Программирование • 31 января 2025 • 5 мин чтения

DNS: что это такое и как её используют

Рассказываем о типах и зонах системы DNS. Объясняем, как они устроены, какие есть методы их защиты от киберугроз и где расположены главные DNS-серверы.

Что такое DNS

DNS (Domain Name System) — это система доменных имён, распределённая по разным странам. Она позволяет сопоставлять домены сайтов с IP-адресами, необходимыми, чтобы подключать устройства к серверам в сети. Подобный индивидуальный адрес присваивается любому устройству, но запоминать их неудобно. Система DNS решает эту проблему, автоматически конвертируя домены в IP.

Допустим, человек хочет зайти на сайт ya.ru. Когда он набирает название сайта, DNS-server запускает поиск подходящего частного IP-адреса, к примеру 77.88.44.242. Следом он посылает запрос на сервер и открывает нужную страницу в интернете.

DNS как справочник: нужен, чтобы отыскать адрес по имени

Разобраться, как работают DNS-серверы, поможет курс «Специалист по информационной безопасности». На занятиях можно научиться обеспечению защиты IT-сервисов, обнаружению и отражению хакерских атак. По итогам обучения студенты делают четыре проекта, что позволяет им составить портфолио.

DNS-серверы: какие бывают и как работают

DNS реализует иерархию доменов, задача которой — создавать удобную навигацию по интернету. Она состоит из четырёх видов:

  • Корневые DNS-серверы (Root Servers). С них начинается любой DNS-запрос. Они состоят из 13 ключевых серверов, у которых нет собственных IP-адресов, они отвечают за отправку запросов на серверы, где есть данные о более низких ступенях иерархии.
  • TLD-серверы (Top-Level Domains). Контролируют верхнеуровневые домены и надёжность DNS-протокола. У них тоже нет собственных IP-адресов, но без них было бы невозможно открыть сайты по названиям.
  • Авторитетные DNS-серверы. В их ведении находятся определённые записи частных доменов и их IP-адреса. Принадлежат тому, кто владеет доменом, и контролируются через провайдера интернет-услуг и компании, занимающиеся их регистрацией.

  • Рекурсивные DNS-серверы. Собирают запросы и полностью контролируют этапы действия DNS-протокола. Чтобы ускорить передачу информации и разгрузить сеть, серверы оптимизируют запросы, сохраняя ответы в кеше.

Принцип работы DNS

Изучим работу DNS-протокола. Как только человек набирает название сайта, запускается процесс разрешения DNS (DNS resolution). Он работает в несколько этапов:

  • Локальный кеш. Сперва браузер ищет подходящую информацию в собственном кеше и кеше операционной системы. Как только она находится, сразу открывается целевая страница.
  • Рекурсивный сервер. При отсутствии данных в кеше запрос перенаправляется на рекурсивный DNS-сервер. Обычно он контролируется провайдером сети.
  • Корневой DNS-сервер. Следующий этап поиска, если он ещё не увенчался успехом, — запрос на Root Server (к примеру, .рф или .info) и возвращение ссылок на подходящие TLD-серверы.
  • TLD-сервер. Рекурсивный сервер посылает запрос TLD, он передаёт записи о домене второго уровня. Допустим, TLD-сервер зоны .com передаёт данные о сайте spotify.com и перенаправляет их дальше.
  • Авторитетный сервер. Рекурсивный сервер связывается с сервером, который считается авторитетным для домена, хранящего информацию об определённом сайте, и забирает IP-адрес.
  • Кеширование результата. Рекурсивный сервер сохраняет связку данных в собственном кеше, что в дальнейшем ускоряет процесс подбора IP-адреса. Период хранения определяется параметром TTL (time-to-live) в настройках DNS-сервера.
Действие DNS-протокола занимает секунды и незаметно для пользователя

Зоны DNS: структура и типы

DNS-зона — это область пространства доменных имён. Она управляется конкретной организацией или администратором. Любой домен может распределяться на несколько зон, что делает контроль гибким и удобным.

Зоны DNS бывают четырёх типов:

  • Корневая зона — высшая ступень системы DNS, поддерживаемая корневыми серверами.
  • Зоны верхнего уровня (TLD) — управляют верхнеуровневыми доменами. За них отвечают разные организации. Так, зоны .com, .info и .biz контролируются ICANN. А за .рф и .ru отвечает российская организация — Координационный центр доменов.
  • Зоны второго уровня — включают домены второго уровня, к примеру ya.ru или amazon.com. Их контролируют владельцы доменов, при этом они могут создать свои субдомены и назначить авторитетные DNS-серверы.
  • Зоны обратного поиска (Reverse DNS Zones) — специальные зоны, занимающиеся конвертацией IP-адреса в название сайта. Такая функция полезна для поддержания информационной безопасности — например, если нужно проверить надёжность отправителя электронного письма.

Каждая зона включает специальные записи DNS, хранящие некоторые подробности о домене. Записи бывают разных видов:

  • A — показывают IPv4-адрес;
  • AAAA — показывают IPv6-адрес;
  • CNAME — отвечают за переадресацию между доменами;
  • MX — записывают детали, касающиеся почтового сервера;
  • TXT — включают текст, полезный при верификации email.
Одна зона DNS может включать сразу несколько записей

Где находятся главные DNS-серверы

Главные DNS-серверы — это Root Servers, расположенные во многих местах планеты. Они разделены на 13 адресов — начиная с латинской буквы «A» и заканчивая «M». Каждый из них представляет собой не один, а целую систему оригинальных серверов и их реплик. Они работают по принципу Anycast: делают запросы к ближайшему из них, что позволяет сервисам быть надёжными и производительными.

Большая часть корневых серверов расположена в США. Кроме того, они есть в других регионах — например, в Бразилии, Канаде, Колумбии, Аргентине, Мексике, Испании, Германии, Франции и Польше. В России установлены только реплики: в Москве, Санкт-Петербурге, Твери, Ростове-на-Дону, Екатеринбурге, Новосибирске, Красноярске и Хабаровске.

Сеть корневых серверов насчитывает больше 1900 экземпляров

Защита от атак

Система DNS уязвима к ряду угроз, но есть методы, которые помогают защитить DNS, сделав её более безопасной для пользователей и организаций.

Рассмотрим меры защиты, которые используются для отражения разных угроз.

  • DDoS-атаки (Distributed Denial of Service). Хакеры инициируют перегрузку DNS-серверов, посылая большое число запросов от разных источников. Защита от DDoS включает такие методы, как перенаправление нагрузки на несколько серверов, использование мощных защитных мер и аномального фильтра трафика.
  • DNS Poisoning («отравление» кеша). Злоумышленники вносят ложные данные в кеш DNS-сервера с целью перенаправить трафик на поддельный ресурс. Один из методов защиты — подключить DNSSEC (DNS Security Extensions): он добавляет криптографические подписи в записи, помогая проверить их подлинность.
  • DNS Spoofing. Атака, когда хакеры подделывают ответы DNS-запросов, перенаправляя пользователей на поддельные сайты. Здесь также помогают DNSSEC и корректные параметры TTL-настроек.
  • MITM (Man-In-The-Middle attack). «Атака посредника», в ходе которой во время передачи DNS-запросов через сеть злоумышленник может перехватить их и изменить ответ. DNS через HTTPS (DoH) и DNS через TLS (DoT) — это новые методы шифрования DNS-трафика, которые защищают данные от перехвата.
  • Фальшивые DNS-серверы. Злоумышленники создают поддельный DNS-сервер и перенаправляют трафик к нему. Поэтому важно использовать доверенные рекурсивные серверы, например публичные серверы Google (8.8.8.8), Cloudflare (1.1.1.1) и других известных провайдеров.

Совет эксперта

Иван Авраменко
Без понимания того, как работают DNS-протокол, IP-адреса и доменные имена, невозможно стать хорошим специалистом в области информационной безопасности или создания веб-приложений. Это база, которую необходимо знать новичкам и тем более опытным специалистам. Устройство DNS-серверов — это один из первых вопросов, которые могут задать на собеседовании на позицию специалиста по информационной безопасности, поэтому важно учесть это при подготовке к интервью с потенциальным работодателем.
Статью подготовили:
Иван Авраменко
Яндекс Практикум
Инженер по кибербезопасности
Женя Соловьёва
Яндекс Практикум
Редактор
Анастасия Павлова
Яндекс Практикум
Иллюстратор

Дайджест блога: ежемесячная подборка лучших статей от редакции

Поделиться
Как найти работу после онлайн-курсов в 2025: советы реальных выпускников. Бесплатный вебинар 27 февраля
Tue Feb 11 2025 19:06:10 GMT+0300 (Moscow Standard Time)