Как расшифровать днс: «Что такое DNS?» – Яндекс.Кью

Содержание

Что такое DNS простыми словами

Любой сайт в интернете фактически находится на каком-либо устройстве. Отдельный компьютер, подключенный к интернету, имеет индивидуальный номер, который называется IP-адресом. Он представляет собой набор из четырех чисел от 0 до 255. Благодаря этому адресу можно узнать, откуда загружается страница нужного нам ресурса.

IP-адрес устройства можно сравнить с номером мобильного телефона, а DNS — с телефонной книгой. Если говорить конкретнее, DNS — система доменных имен, которая обеспечивает связь между наименованием сайта и его цифровым адресом.

Иными словами, пользователь набирает доменное имя ресурса в адресной строке браузера, а DNS конвертирует его в IP-адрес и передает вашему устройству. После чего компьютер, находящийся по этому адресу, обрабатывает запрос и присылает информацию для открытия необходимой страницы сайта.

Структуру DNS можно сравнить с логическим деревом. Система содержит распределенную базу доменных имен — пространство, которое организовано по принципу иерархии. На верхнем уровне располагается корневой домен, к которому примыкают домены первого уровня. К каждому из них присоединяются домены второго уровня и так далее. 

Что такое DNS-сервер

Система доменных имен действует посредством DNS-сервера, который нужен для выполнения двух основных функций:

  • хранения данных о соответствии имени домена конкретному IP-адресу, 
  • кэширования ресурсных записей прочих DNS-серверов.

Если пользователь собирается посетить сайт, находящийся в другой стране, то регулярная передача запросов к первичному серверу занимает много времени и приводит к медленной загрузке страниц. Чтобы избежать подобных неудобств, DNS-сервер, находящийся рядом с вашим устройством, кэширует данные о запрашиваемых ранее IP-адресах и выдает их при следующем обращении.

Источниками хранения ресурсных записей являются исходные DNS-серверы, содержащие начальные связи между доменами и сетевыми адресами узлов.

Как правило, рекомендуют задействовать два сервера: первичный и вторичный. Это гарантирует получение доступа к вашему домену, потому как, если будет недоступен один сервер, ответит другой.

Как работают DNS-серверы

Рассмотрим поэтапно функционирование приложений, предназначенных для ответа на DNS-запросы:

  1. Браузер получает запрос от пользователя и направляет его DNS-серверу сети, который ищет совпадение доменного имени и сетевого адреса. Если ответ обнаружен, то страница сайта загружается сразу. В противном случае запрос будет отправлен серверу более высокого уровня или корневому.
  2. Корневой сервер направляет запрос серверу первого уровня, который в свою очередь передает его серверу второго уровня. Это движение продолжается до тех пор, пока не будет найдено совпадение имени и IP-адреса.
  3. Браузер получает ответ на свой запрос, направляет его к хостингу, и страница открывается.

Также возможна обратная процедура — поиск имени домена в DNS-сервере, соответствующего запрашиваемому IP-адресу. К примеру, это происходит в случае работы с сервером электронной почты.

Где находятся DNS-серверы

Фундаментом для обработки запросов о доменных именах являются корневые серверы, отвечающие за корневую DNS-зону. Ими руководят разные операторы, которые обеспечивают бесперебойное функционирование серверов. Первые корневые серверы появились в Северной Америке, но с течением времени они стали появляться в других странах мира. На сегодня существует 123 корневых сервера, которые располагаются в разных точках мира (в зависимости от интенсивности пользования всемирной паутиной).

Типы записей DNS-сервера

Одному домену могут подходить несколько сетевых адресов, например, интернет-сайт и почтовый сервер. Более того, каждое доменное имя содержит один или несколько поддоменов.

Все соответствия домена и его IP-адресов хранятся в файле на DNS-сервере, содержимое которого называется DNS-зона. Чтобы внести информацию в систему DNS, необходимо прописать ресурсные записи.

Различают несколько ключевых типов ресурсных записей, информация о которых хранится на DNS-сервере:

  • А — адрес веб-ресурса, который соответствует введенному имени домена.
  • MX — адрес почтового сервера.
  • CNAME — указание привязки аналога к собственному доменному имени. Чаще всего используется для прикрепления поддомена. Например, можно привязать веб-адрес www.site.ru к фактическому сайту для домена site.ru.
  • NS — адрес DNS-сервера, отвечающего за содержание прочих ресурсных записей.
  • TXT — любая текстовая информация о домене.
  • SPF — данные с указанием списка серверов, которым позволено отправлять письма от имени указанного домена.
  • SOA — исходная запись зоны, в которой указаны сведения о сервере, содержащем образцовую информацию о доменном имени.  

Зачем нужно прописывать DNS-серверы

Представьте, что вы только что зарегистрировали домен. Чтобы остальным серверам стала доступна информация о существовании вашего домена, необходимо прописать ресурсные записи. Первым делом нужно произвести настройку и прописать для домена DNS-серверы.

Серверы такого формата обновляются до 24 часов, в этот период сайт может не работать. Поэтому необходимо подождать сутки после того, как вы их прописали.

Зачастую такие серверы прописывают парами. У каждого домена существует один первичный и до 12 вторичных серверов. Это нужно для обеспечения надежности работы сайта. Если один из них полетит, то домен и ресурс будут функционировать.

Защита DNS-серверов от атак

В наши дни опасность воздействия хакеров на DNS приобрела глобальные масштабы. Ранее уже были ситуации атак на серверы такого формата, которые приводили к многочисленным сбоям в работе всемирной паутины, в особенности известных социальных сетей.

Наиболее опасными считают нападения на корневые серверы, хранящие данные об IP-адресах. Например, в историю вошла произошедшая в октябре 2002 года DDoS-атака на 10 из 13 серверов верхнего уровня.

Протокол DNS получает результаты по запросам с помощью протокола пользовательских датаграмм UDP. UDP использует модель передачи данных без соединений для обеспечения безопасности и целостности информации. Таким образом, большинство атак производятся на этот протокол с помощью подделки IP-адресов.

Существует несколько схем, настройка которых позволит защитить DNS-сервер от атак хакеров:

  • Использование технологии uRPF (Unicast Reverse Path Forwarding).
    Суть состоит в том, чтобы определить возможность принятия пакета с конкретным адресом отправителя на указанном устройстве для передачи данных. Пакет проходит проверку и принимается в том случае, когда сетевой интерфейс, с которого он получен, предназначен для обмена информацией с адресатом данного пакета. В обратной ситуации пакет будет отброшен. Этот способ помогает выявить и частично отобрать фальшивый трафик, но не гарантирует надежную защиту от фальсификации. uRPF полагает, что данные отправляются на определенный адрес через неизменный интерфейс. Ситуация усложняется, если появляется несколько провайдеров.
  • Применение функции IP Source Guard.

    В ее основе лежит технология uRPF и проверка DHCP-пакетов. IP Source Guard отслеживает DHCP-трафик в интернете и выясняет, какие IP-адреса получили сетевые устройства. Это позволяет выявить поддельный трафик на некоторых портах установки. После этого данные собираются и записываются в общую таблицу итогов проверки DHCP-пакетов. В дальнейшем IP Source Guard обращается к этой таблице, чтобы осуществить проверку пакетов, полученных коммутатором. Если IP-адрес пакета не совпадает с адресом источника, то пакет откладывается.
  • Использование утилиты dns-validator.
    Эта программа контролирует передачу всех пакетов DNS, соотносит запрос с ответом и в случае расхождения названий отправляет уведомление пользователю.

Вывод

DNS-сервер хранит информацию о соответствии домена IP-адресу, а также содержит сведения об остальных ресурсных записях.

Распределенная система доменных имен была создана в начале 1980-х годов. До настоящего времени она обеспечивает взаимодействие с адресным пространством всемирной паутины. Вместе с тем технологии DNS регулярно совершенствуются. Например, в 2010 году в России был внедрен национальный кириллический домен первого уровня .рф.

Значительное внимание уделяется усилению безопасности системы и снижению чувствительности к перебоям в работе. В наши дни интернет является существенной частью жизни, поэтому стихийные бедствия, перепады напряжения в сети и отключение электроэнергии не должны влиять на его производительность.

Вы можете получить бесплатно первичные и вторичные DNS-серверы с базовой функциональностью при покупке веб-хостинга для сайта. Либо разместить DNS на собственном сервере. О том, как выбрать сервер такого формата, подробно рассказывается в статье «Как выбрать DNS-сервер».

ДНС — это… Что такое ДНС?

  • ДНС — DNS Название: Domain Name System Уровень (по модели OSI): Прикладной Семейство: TCP/IP Порт/ID: 53/UDP Назначение протокола: Разрешение доменных имён Спецификация: RFC 1034, RFC 1035 / STD 13 Основные реализации (клиен …   Википедия

  • ДНС — нефт. дожимная насосная станция …   Универсальный дополнительный практический толковый словарь И. Мостицкого

  • ДНС — двигатель насоса смазки нефтедобывающая скважина …   Словарь сокращений русского языка

  • ДНС ФИАН — Долгопрудненская научная станция имени С.Н. Вернова ФИАН образование и наука Источник: http://www.portalnano.ru/news/read/845 …   Словарь сокращений и аббревиатур

  • Де Хэвиленд Канада ДНС-6 Твин Оттер

    — de Havilland Canada DHC 6 Twin Otter West Coast Air Twin Otter (на поплавковом шасси). Разработчик Фред Баллер и Дик Хискокс Производитель de Havilland Canada Первый полёт 20 мая 1965 год …   Википедия

  • Мальдивиан Эйр Такси — …   Википедия

  • Мальдивиан Аир Такси — ДНС 6 в Мале (гидроаэропорт) Мальдивиан Эйр Такси (англ. Maldivian Air Taxi) одна из двух мальдивских авиакомпаний, совершающая вип перевозки на гидросамолётах «Де Хевиленд DHC 6». Основана в 1993 году. Базируется в Международном аэропорту Мале.… …   Википедия

  • Давность наступления смерти — (ДНС) определяется в криминалистической практике, как правило, судебно медицинскими экспертами при помощи целого комплекса методов. Современная судебная медицина обладает значительным арсеналом различных научных подходов, которые основаны на… …   Википедия

  • Нефтяной промысел —         (a. oil field; и. Erdolfeld, Erdolforderfeld; ф. chantier petrolier, champ petrolier; и. explotaciones de petroleo, explotaciones petroleras, industrie petrolera) технол. комплекс, предназначенный для добычи и сбора нефти на м нии, a… …   Геологическая энциклопедия

  • DNS (сеть магазинов) — У этого термина существуют и другие значения, см. DNS (значения). DNS Тип …   Википедия

  • DNS (значения) — это… Что такое DNS (значения)?

  • DNS — У этого термина существуют и другие значения, см. DNS (значения). DNS Название: Domain Name System Уровень (по модели OSI): Прикладной Семейство: TCP/IP Порт/ID: 53/TCP, 53/UDP Назначение протокола: Разрешение доменных имён …   Википедия

  • DNS (сеть магазинов) — У этого термина существуют и другие значения, см. DNS (значения). DNS Тип …   Википедия

  • Round robin DNS — В этой статье отсутствует вступление. Пожалуйста, допишите вводную секцию, кратко раскрывающую тему статьи …   Википедия

  • Root (значения) — Root: root  специальный аккаунт в UNIX подобных системах, владелец которого имеет право на выполнение всех без исключения операций. ROOT  пакет программ и библиотек, разработанный в CERN для обработки экспериментальных данных физики… …   Википедия

  • TXT (значения) — Сокращение TXT (латиницей) может означать: .txt  стандартное расширение для текстовых файлов в операционных системах DOS и Windows. Trusted Execution Technology (англ.)русск.  реализация технологии доверенных вычислений …   Википедия

  • DHCP — Не следует путать с HDCP. DHCP Название: Dynamic Host Configuration Protocol Уровень (по модели OSI): Прикладной[источник не указан 24 дня] Семейство: TCP/IP Создан в: 1990 г. Порт/ID …   Википедия

  • Comodo — У этого термина существуют и другие значения, см. Комодо (значения). Comodo Group, Inc Тип Частная компания Год основания …   Википедия

  • Электронная почта — Для термина «Mail» см. другие значения. Типичный интерфейс клиента электронной почты …   Википедия

  • Службы Windows — Службы ОС Windows (англ. Windows Service, службы)  приложения, автоматически (если настроено) запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя. Имеет общие черты с концепцией демонов в… …   Википедия

  • Список аббревиатур —   Это служебный список статей, созданный для координации работ по развитию темы.   Данное предупреждение не устанавливается на информационные списки и глоссарии …   Википедия

  • Что такое DNS – Hexlet Guides

    Содержание
    1. Файл hosts — как первый шаг к созданию DNS
    2. Работа DNS в сети интернет
      1. Терминология
      2. Подключение
      3. Рекурсия в DNS
    3. Ресурсные записи DNS
    4. Пример реальных записей DNS
    5. Выводы

    Вы когда-нибудь задавались вопросом, как браузер понимает, какую именно страницу открыть когда вы вводите в строку адрес сайта? На самом деле, это глубокий вопрос, решать который стоит не непосредственно с перехода на сайты, а со связи компьютеров между собой.

    В 70-х — 90-х годах 20 века существовала сеть под названием ARPANET. Это была попытка объединить множество компьютеров министерством обороны США для возможности передачи информации во время войны. Важность такого подхода заключалась в быстрой передачи информации на дальние расстояния. Впоследствии принципы работы ARPANET легли в основу современного интернета.

    Изначально вся сеть объединяла компьютеры в четырёх различных институтах США:

    • Калифорнийский университет в Лос-Анджелесе;
    • Стэнфордский исследовательский центр;
    • Университет Юты;
    • Калифорнийский университет в Санта-Барбаре.

    Учёные этих институтов быстро пришли к единому мнению, что передавать друг другу информацию об исследованиях удобнее при помощи новой сети. Для этого было достаточно знать идентификатор того компьютера, на который передаётся сообщение. Сейчас такие идентификаторы называются IP-адресами. У каждого устройства в интернете есть такой идентификатор и именно по нему обращаются устройства друг к другу.

    В самом начале компьютеров, подключённых к сети, было несколько десятков, и их идентификаторы было легко запомнить. Можно было записать эти адреса в блокнот и использовать его так же, как и телефонные книги.

    Время шло, и уже к середине 80-х годов вместо нескольких десятков компьютеров сеть стала насчитывать несколько тысяч. И каждый из них имел уникальный идентификатор, который становилось всё сложнее учитывать вручную или запоминать. Необходима была система, которая позволит очеловечить имена компьютеров и хранить все адреса в одном месте, чтобы каждый компьютер в сети имел один и тот же набор всех идентификаторов.

    Файл hosts — как первый шаг к созданию DNS

    Для решения задачи разработчики решили использовать словарь, который связывал уникальное имя и IP-адрес каждого компьютера в сети. Таким словарём стал файл hosts.txt, который и отвечал за привязку IP-адреса к имени компьютера. Файл лежал на сервере Стэнфордского исследовательского института, и пользователи сети регулярно вручную скачивали этот файл на свои компьютеры, чтобы сохранять актуальность словаря, ведь новые компьютеры появлялись в сети почти каждый день.

    Выглядел hosts.txt тогда (да и сейчас) таким образом:

    192.168.10.36         MIKE-STRATE-PC
    Сетевой (IP) адрес    Имя компьютера
    

    При наличии такого файла на компьютере пользователя для связи с компьютером Майка, можно было не запоминать цифры, а использовать понятное латинское имя «MIKE-STRATE-PC».

    Посмотрим, как выглядит файл и попробуем добавить туда новое имя, чтобы подключиться к компьютеру с использованием данного имени. Для этого отредактируем файл hosts. Вы можете найти его на своём компьютере по следующему адресу:

    • В Unix-системах: /etc/hosts
    • В Windows-системах: %Путь до папки Windows%/system32/drivers/etc/hosts

    Компьютеру с IP-адресом 192.168.10.36, который находится внутри локальной сети мы указали имя «MIKE-STRATE-PC». После чего можно воспользоваться командой ping, которая пошлёт специальный запрос на компьютер Майка и будет ждать от него ответа. Похоже на то, как вы стучитесь в дверь или звоните в звонок, чтобы узнать, «есть ли кто дома?» Такой запрос можно послать на любой компьютер.

    По мере развития сети и «обрастания» её новыми клиентами, такой способ становился неудобным. Всем пользователям компьютеров было необходимо всё чаще скачивать свежую версию файла с сервера Стэнфордского исследовательского института, который обновлялся вручную несколько раз в неделю. Для добавлений же новых версий было необходимо связываться с институтом и просить их внести в файл новые значения.

    В 1984 году Пол Мокапетрис (Paul Mockapetris) описал новую систему под названием DNS (Domain Name System / Система доменных имён), которая была призвана автоматизировать процессы соотнесения IP-адресов и имён компьютеров, а также процессы обновления имён у пользователей без необходимости ручного скачивания файла со стороннего сервера.

    Работа DNS в сети интернет

    В настоящее время интернет окружает нас повсюду — мы используем его в мобильных и настольных устройствах. Системы видеонаблюдения и даже чайники взаимодействуют друг с другом с помощью интернета, и для корректной связи с ними нужна система, с помощью которой пользователи смогут одним запросом в адресной строке подключиться к нужному сервису. Всё это ложится на плечи системы DNS, которая внутри себя хранит намного больше информации, чем просто IP-адрес и название устройств. Записи в DNS также отвечают за корректную отправку электронных писем, связывают друг с другом разные домены и доменные зоны.

    DNS является распределённой системой, а значит она имеет множество узлов, каждый из которых ответственен за свою зону. Такое возможно благодаря тому, что сама по себе структура DNS является иерархической, то есть выделяет зоны ответственности, где каждый родитель знает о расположении своего дочернего сервера, и знает зону его ответственности.

    Рассмотрим работу DNS и её составных частей поближе.

    Терминология

    Основными компонентами DNS являются:

    Домен (доменное имя) — символьное имя для обозначения сервера в сети интернет. Доменные имена являются иерархической структурой, в которой каждый уровень отделяется точкой. Основными уровнями являются:

    • Корневой домен. В урле он не использ

    Что такое DNS и как ДНС-сервера обеспечивают работу интернета

    Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. О том, что такое интернет и когда он появился, мы с вам уже говорили. Говорили и про то, что такое есть сайты и что такое Веб. Однако, есть еще и техническая сторона работы интернета, которая тоже весьма важна и по своему интересна.

    Так, вот DNS — это одна из основополагающих вещей, на которых построена работа всего интернета. Это аббревиатура расшифровывается как Domain Name System, что в переводе означает доменная система имен.

    Этого вопроса (устройства доменной системы имен) я уже касался, когда рассказывал о том, что такое домены разного уровня и доменные зоны, но только вскользь. Сегодня я хочу поговорить о роли ДНС-серверов в работе сайтов и всего интернета в целом.

    Зачем нужны DNS-сервера и что это такое?

    Когда интернет только формировался, то было решено внедрить такую вещь, как домены. Фактически, это имя для узла сети (компьютера, сервера или в более общем смысле слова — хоста).

    Дело в том, что на технологическом уровне все устройства в любой сети уже имеют уникальные имена (идентификаторы или IP), но они мало подходят для использования их людьми, ибо представляют из себя набор цифр (читайте про то, что такое АйПи и MAC адреса).

    Система же доменных имен оперирует уже полноценными именами (буквы латиницы, цифры, тире и нижнее подчеркивание допускается при их формировании). Их гораздо легче запомнить, они несут смысловую нагрузку (доменное имя моего блога ktonanovenkogo.ru о чем-то уже говорит, а реальный его АйПи 109.120.169.66 малоинформативен) и ими проще оперировать.

    Последнее относится именно к человеческому фактору, ибо машинам по-прежнему удобнее использовать IP адреса, что они и делают. Да, да, ваш браузер, когда вы вбиваете в него адрес ktonanovenkogo.ru, такого адреса на самом деле не знает. Но зато он понимает, что это доменное имя, а значит информацию о том, на каком IP размещен данных сайт, он сможет получить от DNS-сервера.

    Вот именно на этих ДНС-серверах (иногда их еще называют NS от Name Server, т.е server имен) и держится весь интернет (как плоский мир на трех китах, стоящих на черепахе). Сервер, если вы помните, это просто служебный компьютер не требующий непосредственного участия человека в своей работе (настроили его — он и пашет в режиме 24 на 7). И таких DNS-серверов в сети очень много.

    Как работает DNS и причем тут файл Hosts?

    На заре интернета ДНС вообще не существовало. Но как же тогда работала сеть? Как браузер понимал, что ktonanovenkogo.ru — это то же самое, что IP адрес 109.120.169.66? За это дело тогда (да и сейчас тоже) отвечал так называемый файл Hosts, где были прописаны все хосты тогда еще маленького интернета.

    Такой файл находился (и сейчас находится) на каждом компьютере пользователя (на вашем тоже он есть) подключенного к сети (как его найти смотрите по приведенной выше ссылке).

    В файле Hosts было прописано несколько тысяч строк (по числу сайтов в интернете на тот момент), в каждой из которых сначала был прописал IP адрес, а затем через пробел соответствующий ему домен. Вот так выглядела бы запись для моего блога, существуй он в сети лет так двадцать пять — тридцать назад:

    109.120.169.66 ktonanovenkogo.ru

    Любой браузер (что это такое?) на любом компьютере (даже сейчас) при вводе в адресную строку УРЛа (что это такое?) прежде всего обращается к файлу Hosts на предмет поиска там введенного доменного имени, и лишь не найдя там нужной записи обращается за этой информацией к ближайшему DNS-серверу (как правило, это сервак вашего интернет-провайдера).

    Сейчас файл Hosts стал рудиментом (пережитком прошлого) и там обычно есть только одна запись (127.0.0.1 localhost) означающая, что локальным хостом нужно считать данный компьютер.

    Правда иногда его используют вирусы и другие зловреды, чтобы вместо одного сайта вы попадали на другой (про фишинг слышали?) — ведь для этого достаточно добавить всего одну строчку в файл Hosts (можете сами прописать в нем, например, «109.120.169.66 yandex.ru» и вместо Яндекса браузер вам будет упорно открывать мой блог). Вот именно поэтому его целостность охраняют большинство антивирусов.

    Как ДНС-сервера помогают браузеру ориентироваться в сети?

    То есть сейчас всеми делами с адресацией в сети рулят именно ДНС-сервера, хотя по своей сути они очень похожи на файл Hosts, но только хранятся на них данные о многих миллионах адресов, да и размещены они удаленно.

    Кроме этого, NS-сервера имеют иерархическую структуру, каждый из уровней которой отвечает за свою часть доменных зон. Ну и, конечно же, они хранят информацию распределенно с многократным резервированием, чтобы сбой на одном устройстве не вызвал коллапс (что это такое?) части сети.

    Еще раз поясню цепочку «метаний» браузера при вводе в него Урл адреса сайта. Итак, сначала он обращается к файлу Hosts, потом к ближайшему ДНС-серваку. Он же в ответ передает нужную информацию (о том, какой именно IP адрес соответствует данному домену) нашему браузеру или запрашивает ее у вышестоящего NS-сервера, если такой информации у себя он не находит.

    И лишь только после этого браузер обращается к самому сайту по только что узнанному IP адресу. Долго, правда? Но что делать? Иначе никак.

    Правда браузер «хитрит» и сохраняет всю полученную от ДНС серверов информацию в свой кеш, чтобы потом не терять время на эти запросы по поводу IP адреса сайта. Естественно, что кеш хранится не вечно, но часто посещаемые пользователем сайты благодаря этому в браузере будут открываться быстрее (кэш — это вообще вещь!).

    Какую роль играют NS-сервера хостинга в DNS системе?

    На приведенном выше рисунке показана сильно упрощенная схема, по которой не очень понятна роль отдельных уровней ДНС-серверов. Чуть ниже приведена более развернутая схема (хотя и опять же очень упрощенная).

    Если вы владелец сайта, то знаете, что при покупке хостинга (или получении его бесплатно) вам выдают адреса NS-серверов (обычно их два), которые нужно будет прописать у вашего регистратора доменных (как это сделать описано чуть ниже). Например, мой хостер Инфобокс выдал мне два адреса (ns1.pa.infobox.ru и ns2.pa.infobox.ru).

    Вопрос, как эти адреса NS участвуют в схеме определения IP-адреса по имени домена. Собственно, это показано на приведенном выше рисунке, но я все же поясню:

    1. Как я уже писал выше, ваш компьютер при вводе в адресной строке Урла типа «ktonanovenkogo.ru» в первую очередь связывается с DNS-серверами вашего интернет-провайдера. Если в их кэше имеется IP адрес соответствующий данному домену, то он незамедлительно будет выдан браузеру и все на этом закончится. В смысле, браузер используя полученный АйПи обратится к моему блогу и откроет запрашиваемую вами страницу.
    2. Если у вашего интернет-провайдера этой информации не найдется, то он обратится к одному из корневых ДНС-серваков (их не так уж и много и информация на них обновляется не часто — от одного до нескольких раз в сутки).
    3. Корневые серваки не могут дать вам сразу пару «домен — IP», но зато могут сказать, где эту информацию наверняка можно найти. Т.е. они выдают интернет-провайдеру адреса тех ДНС-серверов, в которых прописана искомая информация об интересующем домене. В нашем случае это будут как раз те самые адреса NS хостера, где физически в данный момент расположены файлы сайта (ns1.pa.infobox.ru и ns2.pa.infobox.ru в моем случае).
    4. Получив эту информацию ваш интернет-провайдер обратится по одному из полученных NS-адресов и найдет там информацию о том, какой АйПи-адрес на данный момент соответствует домену «ktonanovenkogo.ru».
    5. ДНС-server вашего интернет-провайдера запомнит эту информацию в свой кэш (чтобы при следующих обращения не повторять всю приведенную выше цепочку запросов) и незамедлительно передаст искомый IP вашему браузеру.
    6. И только после этого браузер сможет обратиться к виртуальному серваку моего хостинга, где расположен блог https://ktonanovenkogo.ru. В результате на экране вашего компьютера откроется одна из страниц моего сайта.

    Как поменять DNS при переносе сайта на другой хостинг?

    Именно благодаря системе распределенных DNS-серверов, например, при переезде сайта на другой хостинг (а из-за этого ведь меняется его фактический IP адрес, как вы понимаете) он по-прежнему будет доступен пользователям, как только новая информация (о смене АйПи адреса данным доменом) пропишется во всех ДНС интернета (это правда может занять от нескольких часов до пары суток).

    Новая информация (о смене соответствия данного домена и физического IP адреса сайта) в первую очередь прописывается на NS-серверах вашего нового хостинга. Вы же идете в панель регистратора домена (где его покупали) и меняете там адреса NS-серверов старого хостинга, на те, что получили от нового хостера.

    Я пользуюсь услугами старейшего регистратора в рунете и смена NS-адресов у него проходит так:

    1. Из выпадюащего списка с адресом вашей почты в правом верхнем углу выбираете пункт «Личный кабинет»
    2. Переходите на вкладку «Мои домены»
    3. В столбце «DNS» напротив нужного домена кликаете по строке с текущими адресами НС-серверов
    4. Во всплывающем окне стираете адреса старых НС-серверов и вместо них прописываете новые (полученные от нового хостера)
    5. Жмете на кнопку «Добавить»

    То же самое можно сделать кликнув по названию домена (в первом столбце) и выбрав на открывшейся странице в области «Управление доменом» пункт «DNS-серверы»:

    На открывшейся вкладке нужно будет лишь заменить старые адреса на новые и нажать на кнопку «Изменить».

    В любом случае, изменения не вступят с силу сразу. Лишь с течением времени (потихоньку — до двух суток) вся структура ДНС-серверов пропишет эти изменения и пользователи со всех концов света будут попадать на ваш сайт уже живущий на новом хостинге.

    Понятно, что на эти один-два дня (пока информация об изменении IP адреса сайта расходится по всей структуре доменной системы имен) на старом хостинге должна находиться рабочая копия сайта, чтобы не было перебоев в его работе. Кстати, не примените ознакомиться с материалом про то, что такое виртуальные хостинг и выделенный server, и что из них лучше выбрать.

    Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

    Использую для заработка

    Рубрика: Хостинги и домены

    Пара слов о DNS / Блог компании 1cloud.ru / Хабр

    Являясь провайдером виртуальной инфраструктуры, компания 1cloud интересуется сетевыми технологиями, о которых мы регулярно рассказываем в своем блоге. Сегодня мы подготовили материал, затрагивающий тему доменных имен. В нем мы рассмотрим базовые аспекты функционирования DNS и вопросы безопасности DNS-серверов.

    / фото James Cridland CC

    Изначально, до распространения интернета, адреса преобразовывались согласно содержимому файла hosts, рассылаемого на каждую из машин в сети. Однако по мере её роста такой метод перестал оправдывать себя – появилась потребность в новом механизме, которым и стала DNS, разработанная в 1983 году Полом Мокапетрисом (Paul Mockapetris).

    Что такое DNS?


    Система доменных имен (DNS) является одной из фундаментальных технологий современной интернет-среды и представляет собой распределенную систему хранения и обработки информации о доменных зонах. Она необходима, в первую очередь, для соотнесения IP-адресов устройств в сети и более удобных для человеческого восприятия символьных имен.

    DNS состоит из распределенной базы имен, чья структура напоминает логическое дерево, называемое пространством имен домена. Каждый узел в этом пространстве имеет свое уникальное имя. Это логическое дерево «растет» из корневого домена, который является самым верхним уровнем иерархии DNS и обозначается символом – точкой. А уже от корневого элемента ответвляются поддоменые зоны или узлы (компьютеры).


    Пространство имен, которое сопоставляет адреса и уникальные имена, может быть организовано двумя путями: плоско и иерархически. В первом случае имя назначается каждому адресу и является последовательностью символов без структуры, закрепленной какими-либо правилами. Главный недостаток плоского пространства имен – оно не может быть использовано в больших системах, таких как интернет, из-за своей хаотичности, поскольку в этом случае достаточно сложно провести проверку неоднозначности и дублирования.

    В иерархическом же пространстве имен каждое имя составлено из нескольких частей: например, домена первого уровня .ru, домена второго уровня 1cloud.ru, домена третьего уровня panel.1cloud.ru и т. д. Этот тип пространства имен позволяет легко проводить проверки на дубликаты, и при этом организациям не нужно беспокоиться, что префикс, выбранный для хоста, занят кем-то другим – полный адрес будет отличаться.

    Сопоставление имен


    Давайте взглянем, как происходит сопоставление имен и IP-адресов. Предположим, пользователь набирает в строке браузера www.1cloud.ru и нажимает Enter. Браузер посылает запрос DNS-серверу сети, а сервер, в свою очередь, либо отвечает сам (если ответ ему известен), либо пересылает запрос одному из высокоуровневых доменных серверов (или корневому).

    Затем запрос начинает свое путешествие – корневой сервер пересылает его серверу первого уровня (поддерживающего зону .ru). Тот – серверу второго уровня (1cloud) и так далее, пока не найдется сервер, который точно знает запрошенное имя и адрес, либо знает, что такого имени не существует. После этого запрос начинает движение обратно. Чтобы наглядно объяснить, как это работает, ребята из dnssimple подготовили красочный комикс, который вы можете найти по ссылке.

    Также стоит пару слов сказать про процедуру обратного сопоставления – получение имени по предоставленному IP-адресу. Это происходит, например, при проверках сервера электронной почты. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя.

    Кто управляет и поддерживает DNS-сервера?


    Когда вы вводите адрес интернет-ресурса в строку браузера, он отправляет запрос на DNS-сервер отвечающий за корневую зону. Таких серверов 13 и они управляются различными операторами и организациями. Например, сервер a.root-servers.net имеет IP-адрес 198.41.0.4 и находится в ведении компании Verisign, а e.root-servers.net (192.203.230.10) обслуживает НАСА.

    Каждый из этих операторов предоставляет данную услугу бесплатно, а также обеспечивает бесперебойную работу, поскольку при отказе любого из этих серверов станут недоступны целые зоны интернета. Ранее корневые DNS-серверы, являющиеся основой для обработки всех запросов о доменных именах в интернете, располагались в Северной Америке. Однако с внедрением технологии альтернативной адресации они «распространились» по всему миру, и фактически их число увеличилось с 13 до 123, что позволило повысить надёжность фундамента DNS.

    Например, в Северной Америке находятся 40 серверов (32,5%), в Европе – 35 (28,5%), еще 6 серверов располагаются в Южной Америке (4,9%) и 3 – в Африке (2,4%). Если взглянуть на карту, то DNS-серверы расположены согласно интенсивности использования интернет-инфраструктуры.

    Защита от атак


    Атаки на DNS – далеко не новая стратегия хакеров, однако только недавно борьба с этим видом угроз стала принимать глобальный характер.

    «В прошлом уже происходили атаки на DNS-сервера, приводящие к массовым сбоям. Как-то из-за подмены DNS-записи в течение часа для пользователей был недоступен известный всем сервис Twitter, – рассказывает Алексей Шевченко, руководитель направления инфраструктурных решений российского представительства ESET. – Но куда опаснее атаки на корневые DNS-сервера. В частности, широкую огласку получили атаки в октябре 2002 года, когда неизвестные пытались провести DDoS-атаку на 10 из 13 DNS-серверов верхнего уровня».

    Протокол DNS использует для работы TCP- или UDP-порт для ответов на запросы. Традиционно они отправляются в виде одной UDP-датаграммы. Однако UDP является протоколом без установления соединения и поэтому обладает уязвимостями, связанными с подделкой адресов – многие из атак, проводимых на DNS-сервера, полагаются на подмену. Чтобы этому препятствовать, используют ряд методик, направленных на повышение безопасности.

    Одним из вариантов может служить технология uRPF (Unicast Reverse Path Forwarding), идея которой заключается в определении того, может ли пакет с определенным адресом отправителя быть принят на конкретном сетевом интерфейсе. Если пакет получен с сетевого интерфейса, который используется для передачи данных, адресованных отправителю этого пакета, то пакет считается прошедшим проверку. В противном случае он отбрасывается.

    Несмотря на то что, данная функция может помочь обнаружить и отфильтровать некоторую часть поддельного трафика, uRPF не обеспечивает полную защиту от подмены. uRPF предполагает, что прием и передача данных для конкретного адреса производится через один и тот же интерфейс, а это усложняет положение вещей в случае нескольких провайдеров. Более подробную информацию о uRPF можно найти здесь.

    Еще один вариант – использование функции IP Source Guard. Она основывается на технологии uRPF и отслеживании DHCP-пакетов для фильтрации поддельного трафика на отдельных портах коммутатора. IP Source Guard проверяет DHCP-трафик в сети и определяет, какие IP-адреса были назначены сетевым устройствам.

    После того как эта информация была собрана и сохранена в таблице объединения отслеживания DHCP-пакетов, IP Source Guard может использовать ее для фильтрации IP-пакетов, полученных сетевым устройством. Если пакет получен с IP-адресом источника, который не соответствует таблице объединения отслеживания DHCP-пакетов, то пакет отбрасывается.

    Также стоит отметить утилиту dns-validator, которая наблюдает за передачей всех пакетов DNS, сопоставляет каждый запрос с ответом и в случае несовпадения заголовков уведомляет об этом пользователя. Подробная информация доступна в репозитории на GitHub.

    Заключение


    Система доменных имён разработана в еще 80-х годах прошлого века и продолжает обеспечивать удобство работы с адресным пространством интернета до сих пор. Более того, технологии DNS постоянно развиваются, например, одним из значимых нововведений недавнего времени стало внедрение доменных имен на национальных алфавитах (в том числе кириллический домен первого уровня.рф).

    Постоянно ведутся работы по повышению надежности, чтобы сделать систему менее чувствительной к сбоям (стихийные бедствия, отключения электросети и т. д.), и это очень важно, поскольку интернет стал неотъемлемой частью нашей жизни, и «терять» его, даже на пару минут, совершенно не хочется.

    Кстати, компания 1cloud предлагает своим пользователям VPS бесплатную услугу «DNS-хостинг» – инструмент, упрощающий администрирование ваших проектов за счет работы с общим интерфейсом для управления хостами и ссылающимися на них доменами.

    О чем еще мы пишем:

    ДНС — это… Что такое ДНС?

    DNS
    Название:

    Domain Name System

    Уровень (по модели OSI):

    Прикладной

    Семейство:

    TCP/IP

    Порт/ID:

    53/UDP

    Назначение протокола:

    Разрешение доменных имён

    Спецификация:

    RFC 1034, RFC 1035 / STD 13

    Основные реализации (клиенты):

    Встроен во все сетевые ОС

    Основные реализации (серверы):

    DNS (англ. Domain Name System — система доменных имён) — распределённая система (распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP. Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адресу — IP адрес по определённому правилу преобразуется в доменное имя, и посылается запрос на информацию типа «PTR».

    Ключевые характеристики DNS

    DNS обладает следующими характеристиками:

    • Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности и (возможно) адреса корневых DNS-серверов.
    • Кеширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть.
    • Иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам.
    • Резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов.

    DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла HOSTS, который составлялся централизованно и обновлялся на каждой из машин сети вручную. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

    DNS была разработана Полом Мокапетрисом в 1983 году; оригинальное описание механизмов работы описано в RFC 882 и RFC 883. В 1987 публикация RFC 1034 и RFC 1035 изменили спецификацию DNS и отменили RFC 882 и RFC 883 как устаревшие. Некоторые новые RFC дополнили и расширили возможности базовых протоколов.

    Дополнительные возможности

    • поддержка динамических обновлений
    • безопасные соединения (DNSsec)
    • поддержка различных типов информации (SRV-записи)

    Терминология и принципы работы

    Ключевыми понятиями DNS являются:

    • Зона — логический узел в дереве имён. Право администрировать зону может быть передано третьим лицам, за счёт чего обеспечивается распределённость базы данных. При этом персона, передавшая право на управление в своей базе данных хранит информацию только о существовании зоны (но не подзон!), информацию о персоне (организации), управляющей зоной, и адрес серверов, которые отвечают за зону. Вся дальнейшая информация хранится уже на серверах, ответственных за зону.
    • Доме́н — название зоны в системе доменных имён (DNS) Интернета, выделенной какой-либо стране, организации или для иных целей. Структура доменного имени отражает порядок следования зон в иерархическом виде; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости), корневым доменом всей системы является точка (‘.’), следом идут домены первого уровня (географические или тематические), затем — домены второго уровня, третьего и т. д. (например, для адреса ru.wikipedia.org домен первого уровня — org, второго wikipedia, третьего ru). На практике точку в конце имени часто опускают, но она бывает важна в случаях разделения между относительными доменами и англ. Fully Qualifed Domain Name, полностью определённое имя домена).
    • Поддомен — имя подчинённой зоны. (например, wikipedia.org — поддомен домена org, а ru.wikipedia.org — домена wikipedia.org). Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения.
    • DNS-сервер — специализированное ПО для обслуживания DNS. DNS-сервер может быть ответственным за некоторые зоны и/или может перенаправлять запросы вышестоящим серверам.
    • DNS-клиент — специализированная библиотека (или программа) для работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.
    • ответственность (англ. authoritative) — признак размещения зоны на DNS-сервере. Ответы DNS-сервера могут быть двух типов: ответственные (когда сервер заявляет, что сам отвечает за зону) и неответственные (англ. Non-authoritative), когда сервер обрабатывает запрос, и возвращает ответ других серверов. В некоторых случаях вместо передачи запроса дальше DNS-сервер может вернуть уже известное ему (по запросам ранее) значение (режим кеширования).
    • DNS-запрос англ. DNS query — запрос от клиента (или сервера) серверу. Запрос может быть рекурсивным или нерекурсивным. Нерекурсивный запрос либо возвращает данные о зоне, которая находится в зоне ответственности DNS-сервера (который получил запрос) или возвращает адреса корневых серверов (точнее, адрес любого сервера, который обладает большим объёмом информации о запрошенной зоне, чем отвечающий сервер). В случае рекурсивного запроса сервер опрашивает серверы (в порядке убывания уровня зон в имени), пока не найдёт ответ или не обнаружит, что домен не существует. На практике поиск начинается с наиболее близких к искомому DNS-серверов, если информация о них есть в кеше и не устарела, сервер может не запрашивать DNS-серверы). Рекурсивные запросы требуют больше ресурсов от сервера (и создают больше трафика), так что обычно принимаются от «известных» владельцу сервера узлов (например, провайдер предоставляет возможность делать рекурсивные запросы только своим клиентам, в корпоративной сети рекурсивные запросы принимаются только из локального сегмента). Нерекурсивные запросы обычно принимаются ото всех узлов сети (и осмысленный ответ даётся только на запросы о зоне, которая размещена на узле, на DNS-запрос о других зонах обычно возвращаются адреса корневых серверов).
    • субдомен — дополнительное доменное имя 3-го уровня в основном домене. Может указывать как на документы корневого каталога, так и на любой подкаталог основного сервера. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. д.

    Система DNS содержит иерархию серверов DNS. Каждый домен или поддомен поддерживается как минимум одним авторитетным сервером DNS (от англ. authoritative — авторитетный, заслуживающий доверия; в Рунете применительно к DNS и серверам имен часто употребляют и другие варианты перевода: авторизированный, авторитативный), на котором расположена информация о домене. Иерархия серверов DNS совпадает с иерархией доменов.

    Имя и IP-адрес не тождественны — один IP-адрес может иметь множество имён, что позволяет поддерживать на одном компьютере множество веб-сайтов (это называется виртуальный хостинг). Обратное тоже справедливо — одному имени может быть сопоставлено множество IP-адресов: это позволяет создавать балансировку нагрузки.

    Для повышения устойчивости системы используется множество серверов, содержащих идентичную информацию, а в протоколе есть средства, позволяющие поддерживать синхронность информации, расположенной на разных серверах. Существует 13 корневых серверов, их адреса практически не изменяются[1].

    Протокол DNS использует для работы UDP-порт 53 для ответов на запросы. Традиционно запросы и ответы отправляются в виде одной UDP датаграммы. TCP используется для AXFR-запросов.

    Рекурсия

    Рассмотрим на примере работу всей системы.

    Предположим, мы набрали в браузере адрес ru.wikipedia.org. Браузер спрашивает у сервера DNS: «какой IP-адрес у ru.wikipedia.org»? Однако, сервер DNS может ничего не знать не только о запрошенном имени, но даже обо всём домене wikipedia.org. В этом случае имеет место рекурсия: сервер обращается к корневому серверу — например, 198.41.0.4. Этот сервер сообщает — «У меня нет информации о данном адресе, но я знаю, что 204.74.112.1 является авторитетным для зоны org.» Тогда сервер DNS направляет свой запрос к 204.74.112.1, но тот отвечает «У меня нет информации о данном сервере, но я знаю, что 207.142.131.234 является авторитетным для зоны wikipedia.org.» Наконец, тот же запрос отправляется к третьему DNS-серверу и получает ответ — IP-адрес, который и передаётся клиенту — браузеру.

    В данном случае при разрешении имени, то есть в процессе поиска IP по имени:

    • браузер отправил известному ему DNS-серверу т. н. рекурсивный запрос — в ответ на такой тип запроса сервер обязан вернуть «готовый результат», то есть IP-адрес, либо сообщить об ошибке;
    • DNS-сервер, получив запрос от клиента, последовательно отправлял итеративные запросы, на которые получал от других DNS-серверов ответы, пока не получил авторитетный ответ от сервера, ответственного за запрошенную зону.

    В принципе, запрошенный сервер, мог бы передать рекурсивный запрос «вышестоящему» DNS-серверу и дождаться готового ответа.

    Запрос на определение имени обычно не идёт дальше кеша DNS, который сохраняет ответы на запросы, проходившие через него ранее. Вместе с ответом приходит информация о том, сколько времени разрешается хранить эту запись в кэше.

    Обратный DNS-запрос

    DNS используется в первую очередь для преобразования символьных имён в IP-адреса, но он также может выполнять обратный процесс. Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие биты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце.

    Записи DNS

    Наиболее важные типы DNS-записей:

    Зарезервированные доменные имена

    Документ RFC 2606 (Reserved Top Level DNS Names — Зарезервированные имена доменов верхнего уровня) определяет названия доменов, которые следует использовать в качестве примеров (например, в документации), а также для тестирования. Кроме example.com, example.org и example.net, в эту группу также входят test, invalid и др.

    Интернациональные доменные имена

    Доменное имя может состоять только из ограниченного набора ICANN утвердил основанную на Punycode систему IDNA, преобразующую любую строку в кодировке Unicode в допустимый DNS набор символов.

    Программное обеспечение DNS

    Серверы имен:

    • [1]
    • [2]
    • MaraDNS [3]
    • NSD (Name Server Daemon) [4]
    • PowerDNS [5]
    • Microsoft DNS Server (в серверных версиях операционных систем Windows NT)

    Информация о домене

    Многие домены верхнего уровня поддерживают сервис whois, который позволяет узнать кому делегирован домен, и другую техническую информацию.

    Регистрация домена

    Регистрация домена — процедура получения доменного имени. Заключается в создании записей, указывающих на администратора домена, в базе данных DNS. Порядок регистрации и требования зависят от выбранной доменной зоны. Регистрация домена может быть выполнена как организацией-регистратором, так и частным лицом[2], если это позволяют правила выбранной доменной зоны.

    См. также

    Wikimedia Foundation. 2010.

    DNS Безопасность с DNSCrypt | OpenDNS

    Представляем DNSCrypt

    Предыстория: потребность в лучшей безопасности DNS

    DNS — один из фундаментальных строительных блоков Интернета. Он используется каждый раз, когда вы посещаете веб-сайт, отправляете электронное письмо, общаетесь в чате или делаете что-то еще в Интернете. Хотя OpenDNS уже много лет обеспечивает безопасность мирового класса с использованием DNS, и OpenDNS — самый безопасный из доступных DNS-сервисов, основной протокол DNS не был достаточно безопасным для нашего удобства.Многие помнят уязвимость Каминского, которая повлиял почти на все реализации DNS в мире (но не на OpenDNS).

    Тем не менее, класс проблем, с которыми связана уязвимость Камински, был результатом некоторых из основных основ протокола DNS, которые по своей сути слабые, особенно на «последней миле». «Последняя миля» это часть вашего интернет-соединения между вашим компьютером и вашим интернет-провайдером. DNSCrypt — это наш способ защитить «последнюю милю» DNS-трафика и решить (без каламбура) целый класс серьезных проблем безопасности, связанных с протоколом DNS.Поскольку подключение к Интернету в мире становится все более мобильным и все больше и больше людей подключаются к нескольким различным сетям Wi-Fi за один день, потребность в решении растет.

    Было множество примеров взлома, атак типа «злоумышленник в середине» и отслеживания DNS-трафика на «последней миле», и это представляет серьезную угрозу безопасности, которую мы всегда хотели исправить. Сегодня мы можем.

    Почему DNSCrypt так важен

    Точно так же, как SSL превращает веб-трафик HTTP в зашифрованный веб-трафик HTTPS, DNSCrypt превращает обычный трафик DNS в зашифрованный трафик DNS, который защищен от перехвата и атак типа «злоумышленник в середине».Не требует изменения домена имена или как они работают, он просто предоставляет метод безопасного шифрования связи между нашими клиентами и нашими DNS-серверами в наших центрах обработки данных. Однако мы знаем, что одни только заявления не работают в сфере безопасности, поэтому мы открыли загрузите исходный код в нашу базу кода DNSCrypt, и он доступен на GitHub.

    DNSCrypt потенциально может стать самым значительным достижением в области Интернет-безопасности после SSL, значительно улучшая онлайн-безопасность и конфиденциальность каждого отдельного пользователя Интернета.

    Примечание. Ищете защиту от вредоносных программ, бот-сетей и фишинга для ноутбуков или устройств iOS? Проверьте мобильность Umbrella от OpenDNS.

    Загрузить сейчас:

    Загрузить DNSCrypt для Mac
    Загрузить DNSCrypt для Windows

    Часто задаваемые вопросы (FAQ):

    1. Говоря простым языком, что такое DNSCrypt?

    DNSCrypt — это легкое программное обеспечение, которое каждый должен использовать для повышения конфиденциальности и безопасности в Интернете.Он работает, шифруя весь DNS-трафик между пользователем и OpenDNS, предотвращая любой шпионаж, спуфинг или атаки типа «человек посередине».

    2. Как я могу использовать DNSCrypt сегодня?

    Мы открыли исходный код нашей базы кода DNSCrypt, и он доступен на GitHub. Графические интерфейсы больше не разрабатываются; однако сообщество с открытым исходным кодом по-прежнему предоставляет неофициальные обновления к техническому превью.

    Советы:
    Если у вас есть брандмауэр или другое промежуточное программное обеспечение, обрабатывающее ваши пакеты, вам следует попробовать включить DNSCrypt с TCP через порт 443.Это заставит большинство брандмауэров подумать, что это HTTPS-трафик, и оставить его в покое.

    Если вы предпочитаете надежность безопасности, включите откат на небезопасный DNS. Если вы не можете связаться с нами, мы попытаемся использовать ваши назначенные DHCP или ранее настроенные DNS-серверы. Однако это угроза безопасности.

    3. Что насчет DNSSEC? Устраняет ли это необходимость в DNSCrypt?

    Нет. DNSCrypt и DNSSEC дополняют друг друга. DNSSEC выполняет ряд функций.Во-первых, он обеспечивает аутентификацию. (Это запись DNS, которую я получаю от владельца доменного имени, о котором я спрашиваю, или она была подделана с?) Во-вторых, DNSSEC обеспечивает цепочку доверия, которая помогает установить уверенность в том, что ответы, которые вы получаете, поддаются проверке. Но, к сожалению, DNSSEC на самом деле не обеспечивает шифрование записей DNS, даже если они подписаны DNSSEC. Даже если бы все в мире использовали DNSSEC, необходимость шифрования всего DNS-трафика не исчезла бы.Более того, DNSSEC сегодня представляет собой почти нулевой процент от общего числа доменных имен и все меньший процент записей DNS каждый день по мере того, как Интернет растет.

    Тем не менее, DNSSEC и DNSCrypt могут отлично работать вместе. Они никак не противоречат друг другу. Думайте о DNSCrypt как об оболочке всего трафика DNS, а DNSSEC — как о способе подписания и обеспечения проверки для подмножества этих записей. Там — это преимущества DNSSEC, которые DNSCrypt не пытается решить.Фактически, мы надеемся, что внедрение DNSSEC будет расти, чтобы люди могли больше доверять всей инфраструктуре DNS, а не только связи между нашими клиентами и OpenDNS.

    4. Используется ли SSL? Что такое криптовалюта и каков дизайн?

    Мы не используем SSL. Хотя мы проводим аналогию с тем, что DNSCrypt похож на SSL в том смысле, что он обертывает весь трафик DNS с помощью шифрования так же, как SSL обертывает весь трафик HTTP, это не используемая криптографическая библиотека. Мы используем криптографию с эллиптическими кривыми, в частности, эллиптическая кривая Curve25519.Цели разработки аналогичны целям, описанным в конструкции сервера пересылки DNSCurve.

    .

    Загрузка клиентов и серверов для DoH и DNSCrypt

    DNSCrypt-прокси Фрэнк Денис (@ jedisct1) DNSCrypt , DoH а также Анонимный DNSCrypt Linux , BSD , Windows , macOS , Android а также Больше Вперед
    SecureDNS Texnomic (@Texnomic) DNSCrypt , DoH , DoT , DoU , ENS а также Анонимный DNSCrypt Linux , Windows , macOS а также Больше C #
    Доверять DNS Surfshark DNSCrypt а также DoH iOS а также Android Закрытый источник
    DoH-прокси Facebook DoH Linux , BSD , Windows , macOS а также Больше Python
    YourFriendlyDNS DNSCrypt Linux , Windows , macOS а также Android C ++
    Простой DNSCrypt Кристиан Герман DNSCrypt а также DoH Windows C #
    переключатель dnscrypt-proxy Франк Денис DNSCrypt macOS Корпус
    DNSCloak Сергей @ s-s DNSCrypt iOS Apache Cordova
    Прокси-сервер DNSCrypt на Android Несколько DNSCrypt Android Английский
    DNSLookup Андрей Мешков DNSCrypt , DoH а также DoT Linux , BSD , Windows , macOS а также Больше Вперед
    DNSProxy Команда Adguard DNSCrypt , DoH а также DoT Linux , BSD , Windows , macOS а также Больше Вперед
    YogaDNS Инитекс DNSCrypt а также DoH Windows Закрытый источник
    .

    Объяснение шифрования DNS

    Система доменных имен (DNS) — это адресная книга в Интернете. Когда вы посещаете cloudflare.com или любой другой сайт, ваш браузер запрашивает у распознавателя DNS IP-адрес, по которому можно найти этот сайт. К сожалению, эти DNS-запросы и ответы обычно не защищены. Шифрование DNS улучшит конфиденциальность и безопасность пользователей. В этом посте мы рассмотрим два механизма шифрования DNS, известные как DNS через TLS (DoT) и DNS через HTTPS (DoH), и объясним, как они работают.

    Приложения, которые хотят преобразовать доменное имя в IP-адрес, обычно используют DNS. Обычно это не делается явно программистом, написавшим приложение. Вместо этого программист пишет что-то вроде fetch ("https://example.com/news") и ожидает, что программная библиотека обработает перевод «example.com» в IP-адрес.

    За кулисами программная библиотека отвечает за обнаружение и подключение к внешнему рекурсивному преобразователю DNS, а также за озвучивание протокола DNS (см. Рисунок ниже) для разрешения имени, запрошенного приложением.Выбор внешнего преобразователя DNS и обеспечение какой-либо конфиденциальности и безопасности не зависят от приложения. Это зависит от используемой библиотеки программного обеспечения и политик, предоставляемых операционной системой устройства, на котором выполняется программное обеспечение.

    Обзор запроса и ответа DNS

    Внешний преобразователь DNS

    Операционная система обычно узнает адрес преобразователя из локальной сети с помощью протокола динамической конфигурации хоста (DHCP). В домашних и мобильных сетях он обычно заканчивается использованием преобразователя от поставщика услуг Интернета (ISP).В корпоративных сетях выбранный преобразователь обычно контролируется сетевым администратором. При желании пользователи, контролирующие свои устройства, могут переопределить преобразователь с помощью определенного адреса, такого как адрес общедоступного преобразователя, такого как Google 8.8.8.8 или Cloudflare 1.1.1.1, но большинство пользователей, скорее всего, не будут беспокоиться об изменении его при подключении к общественная точка доступа Wi-Fi в кафе или аэропорту.

    Выбор внешнего преобразователя напрямую влияет на качество обслуживания конечного пользователя.Большинство пользователей не изменяют настройки своего преобразователя и, скорее всего, в конечном итоге будут использовать преобразователь DNS от своего сетевого провайдера. Наиболее очевидным наблюдаемым свойством является скорость и точность разрешения имен. Функции, которые улучшают конфиденциальность или безопасность, могут быть не сразу видны, но помогут предотвратить профилирование или вмешательство других в вашу активность в Интернете. Это особенно важно в общедоступных сетях Wi-Fi, где любой, кто находится в непосредственной близости, может захватывать и расшифровывать трафик беспроводной сети.

    Незашифрованный DNS

    С момента создания DNS в 1987 году он был в основном незашифрованным. Каждый, кто находится между вашим устройством и преобразователем, может отслеживать или даже изменять ваши запросы и ответы DNS. Это включает всех в вашей локальной сети Wi-Fi, вашего интернет-провайдера (ISP) и транзитных провайдеров. Это может повлиять на вашу конфиденциальность из-за раскрытия доменных имен, которые вы посещаете.

    Что они видят? Что ж, рассмотрим этот захват сетевого пакета, полученный с портативного компьютера, подключенного к домашней сети:

    Можно сделать следующие наблюдения:

    • Исходный порт UDP — 53, который является стандартным номером порта для незашифрованного DNS.Таким образом, полезная нагрузка UDP, скорее всего, будет ответом DNS.
    • Это говорит о том, что исходный IP-адрес 192.168.2.254 является преобразователем DNS, а IP-адрес назначения 192.168.2.14 является DNS-клиентом.
    • Полезные данные UDP действительно могут быть проанализированы как ответ DNS и показывают, что пользователь пытался посетить twitter.com.
    • Если в будущем будут установлены подключения к 104.244.42.129 или 104.244.42.1, то, скорее всего, это трафик, который направляется на «twitter.com».
    • Если на этот IP-адрес поступает еще какой-то зашифрованный HTTPS-трафик, за которым следуют дополнительные DNS-запросы, это может указывать на то, что веб-браузер загрузил дополнительные ресурсы с этой страницы.Это потенциально может выявить страницы, которые пользователь просматривал во время посещения twitter.com.

    Поскольку сообщения DNS не защищены, возможны другие атаки:

    • Запросы могут быть направлены на преобразователь, который выполняет DNS hija
    .

    Простой DNSCrypt

    Simple DNSCrypt — это простой инструмент управления для настройки dnscrypt-proxy в системах на базе Windows.

    Статус

    Использует dnscrypt-proxy: 2.0.42

    Начало работы

    Предварительные требования

    Как минимум одна система с Windows 7 SP1 и установкой. NET Framework 4.6.1 в настоящее время требуется.

    Вам также понадобятся: Microsoft Visual C ++ Redistributable для Visual Studio 2015-2019 x64 или x86

    или

    Распространяемый компонент Microsoft Visual C ++ для Visual Studio 2017 x64 или x86

    Установка

    Для установки Simple DNSCrypt используйте последние (стабильные) пакеты MSI: x86 или x64.

    Подписание файла

    Пакет MSI и SimpleDnsCrypt.exe подписываются через CA COMODO RSA Code Signing CA . Файлы подписаны под именем: Christian Hermann

    Вы также можете проверить пакеты MSI с помощью minisign. Подписи minisign x86 и x64 можно проверить с помощью следующей команды:

      minisign -Vm SimpleDNSCrypt.msi -P RWTSM + 4BNNvkZPNkHgE88ETlhWa + 0HDzU5CN8TvbyvmhVUcr6aQXfssV
    minisign -Vm SimpleDNSCrypt64.msi -P RWTSM + 4BNNvkZPNkHgE88ETlhWa + 0HDzU5CN8TvbyvmhVUcr6aQXfssV
      

    Удаление

    Чтобы удалить Simple DNSCrypt и dnscrypt-proxy, просто перейдите в Панель управления Windows (Программы и компоненты) и найдите Simple DNSCrypt.

    Обновления

    Simple DNSCrypt автоматически выполнит поиск последней версии при запуске.

    Переводы

    Переводы создаются с помощью POEditor. Если вы можете добавить или исправить язык, не стесняйтесь делать это:

    https: // poeditor.com / join / project / 3frSzJtSqc

    Скриншоты

    построен с

    Авторы

    См. Также список Contributors.md, участвовавших в этом проекте. Если вы переводчик, не стесняйтесь обновлять этот файл.

    Лицензия

    Этот проект находится под лицензией MIT — подробности см. В файле LICENSE.md

    Используемое программное обеспечение и библиотеки

    Спасибо

    • Фрэнк Денис за разработку dnscrypt-proxy
    • все пользователи, переводчики и соавторы
    • ReSharper за предоставление бесплатной лицензии с открытым исходным кодом
    • POEditor за предоставление бесплатной лицензии с открытым исходным кодом

    Авторы

    Этот проект существует благодаря всем, кто вносит свой вклад.

    Сторонники

    Спасибо всем нашим спонсорам! 🙏 [Стать спонсором]

    Поддержите этот проект, став спонсором. Здесь будет отображаться ваш логотип со ссылкой на ваш сайт. [Стать спонсором]

    .

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *