Узнайте, что такое авторитетный и рекурсивный DNS, как они работают, их различия, а также как улучшить безопасность. Подробное объяснение всех принципов и функций DNS-серверов.
DNS (Domain Name System) — это распределенная система, связывающая доменные имена с IP-адресами. Ее работа обеспечивается двумя типами серверов: рекурсивными и авторитетными. В статье обсудим эти два вида доменов (domains), их различия, а также расскажем, по какому принципу они работают.
Как пользователь ДНС определяет, к какому серверу нужно обратиться? Каждое устройство в сети имеет уникальный IP, и благодаря этой системе браузер точно знает, куда отправлять запрос. В ответ он передает данные, которые формируют страницу на экране.
Сервисы DNS работают с протоколами TCP и UDP. Первые ориентированы на подключение и необходимы для согласования данных в целевом расположении. UDP – это протокол, не имеющий подключения. Он не требует согласования и установки с узлом.
Рекурсивные виды серверов обрабатывают DNS-запросы через итеративный процесс поиска. Они последовательно опрашивают другие серверы в иерархии от корневых до авторитетных. Iterative DNS помогают находить точные IP-адреса сайтов по их доменным именам.
Рекурсивные виды обрабатывают DNS-запросы через итеративный процесс поиска. Они последовательно опрашивают другие серверы в иерархии от корневых до авторитетных.
Рекурсивные серверы (servers) выполняют активный итеративный (нерекурсивный) DNS поиск. Они самостоятельно проходят весь путь от верхнего уровня DNS-иерархии до конечного источника.
Рекурсивные DNS-серверы устроены так, чтобы минимизировать время загрузки сайтов. Их секрет заключается в умном использовании кэша (DNS cache).
Когда поступает запрос, сервер сначала проверяет свою внутреннюю память. Если там уже есть необходимый адрес, он мгновенно выдает ответ. Если данных в кэше нет — начинается поиск по цепочке авторитетных серверов.
Каждый полученный IP-адрес рекурсивные DNS серверы сохраняют на определенный срок, указанный в параметре TTL.
Благодаря этому механизму, при повторных запросах к одному домену сервер сразу выдает сохраненный результат, минуя сложную цепочку поиска, которая заняла бы время.
Рекурсивный (recursive) DNS действует как посредники: они принимают запросы от пользователей и самостоятельно находят нужную информацию. Авторитетные серверы выступают в роли хранителей данных, содержат точные сведения о конкретных доменах.
Авторитативный DNS сервер — это главный хранитель информации о доменах. В отличие от временных кэшей рекурсивных серверов, здесь содержатся окончательные и неизменные данные о связи доменных имен с IP-адресами и прочими DNS-параметрами.
Без этой системы интернет (internet) просто перестал бы работать. У вас есть виртуальный доступ к миллионам сайтов именно благодаря слаженной работе авторитетных серверов.
Любые изменения в настройках домена — смена хостинга или перенос почтового сервиса — сначала вносятся сюда. Только после этого обновленная информация начинает распространяться по всей глобальной DNS-системе.
Рекурсивные серверы, получая запрос от пользователя, в итоге всегда приходят к этим первоисточникам. Авторитетные дают окончательный ответ, содержащий:
В них хранятся различные типы записей, у каждой — своя персональная задача:
Авторитетные DNS-серверы выстроены в строгую многоуровневую систему. Это похоже на библиотеку с четкой системой каталогов, где каждый уровень отвечает за свой участок информации.
13 кластеров серверов, расположенных в разных точках планеты, образуют фундамент системы. Они содержат только ссылки на серверы доменов верхнего уровня, не зная конкретных сайтов.
Следующий уровень знает все о зонах:.com, .net, .org, национальных поддоменах и доменах вроде .ru, .de, .uk (подставьте нужную страну). Их задача — направить запрос дальше, к конечным источникам информации.
Нижний уровень иерархии хранит полные данные о конкретных сайтах: IP-адреса, почтовые серверы, служебные записи. Это конечная точка любого DNS-запроса.
Важно! Рекурсивные типы ищут данные (выполняют всю работу по поиску DNS-записей), а авторитетные предоставляют оригинальные данные о доменах, за которые они отвечают.
Разделение ролей между этими двумя типами серверов создает эффективную систему: в ней оптимизация процесса поиска для миллионов пользователей – работа рекурсивных серверов, а авторитетные гарантируют достоверность и актуальность информации о каждом конкретном домене. Первые используются всеми, кто выходит в интернет, вторые - теми, кто владеет и управляет сетевыми ресурсами.
Рекурсивные DNS-серверы служат тем, кто использует интернет, а также сетевым провайдерам для того, чтобы быстро попасть на ресурс. Когда обычный человек открывает сайт/запускает мобильное приложение, его устройство автоматически обращается к рекурсивному серверу.
Авторитетные DNS-серверы – это прерогатива владельцев доменов и хостинг-провайдеров. Когда компания регистрирует доменное имя или переносит сайт на новый хостинг, все изменения вносятся именно на DNS этого типа. Крупные регистраторы вроде GoDaddy или REG.RU предоставляют их в качестве своей услуги, а некоторые разворачивают собственные авторитетные DNS для полного контроля над своими доменными зонами. В отличие от рекурсивных, они не ищут информацию, а сохраняют и, при обращении, дают точные данные о соответствии доменных имен конкретным IP-адресам и другим ресурсным записям.
Для проверки можно использовать обратный DNS. Обратный DNS (Reverse DNS) представляет собой механизм преобразования IP-адресов в соответствующие доменные имена. В отличие от стандартного DNS-запроса, где по имени находится адрес, здесь происходит обратная операция - числовой идентификатор сервера сопоставляется с его буквенным обозначением.
Эта технология востребована при проверке почтовых серверов и анализе сетевой активности. Многие антиспам-системы используют RDNS для верификации отправителей, поскольку подлинные серверы обычно имеют корректно настроенные обратные записи.
Настройка обратного DNS требует особых прав, потому что владелец IP-адресов или хостинг-провайдер должен создать PTR-запись в специальной зоне arpa. Для обычных пользователей эта система остается невидимой, но администраторы серверов часто сталкиваются с необходимостью ее правильной конфигурации.
Обратные запросы (rDNS) чаще выполняются автоматически. Серверы, сетевые устройства и специализированные системы используют этот механизм для проверки соответствия IP-адресов доменным именам.
При rDNS-запросе система ищет PTR-запись – специальную DNS-запись, связывающую IP-адрес с соответствующим доменным именем. Для этого IP преобразуется в особый формат:
Например, IP 104.168.205.10 превращается в 10.205.168.104.in-addr.arpa. С помощью такого формата можно помочь DNS-системе найти нужную PTR-запись.
Процесс обратного DNS-поиска проходит так:
