Адреса dns серверов: Лучшие DNS-серверы

Содержание

Лучшие DNS-серверы | Losst

В разговорах об обеспечении безопасности подключения к интернету или доступа к заблокированному контенту в вашей географической области, вы, наверное, слышали о DNS. Несмотря на то, что все провайдеры поставляют свой DNS-сервер по умолчанию, вы можете использовать альтернативный.

Служба DNS используется для определения IP-адресов сайтов по их домену. Всё очень просто — на самом деле в интернете не существует никаких буквенных адресов вроде losst.ru, все связи и сообщения между компьютерами осуществляются по IP-адресу. Вот для его определения по доменному имени и используются сервера DNS, в которых хранится огромная таблица соответствия доменных имён и IP-адресов.

Использование альтернативного DNS-сервера предоставляет несколько преимуществ:

Чем ближе вы находитесь к DNS-серверу, тем быстрее будет выполняться определение имён.
Если DNS провайдера не очень надёжны, альтернативный DNS улучшит стабильность.
Вы избавитесь от ограничений доступа к контенту на основе географического положения.

Если эти причины, или хотя бы одна из них заинтересовали вас, пришло время настроить DNS-сервер в своей системе. В этой статье мы поговорим о том, как настроить DNS-сервер в Linux, как узнать его скорость работы, а также рассмотрим лучшие DNS-серверы. Вы можете выбрать лучший в зависимости от ваших потребностей.

Содержание статьи:

Настройка DNS в Linux

Поскольку сайт наш всё-таки о Linux, рассмотрим, как настроить DNS-серверы Linux. Настройки DNS-сервера в любом Linux-дистрибутиве находятся в файле /etc/resolv.conf. Адрес DNS-сервера указывается в следующем формате:

nameserver 192.168.137.1

Здесь 192.168.137.1 — это адрес DNS-сервера. Но настройка в этом файле будет работать только до перезагрузки, поскольку этот файл перегенерируется при каждой загрузке системы. Чтобы настройки работали и после перезагрузки, надо настраивать DNS с помощью NetworkManager или Systemd. Об этом смотрите статью Настройка DNS в Ubuntu.

Протестировать скорость работы DNS-сервера можно с помощью утилиты nsloockup. Например:

time nslookup losst.ru 208.67.222.222
time nslookup losst.ru 8.8.8.8

Первый параметр — адрес сайта, который будем измерять, второй — адрес DNS-сервера. Команда time замеряет время выполнения nslookup в миллисекундах. Как видите, первый DNS сервер от гугла медленнее по сравнению с вторым. А теперь перейдём непосредственно к списку «хорошие DNS-серверы».

Лучшие DNS-серверы

1. Google Public DNS

Первый DNS сервер в нашем списке — сервер от Google — Google Public DNS. Он работает с декабря 2009 и его цель — сделать работу пользователей в интернете быстрее, безопаснее и удобнее. В настоящее время это крупнейшая государственная DNS-структура в мире. Для использования Google Public DNS достаточно использовать IP-адрес DNS сервера 8. 8.8.8 или 8.8.4.4.

При переходе на Google Public DNS повышается безопасность и оптимизируется скорость работы, поскольку Google действительно использует Anycast-маршрутизацию для нахождения ближайшего сервера. Кроме того, он устойчив к атакам DNS Cache, а также DoS.

2. OpenDNS

Если вы ищете не просто замену обычному DNS, а расширенную версию, которая даст вам больше контроля, попробуйте OpenDNS. Как говорится в сообщении этой компании, вы сделаете ещё один шаг на пути к безопасности путем внедрения этой службы. Есть два варианта OpenDNS — домашний и корпоративный. Домашняя версия поставляется с родительским контролем, защитой от фишинга и улучшенной скоростью. Корпоративная версия OpenDNS имеет полную функциональность для защиты сети предприятия. Для домашнего использования вы можете получить OpenDNS бесплатно. Чтобы настроить DNS-серверы Linux просто установите следующие адреса DNS: 208.67.222.222 и 208.67.220.220. OpenDNS также поддерживает Anycast.

3.

DNS.WATCH

DNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.

4. Norton ConnectSafe

Norton ConnectSafe — ещё одна служба DNS, предназначенная для усиленной защиты вашего интернета. Следует отметить, что Norton занимается аспектами безопасности многих устройств в течение длительного времени. Поэтому вы можете быть уверены в качестве Norton ConnectSafe. Сервис предлагает три различных варианта защиты: защита от вредоносных программ, фишинга и жульничества, защита от порнографии и других угроз. Для каждого вида используются разные IP-адреса. Для защиты всей домашней сети достаточно просто настроить маршрутизатор.

5. Level3 DNS

Level3 DNS — это отличная служба DNS, если вы ищете надежный DNS-сервер с отличной производительностью. Хотя и Level3 не такой большой, как Google, у него впечатляющая инфраструктура. Вы можете быть уверенны, что скорость будет на высшем уровне. IP-адреса DNS сервера: 209.244.0.3, 209.244.0.4 , 4.2.2.1, 4.2.2.2 , 4.2.2.3 и 4.2.2.4.

6. Comodo Secure DNS

Comodo Secure DNS — ещё одна служба, сочетающая в себе скорость, надёжность и безопасность. Comodo использует огромную сеть, которая включает в себя большое количество DNS-серверов. Скорость будет оптимизирована путём выбора сервера в зависимости от вашего местоположения. Кроме того, Comodo заботится о безопасности, поставляя список опасных сайтов, а служба DNS убедится, что вы не посещаете ни один из них. IP-адреса Comodo Secure DNS: 8.26.56.26 и 8.20.247.20.

7. OpenNIC DNS

Хотя OpenNIC DNS находится последним в списке, он будет отличным решением, если вам нужен свободный доступ в интернет без цензуры, налагаемой властями. У OpenNIC DNS очень большая инфраструктура сети, и поэтому, скорее всего, будет найден DNS-сервер, находящийся недалеко от вашего физического местоположения. Просто выберите нужный сервер из списка.

8. Яндекс DNS

Не только у Google есть свои DNS серверы. У Яндекса тоже есть бесплатный сервис DNS, которые вы можете использовать. Сервера яндекса могут быть ближе для некоторых районов России, чем сервера Европы, поэтому такой DNS может быть более предпочтительным. У яндекса есть три вида DNS — обычные, без фишинговых и мошеннических сайтов, и третий тип — без сайтов для взрослых. Адреса обычного DNS от яндекса — 77.88.8.8 и 77.88.8.1.

Выводы

Как видите, одни из этих серверов обеспечивают обычный DNS в обход запретов провайдера, другие же имеют дополнительные возможности — защиту от атак, фишинга и опасных программ. Все они — лучшие DNS-серверы, и вы можете выбрать один из них в зависимости от ваших потребностей.

Использование публичных DNS-серверов – Keenetic

Какие нужно выполнить настройки на Keenetic, чтобы определение адресов доменных имён в Интернете осуществлялось не через предоставленные провайдером DNS-серверы, а через общедоступные публичные DNS-сервера?

В сети Интернет доступ к узлам может осуществляться по их адресам (например, 2. 11.115.99) либо соответствующим доменным именам, таким как help.keenetic.com. Соответствие между доменными именами и их адресами хранится в иерархической структуре службы доменных серверов (DNS-серверов). Обычно интернет-провайдер автоматически предоставляет своим пользователям собственный доменный сервер, однако в некоторых случаях может потребоваться использовать так называемые публичные серверы, расположенные в сети Интернет и доступные всем её пользователям.

В KeeneticOS модуль, отвечающий за работу службы доменных имён (DNS Proxy), агрегирует полученные от провайдера и настроенные вручную адреса серверов DNS в соответствии с указанными зонами (интерфейсами) и отправляет запрос на определение адреса доменного имени наиболее подходящему из них. Если адрес для доменного имени уже был определён в результате полученного ранее запроса, он может хранится в кэше устройства, что обеспечивает ускорение повторного отклика сайтов.

Далее рассмотрим настройки интернет-центра Keenetic, которые можно выполнить для использования DNS-серверов в сети Интернет.

1. Использование публичных серверов DNS непосредственно компьютерами, подключенными к интернет-центру

Существует два варианта такой настройки — на компьютерах домашней сети или в интернет-центре.

а) На компьютере выполняется ручная настройка параметров протокола IP и требуемые адреса серверов DNS указываются в конфигурации сетевого интерфейса, например как на приведенном ниже скриншоте, — интерфейс компьютера получит IP-адрес и адрес шлюза по умолчанию от интернет-центра автоматически, но использовать в качестве DNS-сервера будет не его, а адреса серверов публичного провайдера SafeDNS.

Такой способ может быть неудобен, когда необходимо выполнить настройки на большом количестве устройств в сети или когда к интернет-центру подключаются всякий раз разные устройства, для которых требуется обеспечить одинаковые условия доступа.

б) Можно указать нужные публичные адреса DNS-серверов в веб-конфигураторе интернет-центра на странице «Домашняя сеть» в разделе «Параметры IP» в настройках DHCP, и при подключении компьютеров к его сети настройка будет выполнена в автоматическом режиме.

Следует отметить, что при использовании публичных DNS-серверов непосредственно на компьютерах невозможно будет получить доступ к интернет-центру по имени my.keenetic.net, а также воспользоваться преимуществами кэширования DNS-запросов на интернет-центре, автоматического выбора оптимального сервера и другими функциями DNS Proxy.

2. Указание на интернет-центре публичных серверов DNS вместо предоставленных провайдером

Такая настройка позволит отказаться от использования серверов провайдера, заменив их любыми подходящими для конкретного варианта использования адресами публичных серверов DNS. Настройка проходит в два шага.

Шаг 1. Отключение использования серверов провайдера.

Иногда провайдеры предоставляют адреса собственных серверов DNS для включения их в конфигурацию вручную. В таком случае нужно будет удалить указанные в параметрах подключения адреса серверов DNS. Например, в веб-конфигураторе на странице «Проводной» в разделе «Параметры IP и DNS» в полях «DNS 1» и «DNS 2» удалите сервера.

NOTE: Важно! При выходе в сеть Интернет с использованием авторизации, например типа PPTP/L2TP/PPPoE, обратите внимание на предоставленные провайдером реквизиты. Если в них присутствует адрес сервера в формате доменного имени, например tp.internet.beeline.ru, нельзя отключать DNS-сервера на подключении, использующемся для установления соединения авторизации, — обычно это подключение «Проводной» (ISP), так как это может сделать невозможным определение адреса сервера, предоставляющего доступ к Интернет. Посмотрите Примечание 1 к данной статье.

TIP: Справка: Начиная с версии KeeneticOS 3.1 Beta 1 в веб-конфигураторе можно включить опцию для игнорирования (отключения) DNS-серверов, автоматически получаемых от провайдера. Подробную информацию вы найдете в инструкции «Игнорировать DNS провайдера».

Также убрать из конфигурации DNS Proxy серверы DNS, полученные от провайдера автоматически, можно через интерфейс командной строки (CLI) интернет-центра:

Интерфейсы типа IPoE. В таких интерфейсах для получения адресов серверов DNS используется протокол DHCP (Dynamic Host Configuration Protocol, набор правил динамической настройки узла). Выключить настройку для интерфейса с именем ISP (это преднастроенный в интернет-центре интерфейс для WAN-подключения Ethernet) можно так:
```
(config)> interface ISP
(config-if)> ip dhcp client no name-servers
Dhcp::Client: ISP DHCP name servers are disabled.
```
В этом случае DNS-адрес, полученный от интернет-провайдера, исчезнет из списка DNS-серверов.
Для обратного включения возможности получения DNS-сервера на интерфейсе ISP выполните команды:
```
(config)> interface ISP
(config-if)> ip dhcp client name-servers
Dhcp::Client: ISP DHCP name servers are enabled.
```
Интерфейсы с авторизацией (PPTP/L2TP/PPPoE). Параметры IP в интерфейсах этого типа обычно передаются с сервера по протоколу IPCP (Internet Protocol Control Protocol, управляющий протокол Интернета). Для того чтобы отключить получение адресов DNS-серверов от провайдера на таком интерфейсе, нужно перейти к его настройкам при помощи команды interface {имя_интерфейса} и выполнить ipcp no name-servers. Например, для интерфейса PPTP0 команды могут выглядеть следующим образом:
```
(config)> interface PPTP0
(config-if)> ipcp no name-servers
Not using remote name servers.
```
В случае использования сотовой сети через USB-модем, в зависимости от типа (режима) его подключения в устройстве, адреса DNS-серверов могут быть назначены как по DHCP (для модемов, работающих в режиме эмуляции порта Ethernet, либо NDIS), так и по IPCP (для RAS-подключений). Для выполнения настройки нужно в командной строке перейти к управлению соответствующим интерфейсом и дать команду, отвечающую типу модема.

Для QMI-модемов используйте команды:

(config)> interface UsbQmi0
(config-if)> mobile no name-servers
UsbQmi::Interface: "UsbQmi0": automatic name servers via QMI are disabled.

Если требуется отключить использование серверов DNS, предоставленных в подключении типа OpenVPN, в конфигурацию этого подключения нужно добавить строку:
```
pull-filter ignore "dhcp-option DNS"
```

Проверить успешность отключения полученных автоматически от провайдера DNS-серверов можно, сверив содержимое файла конфигурации модуля DNS Proxy. Для этого дайте устройству команду:

(config)> more temp:ndnproxymain.conf
rpc_port = 54321
rpc_ttl = 30000
rpc_wait = 10000
timeout = 7000
bantime = 300000
proceed = 500
ban_threshold = 3
stat_file = /var/ndnproxymain.stat
stat_time = 10000
static_a = my.keenetic.net 78.47.125.180

В отображенном выводе не должно быть записей dns_server.

Шаг 2. Указание требуемых адресов серверов вручную.

Эту операцию можно выполнить через веб-конфигуратор устройства на странице «Интернет-фильтр» в разделе «Серверы DNS».

Для задания серверов общего назначения, которые будут использоваться при работе в сети Интернет, не нужно заполнять поле «Домен» и менять значение по умолчанию поля «Подключение». Через CLI адреса DNS-серверов можно указать, используя команду:

(config)>ip name-server {адрес_сервера}

Более подробно её формат описан в Справочнике командного интерфейса Keenetic (справочник можно найти в разделе Файлы, выбрав нужную модель).
После указания адресов DNS-серверов файл конфигурации DNS Proxy примет вид:

(config)> more temp:ndnproxymain.conf
rpc_port = 54321
rpc_ttl = 30000
rpc_wait = 10000
timeout = 7000
bantime = 300000
proceed = 500
ban_threshold = 3
stat_file = /var/ndnproxymain.stat
stat_time = 10000
dns_server = 195.170.55.1 .
dns_server = 141.1.27.249 .
dns_server = 80.252.130.254 .
dns_server = 141.1.1.1 .
static_a = my.keenetic.net 78.47.125. 180

Просмотреть информацию об используемых в текущий момент серверах DNS можно при помощи команды:

(config)> show ip name-serverserver: 
address: 192.168.100.1
port: 
domain: 
global: 65522

Примечание 1

Конфигурации сетей отличаются у различных провайдеров доступа. Отключение автоматического получения адресов DNS-серверов в известных случаях может привести к неработоспособности туннельных подключений, сбоям в работе дополнительных услуг и пр. Перед тем как отключать использование серверов DNS, предоставленных вашим провайдером, убедитесь что в настройках отсутствуют доменные имена серверов, авторизующих ваше подключение. В противном случае следует уточнить, возможно ли использовать вместо имени сервера его IP-адрес. Для самостоятельного определения адреса сервера авторизации можно использовать программу nslookup (встроенная в операционных системах Windows), например:

$>nslookup vpn. myisp.com
Server:  UnKnown
Address:  192.168.1.1
Non-authoritative answer:
Name:    vpn.myisp.com
Addresses:  208.48.81.134
64.15.205.100
64.15.205.101
208.48.81.133

В приведенном выше примере имя сервера указывает на несколько адресов, в этом случае рекомендуем уточнить у провайдера какой из них можно явно указать на вашем подключении.

Примечание 2

Использование публичных серверов DNS, в особенности при указании их в настройках DNS Proxy на интернет-центре, может в некоторых случаях понизить время отклика ресурсов в сети Интернет. На это могут влиять разнообразные факторы: место расположения серверов относительно точки выхода в Интернет вашего подключения, ширина и загруженность каналов, ведущих к этим серверов, время суток и прочие.

Некоторые публичные серверы DNS приведены в списках на сайтах: WikiLeaks.org, vWiki.co.uk, www.lifewire.com. Пользовательскую подборку публичных серверов можно посмотреть в блоге theos. in.

Для определения наиболее подходящих серверов среди доступных можно воспользоваться специализированными программами, такими как, например, DNS Benchmark.

Примечание 3

При использовании публичных серверов DNS возможны проявления некорректного поведения при работе браузеров и других использующих подключение к сети Интернет программ. Также не рекомендуем использовать информацию из данной статьи для неправомерных задач.

Кроме того, следует иметь в виду, что при использовании публичных серверов DNS информация об отправленных с вашего устройства запросах может быть доступна лицам, обслуживающим эти серверы.

Примечание 4

На сайте http://www.whatsmydnsserver.com/ или https://www.dnsleaktest.com можно запустить онлайн-тест, помогающий определить, через какой DNS-сервер проходят ваши запросы.

Примечание 5

При использовании интернет-фильтров, таких как Яндекс.DNS, SkyDNS, AdGuard DNS и т.п. необходимо учитывать, что при отключении получаемых от провайдера и отсутствии добавленных вручную адресов DNS-серверов, сам Keenetic и устройства домашней сети с профилем интернет-фильтра «Без фильтрации» не смогут разрешать доменные имена. В частности Keenetic не сможет определить наличие Интернета, и соответствующий индикатор будет всегда погашен. В тоже время устройства домашней сети с профилем отличным от «Без фильтрации» смогут разрешать имена, используя DNS-адреса используемого интернет-фильтра.

Примечание 6

Чтобы отключить DNS-сервера от провайдера по протоколу IPv6, в интерфейсе командной строки (CLI) интернет-центра выполните команду:

(config)> no interface ISP ipv6 name-servers auto 
Ip6::Nd::Node: Ignore name servers provided by the interface network.
(config)> system configuration save 
Core::ConfigurationSaver: Saving configuration...

Мы привели пример для подключения IPoE (Проводной, ISP). Если вы используете подключение с авторизацией (PPPoE, PPTP, L2TP) или через USB-модем, в команде используйте тот интерфейс, через который осуществляется подключение к Интернету.
Нужно обязательно учитывать регистр букв при использовании имени интерфейса в командах. Например, имена интерфейсов ISP, PPTP0, L2TP0 нужно указывать только большими (прописными) буквами, а интерфейсы PPPoE0 или UsbModem0 содержат как прописные, так и строчные буквы.

Для добавления IPv6 DNS выполните команды:

(config)> ipv6 name-server 2606:4700:4700::1111
Dns::Manager: Name server 2606:4700:4700::1111 added, domain (default).
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...

В нашем примере добавлен публичный DNS-сервер от компании Cloudflare.

Примечание 7

Добавить публичные DNS-серверы в Keenetic можно в разных пунктах меню веб-конфигуратора. Подробная информация представлена в статье: «Описание разных способов добавления дополнительных серверов DNS»

DNS-сервер

DNS-сервер (Domain name server) — это протокол, который принимает от пользователей сети интернет запросы на доступ к сайтам в форме доменного имени www. site.com. Эти запросы требуют расшифровки доменных имен, которые легко воспринимаются и понимаются человеком. Однако для того, чтобы компьютер произвел соединение с веб-страницей c IP-адресом, соответствующим этому имени, требуется его преобразование в цифровой вид, поскольку компьютер может работать только с IP-адресами сайтов в двоичном представлении. Таким преобразованием и занимается DNS-сервер.

Если DNS-сервер установлен на выделенном хосте (физическом сервере), то им может также называться физический компьютер, на котором работает приложение протокола DNS.

DNS-сервер в общих чертах

В самых общих чертах DNS-сервер – это не только протокол, но база данных, в которой «прописаны» соответствия между именами хостов в буквенном виде, например,http://www.microsoft.com, и их IP-адресами в цифровом виде 192.168.124.1. Можно сказать, что DNS – это «телефонная книга для интернета».

Однако, внутреннее устройство DNS сложнее, чем телефонная книга.

Во-первых, база данных DNS является распределенной. Каждый отдельный DNS-сервер содержит лишь относительно небольшую часть всех записей в сети интернет об именах хостов и их соответствий IP-адресам. В случае, если запрос клиента относится к доменному имени, записи о котором нет в базе данных DNS-сервера, он производит поиск другого сервера, где есть такая запись. Иногда такой поиск занимает несколько поочередных запросов с одного DNS-сервера на другой. Набор записей соответствия имен хостов IP-адресам называется «пространство имен» (namespace).

Во-вторых, процесс поиска и передачи запроса на нижележащие уровни пространства имен продолжается до тех пор, пока не будет найдет DNS-сервер, который содержит искомую запись соответствия DNS-имени точному IP-адресу. Если доменное имя по запросу не найдено, то пользователю возвращается сообщение о неудачном поиске.

В-третьих, в базе данных DNS-сервера содержатся и другие типы записей, кроме записей соответствия доменного имени IP-адресу. Например, это могут быть записи почтовой службы MX (Mail Exchanger), которые обеспечивают почтовые серверы (e-mail server) информацией, необходимой для пересылки электронных писем.

Для чего нужен сервис DNS

DNS используется для следующих целей:

Разрешение имен сайтов WWW (World Wide Web).

Маршрутизация сообщений на почтовые серверы и службы webmail.

Соединение серверов приложений, баз данных и промежуточных программ (middleware) внутри веб-приложения.

Создание виртуальных частных сетей VPN (Virtual Private Networks).

Предоставление доступа к программным средствам (Peer-to-peer).

Работа совместных онлайн-игр (Multiplayer games).

Работа служб мгновенных сообщений и онлайн-конференций.

Связь между устройствами, шлюзами и серверами интернета вещей.

Это все, что нужно знать о DNS-серверах в самых общих чертах. Если нужно поподробнее, но тоже не слишком детально, можно читать дальше.

Как работает DNS-сервер

Хотя считается, что DNS означает Domain Name Server, однако, более правильным будет название Domain Name System (система доменных имен). Это одна из основополагающих систем интернета, которая позволяет находить в сети нужную информацию или предоставлять информацию в сеть для общего или ограниченного доступа.

DNS – это протокол, входящий в набор протоколов (платформу) по обмену информацией в сети интернет, TCP/IP (Transfer Control Protocol / Internet Protocol).

При доступе к веб-сайту, отправке электронной почты, сообщений в мессенджере и пр., компьютер использует DNS-сервер для поиска домена, к которому нужно получить доступ. Этот процесс называется разрешением доменного имени (DNS name resolution) и представляет собой трансляцию имени нужного домена в цифровой IP-адрес, который может быть воспринят компьютером.

Это кажется довольно простой задачей. Однако это не так, если иметь в виду следующее:

В сети интернет используются миллиарды IP-адресов, а многие компьютеры, кроме IP-адреса, имеют также и читабельное для людей имя.

DNS-серверы всего мира обрабатывают в секунду миллиарды запросов в сети интернет.

Миллионы людей добавляют и изменяют доменные имена и IP-адреса ежедневно и ежечасно.

Чтобы справиться с такими масштабными задачами, DNS-сервер использует в работе эффективные средства построения сети, а также нижележащие интернет-протоколы (IP). Каждый компьютер (или устройство на базе компьютерного процессора), подключенный к интернету, имеет уникальный IP-адрес, причем часто в двух стандартах – IPv4 и IPv6. Различие между ними в том, что адрес IPv4 состоит из 32 двоичных разрядов, а IPv6 – из 128 разрядов. Понятно, что в адресном пространстве IPv6 можно разместить во много раз (даже порядков) больше устройств с уникальными IP-адресами. Кто-то даже подсчитал, что на одном квадратном дюйме земной поверхности можно разместить около тридцати устройств с уникальным IP-адресом IPv6 в каждом.

Распределением IP-адресов занимается орган под названием IANA (Internet Assigned Numbers Authority).

Адрес IPv4 внешне выглядит как четыре десятичных числа, разделенных точками, например, 70. 74.251.42. Для человека (если только он не профессионал в ИТ), такой вид IP-адреса мало о чем говорит, а для компьютера он точно описывает местоположение сервера (хоста), на котором находится нужная веб-страница или сайт.

Адрес IPv6 содержит восемь шестнадцатеричных чисел, разделенных двоеточиями, например 2001:0cb8:85a3:0000:0000:8a2e:0370:7334.

Некоторые адреса и диапазоны адресов помечены в IANA как зарезервированные для специальных функций. Например, адрес 127.0.0.1 используется для идентификации компьютера, на котором в данный момент работает пользователь.

Как генерируются и распределяются IP-адреса? Если говорить о персональном компьютере, то скорее всего IP-адрес для него будет получен от специального сервера в сети, который называется DHCP-сервер (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Термин «динамическая конфигурация» означает, что IP-адрес компьютера будет время от времени меняться. Например, если не включать компьютер в течение нескольких дней, то при новом включении он, скорее всего, получит новый IP-адрес. Пользователю данная операция заметна не будет. Но при желании можно выяснить свой текущий IP-адрес при помощи специальных команд операционной системы.

Есть, однако, компьютеры, на которых размещены веб-сайты и веб-страницы с общедоступной информацией (хостинг). Понятно, что таким серверам нужен постоянный, статический IP-адрес. Для закрепления статического IP-адреса за определенным сервером, его IP-адрес привязывается к уникальному MAC-адресу (Media Access Control) устройства, который присваивается при производстве.

Доменное имя

На рисунке показано доменное имя Amazon.co.uk, британского отделения американского интернет-магазина Amazon.

Пример доменного имени

Компания Amazon в качестве логотипа избрала свое зарегистрированное доменное имя, которое указывается на упаковках всех товаров, полученных из интернет-магазина Amazon.

Доменные имена представляют собой последовательность букв, разделенных точками. Последний в последовательности набор букв (в примере — «.uk») представляет собой т. н. «домен высшего уровня» (TLD, Top-Level Domain). Эти домены контролируются IANA и содержатся в «базе данных корневой зоны» (Root Zone Database).

В этой базе содержатся около 1000 доменных имен высшего уровня. Наиболее часто используемые из них следующие:

COM — коммерческие компании, для общего доступа.

NET — сетевые вебсайты, для общего доступа.

ORG — некоммерческие организации, для общего доступа.

EDU — школы и образовательные учреждения.

MIL — выделенное доменное имя для армии США.

GOV — выделенное доменное имя для правительства США.

US, UK, RU и другие двухбуквенные коды стран — имена присваиваются национальными регуляторами отдельных стран.

Перед точкой в доменном имени высшего уровня обычно идет имя сайта, сервиса или наименование организации, на которую зарегистрирован домен, например itelon.ru. Либо это может быть другое слово, каким-то образом обозначающее эту организацию. Чаще всего это точное совпадение с названием компании, но так бывает не всегда.

Известна деятельность т. н. киберсквоттеров, которые регистрируют коммерческие названия известных компаний в национальных доменах на себя в надежде продать доменное имя этой компании, когда она придет в ту или иную страну. Например, некоторое время назад, компания Nokia не могла зарегистрировать сайт в России вида nokia.ru. Это имя уже было зарегистрировано каким-то киберсквоттером и на главной (и единственной) странице этого сайта было написано, что это —клуб по обсуждению недостатков корейских автомобилей No KIA. Никакого клуба там, конечно, не было. Компания Nokia не пошла на поводу у вымогателей и зарегистрировала другое доменное имя, с дополнительными буквами перед .ru. В настоящее время этот вид вымогательства уже практически исчез, т. к. национальные суб-домены стало можно делать внутри главных доменов в сегменте .com, например, https://www.nokia.com/ru_int/ — для России, https://www.nokia.com/de_int/ — для Германии, и пр. На главной странице любого национального домена обычно бывает меню, где можно выбрать любой национальный суб-домен.

Буквы с левого края имени домена, например, www или mail, — это имя хоста (host name). Оно определяет имя сервера, выполняющего определенные функции в домене.

Наконец, протокольная часть имени http означает Hypertext Transfer Protocol («протокол передачи гипертекста»), при помощи которого происходит обмен информацией пользователя с веб-сайтом. В настоящее время более часто используется https, то есть протокол обмена с функциями безопасности (security), который передает данные в зашифрованном виде. Например, если вы хотите ввести номер кредитной карты на сайте интернет-магазина, а в адресной строке сайта магазина стоит http (а не https), то от такой операции лучше воздержаться, т. к. номер карты и ее трехзначный номер CVV могут быть перехвачены злоумышленниками. Если это htpps, то сведения передаются в зашифрованном виде, ключ шифра при этом взломать практически невозможно, во всяком случае за время транзакции это сделать точно нельзя.

Поскольку все имена в домене должны быть уникальными, то должны быть и средства проверки отсутствия совпадающих имен. Этим занимаются т. н. регистраторы доменных имен (registrar). Регистратор – это орган, который может выдавать доменные имена в одном или нескольких доменах высшего уровня и регистрировать их при помощи сервиса InterNIC — корпорации по управлению доменными именами и IP-адресами ICANN (Internet Corporation for Assigned Names and Numbers), которая следит за уникальностью доменных имен на просторах интернета. После регистрации доменное имя заносится в базу данных, которая называется Whois («кто это»).

Распределенная система

Три буквы WWW в доменном имени расшифровываются как World Wide Web («всемирная паутина»). Их наличие в доменном имени означает, что при запросе через службу www пользователь ищет что-то в сети. Сейчас эти буквы в доменном имени часто отсутствуют, поскольку если их нет, то по умолчанию подразумевается запрос DNS в домене высшего уровня WWW.

В эпоху раннего интернета, когда пропускная способность сети была невысокой и DNS-серверов было не так много, аббревиатура WWW иногда расшифровывалась как World Wide Waiting («всемирное ожидание»). Пока открывался сайт, иногда можно было сходить на кухню и заварить чай, а вернувшись, увидеть, что сайт еще не открылся.

Если вместо www в адресной строке браузера указано, например, mail, то это домен почтовой службы, где клиент может получить и отправить почту на почтовом сервере (mail server).

Здесь также могут быть буквы ftp (File Transfer Protocol), означающие протокол передачи файлов. При вводе имени, начинающегося с букв ftp в браузере не будет открываться никакой сайт, но отобразится некое дерево папок, в которых хранятся файлы, похожее на проводник в ОС Windows. Это, наверное, самый древний протокол, который использовался еще до возникновения интернета как такового.

Никакая другая база данных в мире не получает столько запросов в единицу времени и не модифицируется так часто, как база доменных имен в сети WWW из DNS-серверов. Эта база распределена по всему миру на миллионах компьютеров, ею пользуются и ее модифицируют миллионы людей, и тем не менее, она работает как единая интегрированная база данных! И ни одна подобная база данных не работает столь продолжительное время, как DNS. Это поразительный факт.

Задачи DNS-сервера

Основные задачи сервера DNS – следующие:

Работа DNS-сервера

DNS-сервер, к которому обращается клиент (шаг 1 на рис. 1), обычно управляется интернет-провайдером клиента ISP (Internet Service Provider). Как указывалось ранее, DNS-сервер провайдера ISP является частью сетевой конфигурации, которую клиент при подключении к сети получает от протокола DHCP. DNS-сервер провайдера обрабатывает запросы следующим образом:

Если запрошенное клиентом доменное имя и соответствующий ему IP-адрес содержатся в базе данных DNS-сервера провайдера, то он выполняет разрешение доменного имени (перевод его в IP-адрес) самостоятельно.

Если запрошенного доменного имени нет в базе данных DNS-сервера провайдера, он связывается с другим DNS-сервером. Таких операций может быть несколько (задача 2).

Если DNS-сервер получает ответ от другого DNS-сервера об успешном нахождении доменного имени и соответствующего ему IP-адреса, то он сообщает об этом клиенту и заносит эти данные в свой кэш на определенное время, чтобы при поступлении повторных запросов того же домена отправлять их без задержки клиенту, без опроса других DNS-серверов (задачи 3 и 4).

Если попытка поиска нужного доменного имени на других серверах не увенчалась успехом, то DNS-сервер провайдера возвращает клиенту (обычно в пределах минуты) сообщение о том, что такого имени не существует или оно введено неверно.

DNS-сервер, который управляет определенным доменом, называется «началом власти» (да, именно так) для этого домена — SOA (Start Of Authority). Постепенно, результаты запросов имен хостов на SOA распространяются на другие DNS-серверы, которые распространяют их на следующие DNS-серверы и так далее по всему интернету.

Такое распространение – результат того, что каждый DNS-сервер кэширует (сохраняет на определенное время во временном буфере) результаты поиска. Это время называется TTL (Time To Live), и оно может быть от нескольких минут до нескольких дней. Продолжительность TTL устанавливают администраторы серверов, поэтому этот показатель может варьироваться по сети интернет.

В эту паутину DNS-серверов входят также серверы корневых имен (root name servers), которые стоят во главе иерархии определенного домена. В каждом домене высшего уровня их может быть несколько сот. Хотя поиск доменного имени не обязательно должен начинаться с корневого сервера, к нему может быть обращение в качестве последней инстанции при неудачном поиске доменного имени.

Вот, например, как организована иерархия системы DNS такого известного ресурса, как Википедия:

На август 2020 года в мире существует 13 корневых серверов, которые управляются 12 организациями. Интерактивную карту корневых серверов и их реплик можно найти на сайте https://root-servers.org/. На этом сайте есть интерактивная карта, где можно получить более подробное расположение корневых серверов и их реплик.

Карта корневых серверов и их реплик (источник: root-servers.org)

Типы DNS-серверов

Авторитативный DNS-сервер. Авторитативный DNS-сервер дает возможность управления публичными именами DNS и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных DNS-серверов.

Рекурсивный DNS-сервер. Если рекурсивный DNS-сервер хранит информацию в кэше или хранилище в течение определенного времени, тогда он сам отвечает на DNS-запрос, предоставляя клиенту нужный ему IP-адрес. Если он не хранит эту информацию, он передает запрос в один или несколько авторитативных DNS-серверов, которые выдают ему информацию для клиента.

Создание нового доменного имени

Чтобы создать доменное имя нужно сделать следующее:

Найти уникальное незарегистрированное доменное имя, которое можно проверить по базе данных Whois. Есть ряд сайтов, которые предлагают услугу бесплатного поиска по Whois.

Зарегистрировать имя у одного из многочисленных регистраторов. Цена регистрации обычно зависит от домена: COM, NET, INFO, ORG, либо национальный домен (RU).

Можно также воспользоваться услугами сторонней компании, оказывающей услуги хостинга (хостер), которая от имени клиента произведет регистрацию у регистратора и даже выберет для него уникальное имя в соответствии с его пожеланиями.

Аренда DNS-сервера у регистратора или компании, оказывающей услуги хостинга, называется «парковкой домена» (parked domain). В этом случае физический DNS-сервер будет частью большой конфигурации DNS в компании-хостере.

Можно также самостоятельно установить у себя свой собственный DNS-сервер, который может быть как физической, так и виртуальной машиной. В последнем случае этот сервер будет физически находиться у провайдера, но это будет не провайдер интернет, а провайдер услуг дата-центра. Этот сервер становится SOA (Start Of Authority) для собственного домена.

В любом случае далее можно расширять и модифицировать установки DNS и добавлять суб-домены, получать и отправлять электронную почту в домене и управлять другими сервисами. Установки хранятся в «зоновом файле» (zone file) на DNS-сервере. Если DNS-сервер у клиента собственный, то, возможно, ему понадобится самостоятельно редактировать этот файл в текстовом редакторе. Многие регистраторы предоставляют специальный веб-интерфейс для администрирования установок зонового файла DNS клиента. Эти установки называются записями (records). Вот примеры этих записей:

Host (A) — основная запись о соответствии IP-адреса имени хоста.

Canonical Name (CNAME, каноническое имя) — это название домена. При вводе CNAME в адресную строку браузера происходит переадресация на IP-адрес Host (A).

Mail Exchanger (MX, почтовый обменник) — сервис, перенаправляющий электронную почту на специальный почтовый сервер, IP-адрес которого указан в записи MX. Например, если владелец домена использует почту Google в качестве службы e-mail, то в записи MX будет направление вида ghs.google.com.

Name Server (NS, сервер имен) — конфигурация этой записи информирует другие DNS-серверы о том, что данный DNS-сервер является SOA для данного домена.

Start of Authority (SOA) — это запись в начале каждого зонового файла на первичном сервере зоны и некоторая другая информация. В случае использования хостинга DNS-сервера у регистратора или хостера клиент не может самостоятельно управлять этой записью.

Рис. 5. Пример веб-интерфейса для редактирования записей DNS (источник: presslabs.com).

Для обычных пользователей наибольший интерес представляют записи MX и CNAME. MX позволяет направлять почту в другой почтовый сервис. CNAME дает возможность указывать для домена пользователя имена хостов в других местоположениях. Например, это может быть запись google.example.com для перенаправления на google.com.

Эволюция DNS

DNS – это не неизменная концепция. В ней постоянно появляются новые службы и функции. Например, в конце 2018 года корпорация ICANN ввела новые функции безопасности для системы DNS, включающие изменения криптографических ключей в протоколе безопасности DNSSEC (Domain Name System Security Extensions), такие как основной ключ входа KSK (Key Signing Key) для корневой зоны (root zone). Поскольку интернет постоянно развивается и разрастается, в частности, в области интернета вещей, поэтому и понадобились новые функции безопасности.

Меры безопасности очень важны, поскольку хакеры-криминалы находят все новые возможности взлома DNS-систем с целью похищения персональной информации или нарушения нормальной работы системы.

Однако ставки здесь могут быть и выше. Изощренные ИТ-профессионалы, организации и даже авторитарные политические режимы могут отслеживать трафик DNS. Эта информация может быть использована для разного рода злонамеренных действий, атак на государственные и корпоративные информационные системы, причем, обнаружение таких атак либо сильно затруднено, либо требует большего времени.

В 2018 году регулятор IETF (Internet Engineering Task Force) утвердил стандарт протокола DNS-over-HTTPS, который использует шифрование трафика между DNS-серверами, и, таким образом, обеспечивает более высокий уровень защиты персональных данных.

Аппаратные требования к DNS-серверу

Аппаратные требования к DNS-серверам, в общем, невысоки и для них можно использовать серверы начального и среднего уровня. Часто в качестве DNS-серверов используют списанные серверы, которые раньше обрабатывали активную нагрузку в дата-центрах. Однако конфигурация DNS-сервера требует достаточного опыта ИТ-профессионала, чтобы правильно установить записи на нем, например, размер и время хранения информации для кэша.

Что такое DNS-сервер и для чего он нужен?

480
auto

Если спросить среднего пользователя интернета, что такое сайт, скорее всего, он назовёт, например, yandex.ru, mail.ru, google.com, facebook.com, …

В практическом смысле этого вполне достаточно: нашёл интересный сайт, сообщил знакомым его доменное имя (или проще, «адрес»).

Однако настоящим адресом доменное имя не является. Ну это примерно так же, как отправить письмо с надписью на конверте: «город Екатеринбург, Петру Иванову». Здесь дело даже не в том, что Петров Ивановых в Екатеринбурге может быть несколько (представим, что человек с таким именем там единственный). Проблема в том, что адресат может перемещаться, минимум, по городу, и вручить ему письмо будет крайне проблематично.

Но письма-то доставляют и получают! — Да, конечно. Потому что они отправляют по почтовым адресам. Например, «город Ленинград, 3-я улица Строителей, дом 25, квартира 12».

Почтовым адресом в интернете является IP-адрес, состоящий из четырёх чисел от 0 до 255, например, 74.125.131.100. Это — один из IP-адресов сайта google.com. Если в адресной строке вашего браузера ввести эти числа, вы окажетесь на портале google.com, точнее, на google.ru, куда вас автоматически перенаправят.

Почему «один из адресов», и какого типа бывают IP-адреса, пока оставим в стороне.

В интернете IP-адрес задаёт, на какой компьютер нужно доставить данные.

Вам что-то напоминает IP-адрес? — Мне он напоминает длинный номер мобильного телефона.

Телефонная книга

К сожалению, запоминать длинные телефонные номера непросто. Мы их вносим в свои записные книжки («контакты», по-мобильнофонному) и добавляем к ним понятные имена, например,

Пётр Иванов, +7-343-123-45-67.

В дальнейшем нам не потребуется помнить сам телефонный номер Петра, достаточно того, что этот номер записан в нашу телефонную книгу. Когда нам будет нужно позвонить Петру, мы найдём его в списке наших контактов даже не взглянув на его номер.

В интернете роль телефонной книги играет система доменных имён (DNS, Domain Name System). В ней хранится связь между относительно легко запоминаемым названием сайта и его трудно запоминаемым числовым адресом.

Правда, есть одно существенное отличие этой «интернет-книги» от телефонной. — Её ведёт не каждый знакомый Петра Иванова в отдельности, а он сам.

В частной телефонной книге можно написать: «Петя», «Пётр», «Петруша», «Петруха», «Петруня», «любимый», …, а в «телефонной интернет-книге» записи ведут сами владельцы сайтов, например:

Название домена	Адрес
pyotr-ivanov.ru	123.123.123.123

Если кто-то пожелает посетить сайт Петра Иванова, в адресной строке браузера он наберёт: pyotr-ivanov.ru, а система доменных имён сообщит браузеру (точнее, компьютеру, на котором работает браузер), соответствующий IP-адрес, в нашем примере: 123.123.123.123. Компьютер, который находится по этому адресу, обработает запрос браузера и пришлёт ему данные, для отображения запрошенной страницы веб-сайта.

Теперь понятно, как используются доменные имена? — Однако ещё не рассказано, где хранятся записи о связях между доменными именами сайтов и IP-адресами компьютеров, на которых эти сайты размещены.

DNS-сервер

Он-то и служит телефонной книгой. Он хранит информацию о том, какому IP-адресу соответствует то или иное доменное имя. В интернете DNS-серверов очень много. У них двойная роль:

главная — «телефонная интернет-книга»;

дополнительная (но тоже важная) — кэширование записей других DNS-серверов.

Сначала несколько слов о кэшировании. Выяснять связь между названием сайта и его IP-адресом требуется при каждом обращении к этому веб-сайту. Если сайт, который вы хотите посетить, находится достаточно далеко, многочисленные запросы к далёкому первичному DNS-серверу могут отнять много времени и замедлить загрузку веб-страниц. Чтобы избежать задержек, ближайший к вашему компьютеру DNS-сервер (обычно находящийся у вашего интернет-провайдера), сохраняет сведения о ранее запрошенных IP-адресах, и при повторном обращении к тому же сайту он сообщит его адрес очень быстро, так как будет хранить его в своём кэше.

Но чтобы что-то кэшировать, нужно иметь источник кэшируемого. Таким источником служат первичные DNS-сервера, хранящие изначальные связи между доменами и их IP-адресами.

Для регистрации доменного имени достаточно его придумать. Но для того, чтобы оно начало «работать», вы должны сообщить регистратору доменное имя DNS-сервера, который будет хранить подробные данные о регистрируемом вами домене. Об этих данных будет сказано чуть позже.

Обычно используют два DNS-сервера: первичный и вторичный. Но их может быть и больше. Большее число DNS-серверов повышает надёжность доступа к вашему домену: если один окажется недоступен, ответит другой.

В реальном мире двух — вполне достаточно.

Многие регистраторы доменных имён и просто интернет-провайдеры предлагают использовать свои DNS-серверы в режиме платной услуги.

Хорошая новость: в облаке 1cloud услугу DNS-хостинга можно получить бесплатно! Достаточно быть клиентом этого публичного облака.

DNS-зона

Для дальнейшего понимания системы доменных имён нужно узнать, что такое DNS-зона.

Дело в том, что мы рассмотрели только один из вариантов связи между доменным именем и IP-адресом: один домен – один сайт – один адрес. Однако с конкретным доменным именем может быть связан не только веб-сайт, но и, например, почтовый сервер. И у них могут быть разные адреса.

Одному и тому же домену может соответствовать веб-сайт или почтовый сервер с несколькими IP-адресами, каждый. Их используют для повышения надёжности и производительности сайта или почтовой системы.

А ещё нужно вспомнить о возможных поддоменах, например,

mail.company.ru, ftp.company.ru, sklad.company.ru, …

Все необходимые связи между доменным именем и IP-адресами отражаются в специальном файле, расположенном на DNS-сервере. Содержимое этого файла называется описанием DNS-зоны, или просто DNS-зоной.

В ней могут присутствовать записи разных типов.

Тип записи	Пояснение
A	Адрес «сайта» соответствующего доменного имени
MX	Адрес почтового сервера в соответствующем домене
CNAME	Синоним описываемого домена. Например, здесь можно указать, что доменное имя www.company.ru является синонимом доменного имени company.ru, и запросы по этому синониму будут перенаправляться на адрес основного доменного имени
NS	Здесь указывается доменные имена DNS-серверов, обслуживающих описываемый домен. Например, ns1.1cloud.ru и ns2.1cloud.ru
TXT	Любое текстовое примечание

Это — не полный перечень возможных типов полей. Он был сокращён для упрощения ознакомительного изложения.

Дополнение

Как в любом деле, в правильном описании доменного имени есть свои детали и нюансы. В этой статье они опущены, чтобы не усложнять начальное знакомство с темой. Однако для общего кругозора уже сейчас следует добавить несколько важных фактов.

Выше была описана адресация по стандарту IPv4. Адрес в нём состоит из четырёх чисел. Такая адресация имеет ограничение числа обслуживаемых компьютеров: 4 294 967 296. Это много, но при нынешнем числе устройств, подключенных к интернету адресов стало не хватать.

Для преодоления этого объективного лимита ввели новый стандарт: IPv6, по которому длина адреса увеличилась, и стало возможным адресовать намного, намного больше компьютеров. В DNS-зоне тип записи для такого адреса обозначается: AAAA.

Одному домену могут соответствовать несколько IP-адресов.

Обычно такое назначение делается для повышения надёжности или быстродействия. Порядок выдачи IP-адреса из списка на запрос по доменному имени зависит от настроек DNS-сервера. Чаще всего адрес выдаётся в случайном порядке.

Одному IP-адресу может соответствовать несколько доменов.

Строго говоря, это противоречит логике системы доменных имён, которая предполагает однозначную связь IP-адреса с соответствующим доменом. Однако, как было сказано ранее, 4-числовой IP-адрес стал дефицитным ресурсом, который уже достаточно давно стараются экономить.

На практике такая экономия может выглядеть следующим образом. На компьютере размещают несколько не очень больших веб-сайтов с разными доменными именами, которым присвоен одинаковый IP-адрес. Веб-сервер, работающий на этом компьютере и обслуживающий эти сайты, получив запрос, анализирует домен, в который он пришёл, и направляет его на правильный сайт.

Такая практика не позволяет обеспечить однозначность обратной связи IP-адреса с доменным именем, ведь в этом случае их несколько. Но позволяет экономить IP-адреса.

Заключение

Изложенный порядок на первый взгляд может показаться сложным. Однако он позволяет:

пользоваться доменными именами, которые запоминаются легче, чем числовые адреса;

повышать надёжность доступа к интернет-ресурсам путём использования для них нескольких компьютеров, разнесённых по сети;

увеличивать производительность интернет-ресурсов за счёт распределения нагрузки внутри группы обеспечивающих компьютеров;

перемещать прикладные компьютеры по интернету, не меняя их доменного адреса.

С учётом изложенного в этой статье, определим DNS кратко так.

DNS (Domain Name System) — это система доменных имён, которая связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Эта система включает в себя как регламентирующие документы, так множество DNS-серверов, работающих в интернете и сообщающих IP-адреса в ответ на запрос по доменным именам.

P.S. Еще немного материалов по теме DNS:

Как работает DNS (domain name system)?

Что такое DNS

DNS (domain name system) — это система, обеспечивающая работу привычных нам доменных имен сайтов. Связь между устройствами в сети Интернет осуществляется по IP адресам, например: «192.64.147.209». Однако, запомнить IP адреса сложно, поэтому были придуманы удобные для человека доменные имена, например: «google.com».

Компьютер / сервер не хранит таблицу соответствия доменов и их IP адресов. Точнее, не хранит всю таблицу, а временно запоминает данные для часто используемых доменов. Когда в браузере вводится домен сайта, компьютер автоматически узнает его IP адрес, и отправляет по нему запрос. Этот процесс называется «разрешение адреса домена» (domain resolving).

Разберемся, из чего состоит система DNS, и как она работает.

Как работает DNS

Система доменных имен состоит из следующих компонентов:

Иерархическая структура доменных имен:

Доменные зоны верхнего уровня (первого уровня) – например: «ru», «com», или «org». Они включают в себя все доменные имена, входящие в эту зону. В любую доменную зону может входить неограниченное количество доменов.
Доменные имена (доменные зоны второго уровня) – например: «google.com» или «yandex.ru». Т.к. система доменных имен является иерархичной, то «yandex.ru» можно также назвать поддоменом вышестоящей зоны «ru». Поэтому, правильнее указывать именно уровень домена. Однако, на практике, доменную зону любого уровня называют просто «доменом».
Поддомены (доменные зоны третьего уровня) – например: «api.google.com» или «mail.yandex.ru». Могут быть доменные зоны 4, 5 уровней и так далее.

Обратите внимание, что «www.gооgle.com» и «google.com» — это, фактически, разные домены. Надо не забывать указывать А-записи для каждого из них.

DNS сервер или NS (name server) сервер – поддерживает (обслуживает) доменные зоны, которые ему делегированы. Он непосредственно хранит данные о ресурсных записях для зоны. Например, что сервер, на котором находится сайт «example.ru», имеет IP адрес «1.1.1.1». DNS сервер отвечает на все запросы, касательной этих доменных зон. Если ему приходит запрос о домене, который ему не делегирован, то он спрашивает ответ у других DNS серверов.

DNS записи (ресурсные записи) – это набор записей о доменной зоне на NS сервере, которые хранят данные необходимые для работы DNS. На основании данных в этих записях, DNS сервер отвечает на запросы по домену. Список записей, и их значение, вы можете найти ниже.

Корневые DNS сервера (на данный момент их 13 во всем мире) хранят данные о том, какие DNS сервера обслуживают зоны верхнего уровня.

DNS сервера доменных зон верхнего уровня — хранят информацию, какие NS сервера обслуживают тот или иной домен.

Для того, чтобы узнать IP адрес, домена компьютер / сервер обращается к DNS-серверу, который указан у него в сетевых настройках. Обычно, это DNS сервер Интернет провайдера. DNS сервер проверяет делегирован домен ему или нет. Если да, то сразу отвечает на запрос. Если нет, то запрашивает информацию о DNS сервере, обслуживающем этот домен, у корневого сервера, и затем у сервера доменных зон верхнего уровня. После этого, непосредственно делает запрос на NS сервер, обслуживающий этот домен, и транслирует ответ вашему компьютеру / серверу.

Кэширование данных используется на всех устройствах (компьютерах, северах, DNS серверах). То есть, они запоминают ответы на последние пришедшие к ним запросы. И когда приходит аналогичный запрос, они просто отвечают то же самое, что и в предыдущий раз. Например, если вы в браузере открыли сайт google.com первый раз после включения, то компьютер сделает DNS запрос, а при последующих запросах будет брать данные, которые ему были присланы DNS сервером в первый раз. Таким образом, для популярных запросов не надо каждый раз проходить всю цепочку и генерировать запросы к NS серверам. Это значительно снижает нагрузку на них, и увеличивает скорость работы. Однако, как результат, обновление данных в системе DNS происходит не сразу. При изменении IP адреса домена, информацию об этом будет расходиться по сети Интернет от 1 до 24 часов.

Регистрация/выделение доменов

У каждой доменной зоны первого уровня есть своя организация, которая устанавливает правила выделения доменов и обеспечивает работу этой зоны. Например, для доменных зон RU, SU и РФ – это Координационный центр национального домена сети Интернет https://cctld.ru. Эти организации устанавливают правила работы и технические требования к регистраторам доменов.

Регистраторы доменов – это компании, которые непосредственно регистрируют новые домены в рамках доменной зоны первого уровня для конечных клиентов. Организуют техническое взаимодействие с реестром доменных имен. В их личном кабинете владелец домена настраивает, какой DNS сервер будет поддерживать домен.

Администратор домена (владелец) – лицо, которому непосредственно принадлежат права на доменное имя. Он может управлять доменом, от него регистратор принимает заявки на внесение изменений.

Делегирование домена – указание для него DNS серверов, которые будут его обслуживать.

Основные DNS записи

Существуют следующие основные DNS (ресурсные) записи:

А – содержит информацию об IPv4 адресе хоста (сервера) для домена. Например, 1.1.1.1.

ААА – содержит информацию об IPv6 адресе хоста (сервера) для домена. Например, 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d.

MX – содержит данные о почтовом сервере домена. При этом указывается именно имя почтового сервера, например mail.example.com. Т.к. у домена может быть несколько почтовых серверов, то для каждого из них указывает приоритет. Приоритет задается числом от 0 до 65535. При этом «0» — это самый высокий приоритет. Принято по умолчанию для первого почтового сервера указывать приоритет «10».

TXT – дополнительная информация о домене в виде произвольного текста. Максимальная длина 255 символов.

SRV – содержит информацию об имени хоста и номере порта, для определенных служб / протоколов в соответствии с RFC 2782 http://www.rfc-editor.org/rfc/rfc2782.txt. Содержит следующие поля:

_Service._Proto.Name ( Пример: _jabber._tcp.jabber ), где:
- Service: название службы (пример: ldap, kerberos, gc и другие).
- Proto: протокол, при помощи которого клиенты могут подключиться к данной службе (пример: tcp, udp).
- Name: имя домена, в котором размещена данная служба.
Приоритет – также как для MX записи указывает приоритет для данного сервера. Задается числом от 0 до 65535. При этом «0» — это самый высокий приоритет.
Вес – Относительный вес для распределения нагрузки между серверами с одинаковым приоритетом. Задается целым числом.
Порт – номер порта, на котором располагается служба на данном сервере.
Назначение — доменное имя сервера, предоставляющего данную службу.

NS – имя DNS сервера, поддерживающего данный домен.

CNAME (каноническое имя хоста / canonical name) – используется для перенаправления на другое доменное имя. Например, имя сервера изменилось с example.com на new.com. В таком случае в поле «Alies» для записи cname надо указать — example.com, а в поле «Canonical name» — new.com. Таким образом, все запросы на example.com автоматически будут перенаправлены на new.com.

SOA – базовая запись о домене. В ней хранится само имя домена и время жизни данных о домене — TTL. TTL (time-to-live) определяет какой период времени DNS сервер получив информацию о зоне будет хранить ее у себя в памяти (кэшировать). Рекомендуемое значение 86400 – 1 день. Значение указывается в секундах.

Что такое DNS? – Знакомство с DNS – AWS

DNS (система доменных имен) преобразует доменные имена, удобные для человеческого восприятия (например, www.amazon.com), в IP-адреса, понимаемые машиной (например, 192.0.2.44).

Все компьютеры, подключенные к Интернету, включая смартфоны, настольные компьютеры и серверы, предоставляющие контент для огромных торговых веб-сайтов, находят друг друга и обмениваются информацией с помощью цифр. Эти цифры называются IP-адресами. Чтобы открыть веб-сайт в браузере, не требуется запоминать длинные наборы цифр. Достаточно ввести доменное имя, например example.com, и браузер откроет нужную страницу.

Служба DNS, например Amazon Route 53, – это глобальный распределенный сервис, преобразующий доменные имена, удобные для человеческого восприятия (например, www.example.com), в числовые IP-адреса (например, 192.0.2.1), используемые для взаимодействия компьютеров. Система DNS в Интернете очень похожа на телефонную книгу, которая устанавливает привязку имен абонентов к их телефонным номерам. Серверы DNS преобразуют запросы по именам в IP-адреса, обеспечивая соединение конечного пользователя с определенным сервером при вводе доменного имени в веб-браузер пользователя. Такие запросы называются DNS-запросами.

Авторитативный DNS-сервис. Авторитативный DNS-сервис предоставляет механизм обновления, используемый разработчиками для управления публичными именами DNS. Он отвечает на запросы к DNS, преобразуя доменные имена в IP-адреса, чтобы обеспечить взаимодействие компьютеров между собой. Авторитативный DNS-сервис полностью отвечает за домен и предоставляет информацию об IP-адресах в ответ на запросы рекурсивных DNS-серверов. Amazon Route 53 является авторитативным DNS-сервисом.

Рекурсивный DNS-сервис. Обычно клиенты не отправляют запросы напрямую к авторитативным DNS-сервисам. Вместо этого они взаимодействуют с другим DNS-сервисом, который называется преобразователь имен или рекурсивный DNS-сервис. Рекурсивный DNS-сервис похож на управляющего в отеле: сам он не хранит записи DNS, но действует в качестве посредника, который может достать нужную информацию для вас. Если рекурсивный DNS-сервис хранит информацию в кэше или постоянном хранилище в течение определенного времени, тогда он отвечает на DNS-запрос, возвращая информацию об источнике или IP-адрес. Если он не хранит эту информацию, он передает запрос в один или несколько авторитативных DNS-серверов.

Что это такое, как он работает и как защитить DNS сервер от атак

DNS (Domain Name System) — система, хранящая информацию о доменах Интернета. Ключевая ее функция ― предоставление IP-адреса узла или ресурса по его полному доменному имени.

Что это такое

Каждый узел Интернета, а также сетей, построенных на его стандартах, имеет свой собственный уникальный сетевой адрес, состоящий из четырех байт (в версии протокола IPv4) или 16 байт (в версии протокола IPv6). В символьном виде его можно представить, например, так: 192.124.0.8 (IPv4) или так: 2001:0fb6:89ac:0000:0000:8a4b:0330:8634 (IPv6). Понять, о каком именно узле сети из такой вот нотации бывает непросто, поэтому в Интернете принято обозначать узлы доменными именами, например, www.stormwall.pro. Полное доменное имя — это, по сути, синоним IP-адреса, более «человеческое» название, понятное многим пользователям.

Доменное имя выглядит как последовательность доменов (символьных имен областей Интернета, выстроенных в иерархическую систему), с точками в качестве разделителей. Например, domain1 в доменном имени domain3.domain2.domain1 — это домен самого верхнего уровня иерархии, domain2 — домен второго уровня, ddomain3 — домен третьего уровня. Аналогичным образом в доменном имени www.stormwall.pro домен pro — это домен самого верхнего уровня иерархии, stormwall — домен второго уровня, www — домен третьего уровня.

Соответствие между доменными именами и IP-адресами как раз и обеспечивает система DNS — она позволяет обращаться к отдельным интернет-узлам не по «загадочному» (с точки зрения людей) IP-адресу, а по доменному имени, указывая его, например, в браузере или в запросе к удаленной базе данных.

Серверы DNS

Работу DNS обеспечивают множество географически распределенных программных серверов, выстроенных в иерархическую (древовидную) структуру.

Система работает примерно так. Браузер или иная программа, взаимодействующая с Интернетом, отправляет запрос к «ближайшему» DNS-серверу, чтобы он по доменному имени нашел IP-адрес нужного узла. Если этот DNS-сервер «знает» адрес, то возвращает его в качестве ответа на запрос. Если же DNS-сервер не может найти адрес в своей базе данных, то отправляет запрос на вышестоящий по иерархии сервер либо на корневой. Вышестоящий сервер рассматривает запрос и поступает аналогичным образом: либо находит у себя и отправляет в качестве ответа IP-адрес искомого узла, либо передает запрос на корневой DNS-сервер, который начинает поиск на DNS-серверах, нижестоящих в иерархии доменов. Если IP-адрес удается найти, то он передается по цепочке тому DNS-серверу, с которого начался поиск, и тот отправляет ответ программе, которая сформулировала первоначальный запрос. Если поиск оказывается неудачным, то в программу возвращается сообщение об ошибке.

Поскольку программы очень часто по многу раз обращаются к одним и тем же доменам, их адреса хранятся поблизости — в файле hosts, локальном файле настроек DNS. При отсутствии нужного адреса обращение передается на стоящий внутри сети локальный DNS-сервер, где производится поиск адреса его в кэш-памяти, затем на локальный DNS-сервер интернет-провайдера, и так далее.

Аналогичным образом решается задача обратного поиска, когда по IP-адресу узла Интернета производится поиск его доменного имени. Такой поиск используется, в частности, в системах электронной почты.

Еще один важный вариант запроса — на добавление или изменение информации, содержащейся в DNS. Например, чтобы сайт с новым доменным именем (что-то вроде newservername.com) заработал, необходимо зарегистрировать его, сделать необходимые настройки и указать IP-адреса DNS-серверов, которые «знают», где находится новый сайт. Чтобы информация о новом доменном имени стала известна всему Интернету и чтобы новый сайт заработал, потребуется некоторое время — обычно 24 часа

Очень часто владельцы сайтов предпочитают не держать DNS-серверы у себя, а размещать их на сторонних хостинговых площадках — это позволяет повысить доступность сайтов. Чтобы свести риски к минимуму, владельцы сайтов пользуются услугами нескольких хостинг-провайдеров: если вдруг DNS-сервер на одной из площадок окажется недоступен, путь к сайту «укажут» DNS-серверы, расположенные на других площадках.

Отметим, что более продвинутые провайдеры услуг хостинга DNS-серверов, такие как StormWall, помимо собственно хостинга, предоставляют также сервисы защиты DNS от атак.

Зоны DNS

Всё пространство имен DNS поделено на зоны, ответственность за которые несут те или иные DNS-серверы или группы DNS-серверов. Ответственные (или уполномоченные) серверы DNS могут выполнять запросы внутри своих зон. Если представить всю структуру DNS как дерево доменных имен, то зона — это, по сути, часть этого дерева, которая хранится на ответственном DNS-сервере.

Нужно заметить, что не все DNS-серверы являются ответственными, часть из них не содержит конфигураций зон и выполняет только функции кэширования, помогая сократить трафик клиентских запросов, и перенаправления запросов, которые не удалось разрешить в данном узле, на вышестоящие DNS-серверы.

В зависимости от того, какой поиск может вестись внутри зоны (IP-адреса по доменному имени, или, наоборот, доменного имени по IP-адресу) принято разделять зоны прямого просмотра и зоны обратного просмотра.

Защита DNS-серверов от атак

Серверы DNS нередко подвергаются атакам, их результаты оказываются достаточно болезненными для владельцев интернет-ресурсов. Так, атаки на уязвимости DNS-серверов могут привести не только к потере работоспособности, но и искажению хранящейся на них информации, например, подмене прежних IP-адресов на новые (DNS-спуфинг), вследствие чего пользователи вместо нужного им сайта будут попадать на контролируемый злоумышленниками ресурс.

Основное следствие DDoS-атак на DNS-серверы — их недоступность для пользователей. И поскольку DNS-серверы перестают обслуживать полезные внешние запросы, то и сайты, находящиеся «за» ними, тоже становятся недоступными. В этом случае владельцы несут потери как материальные (недополученная прибыль, иски недовольных клиентов, снижение их лояльности и отток), так и репутационные (волна негатива в СМИ и соцсетях). К сожалению, отражение DDoS-атак на DNS-серверы оказывается весьма непростым из-за того, что многие атаки проводятся посредством протокола UDP, имеющего немало уязвимостей.

Наиболее распространенными видами DDoS-атак на серверы DNS являются следующие:

Простой DNS-флуд — генерация мощного потока запросов к DNS-серверу с целью создания чрезмерной нагрузки на DNS-сервер. Как правило, для создания достаточного для успешной атаки потока хватает относительно небольшой бот-сети.
DNS-атака с отражением (DNS Reflection) основана на том, что ответ на DNS-запрос оказывается в разы длиннее самого запроса. Для атаки на DNS-сервер, намеченный в качестве цели, на один или несколько других DNS-серверов высылаются DNS-запросы, в которых вместо IP-адреса источника указывается IP-адрес жертвы. В результате на нее обрушивается поток DNS-ответов, на анализ которых тратится значительная часть производительности сервера-жертвы — вплоть до полного отказа в обслуживании.
DNS-амплификация или на DNS-атака с усилением — разновидность DNS-атак с отражением, использующая уязвимости серверов DNS. Путем ряда манипуляций с использованием DNS-серверов, использующих рекурсивную обработку запросов, длина запроса увеличивается в 30-60 и более раз. Таким образом, злоумышленник, применяющий сеть ботов, отправляющих ложные запросы к рекурсивным серверам, получает возможность создать очень мощный поток ложных запросов к DNS-серверу — жертве.

В целях минимизации рисков хакерских атак на DNS и повышения целостности и достоверности хранимых в ней данных в серверы DNS встраиваются средства защиты и безопасности: DNSSEC, TSIG, DANE и др.

Кроме того, рекомендуется предпринять следующие шаги:

Убедиться, что DNS-серверы работают на выделенных физических серверах достаточной мощности. Желательно разместить их в разных дата-центрах, принадлежащих к разным сегментам сети и имеющим несколько маршрутов.
Обеспечить регулярное обновление программного обеспечения DNS-серверов.
Ограничить доступ к серверам DNS с правами администратора узкому кругу лиц, причем только изнутри сети или через VPN.
«Закрыть» на сервере обработку неиспользуемых сетевых протоколов и сервисов.
Отключить рекурсивную обработку запросов на DNS-серверах.
Запретить динамические обновления зон DNS.
Путем настроек обеспечить защиту от спуфинга.
Отменить дополнительный поиск IP-адресов серверов DNS.
Отключить перенос доменных зон на ваши DNS-серверы.
Запретить и отключить все прочие функции DNS-серверов, которые в данный момент не используются.
Обеспечить регулярное сканирование DNS-серверов на наличие известных уязвимостей.
Заранее подключить сервис предварительной фильтрации трафика, направляемого на DNS-серверы, с автоматическим включением отражения атак на DNS.

Чтобы мощная DDoS-атака на DNS-серверы не застала вас врасплох, следует заранее подготовить план ваших действий после ее начала, а также план аварийного восстановления в случае отказа ваших серверов DNS в обслуживании. Разумеется, необходимо обеспечить также регулярные тренировки действий ИТ-специалистов при начале атак на DNS-серверы.

Получите более быстрый Интернет с улучшенным DNS

Возможно, вы не думаете, что сокращение времени, которое требуется на поиск веб-сайтов через систему доменных имен, на миллисекунды, является большим делом. Подумай еще раз. Оптимизируя поиск в DNS, вы можете сэкономить реальное время и сделать жизнь немного приятнее каждый день.

Как вы знаете, DNS — это основная адресная книга Интернета. DNS направляет трафик на веб-сайты и электронную почту в ваш почтовый ящик, сопоставляя доменное имя, которое вы можете запомнить, например google.com, с IPv4-адресом, например 216.58.217.206. Практически каждый раз, когда вы делаете что-то в Интернете, вы начинаете с невидимого взаимодействия с DNS.

Вы можете не знать, что поиск DNS занимает в среднем 32 миллисекунды. Может показаться, что это не так уж много, но все, кроме самых простых веб-страниц, требуют десятков запросов DNS.

Каждая ссылка, программа и изображение не на сайте страницы требуют поиска DNS. Например, ссылки на социальные сети Facebook, LinkedIn и Twitter на этой странице? Все они требуют отдельного поиска в DNS.На странице используются шрифты Google для текста? Это тоже требует поиска.

Все складывается. Никто не любит медленный интернет. Итак, когда вы ускоряете поиск в DNS, все получают более высокую производительность в Интернете. Вот как ты это делаешь.

Найдите более быстрого поставщика DNS

Есть более быстрые и медленные поставщики DNS. Обычно DNS, предоставляемый вашим интернет-провайдером, работает медленно. Скорость DNS для них не является приоритетом, и это видно. Однако для провайдеров DNS все решает скорость.Имея несколько глобальных точек присутствия (PoP), они также могут обеспечивать высокоскоростной поиск как для вашего дома, так и для удаленных офисов.

Есть много поставщиков DNS. Чтобы узнать, кто работает быстро, а кто нет, ознакомьтесь с PerfOps DNS Performance. Некоторые из наиболее надежных и высокопроизводительных общедоступных преобразователей DNS и их IPv4-адреса DNS включают в себя:

. Вы должны знать, что, как и любой другой бизнес, поставщики DNS могут закрыть свои двери. Например, Norton ConnectSafe был хорошо зарекомендовавшим себя бесплатным общедоступным преобразователем DNS, но в ноябре 2018 года он был закрыт.Итак, следите за своим сервисом, как только вы остановитесь на нем.

Как выбрать? Ну просто не то какой провайдер самый быстрый. Видите ли, скорость — понятие относительное, когда речь идет о преобразователях DNS.

Когда дело доходит до скорости, многое зависит от того, насколько вы «близки» с точки зрения скорости сети к данному преобразователю DNS. Если вы совсем недалеко от OpenDNS PoP, это будет самый быстрый преобразователь DNS. Офис в Перте, Австралия, почти в 2500 милях от OpenDNS Sydney PoP, мог бы лучше обслуживаться DNS Australia.

Чтобы определить, какие из них лучше всего подходят для вас, вы должны протестировать их в каждом офисе. Вы можете сделать это с помощью команды BIND dig для Unix / Linux.

Из оболочки Unix / Linux вы захотите запустить dig с таким синтаксисом: dig @IP-адрес DNS-маршрутизатора test.site.com. Так, например, чтобы узнать, насколько быстро Google Public DNS отвечает на DNS-запрос для hpe.com, вы должны запустить:

dig @ 8.8.8.8 hpe.com

Теперь также есть DNS-сервер с открытым исходным кодом на базе Linux. Test, сценарий оболочки с именем DNSPerfTest.Это позволяет вам проверить производительность самых популярных преобразователей DNS из вашего местоположения.

Если вы не можете запустить dig, вы можете использовать веб-страницу Geektools Dig для выполнения тех же запросов.

Целевой веб-сайт следует менять каждый раз при запуске теста. Это потому, что ваша система может кэшировать результаты DNS-запроса. Это означает, что в следующий раз, когда вы проверите, даже если вы укажете ему использовать другой DNS, результаты будут быстрее, потому что результаты уже ожидают в вашей системе.

После того, как вы опустите виртуальные шины всех служб DNS-преобразователя, вы можете выбрать тот, который лучше всего подходит для вас. Теперь вам нужно настроить свои устройства для использования этих новых услуг.

Оптимизируйте DNS ваших устройств

Я использую Cloudflare в качестве примера, но эти методы будут работать с любым поставщиком DNS.

Маршрутизатор

Если вы используете маршрутизатор для настройки DNS в офисной сети — а вы, вероятно, используете — войдите в него и найдите настройки DNS-сервера.Оказавшись там, запишите свои существующие записи DNS и замените их следующими:

Для IPv4: 1.1.1.1 и 1.0.0.1
Для IPv6: 2606: 4700: 4700 :: 1111 и 2606: 4700: 4700 :: 1001

Вот и все. В следующий раз, когда ваши компьютеры будут искать веб-сайт, они будут использовать службы DNS 1.1.1.1.

Windows

В Windows 10:

Щелкните меню «Пуск».
Щелкните значок «Настройки».
Щелкните Сеть и Интернет.
Нажмите «Изменить параметры адаптера».
Дважды щелкните активный сетевой адаптер.
Запишите все существующие записи DNS-сервера для использования в будущем.
Щелкните Использовать следующие адреса DNS-серверов.
Замените эти адреса на адреса DNS 1.1.1.1:

Для IPv4: 1.1.1.1 и 1.0.0.1
Для IPv6: 2606: 4700: 4700 :: 1111 и 2606: 4700: 4700 :: 1001

В Windows 7 и более ранних версиях щелкните меню «Пуск», затем щелкните «Панель управления» и следуйте этим инструкциям:

Щелкните «Сеть и Интернет».
Нажмите «Изменить настройки адаптера».
Щелкните правой кнопкой мыши сеть Wi-Fi, к которой вы подключены, затем щелкните «Свойства».
Выберите Интернет-протокол версии 4 (или версии 6, если необходимо).
Щелкните «Свойства».
Запишите все существующие записи DNS-сервера для использования в будущем.
Щелкните Использовать следующие адреса DNS-серверов.
Замените эти адреса на адреса DNS 1.1.1.1:

Для IPv4: 1.1.1.1 и 1.0.0.1
Для IPv6: 2606: 4700: 4700 :: 1111 и 2606: 4700: 4700 :: 1001

MacOS

Для macOS откройте Системные настройки, а затем выполните следующие действия:

Поиск для DNS-серверов и выберите его из раскрывающегося списка.
Нажмите кнопку +, чтобы добавить DNS-сервер, и введите 1.1.1.1.
Щелкните + еще раз и введите 1.0.0.1.
Нажмите ОК, затем нажмите Применить.

Linux

В Linux используйте Network Manager. Там щелкните вкладку IPv4 или IPv6, чтобы просмотреть настройки DNS, а затем выполните следующие действия:

Установите для автоматического переключателя записи DNS значение Выкл.
Укажите адреса DNS 1.1.1.1 в поле записей DNS:

Для IPv4: 1.0.0.1
Для IPv6: 2606: 4700: 4700 :: 1111 и 2606: 4700: 4700 :: 1001

3. Нажмите «Применить», затем перезапустите браузер.

Android

На Android настроить DNS намного сложнее, чем в других операционных системах. Хотя у Cloudflare есть приложение для службы DNS, в целом, самый простой способ, который работает на большинстве устройств Android, — это установить DNS Changer.

Это приложение работает путем создания локальной виртуальной частной сети на вашем устройстве. Эта VPN существует только на вашем устройстве и в вашем мобильном или Wi-Fi-соединении. Чтобы использовать его с Cloudflare, вы должны поместить 1.1.1.1 и 1.0.0.1 в свои записи DNS.

iPhone

На главном экране iPhone откройте приложение «Настройки» и выполните следующие действия:

Нажмите Wi-Fi, затем выберите предпочитаемую сеть в списке.
Нажмите «Настроить DNS», затем нажмите «Вручную».
Если есть какие-либо существующие записи, нажмите кнопку — и Удалить рядом с каждой из них.
Нажмите кнопку + Добавить сервер, затем введите 1.1.1.1.
Снова нажмите кнопку + Добавить сервер, затем введите 1.0.0.1. Это для избыточности.
Нажмите кнопку «Сохранить» в правом верхнем углу.

Завершающие соединения

Насколько это изменится? Это, вероятно, сэкономит каждому из ваших сотрудников несколько секунд в день, потенциально при каждой загрузке веб-страницы. Сложите все это, и вы получите настоящую экономию времени. И, учитывая то, как всем нравится, что их Интернет работает как можно быстрее, это должно сделать всех счастливее, а это всегда хорошо для любой компании.

Выберите лучший DNS: уроки для лидеров

Оптимизация DNS-запросов — простой способ повысить скорость доступа сотрудников к Интернету.
Более быстрый DNS означает более эффективное использование сети.
Все это делает сотрудников счастливее.

Discover More Network: новая оригинальная серия от HPE

Эта статья / материалы написаны указанным автором и не обязательно отражают точку зрения компании Hewlett Packard Enterprise.

Обзор Cloudflare | TechRadar

Cloudflare — чрезвычайно успешный американский сервис CDN, который сочетает в себе обратный прокси-сервер с сетью доставки контента и добавляет множество дополнительных инструментов безопасности и оптимизации в технический микс.

Услуга не является обычной CDN. Вам не нужно выбирать конкретный контент, который вы хотите кэшировать, и нет необходимости редактировать код вашего сайта. Вместо этого вы обновляете свои DNS-серверы имен для использования Cloudflare, и как только изменения распространяются по Интернету (это может занять 24 часа, обычно намного меньше), служба запускается автоматически.

Некоторые преимущества аналогичны другим сетям CDN. Cloudflare определяет местонахождение посетителей и направляет их в ближайший дата-центр. По возможности это обслуживает ваш контент из собственного кеша, что сокращает время отклика.

План на 1 месяц — 0 долларов в месяц (0 долларов общей стоимости)

Другие преимущества более низкого уровня. Поскольку Cloudflare знает о вашем веб-трафике все, он может фильтровать его различными способами. Сервис блокирует угрозы на основе репутации, HTTP-заголовков, черных списков и т. Д.Он может останавливать или ограничивать оскорбительные боты, ограничивать спам в комментариях, защищать ключевые порты (SSH, telnet, FTP) от хакеров или обнаруживать и смягчать DDoS-атаки различными способами.

Дополнительные качества включают некоторые эффективные оптимизации изображения. «Польская» технология Cloudflare позволяет уменьшить размер файлов изображений в среднем на 35%, в то время как «Mirage» использует несколько методов для оптимизации отображения изображений на мобильных устройствах. Одни только эти функции могут иметь огромное значение для некоторых сайтов в скорости.

В то время как Cloudflare уделяет большое внимание простоте использования и удобству для потребителя функций, сервис также предлагает множество возможностей для более требовательных и технических пользователей.Вы получаете поддержку IPv6, HTTP / 3, WebSockets, правила страниц для управления трафиком, REST API, выделенные сертификаты SSL и многое другое.

Стоимость

Ассортимент продуктов Cloudflare начинается с базового бесплатного плана. Это накладывает строгие ограничения на некоторые функции (только базовую защиту от DDoS-атак, включены только правила для трех страниц) и полностью отбрасывает другие (без оптимизации изображений), но нет никаких глупых ограничений, которые могли бы заставить вас выполнить обновление. Вы получаете такой же доступ к некоторым расширенным функциям, как REST API, что и к коммерческим учетным записям.План также бесплатный навсегда, без ограничений по пропускной способности.

Cloudflare Pro — это учетная запись стоимостью 20 долларов в месяц, предназначенная для профессиональных пользователей. Это расширяет бесплатный план с помощью брандмауэра веб-приложений Cloudflare, добавляет инструменты оптимизации изображений и разрешает до 20 правил страницы. Служба поддержки по электронной почте получает в среднем два часа ответа. Есть больше правил пользовательского агента и брандмауэра, а также предупреждения о DDoS-атаках в режиме реального времени. В целом, здесь, вероятно, достаточно функциональности, чтобы оправдать стоимость, особенно для сайтов с высоким трафиком, которые могут столкнуться с дополнительной платой за пропускную способность на других CDN.

Cloudflare Business расширяет возможности высшего класса за счет расширенной защиты от DDoS-атак, загрузки настраиваемых сертификатов SSL, оптимизированной доставки динамического контента, соответствия требованиям PCI, приоритетной поддержки и правил до 50 страниц. Все это звучит для нас хорошо, хотя нас меньше убеждает ценник в 200 долларов в месяц.

Вы можете расширить эти планы с помощью ряда надстроек. Выделенный сертификат SSL стоит всего 5 долларов в месяц; 5 дополнительных правил страницы стоят 5 долларов; Интеллектуальная маршрутизация и балансировка нагрузки также начинаются с 5 долларов в месяц, а ограничение скорости защищает от атак типа «отказ в обслуживании», попыток подбора пароля и многого другого за 0 долларов.05 на 10 000 хороших запросов.

Неудивительно, что Cloudflare Free — выдающийся продукт здесь. Он достаточно прост в использовании для новичков, но при этом обладает достаточной мощностью, чтобы быть полезным для сайтов с тяжелыми условиями эксплуатации. Отсутствие правил страницы и брандмауэра означает, что он не такой настраиваемый, как коммерческие продукты, а отсутствие поддержки может стать проблемой, если вы используете его с чем-то критически важным для бизнеса.

Настройка

Создание учетной записи Cloudflare работает так же, как и любой другой веб-сервис.Введите свой адрес электронной почты, выберите пароль, и на этом все.

(Изображение предоставлено Cloudflare)

Вы начинаете процесс ускорения своего первого веб-сайта, вводя его домен. Cloudflare захватил все DNS-записи, о существовании которых мы знали, а некоторые — нет, затем он предоставляет возможность добавить больше и позволяет пользователю решать, какие настройки он возьмет на себя, а какими они будут управлять сами. (Если вы не знаете, просто примите настройки по умолчанию — при необходимости их можно будет изменить позже).

После этого остается единственный шаг — настроить серверы доменных имен так, чтобы они указывали на Cloudflare. Это почти такой же простой процесс, как настройка DNS, и сайт Cloudflare даже сообщает вам, какие записи нужно изменить (например, замените ns1.yourhost.com и ns2.yourhost.com на bayan.ns.cloudflare.com и megan.ns .cloudflare.com.)

Хотя это выглядит на удивление простым, есть загвоздка. Cloudflare проксирует только HTTP-трафик, и простое переключение серверов имен может нарушить работу других служб.Компания объясняет здесь одну из возможных опасностей: «Конфигурация Cloudflare по умолчанию разрешает только проксирование HTTP-трафика и нарушает почтовый трафик». Ой.

Прочтите эту статью, чтобы понять любые потенциальные проблемы с электронной почтой, и имейте в виду, что включение Cloudflare может иметь некоторые неожиданные последствия. Выберите тихое время для экспериментов, например, выходные, когда вероятность возникновения каких-либо проблем невысока.

Время установки запланировано, отправляйтесь к регистратору домена, внесите изменения в его панель управления, и Cloudflare должен быть включен довольно быстро.(Регистраторы доменов любят указывать время в 24-48 часов, но это наихудший случай — наш был готов за считанные минуты.)

(Изображение предоставлено Cloudflare)

Веб-консоль Cloudflare открывается с быстрым просмотром некоторых полезных настроек безопасности . Включение автоматической перезаписи HTTPS перенаправляет запросы HTTP на HTTPS, когда это возможно; Auto Minify уменьшает размер файлов HTML, CSS и JavaScript вашего сайта, а Brotli — это умный алгоритм сжатия, разработанный Google, который обычно сжимает текстовые файлы на 10-20% больше, чем Gzip.

Это хорошие новости, особенно для бесплатного продукта. Некоторые коммерческие планы CDN по-прежнему не поддерживают сжатие Brotli, например, и даже гигантский Amazon CloudFront не получил его до сентября 2020 года.

(Изображение предоставлено Cloudflare)

Features

Веб-консоль Cloudflare открывается с обзором страница, отображающая текущий статус вашего сайта, которая должна измениться на «Отличные новости! Cloudflare теперь защищает ваш сайт после распространения ваших новых настроек DNS.

На консоли отображаются маленькие значки для еще 15 функциональных областей, включая аналитику, DNS, брандмауэр, скорость, кэширование, правила страниц, сеть, трафик и настройку. Даже эксперты будут гадать, что может быть в некоторых из них, но щелчок по каждому из них по очереди открывает больше.

(Изображение предоставлено Cloudflare)

В области аналитики есть набор подробных отчетов, охватывающих использование полосы пропускания, запросы, трафик DNS, эффективность кеша, уникальных посетителей, заблокированные угрозы и многое другое.Даже бесплатный план получает большинство из них, хотя есть некоторые существенные временные ограничения (отчет DNS охватывает только последние 6 часов; учетная запись Pro поддерживает до одного дня; план Enterprise хранит данные за 30 дней).

Нажмите кнопку «Скорость», и Cloudflare запустит несколько тестов производительности на вашем сайте, сообщая обо всех улучшениях, которые вы заметили после включения CDN и его начальных настроек оптимизации (Auto Minify, Brotli и т. Д.). В них утверждалось, что время загрузки нашего тестового сайта составляет 62 % Быстрее. При нажатии на вкладку «Оптимизация» отображается список настроек ускорения, которые вы можете применить, но большинство из них доступны только с платными планами.

Область кэширования дает хороший уровень контроля над настройками кэша, особенно для бесплатных услуг. Вы можете очистить кеш полностью или удалить отдельные объекты; установить время кэширования файлов браузером посетителя по умолчанию (минимум 30 минут) или решить, как обрабатывать строки запроса. (Когда есть URL-адрес вида example.com/pic.jpg?with=query, игнорируете ли вы текст после ‘?’ И кешируете только один файл pic.jpg, или вы кешируете отдельный файл pic.jpg для каждого изменения в строку запроса?)

Функция «Всегда в сети» обслуживает контент для вашего веб-сайта, даже если исходный сервер недоступен, что снижает влияние любого простоя.Обслуживание устаревшего контента — стандартная функция многих хороших CDN, но Cloudflare может при желании интегрироваться с Wayback Machine Internet Archive для обслуживания более полной версии сайта. Это не сработает для всех, но идея интересная.

Доступно множество других настроек, включая DNS, правила страниц, низкоуровневую конфигурацию сети и множество «приложений» для улучшения вашего веб-сайта: Google Analytics, кнопки PayPal, встроенные видео YouTube, чат, блокировка рекламы NoAdBlock. обнаружение, кнопки социальных сетей и многое другое.

Cloudflare обладает впечатляющим набором функций, и даже бесплатная версия содержит много возможностей. Если у нас есть одна проблема, так это то, что критически важные параметры часто находятся рядом с более стандартными настройками, а не скрываются на панели «Только для экспертов». Один щелчок в неправильном месте может легко сломать ваш сайт, поэтому разумно хорошо подумать, прежде чем что-либо менять.

(Изображение предоставлено: CDNperf)

Производительность

Определение самого быстрого CDN для вас — сложный бизнес.У каждой службы есть своя собственная сеть, которая может показывать хорошие результаты в одной стране, но разочаровывать в другой. CDN также должен соответствовать посетителям вашего веб-сайта. Максимальная производительность в Европе вообще бесполезна, если ваши посетители в основном из Северной Америки.

CDNPerf может указать вам правильное направление, перечислив самых быстрых провайдеров по странам, континентам или миру.

На момент написания этой статьи Cloudflare занимает в среднем 11-е место (из 20) по мировым запросам со средним временем ответа 36 мс.Это не удивительно, но и неплохо: компания обошла несколько громких имен (CDN77, StackPath и CacheFly заняли 13, 14 и 15 места) и всего на миллисекунды отстают от многих других (G-Core, Fastly, JsDelivr и Akamai не более чем На 5 миллисекунд вперед.)

Средние мировые показатели, тем не менее, немного вводят в заблуждение, поскольку результаты Cloudflare значительно различаются в зависимости от региона. Например, компания заняла относительно неутешительное 14-е место в Северной Америке и 17-е в Европе. Но он занял отличное 2-е место в Азии и 4-е в Африке, по-видимому, потому, что Cloudflare имеет настолько широкую сеть, что может достигать областей, которые другие упускают.

Имейте в виду, что это еще не все, и сайты увидят различный прирост производительности в зависимости от их настройки, какие функции Cloudflare они используют и как они их используют. Но в целом здесь есть большой потенциал повышения производительности, более чем достаточно, чтобы оправдать подписку на бесплатный план и попробовать его на себе.

Окончательный вердикт

Cloudflare прост в использовании и предоставляет множество функций, высокую безопасность и эффективную оптимизацию веб-сайтов, не говоря уже об огромной глобальной сети, которая достигает областей, которые часто пропускают другие CDN.Это делает его обязательным для вашего шорт-листа по повышению производительности.

Обзор

OpenDNS Umbrella Prosumer | TechRadar

OpenDNS имеет большой портфель как бесплатных, так и коммерческих DNS-серверов. После приобретения Cisco в 2015 году коммерческие услуги, ориентированные на предприятия, были переименованы в Cisco Umbrella, а продукты для дома продолжили выпускаться под названием OpenDNS, за исключением пакета OpenDNS Umbrella Prosumer высшего уровня.

Планы и цены

OpenDNS предлагает несколько продуктов для домашних пользователей.Помимо пары бесплатных пакетов DNS, компания также предлагает два платных продукта для домашних пользователей. План OpenDNS VIP Home основан на классическом пакете OpenDNS Home и дает статистику использования за 19,95 долларов в год.

Еще есть пакет OpenDNS Umbrella Prosumer (OUP), разработанный для пользователей, которые хотят защитить свои устройства во время роуминга за пределами домашней сети. Пакет стоит 20 долларов за пользователя и может охватывать до 5 пользователей с 3 устройствами на пользователя.