Что такое DNS и как работает - ДНС простыми словами

DNS (Domain Name System) - это распределенная система хранения и обработки информации о доменных именах. Если коротко, то ДНС позволяет нам использовать удобные текстовые имена сайтов вместо сложных числовых IP-адресов.

Понимание принципов работы DNS важно как для IT-специалистов, так и для обычных пользователей. Если вы разработчик или сисадмин, то рано или поздно столкнетесь с настройкой ДНС-записей для своих проектов. Если вы просто активно пользуетесь интернетом, то базовые знания о DNS помогут вам разобраться, почему сайт может быть недоступен и как этот вопрос решается.

В этой статье мы детально разберем, что такое DNS, как он работает и какие проблемы решает. Но для начала нам нужно познакомиться с базовыми понятиями - IP-адресами и доменными именами.

Основные понятия

Любой компьютер или сервер, подключенный к интернету, имеет свой уникальный IP-адрес. Это числовой идентификатор, состоящий из 4 блоков цифр, разделенных точками. Например, IP-адрес серверов Google - 142.250.185.78.

По своей сути IP-адреса похожи на телефонные номера или почтовые индексы. Они нужны, чтобы однозначно определять отправителя и получателя информации в сети. Проблема в том, что людям сложно запоминать и использовать эти наборы цифр. Куда проще ввести в браузере текстовое имя сайта.

Может показаться, что IP-адресов должно хватить на всех с запасом. Ведь если взять стандартный формат IPv4 (4 числа от 0 до 255), то получается больше 4 млрд уникальных адресов (256^4 = 4 294 967 296). Но уже в 2011 году международный пул IPv4 адресов был полностью исчерпан!

Причины дефицита IP-адресов:

Бурный рост числа подключенных к интернету устройств (компьютеры, смартфоны, планшеты, IoT)
Неэффективное распределение адресов между организациями и странами на раннем этапе развития интернета
Выделение крупных блоков адресов для специальных целей (локальные сети, multicast и т.д.)

Чтобы решить проблему, был разработан новый стандарт - IPv6, который использует уже 128 бит для адреса вместо 32. Это дает колоссальное адресное пространство в 340 секстиллионов (3.4×10^38) уникальных адресов.

Переход на IPv6 уже идет, но займет еще много лет из-за необходимости обновления сетевого оборудования и ПО. Пока же основным способом экономии адресов остаются NAT и приватные подсети.

А вот с запоминаемостью IP-адресов человеком отлично справляется система доменных имен - DNS. Она позволяет сопоставить числовой IP-адрес (142.250.185.78) с текстовым именем (google.com).

Доменные имена имеют иерархическую структуру и читаются справа налево. Крайний правый элемент - домен верхнего (первого) уровня. Далее идут домены второго, третьего уровня и т.д.

Вот как выглядит структура доменного имени на примере www.blog.example.com:

.com - домен верхнего уровня (TLD). Таких доменов сотни: .com, .org, .net, .ua, .fr и т.д.
example - домен второго уровня, он уникален в рамках своего TLD
blog и www - домены третьего уровня (поддомены), на них часто размещают дополнительные разделы сайта

Любой желающий может зарегистрировать доменное имя, если оно еще не занято. За процедуру регистрации и поддержание работы доменов верхнего уровня отвечает международная организация ICANN и уполномоченные регистраторы.

Зарегистрировав домен, вы получаете возможность указывать для него DNS-записи и тем самым связывать его с IP-адресами нужных серверов. После этого люди смогут открывать ваш сайт, почту или другие сервисы, просто набирая удобное доменное имя.

Аналогию для лучшего понимания связи IP-адресов и доменов можно провести с квартирами и многоэтажным домом. IP-адрес - это как номер конкретной квартиры, в которой располагается сайт. А доменное имя - это адрес дома, в котором находится эта квартира.

Когда вы вводите в браузере www.example.com, то за кулисами происходит сложный процесс опроса нескольких ДНС-серверов. В результате доменное имя преобразуется в IP-адрес, и вы попадаете на нужный сайт. В следующем разделе мы подробно разберем этапы этого процесса.

Принцип работы DNS

DNS можно представить как огромную распределенную базу данных, которая хранит информацию о соответствии доменных имен и IP-адресов. Эта база не сосредоточена на одном сервере, а разбита по многим DNS-серверам по всему миру.

Ключевые компоненты распределенной DNS-системы:

DNS-сервер - программа, запущенная на сетевом узле, которая хранит частичку общей базы и отвечает на DNS-запросы. Он принимает запрос с доменным именем и возвращает соответствующий IP-адрес, если знает его.
Зона - часть доменного пространства (поддерево), за которую отвечает конкретный DNS-сервер. Пример: зона .ua, зона com.ua и т.д.
Записи (records) - конкретные сопоставления имени и значения, которые хранятся на ДНС-серверах в текстовых файлах зон. Пример: blog.example.com = 192.168.0.100.

Чтобы понять, как работает процесс преобразования доменного имени в IP-адрес (резолвинг), разберем на примере:

Пользователь вводит в браузере www.example.com и нажимает Enter.
Браузер (DNS-клиент) отправляет запрос на резолвинг этого имени локальному DNS-серверу (обычно это сервер интернет-провайдера).
Локальный сервер не знает ответа, поэтому отправляет рекурсивный запрос корневому DNS-серверу.
Корневой сервер отвечает, что не знает IP для www.example.com, но знает адрес DNS-сервера зоны .com (уровнем ниже).
Локальный сервер запрашивает DNS-сервер зоны .com.
Сервер .com также не знает IP, но сообщает адрес DNS-сервера зоны example.com.
Локальный сервер опрашивает DNS-сервер зоны example.com.
Сервер example.com находит у себя A-запись для www.example.com и возвращает соответствующий IP-адрес.
Локальный DNS-сервер кеширует ответ и передает его браузеру.
Браузер обращается к IP-адресу и загружает веб-страницу.

[Картинка с последовательностью резолвинга]

Если один из DNS-серверов в цепочке не отвечает, то резолвинг не завершится и сайт не откроется. Поэтому так важно обеспечивать отказоустойчивость DNS-инфраструктуры.

Обратите внимание, что финальный IP-адрес браузер получает именно от локального DNS-сервера, а не напрямую с example.com. Локальный сервер кеширует (временно сохраняет) ответы, чтобы при повторных запросах не начинать цепочку заново.

Ключевую роль в этом процессе играют корневые DNS-сервера (root name servers). Это 13 логических серверов (a-m.root-servers.net), которые отвечают за домены верхнего уровня и перенаправляют запросы на нижележащие уровни. Физически эти сервера дублируются и распределены по всему миру с помощью техники Anycast для повышения отказоустойчивости и скорости ответа.

Например, корневой сервер i.root-servers.net имеет 69 адресов в разных точках мира (данные на 2023 год). Благодаря этому время отклика при запросах не превышает 300 мс.

Иерархия доменов

Система DNS имеет иерархическую структуру, которая определяет уровни и подчиненность доменов друг другу. Можно представить ее как перевернутое дерево

На самом верху находится корень (.), за ним следуют домены верхнего уровня (TLD), потом домены второго уровня (SLD) и т.д. Чем ниже домен в иерархии, тем он более специфичен и подчиняется вышестоящим.

Примеры доменов разных уровней:

Верхний уровень: .com, .net, .org, .ua, .uk, .de
Второй уровень: example.com, google.com, wikipedia.org
Третий уровень (поддомены): blog.example.com, www.google.com, en.wikipedia.org

Доменное имя читается справа налево. Последний (крайний правый) элемент называется доменом первого (верхнего) уровня. Каждый следующий слева элемент - это домен более низкого уровня по отношению к предыдущему.

Например, в имени blog.example.com - .com это домен первого уровня, example - второго уровня, blog - третьего.

Домены верхнего уровня бывают:

Общие (gTLD) - .com, .net, .org и другие. Изначально предназначались для определенных типов организаций (коммерческие, некоммерческие, образовательные и т.д.), но сейчас регистрируются для любых целей.
Национальные (ccTLD) - привязаны к странам и территориям. Пример: .ua (Украина), .uk (Великобритания), .fr (Франция), .de (Германия). Требования к регистрантам в каждой зоне свои.
Новые (New gTLD) - появились после 2001 года для расширения пространства имен и конкуренции. Пример: .blog, .shop, .club, .io и другие. Всего их уже более 1200.

За делегирование имен в доменах верхнего уровня отвечает ICANN (Internet Corporation for Assigned Names and Numbers) - международная некоммерческая организация. Она определяет правила регистрации, утверждает регистраторов и следит за стабильностью работы системы ДНС.

Чтобы зарегистрировать домен второго уровня, вы обращаетесь к регистратору, аккредитованному ICANN для работы в нужной доменной зоне. Например, если вы хотите домен в зоне .UA, то идете к украинскому регистратору. Если нужен домен .COM - к международному.

При этом на ваш домен второго уровня вы уже сами можете создавать поддомены (третьего, четвертого уровня и т.д.) и полностью ими управлять. Эта схема позволяет обеспечить как глобальное администрирование доменного пространства (через ICANN), так и гибкость управления для конечных пользователей.

Понимание иерархии доменов важно для правильной настройки DNS-инфраструктуры. Имена должны быть уникальными на своем уровне, но могут повторяться на нижележащих уровнях в разных ветвях.

Например, существуют домены blog.example.com и blog.sample.com - они находятся на одном уровне (третьем), но в разных поддеревьях (example.com и sample.com). А вот два домена blog.example.com и wiki.example.com конфликтовать не будут, так как находятся на разных уровнях одного поддерева.

Такая древовидная система позволяет гибко структурировать доменное пространство и избегать конфликтов имен. В следующем разделе мы подробно разберем типы ДНС-записей, которые позволяют связывать домены с IP-адресами и другими данными.

Типы DNS-записей и их назначение

Вся информация в DNS хранится в виде записей определенного типа (Resource Record, RR). Каждая запись состоит из нескольких текстовых полей и всегда привязана к конкретному доменному имени.

Основные типы записей:

A (Address) - сопоставляет доменное имя и IPv4-адрес. Пример: example.com. IN A 192.0.2.1. Это самый распространенный тип записей, используется для связи домена с IP-адресом веб-сервера.
AAAA (Address IPv6) - аналог A-записи, но для 128-битных адресов IPv6. Пример: example.com. IN AAAA 2001:db8::1.
CNAME (Canonical Name) - связывает одно доменное имя (псевдоним) с другим (каноническим). Когда клиент запрашивает имя-псевдоним, DNS-сервер отвечает каноническим именем. Это позволяет сопоставлять несколько имен одному IP-адресу. Пример: www.example.com. IN CNAME example.com.
MX (Mail Exchange) - указывает на почтовый сервер для домена. У записи есть числовой приоритет (чем меньше число, тем выше приоритет). Почтовые серверы опрашиваются по нарастанию приоритета, пока не будет получен ответ. Пример: example.com. IN MX 10 mail1.example.com.
NS (Name Server) - связывает домен с отвечающим за него ДНС-сервером. Эта запись должна присутствовать для каждого домена, имя сервера указывается полностью (с точкой на конце). Пример: example.com. IN NS ns1.example.com.
TXT (Text) - содержит произвольную текстовую информацию для домена. Часто используется для верификации владения доменом (например, при настройке DKIM или SPF). Пример: example.com. IN TXT "v=spf1 a mx ~all"
SRV (Service) - указывает на серверы для определенных сервисов (XMPP, SIP, LDAP и др.). В записи задается протокол, имя сервиса, номер порта и приоритет. Пример: _sip._tcp.example.com. IN SRV 0 5 5060 sipserver.example.com.

Это далеко не полный список, но приведенные типы записей встречаются чаще всего. Вот как они могут использоваться для сайта www.example.com:

example.com.	IN	A	192.0.2.1
www.example.com.	IN	CNAME	example.com.
example.com.	IN	MX 10	mail.example.com.
example.com.	IN	TXT	"v=spf1 a mx ~all"
_sip._tcp.example.com	IN	SRV 0	5 5060 sip.example.com.

В этой конфигурации:

Сайт доступен как по адресу example.com, так и www.example.com (благодаря CNAME)
Веб-сервер находится на IP-адресе 192.0.2.1 (A-запись)
Почта для домена обрабатывается сервером mail.example.com (MX-запись)
Указаны настройки SPF для борьбы со спамом (TXT-запись)
SIP-сервер для IP-телефонии находится на sip.example.com и порту 5060.

Изменяя DNS-записи, вы можете гибко управлять маршрутизацией запросов к вашему домену и балансировать нагрузку между серверами. При переезде сайта на другой хостинг достаточно поменять всего одну A-запись, чтобы трафик пошел на новый IP-адрес.

Практическая польза DNS

Система доменных имен DNS несет огромную практическую пользу для всех пользователей интернета. Она делает сеть более дружелюбной и расширяет возможности владельцев сайтов. Выделим основные преимущества:

Удобство для пользователей

Представьте, что ДНС не существует. Тогда для перехода на сайт вам пришлось бы каждый раз вводить в браузере IP-адрес, например, 104.18.18.18 вместо example.com. Сомнительно, что в таком случае интернет стал бы настолько массовым.

DNS позволяет использовать легко запоминаемые текстовые имена сайтов, вместо числовых IP-адресов. Гораздо удобнее набрать wikipedia.org, чем 208.80.154.224. Это особенно важно для коммерческих проектов - домен apple.com будет эффективнее номерного адреса как для рекламы, так и для лояльности пользователей.

Гибкость для владельцев сайтов

С помощью DNS-записей владельцы доменов получают массу возможностей для управления работой своих ресурсов:

Перенаправление запросов с помощью CNAME-записей. Например, можно направить пользователей с blog.example.com на www.example.com/blog. Или привязать поддомен shop.example.com к системе интернет-магазина на shopify.com.
Распределение нагрузки между серверами. Один домен можно сопоставить с несколькими A-записями, указав IP-адреса разных серверов. DNS-сервер будет возвращать их по очереди (round-robin). Так нагрузка от посетителей распределится между серверами.
Отдельные сервера для разных задач. Можно вынести почтовый сервер на отдельную машину и указать ее адрес в MX-записи. Аналогично - для FTP, SSH и других сервисов. Это упрощает масштабирование и администрирование крупных проектов.

Децентрализация управления

DNS - это распределенная система, и ею никто не владеет единолично. Управление доменами верхнего уровня децентрализовано между ICANN и сотнями регистраторов. А за поддомены уже отвечают миллионы обычных владельцев сайтов.

Такая схема обеспечивает гибкость, масштабируемость и устойчивость ДНС. Нет единой точки отказа, локальные сбои не влияют на всю систему. Серверы DNS работают как слаженный механизм без единого центра управления.

Кеширование для быстрого отклика

В систему DNS встроено правило кеширования ответов. Это значит, что при повторном запросе локальный DNS-сервер не будет заново опрашивать авторитативные сервера, а вернет домен из своей памяти.

Благодаря этому в большинстве случаев резолвинг происходит очень быстро - в пределах 1-100 мс. Пользователи получают отклик практически мгновенно, хотя под капотом происходит сложный процесс опроса множества географически распределенных серверов.

Дополнительные возможности для бизнеса

DNS предоставляет бизнесу дополнительные возможности для брендинга, привлечения клиентов и автоматизации процессов:

Адреса сотрудников в корпоративном домене (например, john@company.com), что повышает доверие и узнаваемость бренда в переписке.
Создание разных поддоменов для языковых версий сайта (en.example.com, es.example.com), регионов (eu.example.com, asia.example.com) или новых продуктов (game.example.com).
Настройка записей SPF и DKIM для подтверждения подлинности почты, борьбы со спамом и фишингом.
Интеграция с CDN для ускорения загрузки контента из географически близких точек присутствия провайдера.

Но даже для небольших некоммерческих сайтов польза ДНС неоценима. Домен второго уровня стоит недорого (5-20 долларов в год), но дает возможность запомниться людям, легко делиться ссылками и экспериментировать с разными сервисами и хостингами.

Без преувеличения, DNS стала фундаментом современного интернета и позволила ему завоевать массовую популярность среди обычных пользователей. Но за этим удобством стоят сложные технологии, и вопросы безопасности выходят на первый план.

Безопасность и стабильность DNS

DNS - критически важная инфраструктура для работы интернета. Если система перестанет функционировать, то все сайты станут недоступны. А если данные в ДНС окажутся неверными, то пользователи могут попасть на поддельные или вредоносные ресурсы.

Поэтому вопросы безопасности, стабильности и защиты от атак выходят на первый план при проектировании и поддержке DNS. Разберем основные риски и методы их предотвращения.

Атаки на DNS

За последние годы были зафиксированы множественные попытки атак на инфраструктуру DNS как в целом, так и на отдельных провайдеров и владельцев доменов. Самые распространенные типы атак:

Cache poisoning (отравление кеша) - подмена IP-адреса в кеше ДНС-серверов. Клиентам будут возвращаться неверные адреса, и их трафик пойдет на ложные сайты. В 2008 году Dan Kaminsky обнаружил уязвимость, которая позволяла провести такую атаку за считанные секунды. После этого все поставщики DNS-серверов выпустили исправления.
DNS hijacking (перехват DNS) - перенаправление запросов ДНС на вредоносные серверы. Может происходить из-за ошибки настройки или компрометации регистратора доменов. Например, в 2013 году злоумышленники получили контроль над доменом rbc.ru и несколько часов показывали поддельную версию сайта РБК.
DDoS (distributed denial of service) - распределенная атака для отказа в обслуживании. Происходит при наводнении DNS-серверов огромным количеством ложных запросов, чтобы занять все ресурсы системы и сделать ее недоступной. Крупнейшая на сегодня DDoS-атака произошла в октябре 2016 года - пиковый трафик достигал 1.2 Тб/с. Целью атаки был провайдер Dyn, что привело к недоступности Twitter, Netflix, CNN и многих других сайтов.

Часто атаки используются в комбинации - например, сначала меняются DNS-записи домена, а потом сайт выводится из строя огромным количеством запросов.

Методы защиты DNS

Для защиты от атак, ошибок и повышения стабильности DNS используется комплекс организационных и технических мер:

DNSSEC (Domain Name System Security Extensions) - набор спецификаций для проверки подлинности данных в DNS с помощью цифровых подписей. Каждый уровень иерархии подписывает ключи нижележащего уровня, создавая цепочку доверия. Это защищает от подмены IP-адресов в ДНС-ответах.
Anycast - метод балансировки нагрузки, при котором один IP-адрес объявляется сразу на нескольких серверах. Запрос клиента идет на ближайший сервер из пула, что позволяет распределить трафик и повысить устойчивость к атакам. Например, DNS-сервис Cloudflare использует Anycast и имеет более 275 точек присутствия по всему миру.
Фильтрация запросов и репутационный анализ на уровне регистраторов, провайдеров и сервисов защиты от DDoS. Вредоносный трафик отсекается до попадания на целевые сервера.
Ограничение зоны рекурсии - настройка ДНС-серверов на обработку рекурсивных запросов только от доверенных клиентов (например, только из внутренней сети провайдера). Рекурсия позволяет делать вложенные запросы к другим серверам, что повышает нагрузку и уязвимость.
Настройка TTL (time to live, время жизни) записей на оптимальные значения. При низком TTL записи будут часто обновляться, создавая дополнительную нагрузку. При слишком высоком TTL клиенты будут долго получать устаревшие данные.
Мониторинг доступности и времени отклика DNS-серверов, чтобы оперативно выявлять проблемы и DDoS-атаки. Например, бесплатные проекты nic.ru и dnsmon.org отслеживают корневые серверы ДНС.
Резервирование серверов и каналов связи, чтобы в случае сбоя часть инфраструктуры продолжала работать.
Обновление ПО DNS-серверов и своевременное устранение найденных уязвимостей.

Эти меры обеспечивают базовый уровень защиты, но важно понимать, что на 100% защититься от всех угроз невозможно. Новые атаки и уязвимости будут появляться, и ДНС-система должна адаптироваться к меняющемуся ландшафту угроз.

Будущее DNS и альтернативы

За почти 40 лет своего существования система DNS постоянно развивалась, получала новые функции и обрастала дополнительными стандартами. Текущая спецификация ДНС (включая DNSSEC) занимает более 2000 страниц текста RFC. И этот процесс продолжается.

Среди новых предложений по развитию DNS:

DNS over HTTPS (DoH) - отправка DNS-запросов поверх защищенного протокола HTTPS, чтобы скрыть их содержимое от провайдеров и предотвратить подмену. Интегрирован в последние версии браузеров Chrome, Firefox, Edge.
DNS over TLS (DoT) - аналогичен DoH, но использует другой механизм шифрования и выделенный порт 853.
DANE (DNS-based Authentication of Named Entities) - хранение криптографических сертификатов для подтверждения подлинности сервера (например, веб или почты) прямо в ДНС, в виде специальной TLSA-записи. Может использоваться как дополнение или замена инфраструктуре публичных ключей (PKI).
DNAME - alias-записи для переадресации всех поддоменов. В отличие от CNAME, которые создаются для каждого поддомена отдельно, единственная DNAME-запись перенаправляет сразу все дочерние домены.

Эти и многие другие новшества постепенно реализуются разными игроками - браузерами, операционными системами, провайдерами DNS-серверов и регистраторами доменов. Но пока ни одно из них не стало общепринятой реальностью.

Также DNS не идеальна, и у нее есть принципиальные недостатки:

Централизация управления на уровне регистраторов доменов и ICANN. Хотя ДНС и называется распределенной базой данных, ключевую роль играют централизованные организации, которые контролируют домены верхнего уровня.
Отсутствие приватности - любой провайдер (включая регистраторов и кафе с бесплатным вайфаем) может видеть, какие сайты вы открываете.
Текстовый протокол без шифрования.
Ограничение только на имена сайтов - нельзя сделать алиас для конкретной страницы сайта или его копии в IPFS.

Это порождает интерес к альтернативным системам разрешения имен, среди которых:

ENS (Ethereum Name Service) - система доменных имен на блокчейне Ethereum. Позволяет регистрировать домены .eth и связывать их с кошельками, смарт-контрактами и сайтами размещенными в IPFS.
Handshake - децентрализованный аналог DNS на собственном блокчейне. В отличие от ICANN, управляется сообществом и устойчив к цензуре.
OpenNIC - альтернативная корневая зона ДНС, независимая от ICANN. Сообщество энтузиастов развивает более 20 новых доменных зон - .geek, .indy, .null и другие.

Эти альтернативы пока не получили массового распространения (за исключением ENS в мире криптовалют), но они показывают запрос общества на более свободную, устойчивую к цензуре и менее централизованную систему имен.

Интересным направлением развития является интеграция DNS с технологиями децентрализованного веба и peer-to-peer сетями. Это позволит связать DNS-имена не только с IP-адресами, но и с хешами файлов в таких сетях, как IPFS, BitTorrent, Filecoin.

Также есть запрос на человекопонятные адреса для конкретных страниц сайтов, а не только доменов. Текущий стандарт URL слишком сложен для запоминания и передачи другим людям. Более простая и короткая форма адресации может дать новый толчок развитию интернета.

Подводя итог - DNS развивается и адаптируется к новым вызовам. Появление таких технологий, как блокчейн и глобальные децентрализованные хранилища, дает основу для экспериментов и эволюции традиционной системы доменных имен. Какие из новшеств получат массовое признание и какие альтернативы будут востребованы - во многом зависит от потребностей пользователей и бизнеса.

Что такое DNS и зачем он нужен?