Доменная система имен

Система доменных имен сети Интернет. Немного истории и принципы построения иерархии имен

Доменная система имен

17.10.02

Когда при деловом общении представители двух фирм обмениваются визитками, то в них (визитках) обязательно будут указаны адрес электронной почты и имя корпоративного Web-узла компании. При этом можно также услышать, как собеседники обмениваются «интернет-адресами» («электронными адресами») компаний. Во всех выше перечисленных случаях так или иначе речь идет об использовании доменных имен.

В адресе электронной почты формально доменным именем можно считать то, что написано после символа коммерческого ат — «@». Например, в user@corp.ru доменное имя почтового узла — corp.ru.

Имя Web-узла — это доменное имя этого узла. Например, Web-узел компании Microsoft имеет доменное имя Microsoft.com.

В большинстве случаев при поиске информации в Сети мы перебираем доменные имена или следуем по ссылкам, в нотации которых опять же используются доменные имена.

Довольно часто наряду со словосочетанием «интернет-адрес» употребляют «доменный адрес». Вообще говоря, ни того, ни другого понятий в сетях TCP/IP не существует. Есть числовая адресация, которая опирается на IP-адреса, (группа из 4-ех чисел, разделенных символом «.») и Internet-сервис службы доменных имен (Domain Name System — DNS).

Числовая адресация удобна для компьютерной обработки таблиц маршрутов, но совершенно (здесь мы несколько утрируем) не приемлема для использования ее человеком. Запомнить наборы цифр гораздо труднее, чем мнемонические осмысленные имена.

Тем не менее, установка соединений для обмена информацией в Интернет осуществляется по IP-адресам. Символьные имена системы доменных имен — суть сервис, который помогает найти необходимые для установки соединения IP-адреса узлов сети.

Тем не менее, для многих пользователей именно доменное имя выступает в роли адреса информационного ресурса.

В практике администрирования локальных сетей нередки ситуации, когда пользователи жалуются администратору сети на недоступность того или иного сайта или долгую загрузку страниц.

Причина может крыться не в том, что сегмент сети потерял связь с остальной сетью, а в плохой работе DNS — нет IP-адреса, нет и соединения.

DNS существовала не с момента рождения TCP/IP сетей. Поначалу для облегчения взаимодействия с удаленными информационными ресурсами в Интернет стали использовать таблицы соответствия числовых адресов именам машин.

Авторство создания этих таблиц принадлежит доктору Постелю (Dr. Jon Postel — автор многих RFC — Request For Comments). Именно он первым поддерживал файл hosts.txt, который можно было получить по FTP.

Современные операционные системы тоже поддерживают таблицы соответствия IP-адреса и имени машины (точнее хоста) — это файлы с именем hosts. Если речь идет о системе типа Unix, то этот файл расположен в директории /etc и имеет следующий вид:

127.0.0.1 localhost144.206.130.137 polyn Polyn polyn.net.kiae.su polyn.kiae.su144.206.160.32 polyn Polyn polyn.net.kiae.su polyn.kiae.su

144.206.160.40 apollo Apollo www.polyn.kiae.su

Пользователь для обращения к машине может использовать как IP-адрес машины, так и ее имя или синоним (alias). Как видно из примера, синонимов может быть много, и, кроме того, для разных IP-адресов может быть указано одно и то же имя.

Напомним еще раз, что по самому мнемоническому имени никакого доступа к ресурсу получить нельзя. Процедура использования имени заключается в следующем:

  • сначала по имени в файле hosts находят IP-адрес,
  • затем по IP-адресу устанавливают соединение с удаленным информационным ресурсом.

Обращения, приведенные ниже аналогичны по своему результату — инициированию сеанса telnet с машиной Apollo:

telnet 144.206.160.40

или

telnet Apollo

или

telnet www.polyn.kiae.su

В локальных сетях файлы hosts используются достаточно успешно до сих пор. Практически все операционные системы от различных клонов Unix до Windows последних версий поддерживают эту систему соответствия IP-адресов именам хостов.

Однако такой способ использования символьных имен был хорош до тех пор, пока Интернет был маленьким. По мере роста Сети стало затруднительным держать большие согласованные списки имен на каждом компьютере. Главной проблемой стал даже не размер списка соответствий, сколько синхронизация его содержимого. Для того, что бы решить эту проблему, была придумана DNS.

DNS была описана Полом Мокапетрисом (Paul Mockapetris ) в 1984. Это два документа: RFC-882 и RFC-883 (Позже эти документы были заменены на RFC-1034 и RFC-1035).

Пол Мокапетрис написал и реализацию DNS — программу JEEVES для ОС Tops-20. Именно на нее в RFC-1031 предлагается перейти администраторам машин с ОС Tops-20 сети MILNET.

Не будем подробно излагать содержание RFC-1034 и RFC-1035. Ограничимся только основными понятиями.

Роль имени (доменного имени) в процессе установки соединения осталось прежним. Это значит, что главное, для чего оно нужно, — получение IP адреса.

Соответственно этой роли, любая реализация DNS является прикладным процессом, который работает над стеком протоколов межсетевого обмена TCP/IP.

Таким образом, базовым элементом адресации в сетях TCP/IP остался IP-адрес, а доменное именование (система доменных имен) выполняет роль вспомогательного сервиса.

Система доменных имен строится по иерархическому принципу. Точнее по принципу вложенных друг в друга множеств. Корень системы называется «root» (дословно переводится как «корень») и никак не обозначается (имеет пустое имя согласно RFC-1034).

Часто пишут, что обозначение корневого домена — символ «.», но это не так, точка — разделитель компонентов доменного имени, а т.к. у корневого домена нет обозначения, то полное доменное имя кончается точкой. Тем не менее символ «.

» достаточно прочно закрепился в литературе в качестве обозначения корневого домена.

От части это вызвано тем, что в файлах конфигурации серверов DNS именно этот символ указывается в поле имени домена (поле NAME согласно RFC-1035) в записях описания ресурсов, когда речь идет о корневом домене.

Корень — это все множество хостов Интернет. Данное множество подразделяется на домены первого или верхнего уровня (top-level или TLD). Домен ru, например, соответствует множеству хостов российской части Интернет. Домены верхнего уровня дробятся на более мелкие домены, например, корпоративные.

В 80-е годы были определены первые домены первого уровня (top-level): gov, mil, edu, com, net. Позднее, когда сеть перешагнула национальные границы США появились национальные домены типа: uk, jp, au, ch, и т.п. Для СССР также был выделен домен su. После 1991 года, когда республики Союза стали суверенными, многие из них получили свои собственные домены: ua, ru, la, li, и т.п.

Однако Интернет не СССР, и просто так выбросить домен su из системы доменных имен нельзя. На основе доменных имен строятся адреса электронной почты и доступ ко многим другим информационным ресурсам Интернет. Поэтому гораздо проще оказалось ввести новый домен к существующему, чем заменить его.

Если быть более точным, то новых имен с расширением su в настоящее время ни один провайдер не выделяет (делегирует). Однако у многих существует желание возобновить процесс делегирования доменов в зоне SU.

Со списком доменов первого уровня (top-level) и их типами можно ознакомиться, например, в материале «Общая информация о системе доменных имен» по адресу https://info.nic.ru/domains/review.html.

Как уже было сказано, вслед за доменами первого уровня(top-level) следуют домены, определяющие либо регионы (msk), либо организации (kiae). В настоящее время практически любая организация может получить свой собственный домен второго уровня. Для этого надо направить заявку провайдеру и получить уведомление о регистрации (см. «Как получить домен»).

Далее идут следующие уровни иерархии, которые могут быть закреплены либо за небольшими организациями, либо за подразделениями больших организаций.

Часть дерева доменного именования можно представить следующим образом:

Рис.1. Пример части дерева доменных имен.

Корень дерева не имеет имени метки. Поэтому его обозначают как «». Остальные узлы дерева метки имеют. Каждый из узлов соответствует либо домену, либо хосту. Под хостом в этом дереве понимают лист, т.е. такой узел ниже которого нет других узлов.

Именовать хост можно либо частичным именем, либо полным именем. Полное имя хоста — это имя, в котором перечисляются слева направо имена всех промежуточных узлов между листом и корнем дерева доменного именования, при этом начинают с имени листа, а кончают корнем, например:

polyn.net.kiae.su.

Частичное имя — это имя, в котором перечислены не все, а только часть имен узлов, например:

polyn apollo.polyn

quest.polyn.kiae

Обратите внимание на то, что в частичных (неполных именах) символ точки в конце имени не ставится. В реальной жизни программное обеспечение системы доменных имен расширяет неполные имена до полных прежде, чем обратиться к серверам доменных мен за IP-адресом.

Слово «Хост» не является в полном смысле синонимом имени компьютера, как это часто упрощенно представляется.

Во-первых, у компьютера может быть множество IP-адресов, каждому из которых можно поставить в соответствие одно или несколько доменных имен.

Во-вторых, одному доменному имени можно поставить в соответствие несколько разных IP-адресов, которые, в свою очередь могут быть закреплены за разными компьютерами.

Еще раз обратим внимание на то, что именование идет слева направо, от минимального имени хоста (от листа) к имени корневого домена. Разберем, например, полное доменное имя demin.polyn.kiae.su.

Имя хоста — demin, имя домена, в который данный хост входит, — polyn, имя домена, который охватывает домен polyn, т.е.

является более широким по отношению к polyn, — kiae, в свою очередь последний (kiae) входит в состав домена su.

Имя polyn.kiae.su — это уже имя домена. Под ним понимают имя множества хостов, у которых в их имени присутствует polyn.kiae.su. Вообще говоря, за именем polyn.kiae.

su может быть закреплен и конкретный IP-адрес. В этом случае кроме имени домена данное имя будет обозначать и имя хоста.

Такой прием довольно часто используется для обеспечения коротких и выразительных адресов в системе электронной почты.

Имена хоста и доменов отделяются друг от друга в этой нотации символом «.». Полное доменное имя должно оканчиваться символом «.», т.к. последняя точка отделяет пустое имя корневого домена от имени домена верхнего уровня.

Часто в литературе и в приложениях эту точку при записи доменного имени опускают, используя нотацию неполного доменного имени даже в том случае, когда перечисляют все имена узлов от листа до корня доменного именования.

Следует иметь в виду, что доменные имена в реальной жизни достаточно причудливо отображаются на IP-адреса, а тем более на реальные физические объекты (компьютеры, маршрутизаторы, коммутаторы, принтеры и т.п.), которые подключены к сети.

Компьютер, физически установленный и подключенный к Сети в далекой Америке, может совершенно спокойно иметь имя из российского корпоративного домена, например, chalajva.ru, и наоборот, компьютер или маршрутизатор российского сегмента может иметь имя из домена com. Последнее, к слову сказать, встречается гораздо чаще.

Более того, один и тот же компьютер может иметь несколько доменных имен.

Возможен вариант, когда за одним доменным именем может быть закреплено несколько IP-адресов, которые реально назначены различным серверам, обслуживающим однотипные запросы.

Таким образом, соответствие между доменными именами и IP-адресами в рамках системы доменных имен не является взаимно однозначным, а строится по схеме «многие к многим».

Несколько последних замечаний были призваны обратить внимание читателя на тот факт, что иерархия системы доменных имен строго соблюдается только в самих именах и отображает только вложенность именования и зоны ответственности администраторов соответствующих доменов.

Следует также упомянуть о канонических доменных именах. Это понятие встречается в контексте описания конфигураций поддоменов и зон ответственности отдельных серверов доменных имен.

С точки зрения дерева доменных имена не разделяют на канонические и неканонические, но с точки зрения администраторов, серверов и систем электронной почты такое разделение является существенным.

Каноническое имя — это имя, которому в соответствие явно поставлен IP-адрес, и которое само явно поставлено в соответствие IP-адресу. Неканоническое имя — это синоним канонического имени. Более подробно см. «настройка BIND».

Наиболее популярной реализацией системы доменных имен является Berkeley Internet Name Domain (BIND). Но эта реализация не единственная. Так в системе Windows NT 4.0 есть свой сервер доменных имен, который поддерживает спецификацию DNS.

Тем не менее, даже администраторам Windows желательно знать принципы функционирования и правила настройки BIND, т.к. именно это программное обеспечение обслуживает систему доменных имен от корня до TLD (Top Level Domain).

Рекомендованная литература:

Полезные ссылки:

Источник: https://info.nic.ru/st/8/out_15.shtml

Система доменных имен

Доменная система имен

Символьный адрес. Это идентификатор-имя DNS (Domain Name System – доменная система имен), например, pds.sut.ru .

На этапе становления Internet был составлен полный список, в который включили имена всех компьютеров, подсоединенных к сети. Однако из-за быстрого увеличения их количества, с одной стороны, и ежедневных изменений в подсоединенных сетях, с другой стороны, вскоре оказалось невозможным постоянно обновлять такой список. Эти обстоятельства привели к созданию доменной системы имен.

Эта система разделяет адреса по иерархии различных доменов (domain – область), представляющих собой определенную группу компьютеров.

Первый стандарт DNS определен в RFC0883 (Domain names: Implementation specification P.V. Mockapetris Nov-01-1983) и RFC0882 (Domain names: Concepts and facilities P.V. Mockapetris Nov-01-1983)

Последняя версия RFC1034 (Domain names — concepts and facilities P.V. Mockapetris Nov-01-1987) и RFC1035 (Domain names — implementation and specification P.V. Mockapetris Nov-01-1987)

В доменах провайдеры создают так называемые серверы имен. Они представляют собой компьютеры, которые ищут адрес нужного домена и устанавливают связь с сетью, обслуживающей соответствующий домен.

Таким образом, вместо полного списка всех компьютеров в Internet имеются частные списки по доменам.

Домены составляются либо по географическим, либо по тематическим признакам.

DNS – система доменных имен. Основная ее задача – связать доменные имена с IP адресами. Платформой является 13 специальных компьютером – корневых серверов, которые содержат IP адреса всех зарегистрированных TLD.

Кроме корневых серверов по всему Интернету существуют тысячи подчиненных им серверов DNS. Каждый сервер отвечает за зону, т.е. свою часть дерева доменных имен.

Ответственность по доменам более низких уровней делегируется другим серверам DNS.

Доменомназывается группа ресурсов информационной сети, которая управляется одним сервером – сетевым узлом.

Доменное имятакже представляет собой уникальный адрес компьютера в сети, но для удобства пользователей вместо цифр в нем используются слова, разделенные точками.

Доменное имя состоит из нескольких иерархически расположенных доменов. А под доменом понимают просто поименованный набор хостов (хостами называют подключенные к Интернет компьютеры и некоторые сетевые устройства).

Домены объединяют компьютеры по территориальному или организационному признаку.

Правила составления доменных имен менее жесткие, чем при назначении IP, но и здесь есть определенная структура. Так, доменное имя сервера ЗНТУ www.zntu.edu.ua включает в себя следующие части:

· www – префикс, указывающий на принадлежность сервера «Всемирной паутине» World Wide Web, необязателен, но широко распространен в доменных именах.

· zntu – домен третьего уровня, в данном случае содержащий имя организации;

· edu – домен второго уровня – в данном случае один из организационных доменов Украины, объединяющий все образовательные организации страны.

· ua – домен верхнего уровня – в данном случае территориальный домен Украины.

Таким образом, если исключить префикс www, доменное имя записывается «снизу вверх» от более локального домена к более глобальному. Другие примеры доменных имен:

www.city.zp.ua — информационный сервер Запорожья;

http://www.google.dp.ua — каталог ресурсов Интернет;

http://www.abbyy.com.ua — сайт компании АБИ-Украина.

Доменные имена преобразуются в понятные для компьютера IP-адреса при помощи системы DNS (Domain Name System), состоящей из иерархии DNS-серверов. На вершине иерархии стоят серверы корневой зоны с именами a.root_server.net, b.root_server.net и т.д., дублирующие информацию друг друга.

Локальный сервер, получив от машины-клиента запрос на соединение с некоторым адресом, передает его локальному DNS-серверу, который выделит из запроса доменное имя и либо найдет соответствующий IP у себя в базе данных, либо обратится к одному из серверов корневой зоны.

Последний вернет указатель на DNS-сервер известного ему домена, в который входит запрошенный адрес, и полностью устранится из процесса. Такие вложенные запросы могут повторяться, причем, каждый раз DNS-сервер будет обращаться к серверу имен все более низкого уровня.

Только после окончания этого многоступенчатого процесса DNS-сервер вернет преобразованный адрес компьютеру, сделавшему запрос, и пользователь сможет, наконец, увидеть на своем мониторе, что же за информация расположена по введенному им адресу.

Доменные имена не только более понятны, чем IP-адреса, но и более универсальны, их проще переназначить и использовать повторно, а один хост, имеющий один IP-адрес, вполне может иметь несколько доменных имен. В Сети существуют службы, предоставляющие бесплатно или за плату доменные имена третьего и второго уровня.

Примерами доменов, выделенных по тематическим признакам, являются:

com (commercial) – все коммерческие предприятия в Internet,

edu (educational) – все учебные заведения,

gov (government) – правительственные учреждения разных стран,

org (organization) – некоммерческие организации.

net – сетевые организации

int – международные организации

mil – военные узлы в США

biz— коммерческие компании и проекты;

info — учреждения, для которых информационная деятельность является ведущей (библиотеки, средства массовой информации);

pro — сайты сертифицированных профессионалов таких областей деятельности как врачи, юристы, бухгалтеры, а также представители других профессий, в которых персональный аспект имеет ключевое значение (pro от слов profession, professional);

aero — компании и персоны, непосредственно связанные с авиацией;

coop — корпорации, использующие совместный капитал (от слова cooperative);

museum — только музеи, архивы, выставки;

name — персональные сайты, состоящие, как правило, из двух частей: имени и фамилии: www.bruce.edmonds.name.

Примеры географических доменов:

jp (Japan) – Япония,

uk (United Kingdom) – Великобритания,

nl (Netherlands) – Нидерланды,

ca (Canada) – Канада

su — СССР

В настоящее время зарегистрировано: в COM ~20000000, в NET ~7000000, в DE~6000000, в RU ~200000 доменных имен. Средняя длина доменного имени в разных доменах отличается (COM — 12 символов, RU — 7 символов).

Домены COM и NET используют в основном в странах, где английский язык является родным языком, и использование в домене длинного полного наименования организации или полного текста товарного знака не приводит у пользователей ни к каким трудностям.

Россияне в домене RU пытаются использовать транслитерированные аббревиатуры от названий организаций, что не всегда бывает удобно, т.к. однозначно транслетирировать русские буквы получается очень редко.

Русскоязычные домены (адреса). Уже сейчас пользователи начали пытаться использовать в качестве адресов русские слова. Такие адреса широко используются в рекламе (точка.ru, куда.ru, газета.ru, утро.ru). Иногда попадаются варианты, даже работающие в интернете: охрана.ru (латинскими буквами).

Появление возможности использования в адресе символов кириллицы дает новые возможности в формировании узнаваемых и легко запоминающихся адресов (дикая-орхидея.ru, квартирный-вопрос.ru). По мере проникновения Интернет в нашу жизнь русскоязычные адреса будут все более и более востребованы.

Появление возможности использования русскоязычной адресации является закономерным продолжением русификации российских информационных ресурсов.

После введения в домене RU возможности регистрации доменов на русском языке предположительно в течение года 10 — 25% регистраций от общего количества доменов в домене RU, далее по мере расширения аудитории пользователей Интернет преобладание должно перейти на сторону русскоязычных доменов.

Доменное имя однозначно определяет хост в Интернете и строится по иерархическому принципу. В вершине иерархии находится корневой домен, который не имеет имени и обозначается «.». От корня доменного имени следуют домены верхнего (первого) уровня (Top Level Domain, TLD), которые характеризуют род организации.

В настоящее время существует более 200 TLD. Внутри TLD обязательно располагается домен второго уровня. Он означает город, штат или организацию (например, microsoft.com). Если на втором уровне находится обозначение географического объекта, то имя будет содержать домен 3го уровня (ink.nsk.su – узел в Новосибирске).

Домен, который подчинен другому домену, называется субдомином.

IANA — The Internet Assigned Numbers Authority (Управление назначением адресов в Internet) — организация, осуществляющая контроль над распределением доменов первого уровня. Сервер http://www.iana.org/ .

Базу можно посмотреть по адресу whois.iana.org.

Через WWW-интерфейс http://whois.iana.org/

Рисунок 10 – Дерево имен DNS

Не нашли то, что искали? Воспользуйтесь поиском:

Источник: https://studopedia.ru/11_48914_sistema-domennih-imen.html

Как это работает: Пара слов о DNS

Доменная система имен
Являясь провайдером виртуальной инфраструктуры, компания 1cloud интересуется сетевыми технологиями, о которых мы регулярно рассказываем в своем блоге. Сегодня мы подготовили материал, затрагивающий тему доменных имен. В нем мы рассмотрим базовые аспекты функционирования DNS и вопросы безопасности DNS-серверов.

/ фото James Cridland CC

Изначально, до распространения интернета, адреса преобразовывались согласно содержимому файла hosts, рассылаемого на каждую из машин в сети. Однако по мере её роста такой метод перестал оправдывать себя – появилась потребность в новом механизме, которым и стала DNS, разработанная в 1983 году Полом Мокапетрисом (Paul Mockapetris). Система доменных имен (DNS) является одной из фундаментальных технологий современной интернет-среды и представляет собой распределенную систему хранения и обработки информации о доменных зонах. Она необходима, в первую очередь, для соотнесения IP-адресов устройств в сети и более удобных для человеческого восприятия символьных имен.

DNS состоит из распределенной базы имен, чья структура напоминает логическое дерево, называемое пространством имен домена. Каждый узел в этом пространстве имеет свое уникальное имя.

Это логическое дерево «растет» из корневого домена, который является самым верхним уровнем иерархии DNS и обозначается символом – точкой.

А уже от корневого элемента ответвляются поддоменые зоны или узлы (компьютеры).

Пространство имен, которое сопоставляет адреса и уникальные имена, может быть организовано двумя путями: плоско и иерархически. В первом случае имя назначается каждому адресу и является последовательностью символов без структуры, закрепленной какими-либо правилами. Главный недостаток плоского пространства имен – оно не может быть использовано в больших системах, таких как интернет, из-за своей хаотичности, поскольку в этом случае достаточно сложно провести проверку неоднозначности и дублирования. В иерархическом же пространстве имен каждое имя составлено из нескольких частей: например, домена первого уровня .ru, домена второго уровня 1cloud.ru, домена третьего уровня panel.1cloud.ru и т. д. Этот тип пространства имен позволяет легко проводить проверки на дубликаты, и при этом организациям не нужно беспокоиться, что префикс, выбранный для хоста, занят кем-то другим – полный адрес будет отличаться.
Давайте взглянем, как происходит сопоставление имен и IP-адресов. Предположим, пользователь набирает в строке браузера www.1cloud.ru и нажимает Enter. Браузер посылает запрос DNS-серверу сети, а сервер, в свою очередь, либо отвечает сам (если ответ ему известен), либо пересылает запрос одному из высокоуровневых доменных серверов (или корневому).

Затем запрос начинает свое путешествие – корневой сервер пересылает его серверу первого уровня (поддерживающего зону .ru).

Тот – серверу второго уровня (1cloud) и так далее, пока не найдется сервер, который точно знает запрошенное имя и адрес, либо знает, что такого имени не существует. После этого запрос начинает движение обратно.

Чтобы наглядно объяснить, как это работает, ребята из dnssimple подготовили красочный комикс, который вы можете найти по ссылке.

Также стоит пару слов сказать про процедуру обратного сопоставления – получение имени по предоставленному IP-адресу. Это происходит, например, при проверках сервера электронной почты. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя.
Когда вы вводите адрес интернет-ресурса в строку браузера, он отправляет запрос на DNS-сервер отвечающий за корневую зону. Таких серверов 13 и они управляются различными операторами и организациями. Например, сервер a.root-servers.net имеет IP-адрес 198.41.0.4 и находится в ведении компании Verisign, а e.root-servers.net (192.203.230.10) обслуживает НАСА. Каждый из этих операторов предоставляет данную услугу бесплатно, а также обеспечивает бесперебойную работу, поскольку при отказе любого из этих серверов станут недоступны целые зоны интернета. Ранее корневые DNS-серверы, являющиеся основой для обработки всех запросов о доменных именах в интернете, располагались в Северной Америке. Однако с внедрением технологии альтернативной адресации они «распространились» по всему миру, и фактически их число увеличилось с 13 до 123, что позволило повысить надёжность фундамента DNS.

Например, в Северной Америке находятся 40 серверов (32,5%), в Европе – 35 (28,5%), еще 6 серверов располагаются в Южной Америке (4,9%) и 3 – в Африке (2,4%). Если взглянуть на карту, то DNS-серверы расположены согласно интенсивности использования интернет-инфраструктуры.

Атаки на DNS – далеко не новая стратегия хакеров, однако только недавно борьба с этим видом угроз стала принимать глобальный характер.

«В прошлом уже происходили атаки на DNS-сервера, приводящие к массовым сбоям.

Как-то из-за подмены DNS-записи в течение часа для пользователей был недоступен известный всем сервис , – рассказывает Алексей Шевченко, руководитель направления инфраструктурных решений российского представительства ESET.

– Но куда опаснее атаки на корневые DNS-сервера. В частности, широкую огласку получили атаки в октябре 2002 года, когда неизвестные пытались провести DDoS-атаку на 10 из 13 DNS-серверов верхнего уровня».

Протокол DNS использует для работы TCP- или UDP-порт для ответов на запросы. Традиционно они отправляются в виде одной UDP-датаграммы.

Однако UDP является протоколом без установления соединения и поэтому обладает уязвимостями, связанными с подделкой адресов – многие из атак, проводимых на DNS-сервера, полагаются на подмену.

Чтобы этому препятствовать, используют ряд методик, направленных на повышение безопасности.

Одним из вариантов может служить технология uRPF (Unicast Reverse Path Forwarding), идея которой заключается в определении того, может ли пакет с определенным адресом отправителя быть принят на конкретном сетевом интерфейсе. Если пакет получен с сетевого интерфейса, который используется для передачи данных, адресованных отправителю этого пакета, то пакет считается прошедшим проверку. В противном случае он отбрасывается.

Несмотря на то что, данная функция может помочь обнаружить и отфильтровать некоторую часть поддельного трафика, uRPF не обеспечивает полную защиту от подмены. uRPF предполагает, что прием и передача данных для конкретного адреса производится через один и тот же интерфейс, а это усложняет положение вещей в случае нескольких провайдеров. Более подробную информацию о uRPF можно найти здесь.

Еще один вариант – использование функции IP Source Guard. Она основывается на технологии uRPF и отслеживании DHCP-пакетов для фильтрации поддельного трафика на отдельных портах коммутатора. IP Source Guard проверяет DHCP-трафик в сети и определяет, какие IP-адреса были назначены сетевым устройствам. После того как эта информация была собрана и сохранена в таблице объединения отслеживания DHCP-пакетов, IP Source Guard может использовать ее для фильтрации IP-пакетов, полученных сетевым устройством. Если пакет получен с IP-адресом источника, который не соответствует таблице объединения отслеживания DHCP-пакетов, то пакет отбрасывается.

Также стоит отметить утилиту dns-validator, которая наблюдает за передачей всех пакетов DNS, сопоставляет каждый запрос с ответом и в случае несовпадения заголовков уведомляет об этом пользователя. Подробная информация доступна в репозитории на GitHub.

Система доменных имён разработана в еще 80-х годах прошлого века и продолжает обеспечивать удобство работы с адресным пространством интернета до сих пор. Более того, технологии DNS постоянно развиваются, например, одним из значимых нововведений недавнего времени стало внедрение доменных имен на национальных алфавитах (в том числе кириллический домен первого уровня.рф). Постоянно ведутся работы по повышению надежности, чтобы сделать систему менее чувствительной к сбоям (стихийные бедствия, отключения электросети и т. д.), и это очень важно, поскольку интернет стал неотъемлемой частью нашей жизни, и «терять» его, даже на пару минут, совершенно не хочется.

Кстати, компания 1cloud предлагает своим пользователям VPS бесплатную услугу «DNS-хостинг» – инструмент, упрощающий администрирование ваших проектов за счет работы с общим интерфейсом для управления хостами и ссылающимися на них доменами.

О чем еще мы пишем:

Источник: https://habr.com/post/309018/

Как работает DNS (domain name system)?

Доменная система имен

DNS (domain name system) — это система, обеспечивающая работу привычных нам доменных имен сайтов. Связь между устройствами в сети Интернет осуществляется по IP адресам, например: «192.64.147.209». Однако, запомнить IP адреса сложно, поэтому были придуманы удобные для человека доменные имена, например: «google.com».

Компьютер / сервер не хранит таблицу соответствия доменов и их IP адресов. Точнее, не хранит всю таблицу, а временно запоминает данные для часто используемых доменов. Когда в браузере вводится домен сайта, компьютер автоматически узнает его IP адрес, и отправляет по нему запрос. Этот процесс называется «разрешение адреса домена» (domain resolving).

Разберемся, из чего состоит система DNS, и как она работает.

Как работает DNS

Система доменных имен состоит из следующих компонентов:

Иерархическая структура доменных имен:

  • Доменные зоны верхнего уровня (первого уровня) – например: «ru», «com», или «org». Они включают в себя все доменные имена, входящие в эту зону. В любую доменную зону может входить неограниченное количество доменов.
  • Доменные имена (доменные зоны второго уровня) – например: «google.com» или «yandex.ru». Т.к. система доменных имен является иерархичной, то «yandex.ru» можно также назвать поддоменом вышестоящей зоны «ru». Поэтому, правильнее указывать именно уровень домена. Однако, на практике, доменную зону любого уровня называют просто «доменом».
  • Поддомены (доменные зоны третьего уровня) – например: «api.google.com» или «mail.yandex.ru». Могут быть доменные зоны 4, 5 уровней и так далее.

Обратите внимание, что «www.gооgle.com» и «google.com» — это, фактически, разные домены. Надо не забывать указывать А-записи для каждого из них.

DNS сервер или NS (name server) сервер – поддерживает (обслуживает) доменные зоны, которые ему делегированы. Он непосредственно хранит данные о ресурсных записях для зоны.

Например, что сервер, на котором находится сайт «example.ru», имеет IP адрес «1.1.1.1». DNS сервер отвечает на все запросы, касательной этих доменных зон.

Если ему приходит запрос о домене, который ему не делегирован, то он спрашивает ответ у других DNS серверов.

DNS записи (ресурсные записи) – это набор записей о доменной зоне на NS сервере, которые хранят данные необходимые для работы DNS. На основании данных в этих записях, DNS сервер отвечает на запросы по домену. Список записей, и их значение, вы можете найти ниже. 

Корневые DNS сервера (на данный момент их 13 во всем мире) хранят данные о том, какие DNS сервера обслуживают зоны верхнего уровня.

DNS сервера доменных зон верхнего уровня — хранят информацию, какие NS сервера обслуживают тот или иной домен.

Для того, чтобы узнать IP адрес, домена компьютер / сервер обращается к DNS-серверу, который указан у него в сетевых настройках. Обычно, это DNS сервер Интернет провайдера. DNS сервер проверяет делегирован домен ему или нет. Если да, то сразу отвечает на запрос.

Если нет, то запрашивает информацию о DNS сервере, обслуживающем этот домен, у корневого сервера, и затем у сервера доменных зон верхнего уровня.

После этого, непосредственно делает запрос на NS сервер, обслуживающий этот домен, и транслирует ответ вашему компьютеру / серверу.

Кэширование данных используется на всех устройствах (компьютерах, северах, DNS серверах). То есть, они запоминают ответы на последние пришедшие к ним запросы. И когда приходит аналогичный запрос, они просто отвечают то же самое, что и в предыдущий раз.

Например, если вы в браузере открыли сайт google.com  первый раз после включения, то компьютер сделает DNS запрос, а при последующих запросах будет брать данные, которые ему были присланы DNS сервером в первый раз.

Таким образом, для популярных запросов не надо каждый раз проходить всю цепочку и генерировать запросы к NS серверам. Это значительно снижает нагрузку на них, и увеличивает скорость работы. Однако, как результат, обновление данных в системе DNS происходит не сразу.

При изменении IP адреса домена, информацию об этом будет расходиться по сети Интернет от 1 до 24 часов.

Регистрация/выделение доменов

У каждой доменной зоны первого уровня есть своя организация, которая устанавливает правила выделения доменов и обеспечивает работу этой зоны. Например, для доменных зон RU, SU и РФ – это Координационный центр национального домена сети Интернет https://cctld.ru. Эти организации устанавливают правила работы и технические требования к регистраторам доменов.

Регистраторы доменов – это компании, которые непосредственно регистрируют новые домены в рамках доменной зоны первого уровня для конечных клиентов. Организуют техническое взаимодействие с реестром доменных имен. В их личном кабинете владелец домена настраивает, какой DNS сервер будет поддерживать домен.

Администратор домена (владелец) – лицо, которому непосредственно принадлежат права на доменное имя. Он может управлять доменом, от него регистратор принимает заявки на внесение изменений.

Делегирование домена – указание для него DNS серверов, которые будут его обслуживать.

Основные DNS записи

Существуют следующие основные DNS (ресурсные) записи:

А – содержит информацию об IPv4 адресе хоста (сервера) для домена. Например, 1.1.1.1.

ААА – содержит информацию об IPv6 адресе хоста (сервера) для домена. Например, 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d.

MX – содержит данные о почтовом сервере домена. При этом указывается именно имя почтового сервера, например mail.example.com. Т.к. у домена может быть несколько почтовых серверов, то для каждого из них указывает приоритет. Приоритет задается числом от 0 до 65535. При этом «0» — это самый высокий приоритет. Принято по умолчанию для первого почтового сервера указывать приоритет «10».

TXT – дополнительная информация о домене в виде произвольного текста. Максимальная длина 255 символов. 

SRV – содержит информацию об имени хоста и номере порта, для определенных служб / протоколов в соответствии с  RFC 2782 http://www.rfc-editor.org/rfc/rfc2782.txt. Содержит следующие поля:

  • _Service._Proto.Name ( Пример: _jabber._tcp.jabber ), где:
    • Service: название службы (пример: ldap, kerberos, gc и другие).
    • Proto: протокол, при помощи которого клиенты могут подключиться к данной службе (пример: tcp, udp).
    • Name: имя домена, в котором размещена данная служба.
  • Приоритет – также как для MX записи указывает приоритет для данного сервера. Задается числом от 0 до 65535. При этом «0» — это самый высокий приоритет.
  • Вес – Относительный вес для распределения нагрузки между серверами с одинаковым приоритетом. Задается целым числом.
  • Порт – номер порта, на котором располагается служба на данном сервере.
  • Назначение — доменное имя сервера, предоставляющего данную службу.

NS – имя DNS сервера, поддерживающего данный домен.

CNAME (каноническое имя хоста / canonical name) – используется для перенаправления на другое доменное имя. Например, имя сервера изменилось с example.com на new.com. В таком случае в поле «Alies» для записи cname надо указать — example.com, а в поле «Canonical name» — new.com. Таким образом, все запросы на example.com автоматически будут перенаправлены на new.com.

SOA – базовая запись о домене. В ней хранится само имя домена и время жизни данных о домене  — TTL. TTL (time-to-live) определяет какой период времени DNS сервер получив информацию о зоне будет хранить ее у себя в памяти (кэшировать). Рекомендуемое значение 86400 – 1 день. Значение указывается в секундах.

Источник: https://NeoServer.ru/kak-rabotaet-dns

Доменная система имён

Доменная система имен

Цифровыеадреса – и это стало понятно очень скоро– хороши при общении компьютеров, а длялюдей предпочтительнее имена. Неудобноговорить, используя цифровые адреса, иещё труднее запоминать их. Поэтомукомпьютерам в Internetприсвоены имена. Все прикладные программыInternetпозволяют использовать имена системвместо числовых адресов компьютеров.

Конечно,использование имён имеет свои недостатки.Во-первых, нужно следить, чтобы одно ито же имя не было случайно присвоенодвум компьютерам. Кроме того, необходимообеспечить преобразование имён вчисловые адреса, ведь имена хороши длялюдей, а компьютеры всё-таки предпочитаютчисла. Вы можете указать программе имя,но у неё должен быть способ поиска этогоимени и преобразования его в адрес.

Наэтапе становления, когда Internetбыла маленькой общностью, использоватьимена было легко. Центр сетевой информации(NIC)создавал специальную службу регистрации.Вы посылали заполненный бланк (конечно,электронными средствами), и NICвносил Вас в свой список имён и адресов.

Этот файл, называемый hosts(список узловых компьютеров), регулярнорассылался на все компьютеры сети. Вкачестве имён использовались простыеслова, каждое из которых обязательноявлялось уникальным.

Когда Вы указывалиимя, Ваш компьютер искал его в этом файлеи подставлял соответствующий адрес.

КогдаInternetразрослась, к сожалению, размер этогофайла тоже увеличился. Стали возникатьзначительные задержки при регистрацииимён, поиск уникальных имён усложнился.

Кроме того, на рассылку этого большогофайла на все указанные в нём компьютерыуходило много сетевого времени. Сталоочевидно, что такие темпы роста требуютналичия распределённой интерактивнойсистемы.

Эта система называется «доменнойсистемой имён» (DomainNameSystem,DNS).

Структура доменной системы

Доменнаясистема имён представляет собой методназначения имён путём возложения наразные группы пользователей ответственностиза подмножества имён. Каждый уровень вэтой системе называется доменом.Домены отделяются один от другоготочками:

ux.cso.uiuc.edu

nic.ddn.mil

yoyodyne.com

Вимени может быть любое число доменов,но более пяти встречается редко. Каждыйпоследующий домен в имени (если смотретьслева направо) больше предыдущего. Вимени ux.cso.uiuc.eduэлементux–имя реального компьютера с IP- адресом. (См. рисунок).

Рисунок3.Структура доменного имени.

Имяэтого компьютера создано и курируетсягруппой cso,которая есть не что иное, как отдел, вкотором стоит этот компьютер. Отдел csoявляется отделом университета штатаИллинойс (uiuc).

uiucвходитв национальную группу учебных заведений(edu).Таким образом, домен eduвключает в себя все компьютеры учебныхзаведений США; домен uiuc.

eduвсекомпьютеры университета штата Иллинойси т.д.

Каждаягруппа может создавать и изменять всеимена, находящиеся под её контролем.Если uiucрешит создать новую группу и назватьеё ncsa,она может ни у кого не спрашиватьразрешения.

Всё, что нужно сделать –это добавить новое имя в свою частьвсемирной базы данных, и рано или позднотот, кому нужно, узнает об этом имени(ncsa.uius.edu).

Аналогичным образом csoможет купить новый компьютер, присвоитьему имя и включить в сеть, не спрашиваяни у кого разрешения. Если все группы,начиная с eduи ниже, будут соблюдать правила, иобеспечивать уникальность имён, тоникакие две системы в Internetне будут иметь одинакового имени.

У Васмогут быть два компьютера с именем fred,но лишь при условии, что они находятсяв разных доменах (например, fred.cso.uiuc.eduиfred.ora.com).

Легкоузнать, откуда берутся домены и именав организации типа университета илипредприятия. Но откуда берутся домены«верхнего уровня» типа edu?Они были созданы, когда была изобретенадоменная система. Изначально было шестьорганизационных доменов высшего уровня.

Таблица1.Первоначальные домены верхнего уровня.

Домен

Использование

1.

com

Коммерческие организации

2.

edu

Учебные заведения (университеты, средние школы и т.д.)

3.

gov

Правительственные учреждения (кроме военных)

4.

mil

Военные учреждения (армия, флот и т.д.)

5.

org

Прочие организации

6.

net

Сетевые ресурсы

КогдаInternetстала международной сетью, возникланеобходимость предоставить зарубежнымстранам возможность контроля за именаминаходящихся в них систем. Для этой целисоздан набор двухбуквенных доменов,которые соответствуют доменам высшегоуровня для этих стран. Поскольку ca–код Канады, то компьютер на территорииКанады может иметь такое имя:

hockey.guelph.ca

Общеечисло кодов стран – 300; компьютерныесети существуют приблизительно в 170 изних.

Окончательныйплан расширения системы присвоенияимён ресурсов в Internetбыл наконец-то объявлен комитетом IAHC(InternationalAdHocCommittee).2Согласно новым решениям, к доменамвысшего уровня, включающим сегодняcom,net,org,прибавятся:

  • firm – для деловых ресурсов Сети;

  • store – для торговли;

  • web – для организаций, имеющих отношение к регулированию деятельности в WWW;

  • arts – для ресурсов гуманитарного образования;

  • rec – игры и развлечения;

  • info – предоставление информационных услуг;

  • nom – для индивидуальных ресурсов, а также тех, кто ищет свои пути реализации, которые отсутствуют в приведённом убогом списке.

Крометого, в решениях IAHCсказано, что учреждается 28 уполномоченныхагентств по присвоению имён во всёммире.

Как заявлено, новая система позволитуспешно преодолеть монополию, котораябыла навязана единственным уполномоченным– компанией NetworkSolutions.

Все новые домены будут распределенымежду новыми агентствами, а прежниебудут отслеживаться совместно NetworkSolutionsи NationalScienceFoundationдо конца 1998 года.

Внастоящее время ежемесячно регистрируетсяпримерно 85 тысяч новых имён. Годоваяоплата имени составляет 50 долларов.Новые регистрационные агентства должныбудут представлять семь условныхгеографических регионов.

Для претендентовна роль агентств из каждого регионабудут устроены лотереи.

Компании,желающие участвовать в них, должнывнести вступительный взнос в размере20 тысяч долларов и иметь страховку насумму не менее 500 тысяч долларов наслучай неспособности справиться с рольюрегистратора доменных имён.

Источник: https://studfile.net/preview/400248/page:7/

Booksm
Добавить комментарий