DNS: что это такое и как её используют

DNS реализует иерархию доменов, задача которой — создавать удобную навигацию по интернету. Она состоит из четырёх видов:

• Корневые DNS-серверы (Root Servers). С них начинается любой DNS-запрос. Они состоят из 13 ключевых серверов, у которых нет собственных IP-адресов, они отвечают за отправку запросов на серверы, где есть данные о более низких ступенях иерархии.

• TLD-серверы (Top-Level Domains). Контролируют верхнеуровневые домены и надёжность DNS-протокола. У них тоже нет собственных IP-адресов, но без них было бы невозможно открыть сайты по названиям.

• Авторитетные DNS-серверы. В их ведении находятся определённые записи частных доменов и их IP-адреса. Принадлежат тому, кто владеет доменом, и контролируются через провайдера интернет-услуг и компании, занимающиеся их регистрацией.

• Рекурсивные DNS-серверы. Собирают запросы и полностью контролируют этапы действия DNS-протокола. Чтобы ускорить передачу информации и разгрузить сеть, серверы оптимизируют запросы, сохраняя ответы в кеше.

Изучим работу DNS-протокола. Как только человек набирает название сайта, запускается процесс разрешения DNS (DNS resolution). Он работает в несколько этапов:

• Локальный кеш. Сперва браузер ищет подходящую информацию в собственном кеше и кеше операционной системы. Как только она находится, сразу открывается целевая страница.
• Рекурсивный сервер. При отсутствии данных в кеше запрос перенаправляется на рекурсивный DNS-сервер. Обычно он контролируется провайдером сети.
• Корневой DNS-сервер. Следующий этап поиска, если он ещё не увенчался успехом, — запрос на Root Server (к примеру, .рф или .info) и возвращение ссылок на подходящие TLD-серверы.
• TLD-сервер. Рекурсивный сервер посылает запрос TLD, он передаёт записи о домене второго уровня. Допустим, TLD-сервер зоны .com передаёт данные о сайте spotify.com и перенаправляет их дальше.
• Авторитетный сервер. Рекурсивный сервер связывается с сервером, который считается авторитетным для домена, хранящего информацию об определённом сайте, и забирает IP-адрес.
• Кеширование результата. Рекурсивный сервер сохраняет связку данных в собственном кеше, что в дальнейшем ускоряет процесс подбора IP-адреса. Период хранения определяется параметром TTL (time-to-live) в настройках DNS-сервера.

DNS-зона — это область пространства доменных имён. Она управляется конкретной организацией или администратором. Любой домен может распределяться на несколько зон, что делает контроль гибким и удобным.

Зоны DNS бывают четырёх типов:

• Корневая зона — высшая ступень системы DNS, поддерживаемая корневыми серверами.

• Зоны верхнего уровня (TLD) — управляют верхнеуровневыми доменами. За них отвечают разные организации. Так, зоны .com, .info и .biz контролируются ICANN. А за .рф и .ru отвечает российская организация — Координационный центр доменов.

• Зоны второго уровня — включают домены второго уровня, к примеру ya.ru или amazon.com. Их контролируют владельцы доменов, при этом они могут создать свои субдомены и назначить авторитетные DNS-серверы.

• Зоны обратного поиска (Reverse DNS Zones) — специальные зоны, занимающиеся конвертацией IP-адреса в название сайта. Такая функция полезна для поддержания информационной безопасности — например, если нужно проверить надёжность отправителя электронного письма.

Каждая зона включает специальные записи DNS, хранящие некоторые подробности о домене. Записи бывают разных видов:

• A — показывают IPv4-адрес;
• AAAA — показывают IPv6-адрес;
• CNAME — отвечают за переадресацию между доменами;
• MX — записывают детали, касающиеся почтового сервера;
• TXT — включают текст, полезный при верификации email.

Система DNS уязвима к ряду угроз, но есть методы, которые помогают защитить DNS, сделав её более безопасной для пользователей и организаций.

Рассмотрим меры защиты, которые используются для отражения разных угроз.

• DDoS-атаки (Distributed Denial of Service). Хакеры инициируют перегрузку DNS-серверов, посылая большое число запросов от разных источников. Защита от DDoS включает такие методы, как перенаправление нагрузки на несколько серверов, использование мощных защитных мер и аномального фильтра трафика.
• DNS Poisoning («отравление» кеша). Злоумышленники вносят ложные данные в кеш DNS-сервера с целью перенаправить трафик на поддельный ресурс. Один из методов защиты — подключить DNSSEC (DNS Security Extensions): он добавляет криптографические подписи в записи, помогая проверить их подлинность.
• DNS Spoofing. Атака, когда хакеры подделывают ответы DNS-запросов, перенаправляя пользователей на поддельные сайты. Здесь также помогают DNSSEC и корректные параметры TTL-настроек.
• MITM (Man-In-The-Middle attack). «Атака посредника», в ходе которой во время передачи DNS-запросов через сеть злоумышленник может перехватить их и изменить ответ. DNS через HTTPS (DoH) и DNS через TLS (DoT) — это новые методы шифрования DNS-трафика, которые защищают данные от перехвата.
• Фальшивые DNS-серверы. Злоумышленники создают поддельный DNS-сервер и перенаправляют трафик к нему. Поэтому важно использовать доверенные рекурсивные серверы, например публичные серверы Google (8.8.8.8), Cloudflare (1.1.1.1) и других известных провайдеров.