоносные программы, вредоносные веб-сайты, фишинг, шпионское ПО и ботов (плюс защита от DDoS-атак). Он также заблокирует неприемлемый контент или контент для взрослых.

Альтернативный DNS

198.101.242.72

Устали видеть так много рекламы в Интернете? Альтернативный DNS — это решение для вас. Они поддерживают базу данных известных доменов для показа рекламы и отправляют нулевой ответ, чтобы заблокировать рекламу, прежде чем они подключатся к вашей сети.

AdGuard DNS

176.103.130.130

AdGuard DNS также специализируется на блокировке рекламы. Он также блокирует счетчики, вредоносные веб-сайты и контент для взрослых, если вы хотите расширить родительские блокировки для молодых пользователей Интернета.

Выбор лучшего бесплатного DNS-сервера для вас зависит от того, что вы хотите получить от переключения DNS и от того, где вы находитесь. Если вы немного разбираетесь в технологиях, воспользуйтесь этим инструментом, чтобы сравнить каждого поставщика DNS для вашего местоположения.

Автор: Alex Sheehan

Первоначально опубликовано 14.07.19.Последнее обновление 07.12.20.

DNS-сервер в России

80.79.179.2
ns2.altegrosky.ru.
Москва 85,7143%
195.162.8.154 50%
91.203.177.216 Смоленск 50%
91.122.77.189
ppp91-122-77-189.pppoe.avangarddsl.ru.
Санкт-Петербург 50%
81.3.169.172
эр.valcom.ru.
Санкт-Петербург 99,2308%
213.234.9.198 Волгоград 69.9248%
91.200.227.141
91-200-227-141.client.linkline.ru.
Реутов 50%
194.8.128.12
office.telko.ru.
Ставрополь 97,7444%
91.217.62.219
ip91.217.62.219.ipblk.stnsk.ru.
Новосибирск 98.4962%
188.227.30.46 Сельцо 91,7293%
85.175.194.48 Краснодар 98,4962%
87.229.187.110 Москва 52,63 16%
37.193.226.251
l37-193-226-251.novotelecom.ru.
Новосибирск 63,4146%
80.71.178.68
str22.ru.
Заринск 92,5373%
194.247.190.70
194-247-190-70.wlc-net.ru.
Раменское 50%
95.129.58.55
host95-129-58-55.azimut-r.net.
Софрино 99,2537%
176.120.200.34 Махачкала 91,791%
213.184.147.26
mail.chk.su.
Москва 94,7761%
89.31.109.105 Абакан 94,4%
46.20.67.50
46.20.67.50.svttk.ru.
Самара 50%
95.154.98.171 Владивосток 95,2756%
37.235.70.59
new.mega.nn.ru.
Нижний Новгород 83,3333%
195.218.133.59 Москва 57,8947%
83.221.202.188
188.202.221.83.donpac.ru.
Ростов-на-Дону 97,6378%
212.58.212.83 Санкт-Петербург 50%
109.202.11.6
host-109-202-11-6.avantel.ru.
Барнаул 50%
195.218.133.88 Москва 97,6562%
46.28.130.214
214.130.28.46.in-addr.arpa.berdsk.ru.
Бердск 93,75%
194.186.122.210
relay.nwcompany.ru.
Калининград 95%
213.5.120.2 Шумерля 50%
212.100.143.211 Москва 50%
83.246.140.204
ip-83-246-140-204.intelbi.ru.
Барнаул 50%
62.105.147.13
mail.national.ru.
Калуга 99,3506%
188.0.173.134 Грозный 97.6923%
91.205.3.65
mail.nsma.ру.
Новороссийск 72,3077%
178.210.47.214 Воронеж 99,0741%
95.154.97.130 Владивосток 79,0698%
91.223.120.25
exch.sibinn.ru.
85.2041%
87.229.181.38 Ногинск 90,55 12%
91.144.157.237
Dynamicip-157-144-91-237.pppoe.chelny.ertelecom.ru.
Нижнекамск 84,0909%
217.112.27.34 Москва 50%
88.147.145.98
mail.jaguarsaratov.ru.
Саратов 27,27 27%
217.195.211.116 Тюмень 99,2188%
62.168.251.166
utk-251-166.utk.ru.
Екатеринбург 71,2%
81.211.101.154
diserver.dorinda-invest.ru.
Санкт-Петербург 96,55 17%
194.247.25.110 Салым 99,4253%
89.250.147.145
89x250x147x145.static-business.tmn.ertelecom.ru.
Тюмень 93,65 85%
185.51.61.101 Санкт-Петербург 98,1395%
77.242.108.77 Тюмень 67,4419%
46.173.34.32
46-173-34-32.gorcom.ru.
Тверь 88,46 15%

5 лучших DNS-серверов для повышения безопасности в Интернете

Смена провайдера DNS может значительно улучшить защиту вашего компьютера от сетевых угроз.

Если вы готовы сменить провайдера, вам может быть интересно, в какую компанию вам следует обратиться.Есть много вариантов, но какая из них лучше, какие функции доступны и есть ли недостатки?

Давайте посмотрим на лучших сторонних поставщиков DNS для вашей безопасности.

IP-адреса: 8.8.8.8 и 8.8.4.4

Мы собираемся начать список с двух самых известных сторонних серверов.Во-первых, Google Public DNS.

Важнейшим преимуществом DNS от Google является его скорость.Поиск DNS часто вызывает узкое место, которое может замедлить просмотр. Согласно исследованию Google, самой большой причиной возникновения узких мест являются «промахи кеша». Они возникают, когда преобразователь DNS должен связаться с несколькими внешними серверами имен для загрузки страницы. Это лишь одно из многих преимуществ смены DNS-сервера.

5 изящных способов использования DNS в ваших интересах

Одна из самых недооцененных частей Интернета — это система доменных имен.DNS часто называют телефонной книгой Интернета, но это гораздо больше, чем просто служба поиска.

Google пытается смягчить проблему, предлагая три ключевые функции повышения производительности:

  • Глобальное покрытие: Есть серверы поблизости, независимо от того, где вы находитесь в мире.
  • Предотвращение атак типа «отказ в обслуживании» (DoS): Google обеспечивает безопасность DNSSEC в стандартной комплектации.
  • Балансировка нагрузки: Общее кэширование увеличивает частоту попаданий в кэш.

Хотя Google предлагает DNSSEC и DNS-over-HTTPS в стандартной комплектации, у использования этой службы есть один существенный недостаток безопасности: сбор данных.Помните, Google — это рекламная компания, а данные пользователей — ее самый большой актив. Хотя собираемые данные DNS теоретически обезличены, они могут отпугнуть некоторых пользователей, заботящихся о конфиденциальности.

IP-адреса: 208.67.220.220 и 208.67.222.222

Другой наиболее часто упоминаемый сторонний поставщик DNS — это OpenDNS.С ноября 2016 года сервис принадлежит Cisco.

Пользователи могут выбирать из четырех уровней обслуживания: OpenDNS Family Shield, OpenDNS Home, OpenDNS VIP Home и OpenDNS Umbrella Prosumer.

Первые две службы — OpenDNS Family Shield и OpenDNS Home — бесплатны.Функции в основном те же; они оба имеют встроенную защиту от кражи личных данных и родительский контроль для каждого устройства в вашем доме. Единственное существенное отличие — настраиваемая фильтрация: Family Shield предварительно настроен, пакет Home требует вашего ввода.

Пакет VIP Home стоит 19 долларов.95 в год. В нем представлена ​​подробная статистика использования Интернета за предыдущие 12 месяцев (сгруппированы по восьми типам угроз безопасности и 60 типам веб-контента), а также возможность ограничить доступ к Интернету белым списком доменов, тем самым предоставляя пользователям в вашей сети «блокировку» опыт. Компания также предлагает бизнес-пакеты.

Последний пакет Prosumer стоит 20 долларов на пользователя и защищает три устройства за одну плату.

К сожалению, для некоторых из этих услуг есть компромисс.Компания хранит информацию о вашем DNS и IP-адресе и размещает веб-маяки на страницах, которые вы посещаете с помощью серверов, чтобы узнать, «какой контент эффективен».

Вы можете сделать свои собственные выводы по поводу этой цитаты.

IP-адреса: 84.200.69.80 и 84.200.70.40

DNSWatch — это провайдер DNS, заботящийся о безопасности.Это совершенно бесплатно для всех пользователей и не предлагает многоуровневых пакетов, таких как OpenDNS.

Его предложения по обеспечению безопасности можно разделить на четыре ключевые области:

Нейтралитет DNS: Серверы не цензурируют запросы DNS.Это отличается от некоторых интернет-провайдеров по всему миру, которые активно цензурируют то, к чему вы можете и не можете получить доступ.

Защита конфиденциальности: Компания не регистрирует DNS-запросы.Он не записывает никаких ваших действий. Чтобы еще раз провести сравнение с типичным DNS-сервером интернет-провайдера, многие регистрируют вашу историю, а некоторые даже не анонимизируют собранные данные.

Данные для продажи: Компания не имеет деловых сделок с рекламными сетями или другими учреждениями, которые заинтересованы в изучении ваших онлайн-привычек.

Нет перехвата DNS провайдера: Если вы используете DNS-серверы вашего интернет-провайдера, вы, несомненно, время от времени наталкивались на спонсируемую страницу поиска, если сайт, который вы пытаетесь посетить, не возвращает ответ.Это кошмар для уединения; все, что вы вводите на этих страницах, собирается и сопоставляется вашим интернет-провайдером.

DNS Watch этого не делает.Вы просто увидите стандартную страницу браузера, если ваш запрос будет неудачным.

IP-адреса: 206.125.173.29 и 45.32.230.225

Проект OpenNIC наиболее известен благодаря своему сетевому информационному центру верхнего уровня, который принадлежит и контролируется пользователями.Он предлагает альтернативу типичным реестрам доменов верхнего уровня (TLD), таким как ICANN.

Однако компания также предоставляет одни из самых безопасных бесплатных DNS-серверов.Есть десятки серверов на выбор. Мы предоставили вам два с лучшим временем безотказной работы, указанными выше.

Еще раз, есть некоторые ключевые столпы его функций безопасности, о которых вам нужно знать.Как и DNSWatch, он предлагает нейтралитет DNS и предотвращает перехват DNS-провайдера, но также предоставляет несколько дополнительных функций.

Во-первых, вы можете выбрать, сколько данных будет вести OpenNIC.Это дает вам беспрецедентный уровень детального контроля.

Во-вторых, что, возможно, более впечатляюще, вы также можете проголосовать за то, как работает OpenNIC.Вы можете сказать свое слово во всем, от принятия решения о новых TLD до изменений политики в рамках всего проекта. Если что-то случится, что вам не понравится, вы можете сообщить об этом OpenNIC!

IP-адреса: 91.239.100.100 и 89.233.43.71

UncensoredDNS — это, пожалуй, наименее узнаваемое имя в этом списке.

Сервисом управлял датчанин по имени Томас Стин Расмуссен.Вот как он своими словами описывает свое прошлое и службу:

«Я системный администратор датского интернет-провайдера, я родился в 1979 году.Я управляю этой службой как частное лицо, на свои деньги. Служба DNS, состоящая из двух серверов DNS без цензуры. Серверы доступны для использования кем угодно бесплатно ».

Лучшая часть UncensoredDNS — это то, что два сервера полностью свободны от журналирования.Серверы не хранят информацию о вас как о пользователе и не хранят информацию о том, как вы используете службу.

Оба сервера физически расположены в Дании.

Какие самые безопасные DNS-серверы?

В этой статье мы познакомили вас с некоторыми из самых безопасных DNS-серверов для защиты вашей безопасности и конфиденциальности.

  • Google Public DNS
  • OpenDNS
  • DNS Watch
  • OpenNIC
  • DNS без цензуры

Который лучший? Сложно сказать.Многое зависит от ваших личных приоритетов. Если родительский контроль является вашей главной заботой, обратитесь к OpenDNS. Если вы хотите повысить скорость за счет регистрации некоторых неличных данных, используйте Google.

Хотите быть максимально осторожными, но потенциально пожертвовать скоростью и временем безотказной работы? Рассмотрим один из последних трех вариантов.

Помните, что использование безопасного DNS-сервера важно для защиты от заражения DNS-кеша.

Если у вас возникнут какие-либо проблемы, вот как исправить ошибку с вашим DNS-сервером.

Как исправить перегрев ноутбука: 3 основных совета и решения

Перегрев медленно убьет ваш ноутбук.Вот как охладить ноутбук и предотвратить его перегрев!

Об авторе Дэн Прайс (Опубликовано 1450 статей)

Дэн присоединился к MakeUseOf в 2014 году и был директором по партнерству с июля 2020 года.Обратитесь к нему с вопросами о спонсируемом контенте, партнерских соглашениях, рекламных акциях и любых других формах партнерства. Вы также можете найти его каждый год бродящим по выставочной площадке CES в Лас-Вегасе, поздоровайтесь, если собираетесь. До своей писательской карьеры он был финансовым консультантом.

Больше От Дэна Прайса
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Перечисленные DNS-серверы

Пожалуйста, обратитесь к этой странице, если вы не знаете, какие DNS-серверы использовать. Если вы знаете IP-адреса некоторых DNS-серверов, которых нет в списке на этой странице, разместите эту информацию на нашем Форум. Благодаря!

Google DNS
Основной: 8.8.8.8
Вторичный: 8.8.4.4
Австралия

QLD
144.140.70.29
144.140.71.15
144.140.70.16

Westnet (ADSL)
203.21.20.20
203.10.1.9



Канада

Shaw Cable
64.59.144.16
64.59.144.17

Telus (BC)
154.11.12810.129
. .128.1
154.11.128.2
154.11.128.130
209.53.4.150



Китай

I-Cable
(Гонконг)
210.80.60.1
210.80.60.2




2 Alien 2 2 Италия 212.216.172.62



Малайзия

Школьная сеть (ADSL)
202.75.44.18
203.106.3.171
202.75.44.20

Tmnet Streamyx (ADSL)
202.188.01047.088
202.188.01047.088
202.188.01047.088
202.188.01047.088
202.188.01047.132 910.265.1 202.188.01047.132
.1 202.188.0.181
202.188.0.182
202.188.1.4
202.188.1.5
202.188.1.23
202.188.1.25



Мексика

Кабельные соединители (кабель 128 кбит / с)
69.44.143.2169210der
69.44.143.2169210der
69.44.143.2169210der

69.44.143.2169210дер Hetnet
10.0,0,5
10.0.0.2
10.0.0.3

Planet Internet
195.121.1.34
195.121.1.66



Новая Зеландия

Xtra (DSL)
202.27.158.40
202.27.156.72

Paradise (DSL)
.4663 .1 203
Португалия

Netvis�o (кабельное телевидение)
213.228.128.6
213.228.128.5

TVTel
195.22.0.204
195.22.0.205



Швеция

Tele2
130.244.127.161
130.244.127.169



Соединенное Королевство

AOL
205.188.146.145

Blueyonder / Telewest (кабельное телевидение)
193.38.113.3
194.177.157.4

BTInternet 9103.73.74.73.9103.73.74.73.7 194.72.9.38 (Кардифф, С. Уэйлс)
194.72.9.39 (Кардифф, С. Уэльс)

Bulldog Broadband
Ns3.bulldogdsl.com. 83.146.21.5 (Юг)
Ns4.bulldogdsl.com. 83.146.21.6 (Юг)
Ns5.bulldogdsl.com. 212.158.248.5 (Север)
Ns6.bulldogdsl.com. 212.158.248.6 (север)

Нильдрам (ADSL)
213.208.106.212
213.208.106.213

NTL (кабель) и Virgin.net (ADSL)
194.168.4.100
194.168.8.100

) 910 труб (ADSL) 162.35
62.189.34.83

Silvermead (спутниковая, DSL, ISDN)
62.55.96.226
62.55.96.109 (не отмечено)

Telewest (кабельное)
62.31.176.39
194.117.134.19

Tiscali, Worldonline, Scream Линия
212.74.112.66
212.74.112.67
212.74.114.129 (Кембридж)
212.74.114.193 (Кембридж)

Wanadoo UK (ADSL)
195.92.195.94
195.92.195.95

Zen Internet
.81 Первичный DNS 9: 2110 DNS : 212.23.3.1



Соединенные Штаты Америки

Адельфия
67.21.13.4 Лос-Анджелес, Калифорния
67.21.13.2 Лос-Анджелес, Калифорния
24.48.217.226 Санта-Моника, Калифорния
24.48.217.227 Санта-Моника, Калифорния
68.168. 1,42 Флорида
68.168.1.46 Флорида

Bellsouth Fast access DSL:
Джорджия
205.152.37.23
205.152.37.24
205.152.37.25
205.152.144.24
205.152.144.25

Чартерная связь (кабель)
68.116.46.70

ближайший!)
68.87.66.196 Comcast (национальный) Первичный DNS-сервер.
68.87.64.196 Вторичный DNS-сервер Comcast.
68.57.32.5 (Вирджиния)
68.57.32.6 (Вирджиния)
216.148.227.68 (Денвер, Колорадо)
204.127.202.4 (Денвер, Колорадо)
68.42,244,5 (Тейлор, Мичиган)
68,42,244,6 (Тейлор, Мичиган)
68,62,160,5 (Хантсвилл, Алабама)
68,62,160,6 (Хантсвилл, Алабама)
68,87,96,3 (Пенсильвания)
68,87,96,4 (Пенсильвания)

Cox HSI (кабельное)
68.12.16.25 (Оклахома — первичная)
68.12.16.30 (Оклахома — вторичная)
68.2.16.30 (Оклахома — высшая школа)

Cox.net
68.10.16.25
68.10.16.30
68.9.16.30

Earthlink — похоже, используется пользователями кабеля и DSL в нескольких штатах.Джорджия и Флорида подтвердили.
207.69.188.187
207.69.188.186
207.69.188.185
209.86.63.217 (Кабель) — Шарлотт, Северная Каролина

Телефонная компания Харрисонвилля (HTC)
216.114.114.130 (Иллинойс)
216.114.114.1328 (Иллинойс)
216.114.114.1328 (Иллинойс)
66.153.128.98 (округ Хорри, Южная Каролина)
66.153.162.98 (округ Хорри, Южная Каролина)

Серверы имен DNS общего доступа ORSC (любой может использовать их, независимо от провайдера)
199.166.24.253
199.166.27.253
199.166.28.10
199.166.29.3
199.166.31.3
195.117.6.25
204.57.55.100

Roadrunner (кабель)
24.25.195.1 (Сан-Диего, Калифорния)
24.25.195.2 (Сан-Диего, Калифорния) )
24.25.195.3 (Сан-Диего, Калифорния)

SBC Yahoo DSL
206.13.31.13
206.13.28.60
206.13.31.5
206.13.28.31

Speakeasy (выберите любые два!)
66.93.87.2 (штат Вашингтон и Орегон )
216.231.41.2 (Вашингтон, округ Колумбия — вероятно)
216.254.95.2 (Нью-Йорк, Массачусетс и Пенсильвания)
64.81.45.2 (Лос-Анджелес, Калифорния)
64.81.111.2 (Денвер, Колорадо)
64.81.127.2 (Даллас, Техас)
64.81.79.2 (Сакраменто, Калифорния)
64,81. 159.2 (Балтимор и Вашингтон, округ Колумбия)
66.92.64.2 (Бостон, Массачусетс)
66.92.224.2 (Филадельфия)
66.92.159.2 (Вашингтон, округ Колумбия)
216.27.175.2 (Атланта, Джорджия. Также обслуживает Флориду)

Sprintlink (по всей стране)
204.117.214.10
199.2.252.10
204.97.212.10

TimeWarner
24.93.1.119 (Рочестер, штат Нью-Йорк)

Unicom
216.104.64.5 (Grants Pass, OR)
216.104.72.5 (Portland, OR)

FrontierNet / Citlink / New North DNS-адреса:
66.133 .170.2 (Рочестер, Нью-Йорк)
170.215.255.114 (Рочестер, Нью-Йорк)
216.67.192.3 (Аризона)
207.173.225.3 (Аризона)
207.173.225.3 (Калифорния)
216.67.192.3 (Калифорния)
170.215.255.114 (Нью-Йорк)
170.215.255.114 (Нью-Йорк) Йорк (районы, кроме Рочестера))
66.133.170.2 (Нью-Йорк (кроме Roch

DNS-серверов | Microsoft Docs

  • 21 минута на чтение

В этой статье

Применимо к: Windows Server 2012 R2, Windows Server 2012

Если зона подписана с помощью DNSSEC и требуется проверка, DNSSEC должен поддерживаться каждым DNS-сервером, который участвует в процессе DNS-запроса и ответа.Эта поддержка создает цепочку доверия, которая позволяет передавать данные DNSSEC от полномочного DNS-сервера, на котором размещена подписанная зона, на другие DNS-серверы, которые могут проверять эти данные и, таким образом, подтверждать подлинность ответов DNS. Когда DNS-клиенты получают этот подтвержденный ответ, они защищены от атак спуфинга.

Для включения DNSSEC и цепочки доверия:

  • Первичные полномочные DNS-серверы должны поддерживать подписывание зоны.

  • Первичный и вторичный полномочные DNS-серверы должны поддерживать размещение подписанных зон.

  • Рекурсивные или перенаправляющие DNS-серверы должны поддерживать проверку DNSSEC ответов DNS.

DNS-клиенты, которые осведомлены о безопасности, также можно настроить так, чтобы они требовали выполнения проверки DNSSEC. Клиенты, которые не осведомлены о безопасности или не требуют проверки, могут быть защищены с помощью DNSSEC. Для получения дополнительной информации см. DNS-клиенты.

В разделе

Поддержка

DNSSEC в Windows Server

Поддержка DNSSEC в Windows Server значительно улучшена в Windows Server 2012 и Windows Server 2012 R2.

В следующей таблице представлена ​​сводная информация о поддержке DNSSEC в операционных системах Windows Server.

Версия операционной системы

Поддержка DNSSEC

Windows Server 2003 и Windows Server 2008

DNSSEC реализован во вторичных зонах, как описано в RFC 2535.

RFC 2535 устарел из-за RFC 4033, 4034 и 4035; поэтому данная реализация DNSSEC не совместима с Windows Server 2008 R2 или любыми более поздними операционными системами.

Windows Server 2008 R2

Ограниченная поддержка DNSSEC была добавлена ​​в Windows Server 2008 R2 для включения автономной подписи для статических зон.

DNSSEC в Windows Server 2008 R2 не предназначен для использования с динамическими зонами DNS, интегрированными в Active Directory. Если зона подписана DNSSEC на DNS-сервере под управлением Windows Server 2008 R2, все типы динамических обновлений, безопасные и небезопасные, отключены в этой зоне.

Для поддержки поэтапной миграции вы можете развернуть DNSSEC в смешанной среде с DNS-серверами Windows Server 2008 R2 и Windows Server 2012.Дополнительную информацию см. В теме о смешанном режиме DNSSEC в этом разделе.

Windows Server 2012 и Windows Server 2012 R2

Поддержка DNSSEC значительно улучшена в Windows Server 2012 и Windows Server 2012 R2.

Усовершенствования включают в себя онлайн-подпись, поддержку динамического обновления DNS для подписанных зон, поддержку Windows PowerShell, автоматическое распространение и обновление якорей доверия, поддержку стандартов NSEC3 и RSA / SHA-2, а также обновленные мастера развертывания пользовательского интерфейса и управления.

Примечание. DNS-клиент в Windows 7, Windows Server 2008 R2 и более поздних версиях Windows является непроверяющим преобразователем заглушек с поддержкой DNSSEC. Предыдущие версии Windows DNS Client не поддерживали DNSSEC. Дополнительные сведения о DNSSEC и клиентах DNS см. В разделе «Клиенты DNS» в этом руководстве.

Подробные сведения о DNSSEC в Windows Server 2008 R2 см. В разделе «Развертывание расширений безопасности DNS (DNSSEC)» в руководстве по развертыванию безопасного DNS для Windows Server 2008 R2.

Развертывание смешанного режима DNSSEC

Для поддержки поэтапной миграции вы можете развернуть DNSSEC в смешанной среде с некоторыми DNS-серверами под управлением Windows Server 2008 R2 и другими DNS-серверами под управлением Windows Server 2012 или более поздней операционной системы.

К развертываниям в смешанном режиме относятся следующие спецификации:

  • Обновленные стандарты DNSSEC (например, NSEC3), доступные в Windows Server 2012 и Windows Server 2012 R2, несовместимы с DNS-серверами под управлением Windows Server 2008 R2.В результате серверы под управлением Windows Server 2008 R2 будут загружать зоны, подписанные в Windows Server 2012, как неподписанные зоны.

  • Зоны, на которых выполнен вход на (устаревшие) DNS-серверы под управлением Windows Server 2008 R2, совместимы с некоторыми операциями DNSSEC на (текущих) DNS-серверах под управлением Windows Server 2012 или более поздней версии. Записи ресурсов, связанные с DNSSEC (например, RRSIG, DNSKEY) в этих зонах, будут загружены на текущие DNS-серверы, и зоны будут иметь возможность проверки DNSSEC.Однако зона не будет подписана в диспетчере DNS или с помощью текущих командлетов Windows PowerShell.

  • Зону, подписанную в Windows Server 2008 R2, нельзя отменить на сервере под управлением Windows Server 2012 или более поздней версии операционной системы с помощью командлета Invoke-DnsServerZoneUnsign или консоли диспетчера DNS. Чтобы отменить подпись зоны, которая была подписана на устаревшем DNS-сервере, необходимо использовать устаревшие процедуры. Эти процедуры могут выполняться на текущем DNS-сервере или устаревшем DNS-сервере.

  • Якоря доверия, созданные на устаревших DNS-серверах, можно импортировать, и они будут отображаться на текущих DNS-серверах с помощью консоли DNS Manager или Windows PowerShell. Формат якорей доверия одинаков как в старых, так и в текущих операционных системах.

Примечание

Правила таблицы политики разрешения имен (NRPT), связанные с DNSSEC, имеют прямую и обратную совместимость. Правила, созданные на компьютерах под управлением Windows Server 2008 R2, отображаются и могут быть изменены на компьютерах под управлением Windows Server 2012 или Windows Server 2012 R2, и наоборот.

Предупреждение

Обнаружена проблема, при которой проверка DNSSEC может завершиться сбоем на компьютерах под управлением Windows 7 при распространении якорей доверия в Active Directory. Чтобы устранить эту проблему, вручную импортируйте якоря доверия на проверяющие DNS-серверы.

Поиск WINS для подписанных зон

Вы можете настроить DNS-сервер для использования Windows Internet Name Service (WINS) для поиска имен, которых нет в DNS, проверив пространство имен NetBIOS.

Для использования интеграции поиска WINS два специальных типа записей ресурсов — записи ресурсов WINS и WINS-R — включаются и добавляются в зону.При использовании записи ресурса WINS запросы DNS, которые не могут найти соответствующую запись ресурса узла (A) в зоне, перенаправляются на серверы WINS, настроенные в записи ресурса WINS. Для зон обратного просмотра можно включить запись ресурса WINS-R и использовать ее для получения аналогичных преимуществ для дальнейшего разрешения обратного запроса DNS, который не найден.

В Windows Server 2008 R2 поиск WINS был отключен для зон, подписанных DNSSEC. Для неподписанных зон вкладка WINS отображается в диспетчере DNS при просмотре свойств зоны.См. Следующий пример.

Если зона была подписана, поиск WINS был отключен, и вкладка WINS не отображалась.

В Windows Server 2012 и более поздних операционных системах пересылка WINS включена для подписанных зон. Если вы установите флажок Использовать прямой поиск WINS , чтобы включить поиск WINS в подписанной зоне, появится предупреждающее сообщение. См. Следующий пример.

Аналогичное сообщение отображается, если вы пытаетесь подписать зону, в которой ранее был включен поиск WINS.Предупреждающие сообщения также отображаются при попытке подписать зону с помощью Windows PowerShell, в которой включен поиск WINS.

Таким образом, поиск WINS доступен как для подписанных, так и для неподписанных зон в Windows Server 2012 или новее, но поиск WINS не защищен от несанкционированного доступа и представляет угрозу безопасности, если он включен для зоны, подписанной DNSSEC.

DNSSEC в Windows Server 2012

Windows Server 2012 и Windows Server 2012 R2 предоставляют множество улучшений по сравнению с Windows Server 2008 R2, которые упрощают развертывание и администрирование DNSSEC, включая онлайн-подпись динамических зон DNS, интегрированных в Active Directory, поддержку Windows PowerShell и мастеров, интегрированных в диспетчер DNS. приставка.Эти ключевые функции, связанные с DNSSEC, описаны в этом разделе и кратко изложены в таблице ниже.

В следующей таблице представлен обзор новых функций DNSSEC в Windows Server 2012.

Характеристика

Описание

Дополнительная информация

Динамическая онлайн-подписка

Поддерживается онлайн-подпись динамических зон, интегрированных в Active Directory.

Онлайн-подписка и динамические обновления

DNSSEC и контроллеры домена только для чтения (RODC)

RODC загружают подписанные зоны как вторичные зоны с файловой поддержкой.

Контроллеры домена только для чтения (RODC)

Мастера развертывания DNSSEC

Подписание и отмена подписи зоны значительно упрощена.

DNSSEC в диспетчере DNS

Администрация DNSSEC

Мастер ключей — это DNS-сервер, который генерирует ключи подписи для зоны и управляет ими.Управление ключами DNSSEC значительно улучшено за счет автоматической смены ключей и распределения якорей доверия.

Мастер ключей

Стандарты

Поддерживаются обновленные стандарты, такие как NSEC3 и RSA / SHA-2.

Стандарты DNSSEC

Поддержка Windows PowerShell

Windows PowerShell имеет паритет с dnscmd для управления зонами, подписанными DNSSEC.

Приложение B: Windows PowerShell для DNS-сервера

Онлайн-подписка и динамические обновления

Поддержка подписи зоны DNSSEC была добавлена ​​в Windows Server® 2008 R2 и впоследствии расширена в Windows Server 2012 для поддержки подписи через Интернет.

DNSSEC в Windows Server 2008 R2

В Windows Server 2008 R2 зоны, подписанные DNSSEC, можно было подписать только в автономном режиме через файловую копию зоны.Невозможно было сгенерировать или обновить подписи в зоне, пока зона была в сети. Почти все настройки требовали ручного администрирования, которое включало следующие операции:

  • Сгенерировать ключи, необходимые для подписи зоны, можно только вручную с помощью инструмента dnscmd. Хотя рекомендуется подписывать зону как с помощью KSK, так и с помощью ZSK, ключи нужно было создавать по одному.

  • Не было встроенного средства для автоматического создания дополнительных ключей для пролонгации.От вас требовалось заранее спланировать желаемый тип пролонгации, а затем вручную сгенерировать ключи.

  • Dnscmd требовал нескольких входных данных для генерации ключей и не допускал никаких значений по умолчанию. В некоторых случаях вам приходилось указывать параметр, даже если был доступен только один — например, алгоритм (единственным поддерживаемым алгоритмом был RSA / SHA-1).

  • Подписание зоны также выполнялось вручную через dnscmd и выполнялось над файловой копией зоны в автономном режиме.Затем вам пришлось вручную импортировать эту подписанную копию файла зоны на сервер.

  • Windows Server 2008 R2 поддерживает подписывание зон, интегрированных в Active Directory, но для подписанной зоны нельзя было включить динамические обновления. От вас требовалось вручную повторно подписывать зону при каждом обновлении зоны.

  • Не было условий для репликации или распространения закрытых ключей. Ключи хранились в хранилище сертификатов машины на компьютере, где они были созданы.Их нельзя было легко экспортировать на другие DNS-серверы.

DNSSEC в Windows Server 2012 и Windows Server 2012 R2

В Windows Server 2012 и более поздних операционных системах поддержка DNSSEC расширена за счет включения интерактивной подписи динамических зон. Кроме того, автоматизированы несколько задач управления зонами:

  • Ключи подписи автоматически генерируются диспетчером DNS или Windows PowerShell, если параметры были указаны. Вы также можете выбрать набор параметров по умолчанию.

  • Для каждого ключа подписи администратор может включить или отключить автоматическую смену ключей с указанной частотой.

  • Диспетчер DNS или Windows PowerShell можно использовать для подписи зоны с использованием значений по умолчанию или с использованием пользовательских значений. Если зона была ранее подписана, вы также можете повторно использовать эти значения параметров. DNS Manager также предоставляет возможность подписать зону с использованием тех же значений, которые использовались для подписи другой зоны.

  • Подписание зоны теперь выполняется для активных онлайн-зон.Нет необходимости переводить зону в автономный режим для подписания, а затем импортировать подписанную копию зоны после завершения подписания.

  • Если зона обновляется, она автоматически подписывается заново. Обновления подписанных зон можно выполнять вручную или динамически. Динамические обновления больше не отключены для зон, подписанных DNSSEC.

  • Для зон, интегрированных в Active Directory, ключи подписи автоматически реплицируются на все основные полномочные DNS-серверы.

DNS в Windows Server 2012 и Windows Server 2012 R2 также включает в себя мастер DNSSEC в диспетчере DNS, который проводит администратора через процесс подписания и отмены подписи.Мастер автоматически генерирует все ключи, необходимые для подписи зоны. Дополнительные сведения см. В разделе DNSSEC в диспетчере DNS.

Для зон, интегрированных в Active Directory, ключи подписи частной зоны автоматически реплицируются на все первичные DNS-серверы посредством репликации Active Directory. Каждый полномочный сервер подписывает свою копию зоны при получении ключа. Для оптимальной производительности и предотвращения увеличения размера файла базы данных Active Directory подписанная копия зоны остается в памяти для зон, интегрированных в Active Directory.Зона, подписанная DNSSEC, фиксируется на диске только для зон с файловой поддержкой. Вторичные DNS-серверы получают полную копию зоны, включая подписи, с первичного DNS-сервера.

Как правило, криптографические операции требуют больших вычислительных ресурсов. Для больших зон DNS-серверу может потребоваться несколько минут, чтобы подписать зону, в зависимости от длины ключа и размера зоны. Чтобы предотвратить снижение производительности, когда все DNS-серверы начинают подписывать зону одновременно, подписание происходит в шахматном порядке.Когда контроллер домена реплики видит ключи и конфигурацию DNSSEC, он ожидает случайный период от 5 до 30 минут, прежде чем он начнет подписывать зону.

Контроллеры домена только для чтения (RODC)

В Windows Server 2008 и Windows Server 2008 R2 DNS-серверы, работающие на контроллерах домена только для чтения (RODC), размещают интегрированные в Active Directory копии всех зон. Однако, поскольку зона предназначена только для чтения, DNS-сервер не может обновлять зоны, которые он размещает.Вместо этого обновления происходят на других DNS-серверах и передаются на RODC через репликацию Active Directory.

Когда зона, интегрированная в Active Directory, подписана с помощью DNSSEC, закрытые ключи также реплицируются на все DNS-серверы, работающие на контроллерах домена, за исключением: закрытые ключи не реплицируются на RODC, поскольку RODC предназначены для работы в небезопасных средах.

В Windows Server 2012 и Windows Server 2012 R2 контроллер домена только для чтения загружает неподписанные зоны из Active Directory без изменения функциональности по сравнению с Windows Server 2008 R2.Однако, если RODC находит зону, подписанную DNSSEC, в Active Directory, он не загружает зону как интегрированную в Active Directory. Вместо этого он создает дополнительную копию зоны, а затем настраивает ближайший доступный для записи контроллер домена для домена в качестве основного сервера. Затем RODC пытается выполнить передачу зоны. Передача зон должна быть включена на основном DNS-сервере для успешной передачи. Если передачи зон не включены, контроллер домена только для чтения регистрирует событие ошибки и не предпринимает никаких дальнейших действий.В этом сценарии необходимо вручную включить передачу зон на основном сервере, выбранном контроллером домена только для чтения. Кроме того, вы можете перенастроить RODC, чтобы он указывал на другой первичный DNS-сервер, на котором включена передача зон.

DNSSEC в диспетчере DNS

DNS Manager в Windows Server 2012 и Windows Server 2012 R2 включает мастеров, которые помогут вам подписать зоны с помощью DNSSEC, просмотреть и изменить параметры DNSSEC и легко отменить подпись зоны.

Состояние DNSSEC зоны отображается в дереве консоли со значком замка, отображаемым рядом с именем зоны, если она подписана с помощью DNSSEC.Зона с подписью также отображает состояние Подписано на правой панели в столбце Состояние DNSSEC , а имя мастера ключей отображается в соответствующем столбце. См. Следующий пример.

Если вы недавно подписали зону, вам может потребоваться обновить представление консоли диспетчера DNS, чтобы увидеть статус зоны с подписью DNSSEC.

Вы также можете щелкнуть правой кнопкой мыши зону в диспетчере DNS и указать на DNSSEC . Если зона еще не подписана, единственный доступный вариант — Подписать зону .См. Следующий пример.

Для получения информации о подписании и отмене подписания зоны см. Зоны DNS.

Мастер ключей

Мастер ключей DNSSEC — это новая концепция и компонент развертывания Windows DNSSEC, представленный в Windows Server 2012.

В Windows DNSSEC мастер ключей — это DNS-сервер, который отвечает за генерацию ключей и управление ключами для зоны, подписанной DNSSEC. Когда вы используете настройки по умолчанию для подписи зоны, локальный сервер выбирается как Key Master.У вас также есть возможность выбрать другой DNS-сервер из списка серверов, поддерживающих онлайн-подписку DNSSEC. Только один DNS-сервер может быть главным ключом для данной зоны в данный момент времени.

Мастер ключей должен быть основным уполномоченным сервером для зоны и иметь возможность подписывать зоны в режиме онлайн. Однако в среде развертывания DNS с несколькими мастерами Microsoft возможно следующее:

  • Роль мастера ключей может быть передана другому официальному серверу имен после подписания зоны.Эту передачу можно выполнить корректно, если текущий мастер ключей находится в сети, или как часть сценария аварийного восстановления, если текущий мастер ключей находится в автономном режиме. Дополнительные сведения см. В разделах «Передача роли мастера ключей» и «Получение роли мастера ключей» далее в этом разделе.

  • Один полномочный сервер может быть главным ключом для нескольких зон.

  • Различные полномочные серверы могут быть ключевыми мастерами для разных зон.

Невозможно передать роль мастера ключей, если зона является файловой, поскольку в этих зонах есть только один основной полномочный DNS-сервер.

Важно

Если зона интегрирована в Active Directory, Key Master является контроллером домена и может получить выгоду от улучшенных соображений безопасности, которые используются с контроллерами домена. Если зона является файловой, мастер ключей может также не быть контроллером домена. В этом случае рекомендуется принять дополнительные меры безопасности для защиты мастера ключей от атак и защиты материала закрытого ключа от компрометации. По соображениям безопасности Key Master, который не является контроллером домена, должен иметь только установленную роль DNS-сервера, чтобы ограничить его поверхность атаки.

Имя мастера ключей отображается в диспетчере DNS, когда вы щелкаете Зоны прямого просмотра или Зоны обратного просмотра , и оно отображается на вкладке Мастер ключей на странице свойств DNSSEC. Вы также можете использовать командлет Get-DnsServerDnsSecZoneSetting Windows PowerShell для просмотра мастера ключей. См. Следующий пример:

  PS C: \> Get-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com | Выберите KeyMasterServer

KeyMasterServer
---------------
DC1.contoso.com
  

Мастер ключей генерирует все ключи для зоны и отвечает за распространение закрытых ключей и информации для подписи зоны. Мастер ключей также отвечает за выполнение всех обновлений ключа подписи зоны (ZSK) и ключа подписи ключа (KSK), а также за опрос дочерних зон для поддержания актуальности подписанных делегаций.

Примечание

Зона без знака также может быть назначена ключевым мастером. Все зоны, которые были подписаны, имеют параметр Key Master, независимо от того, подписаны они в настоящее время или нет.Зона, которая никогда не была подписана, обычно не имеет мастера ключей, но может быть настроена с помощью мастера ключей при подготовке к подписанию зоны с помощью Windows PowerShell.

Перенос роли мастера ключей

Если мастер ключей находится в сети, вы можете плавно перенести роль мастера ключей на другой DNS-сервер. Другой подходящий DNS-сервер должен быть доступен в сети.

Чтобы передать роль мастера ключей с помощью диспетчера DNS, просмотрите свойства DNSSEC зоны, щелкните вкладку Мастер ключей и затем выберите Использовать следующий DNS-сервер в качестве мастера ключей .Когда вы щелкаете раскрывающийся список, появляется всплывающее предупреждение с вопросом, хотите ли вы, чтобы локальный сервер создал список доступных, подходящих DNS-серверов, которые могут быть главными ключами. Нажмите OK , выберите сервер из списка и затем нажмите OK . См. Следующие примеры:

Важно

Зарегистрированный пользователь должен иметь права группы администраторов домена или эквивалентные права на DNS-сервере, чтобы он отображался в списке.

Эту операцию также можно выполнить с помощью Windows PowerShell с помощью командлета Reset-DnsServerZoneKeyMasterRole .См. Следующий пример.

  PS C: \> Reset-DnsServerZoneKeyMasterRole -ZoneName secure.contoso.com -KeyMasterServer dc2.contoso.com -force

PS C: \> Get-DnsServerDnsSecZoneSetting -ZoneName secure.contoso.com | Выберите KeyMasterServer

KeyMasterServer
---------------
DC2.contoso.com
  

В этом примере командлет Get-DnsServerDnsSecZoneSetting также используется для проверки успешной передачи роли мастера ключей.

Захват роли ключевого мастера

Сервер, обозначенный как мастер ключей, должен быть в сети и иметь высокую доступность, чтобы обеспечить бесперебойное обслуживание операций подписания ключей.Однако, если мастер ключей переходит в автономный режим и не может быть легко восстановлен до сетевого статуса, можно принудительно передать роль мастера ключей другому подходящему DNS-серверу, используя процесс, называемый захватом. Не берите на себя роль мастера ключей, если этого не избежать. Всегда предпочтительна плавная онлайн-передача роли Key Master.

Материал закрытого ключа

Важно

Мастер ключей должен иметь доступ к материалам закрытого ключа для зоны, подписанной DNSSEC.Если текущий мастер ключей находится в автономном режиме, другие DNS-серверы могут иметь доступ к материалу закрытого ключа, если он хранится в общем месте, таком как Active Directory. Если материал закрытого ключа не хранится в Active Directory, и новый мастер ключей не может получить доступ к закрытым ключам зоны другими способами, то необходимо сгенерировать новые ключи и заново подписать зону этими новыми ключами. После повторной подписи с новыми ключами все якоря доверия, существующие на других DNS-серверах, станут недействительными и должны быть обновлены.

Чтобы сохранить материал закрытого ключа в Active Directory, установите флажок Реплицировать этот закрытый ключ на все DNS-серверы, уполномоченные для этой зоны. в настройках KSK для всех используемых ключей KSK. См. Следующий пример.

Если вы не хотите хранить материал закрытого ключа в Active Directory, вы также можете предоставить доступ к материалу закрытого ключа с помощью сертификата или устройства аппаратного модуля хранения (HSM). Этот носитель должен быть доступен для DNS-сервера, выбранного в качестве нового мастера ключей.

Если материал закрытого ключа не хранится в Active Directory или на внешнем устройстве, вы можете использовать следующую команду, чтобы сохранить этот материал в сертификате на локальном компьютере.

  MakeCert -ss MS-DNSSEC -sr LocalMachine
  

Чтобы использовать команду MakeCert, необходимо сначала загрузить и установить Windows SDK с https://go.microsoft.com/fwlink/p/?linkid=84091.

Если новый мастер ключей не может получить доступ к материалу закрытого ключа для зоны, отображается уведомление, указывающее, что материал закрытого ключа недоступен и что необходимо сгенерировать новые ключи.См. Следующий пример.

Важно

Если вы нажмете Да и продолжите захват роли мастера ключей, новые ключи ZSK и KSK не будут автоматически созданы. Вы должны повторно подписать зону, чтобы был доступен закрытый ключ. Если для зоны были распределены якоря доверия, эти якоря доверия также необходимо заменить. Если исходный мастер ключей становится доступным до повторной подписи зоны, вы можете передать роль мастера ключей обратно на этот сервер без необходимости повторной подписи зоны и перераспределения якорей доверия.

Если материал закрытого ключа хранится в Active Directory, вы можете захватить роль мастера ключей на другом первичном полномочном DNS-сервере, интегрированном в Active Directory, и получить полный доступ к материалам закрытого ключа. В этом случае ключи подписи (ZSK и KSK) заменять не нужно.

Если вы используете диспетчер DNS для доступа к авторитетному DNS-серверу, интегрированному в Active Directory, с первичной копией зоны, когда мастер ключей находится в автономном режиме, при просмотре свойств DNSSEC зоны отображается уведомление, которое указывает на невозможность настройки DNSSEC. быть загруженным.См. Следующий пример.

Нажмите OK , чтобы загрузить настройки DNSSEC с локального сервера. Эти параметры будут параметрами, которые были настроены во время последней успешной репликации.

На вкладке Мастер ключей вы можете выбрать нового мастера ключей из списка доступных DNS-серверов, аналогично процедуре, которая используется для постепенной передачи роли мастера ключей, описанной ранее в этом разделе.

После выбора нового Key Master и нажатия OK , отображается уведомление с информацией об изменениях, которые необходимо внести.Нажмите OK еще раз, чтобы продолжить операцию захвата. Другое уведомление отображается со статусом передачи роли. См. Следующие примеры:

Информация о новом Key Master реплицируется в Active Directory на все первичные DNS-серверы. После захвата роли мастера ключей на другом сервере, если старый мастер ключей подключается к сети, он обнаруживает, что он больше не является мастером ключей. Вам не нужно дополнительно изменять настройки.

Стандарты DNSSEC

В дополнение к онлайн-подписанию и отмене подписания динамических зон, интегрированных в Active Directory, DNSSEC в Windows Server 2012 и Windows Server 2012 R2 включает поддержку:

  • Автоматическая установка ключей

  • Автоматическое обновление якорей доверия безопасности DNS (RFC 5011)

  • Подпись и проверка зоны NSEC3

  • Случайная соль NSEC3 и определяемая пользователем соль

  • Подпись и проверка зоны RSA / SHA-2

Для получения дополнительной информации о настройках DNSSEC, которые используются при подписи зоны, см. Значения параметров.

Зональные передачи

Зональные передачи могут быть защищены с помощью IPsec. Windows Server 2012 и Windows Server 2012 R2 не поддерживают подпись транзакции (TSIG) для передачи зон.

Аутентификация на основе сертификатов может использоваться для установления сеанса IPsec между DNS-серверами. Каждая конечная точка должна предоставить сертификат для подтверждения своей личности. Этот метод требует, чтобы сертификаты были созданы и настроены на всех DNS-серверах, участвующих в передаче зон для зон, подписанных DNSSEC.

Чтобы настроить политики IPsec на основе сертификатов на DNS-серверах, см. Следующие разделы:

Процедура: развертывание сертификатов для аутентификации DNS-сервера

Процедура: развертывание политики IPsec на DNS-серверах

Предупреждение

В Windows Server 2012 и Windows Server 2012 R2 обнаружена ошибка, из-за которой несколько записей RRSIG в зоне, подписанной DNSSEC, могут накапливаться на вторичном DNS-сервере, особенно для записей ресурсов в корне зоны, таких как подписи DNSKEY.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *