Що таке DNS і навіщо він потрібен?

DNS (Domain Name System) - це розподілена система зберігання та обробки інформації про доменні імена. Якщо коротко, то DNS дає нам змогу використовувати зручні текстові імена сайтів замість складних числових IP-адрес.

Розуміння принципів роботи ДНС важливе як для IT-фахівців, так і для звичайних користувачів. Якщо ви розробник або сисадмін, то рано чи пізно зіткнетеся з налаштуванням DNS-записів для своїх проєктів. Якщо ви просто активно користуєтеся інтернетом, то базові знання про DNS допоможуть вам розібратися, чому сайт може бути недоступний і як це питання вирішується.

У цій статті ми детально розберемо, що таке ДНС, як він працює і які проблеми вирішує. Але для початку нам потрібно познайомитися з базовими поняттями - IP-адресами та доменними іменами.

Основні поняття

Будь-який комп'ютер або сервер, підключений до інтернету, має свою унікальну IP-адресу. Це числовий ідентифікатор, що складається з 4 блоків цифр, розділених крапками. Наприклад, IP-адреса серверів Google - 142.250.185.78.

За своєю суттю IP-адреси схожі на телефонні номери або поштові індекси. Вони потрібні, щоб однозначно визначати відправника й одержувача інформації в мережі. Проблема в тому, що людям складно запам'ятовувати і використовувати ці набори цифр. Куди простіше ввести в браузері текстове ім'я сайту.

Може здатися, що IP-адрес має вистачити на всіх із запасом. Адже якщо взяти стандартний формат IPv4 (4 числа від 0 до 255), то виходить понад 4 млрд унікальних адрес (256^4 = 4 294 967 296). Але вже в 2011 році міжнародний пул IPv4 адрес був повністю вичерпаний!

Причини дефіциту IP-адрес:

• Бурхливе зростання кількості підключених до інтернету пристроїв (комп'ютери, смартфони, планшети, IoT)
• Неефективний розподіл адрес між організаціями та країнами на ранньому етапі розвитку інтернету
• Виділення великих блоків адрес для спеціальних цілей (локальні мережі, multicast тощо).

Щоб вирішити проблему, було розроблено новий стандарт - IPv6, який використовує вже 128 біт для адреси замість 32. Це дає колосальний адресний простір у 340 секстильйонів (3.4×10^38) унікальних адрес.

Перехід на IPv6 уже триває, але займе ще багато років через необхідність оновлення мережевого обладнання та ПЗ. Поки ж основним способом економії адрес залишаються NAT і приватні підмережі.

А ось із запам'ятовуваністю IP-адрес людиною відмінно справляється система доменних імен - DNS. Вона дає змогу зіставити числову IP-адресу (142.250.185.78) з текстовим ім'ям (google.com).

Доменні імена мають ієрархічну структуру і читаються справа наліво. Крайній правий елемент - домен верхнього (першого) рівня. Далі йдуть домени другого, третього рівня тощо.

Ось як виглядає структура доменного імені на прикладі www.blog.example.com:

• .com - домен верхнього рівня (TLD). Таких доменів сотні: .com, .org, .net, .ua, .fr тощо.
• example - домен другого рівня, він унікальний у межах свого TLD
• blog і www - домени третього рівня (піддомени), на них часто розміщують додаткові розділи сайту

Будь-хто може зареєструвати доменне ім'я, якщо воно ще не зайняте. За процедуру реєстрації та підтримання роботи доменів верхнього рівня відповідає міжнародна організація ICANN та уповноважені реєстратори.

Зареєструвавши домен, ви отримуєте можливість вказувати для нього ДНС-записи і тим самим пов'язувати його з IP-адресами потрібних серверів. Після цього люди зможуть відкривати ваш сайт, пошту або інші сервіси, просто набираючи зручне доменне ім'я.

Аналогію для кращого розуміння зв'язку IP-адрес і доменів можна провести з квартирами і багатоповерховим будинком. IP-адреса - це наче номер конкретної квартири, в якій розташовується сайт. А доменне ім'я - це адреса будинку, в якому розташована ця квартира.

Коли ви вводите в браузері www.example.com, то за лаштунками відбувається складний процес опитування кількох DNS-серверів. У результаті доменне ім'я перетворюється на IP-адресу, і ви потрапляєте на потрібний сайт. У наступному розділі ми детально розберемо етапи цього процесу.

Принцип роботи DNS

DNS можна уявити як величезну розподілену базу даних, яка зберігає інформацію про відповідність доменних імен та IP-адрес. Ця база не зосереджена на одному сервері, а розбита на багато ДНС-серверів по всьому світу.

Ключові компоненти розподіленої DNS-системи:

• DNS-сервер - програма, запущена на мережевому вузлі, яка зберігає частинку загальної бази і відповідає на DNS-запити. Він приймає запит із доменним ім'ям і повертає відповідну IP-адресу, якщо знає її.
• Зона - частина доменного простору (піддерево), за яку відповідає конкретний ДНС-сервер. Приклад: зона .ua, зона com.ua тощо.
• Записи (records) - конкретні зіставлення імені та значення, які зберігаються на DNS-серверах у текстових файлах зон. Приклад: blog.example.com = 192.168.0.100.

Щоб зрозуміти, як працює процес перетворення доменного імені в IP-адресу (резолвінг), розберемо на прикладі:

1. Користувач вводить у браузері www.example.com і натискає Enter.
2. Браузер (DNS-клієнт) надсилає запит на резолвінг цього імені локальному DNS-серверу (зазвичай це сервер інтернет-провайдера).
3. Локальний сервер не знає відповіді, тому надсилає рекурсивний запит кореневому DNS-серверу.
4. Кореневий сервер відповідає, що не знає IP для www.example.com, але знає адресу DNS-сервера зони .com (рівнем нижче).
5. Локальний сервер запитує DNS-сервер зони .com.
6. Сервер .com також не знає IP, але повідомляє адресу ДНС-сервера зони example.com.
7. Локальний сервер опитує DNS-сервер зони example.com.
8. Сервер example.com знаходить у себе A-запис для www.example.com і повертає відповідну IP-адресу.
9. Локальний DNS-сервер кешує відповідь і передає її браузеру.
10. Браузер звертається до IP-адреси та завантажує веб-сторінку.

[Картинка з послідовністю резолвінгу].

Якщо один із ДНС-серверів у ланцюжку не відповідає, то резолвінг не завершиться і сайт не відкриється. Тому так важливо забезпечувати відмовостійкість DNS-інфраструктури.

Зверніть увагу, що фінальну IP-адресу браузер отримує саме від локального DNS-сервера, а не безпосередньо з example.com. Локальний сервер кешує (тимчасово зберігає) відповіді, щоб під час повторних запитів не починати ланцюжок заново.

Ключову роль у цьому процесі відіграють кореневі ДНС-сервери (root name servers). Це 13 логічних серверів (a-m.root-servers.net), які відповідають за домени верхнього рівня і перенаправляють запити на нижчі рівні. Фізично ці сервери дублюються і розподілені по всьому світу за допомогою техніки Anycast для підвищення відмовостійкості та швидкості відповіді.

Наприклад, кореневий сервер i.root-servers.net має 69 адрес у різних точках світу (дані на 2023 рік). Завдяки цьому час відгуку при запитах не перевищує 300 мс.

Ієрархія доменів

Система DNS має ієрархічну структуру, яка визначає рівні та підпорядкованість доменів один одному. Можна уявити її як перевернуте дерево

На самому верху знаходиться корінь (.), за ним ідуть домени верхнього рівня (TLD), потім домени другого рівня (SLD) і т.д. Що нижчий домен в ієрархії, то він більш специфічний і підпорядковується вищим.

Приклади доменів різних рівнів:

• Верхній рівень: .com, .net, .org, .ua, .uk, .de
• Другий рівень: example.com, google.com, wikipedia.org
• Третій рівень (піддомени): blog.example.com, www.google.com, en.wikipedia.org

Доменне ім'я читається справа наліво. Останній (крайній правий) елемент називається доменом першого (верхнього) рівня. Кожен наступний зліва елемент - це домен нижчого рівня по відношенню до попереднього.

Наприклад, в імені blog.example.com - .com це домен першого рівня, example - другого рівня, blog - третього.

Домени верхнього рівня бувають:

• Загальні (gTLD) - .com, .net, .org та інші. Спочатку призначалися для певних типів організацій (комерційні, некомерційні, освітні тощо), але зараз реєструються для будь-яких цілей.
• Національні (ccTLD) - прив'язані до країн і територій. Приклад: .ua (Україна), .uk (Великобританія), .fr (Франція), .de (Німеччина). Вимоги до реєстранта в кожній зоні свої.
• Нові (New gTLD) - з'явилися після 2001 року для розширення простору імен і конкуренції. Приклад: .blog, .shop, .club, .io та інші. Загалом їх уже понад 1200.

За делегування імен у доменах верхнього рівня відповідає ICANN (Internet Corporation for Assigned Names and Numbers) - міжнародна некомерційна організація. Вона визначає правила реєстрації, затверджує реєстраторів і стежить за стабільністю роботи системи DNS.

Щоб зареєструвати домен другого рівня, ви звертаєтеся до реєстратора, акредитованого ICANN для роботи в потрібній доменній зоні. Наприклад, якщо ви хочете домен у зоні .UA, то йдете до українського реєстратора. Якщо потрібен домен .COM - до міжнародного.

При цьому на ваш домен другого рівня ви вже самі можете створювати піддомени (третього, четвертого рівня тощо) і повністю ними керувати. Ця схема дає змогу забезпечити як глобальне адміністрування доменного простору (через ICANN), так і гнучкість управління для кінцевих користувачів.

Розуміння ієрархії доменів важливе для правильного налаштування DNS-інфраструктури. Імена мають бути унікальними на своєму рівні, але можуть повторюватися на нижчих рівнях у різних гілках.

Наприклад, існують домени blog.example.com і blog.sample.com - вони розташовані на одному рівні (третьому), але в різних піддеревах (example.com і sample.com). А ось два домени blog.example.com і wiki.example.com конфліктувати не будуть, оскільки перебувають на різних рівнях одного піддерева.

Така деревоподібна система дає змогу гнучко структурувати доменний простір і уникати конфліктів імен. У наступному розділі ми детально розберемо типи ДНС-записів, які дають змогу пов'язувати домени з IP-адресами та іншими даними.

Типи DNS-записів та їхнє призначення

Уся інформація в DNS зберігається у вигляді записів певного типу (Resource Record, RR). Кожен запис складається з декількох текстових полів і завжди прив'язаний до конкретного доменного імені.

Основні типи записів:

• A (Address) - зіставляє доменне ім'я та IPv4-адресу. Приклад: example.com. IN A 192.0.2.1. Це найпоширеніший тип записів, використовується для зв'язку домену з IP-адресою веб-сервера.
• AAAA (Address IPv6) - аналог A-запису, але для 128-бітних адрес IPv6. Приклад: example.com. IN AAAA 2001:db8::1.
• CNAME (Canonical Name) - пов'язує одне доменне ім'я (псевдонім) з іншим (канонічним). Коли клієнт запитує ім'я-псевдонім, ДНС-сервер відповідає канонічним ім'ям. Це дає змогу зіставляти кілька імен одній IP-адресі. Приклад: www.example.com. IN CNAME example.com.
• MX (Mail Exchange) - вказує на поштовий сервер для домену. У запису є числовий пріоритет (що менше число, то вищий пріоритет). Поштові сервери опитуються за наростанням пріоритету, поки не буде отримано відповідь. Приклад: example.com. IN MX 10 mail1.example.com.
• NS (Name Server) - пов'язує домен із DNS-сервером, що відповідає за нього. Цей запис має бути присутнім для кожного домену, ім'я сервера вказується повністю (з крапкою на кінці). Приклад: example.com. IN NS ns1.example.com.
• TXT (Text) - містить довільну текстову інформацію для домену. Часто використовується для верифікації володіння доменом (наприклад, під час налаштування DKIM або SPF). Приклад: example.com. IN TXT "v=spf1 a mx ~all"
• SRV (Service) - вказує на сервери для певних сервісів (XMPP, SIP, LDAP тощо). У записі задається протокол, ім'я сервісу, номер порту і пріоритет. Приклад: _sip._tcp.example.com. IN SRV 0 5 5060 sipserver.example.com.

Це далеко не повний список, але наведені типи записів зустрічаються найчастіше. Ось як вони можуть використовуватися для сайту www.example.com:

У цій конфігурації:

• Сайт доступний як за адресою example.com, так і www.example.com (завдяки CNAME)
• Веб-сервер знаходиться на IP-адресі 192.0.2.1 (A-запис)
• Пошта для домену обробляється сервером mail.example.com (MX-запис)
• Зазначено налаштування SPF для боротьби зі спамом (TXT-запис)
• SIP-сервер для IP-телефонії знаходиться на sip.example.com і порту 5060.

Змінюючи DNS-записи, ви можете гнучко керувати маршрутизацією запитів до вашого домену і балансувати навантаження між серверами. Під час переїзду сайту на інший хостинг досить поміняти всього один A-запис, щоб трафік пішов на нову IP-адресу.

Практична користь DNS

Система доменних імен ДНС несе величезну практичну користь для всіх користувачів інтернету. Вона робить мережу більш дружелюбною і розширює можливості власників сайтів. Виділимо основні переваги:

Зручність для користувачів

Уявіть, що DNS не існує. Тоді для переходу на сайт вам довелося б щоразу вводити в браузері IP-адресу, наприклад, 104.18.18.18 замість example.com. Сумнівно, що в такому разі інтернет став би настільки масовим.

DNS дає змогу використовувати текстові імена сайтів, які легко запам'ятовуються, замість числових IP-адрес. Набагато зручніше набрати wikipedia.org, ніж 208.80.154.224. Це особливо важливо для комерційних проєктів - домен apple.com буде ефективнішим за номерну адресу як для реклами, так і для лояльності користувачів.

Гнучкість для власників сайтів

За допомогою DNS-записів власники доменів отримують масу можливостей для управління роботою своїх ресурсів:

• Перенаправлення запитів за допомогою CNAME-записів. Наприклад, можна спрямувати користувачів з blog.example.com на www.example.com/blog. Або прив'язати піддомен shop.example.com до системи інтернет-магазину на shopify.com.
• Розподіл навантаження між серверами. Один домен можна зіставити з кількома A-записами, вказавши IP-адреси різних серверів. DNS-сервер повертатиме їх по черзі (round-robin). Так навантаження від відвідувачів розподілиться між серверами.
• Окремі сервери для різних завдань. Можна винести поштовий сервер на окрему машину і вказати її адресу в MX-записі. Аналогічно - для FTP, SSH та інших сервісів. Це спрощує масштабування та адміністрування великих проєктів.

Децентралізація управління

DNS - це розподілена система, і нею ніхто не володіє одноосібно. Управління доменами верхнього рівня децентралізовано між ICANN і сотнями реєстраторів. А за піддомени вже відповідають мільйони звичайних власників сайтів.

Така схема забезпечує гнучкість, масштабованість і стійкість ДНС. Немає єдиної точки відмови, локальні збої не впливають на всю систему. Сервери DNS працюють як злагоджений механізм без єдиного центру керування.

Кешування для швидкого відгуку

У систему DNS вбудовано правило кешування відповідей. Це означає, що під час повторного запиту локальний DNS-сервер не буде заново опитувати авторитативні сервери, а поверне домен зі своєї пам'яті.

Завдяки цьому в більшості випадків резолвінг відбувається дуже швидко - у межах 1-100 мс. Користувачі отримують відгук практично миттєво, хоча під капотом відбувається складний процес опитування безлічі географічно розподілених серверів.

Додаткові можливості для бізнесу

DNS надає бізнесу додаткові можливості для брендингу, залучення клієнтів і автоматизації процесів:

• Адреси співробітників у корпоративному домені (наприклад, john@company.com), що підвищує довіру і впізнаваність бренду в листуванні.
• Створення різних піддоменів для мовних версій сайту (en.example.com, es.example.com), регіонів (eu.example.com, asia.example.com) або нових продуктів (game.example.com).
• Налаштування записів SPF і DKIM для підтвердження автентичності пошти, боротьби зі спамом і фішингом.
• Інтеграція з CDN для прискорення завантаження контенту з географічно близьких точок присутності провайдера.

Але навіть для невеликих некомерційних сайтів користь ДНС неоціненна. Домен другого рівня коштує недорого (5-20 доларів на рік), але дає змогу запам'ятатися людям, легко ділитися посиланнями й експериментувати з різними сервісами та хостингами.

Без перебільшення, DNS стала фундаментом сучасного інтернету і дозволила йому завоювати масову популярність серед звичайних користувачів. Але за цією зручністю стоять складні технології, і питання безпеки виходять на перший план.

Безпека та стабільність DNS

DNS - критично важлива інфраструктура для роботи інтернету. Якщо система перестане функціонувати, то всі сайти стануть недоступними. А якщо дані в ДНС виявляться неправильними, то користувачі можуть потрапити на підроблені або шкідливі ресурси.

Тому питання безпеки, стабільності та захисту від атак виходять на перший план під час проєктування та підтримки DNS. Розберемо основні ризики та методи їх запобігання.

Атаки на DNS

За останні роки було зафіксовано численні спроби атак на інфраструктуру DNS як загалом, так і на окремих провайдерів і власників доменів. Найпоширеніші типи атак:

• Cache poisoning (отруєння кеша) - підміна IP-адреси в кеші DNS-серверів. Клієнтам повертатимуться неправильні адреси, і їхній трафік піде на помилкові сайти. У 2008 році Dan Kaminsky виявив уразливість, яка дозволяла провести таку атаку за лічені секунди. Після цього всі постачальники ДНС-серверів випустили виправлення.
• DNS hijacking (перехоплення DNS) - перенаправлення запитів ДНС на шкідливі сервери. Може відбуватися через помилки налаштування або компрометацію реєстратора доменів. Наприклад, у 2013 році зловмисники отримали контроль над доменом rbc.ru і кілька годин показували підроблену версію сайту РБК.
• DDoS (distributed denial of service) - розподілена атака для відмови в обслуговуванні. Відбувається під час повені DNS-серверів величезною кількістю неправдивих запитів, щоб зайняти всі ресурси системи і зробити її недоступною. Найбільша на сьогодні DDoS-атака сталася в жовтні 2016 року - піковий трафік досягав 1.2 Тб/с. Метою атаки був провайдер Dyn, що призвело до недоступності Twitter, Netflix, CNN і багатьох інших сайтів.

Часто атаки використовуються в комбінації - наприклад, спочатку змінюються ДНС-записи домену, а потім сайт виводять з ладу величезною кількістю запитів.

Методи захисту DNS

Для захисту від атак, помилок і підвищення стабільності DNS використовується комплекс організаційних і технічних заходів:

• DNSSEC (Domain Name System Security Extensions) - набір специфікацій для перевірки автентичності даних у DNS за допомогою цифрових підписів. Кожен рівень ієрархії підписує ключі нижчого рівня, створюючи ланцюжок довіри. Це захищає від підміни IP-адрес у ДНС-відповідях.
• Anycast - метод балансування навантаження, за якого одну IP-адресу оголошують одразу на кількох серверах. Запит клієнта йде на найближчий сервер із пулу, що дає змогу розподілити трафік і підвищити стійкість до атак. Наприклад, DNS-сервіс Cloudflare використовує Anycast і має понад 275 точок присутності по всьому світу.
• Фільтрація запитів і репутаційний аналіз на рівні реєстраторів, провайдерів і сервісів захисту від DDoS. Шкідливий трафік відсікається до потрапляння на цільові сервери.
• Обмеження зони рекурсії - налаштування DNS-серверів на обробку рекурсивних запитів тільки від довірених клієнтів (наприклад, тільки з внутрішньої мережі провайдера). Рекурсія дає змогу робити вкладені запити до інших серверів, що підвищує навантаження і вразливість.
• Налаштування TTL (time to live, час життя) записів на оптимальні значення. За низького TTL записи будуть часто оновлюватися, створюючи додаткове навантаження. За занадто високого TTL клієнти будуть довго отримувати застарілі дані.
• Моніторинг доступності та часу відгуку ДНС-серверів, щоб оперативно виявляти проблеми та DDoS-атаки. Наприклад, безкоштовні проєкти nic.ru і dnsmon.org відстежують кореневі сервери DNS.
• Резервування серверів і каналів зв'язку, щоб у разі збою частина інфраструктури продовжувала працювати.
• Оновлення ПЗ DNS-серверів і своєчасне усунення знайдених вразливостей.

Ці заходи забезпечують базовий рівень захисту, але важливо розуміти, що на 100% захиститися від усіх загроз неможливо. Нові атаки і вразливості з'являтимуться, і DNS-система повинна адаптуватися до мінливого ландшафту загроз.

Майбутнє DNS та альтернативи

За майже 40 років свого існування система DNS постійно розвивалася, отримувала нові функції та обростала додатковими стандартами. Поточна специфікація DNS (включно з DNSSEC) займає понад 2000 сторінок тексту RFC. І цей процес триває.

Серед нових пропозицій щодо розвитку DNS:

• DNS over HTTPS (DoH) - надсилання ДНС-запитів поверх захищеного протоколу HTTPS, щоб приховати їхній вміст від провайдерів і запобігти підміні. Інтегрований в останні версії браузерів Chrome, Firefox, Edge.
• DNS over TLS (DoT) - аналогічний DoH, але використовує інший механізм шифрування і виділений порт 853.
• DANE (DNS-based Authentication of Named Entities) - зберігання криптографічних сертифікатів для підтвердження автентичності сервера (наприклад, веб або пошти) прямо в DNS, у вигляді спеціального TLSA-запису. Може використовуватися як доповнення або заміна інфраструктури публічних ключів (PKI).
• DNAME - alias-записи для переадресації всіх піддоменів. На відміну від CNAME, які створюються для кожного піддомена окремо, єдиний DNAME-запис перенаправляє відразу всі дочірні домени.

Ці та багато інших нововведень поступово реалізуються різними гравцями - браузерами, операційними системами, провайдерами DNS-серверів і реєстраторами доменів. Але поки що жодне з них не стало загальноприйнятою реальністю.

Також DNS не ідеальна, і в неї є принципові недоліки:

• Централізація управління на рівні реєстраторів доменів та ICANN. Хоча ДНС і називається розподіленою базою даних, ключову роль відіграють централізовані організації, які контролюють домени верхнього рівня.
• Відсутність приватності - будь-який провайдер (включно з реєстраторами і кафе з безкоштовним вайфаєм) може бачити, які сайти ви відкриваєте.
• Текстовий протокол без шифрування.
• Обмеження тільки на імена сайтів - не можна зробити аліас для конкретної сторінки сайту або його копії в IPFS.

Це породжує інтерес до альтернативних систем дозволу імен, серед яких:

• ENS (Ethereum Name Service) - система доменних імен на блокчейні Ethereum. Дозволяє реєструвати домени .eth і пов'язувати їх з гаманцями, смарт-контрактами і сайтами розміщеними в IPFS.
• Handshake - децентралізований аналог DNS на власному блокчейні. На відміну від ICANN, управляється спільнотою і стійкий до цензури.
• OpenNIC - альтернативна коренева зона ДНС, незалежна від ICANN. Спільнота ентузіастів розвиває понад 20 нових доменних зон - .geek, .indy, .null та інші.

Ці альтернативи поки що не набули масового поширення (за винятком ENS у світі криптовалют), але вони показують запит суспільства на вільнішу, стійкішу до цензури та менш централізовану систему імен.

Цікавим напрямком розвитку є інтеграція DNS з технологіями децентралізованого вебу та peer-to-peer мережами. Це дасть змогу пов'язати ДНС-імена не тільки з IP-адресами, а й із хешами файлів у таких мережах, як IPFS, BitTorrent, Filecoin.

Також є запит на людинозрозумілі адреси для конкретних сторінок сайтів, а не тільки доменів. Поточний стандарт URL занадто складний для запам'ятовування і передачі іншим людям. Простіша і коротша форма адресації може дати новий поштовх розвитку інтернету.

Підбиваючи підсумок - DNS розвивається і адаптується до нових викликів. Поява таких технологій, як блокчейн і глобальні децентралізовані сховища, дає основу для експериментів і еволюції традиційної системи доменних імен. Які з нововведень отримають масове визнання і які альтернативи будуть затребувані - багато в чому залежить від потреб користувачів і бізнесу.