Что такое DNS
DNS – система доменных имен, которая отвечает за сопоставление доменов с числовыми IP-адресами через сервера имен.
Когда интернет только начинал развиваться, то для связи между компьютерами использовали цифровые имена – IP-адреса, но когда их становилось все больше, то решили использовать более понятные текстовые имена – домены.
Так как изначально доменов было очень мало, то их имена и IP соответствия хранились в специальном файле, который копировали между собой. Но когда их число стало расти, то начали искать решения хранения информации о доменах и их IP-адресах.
Для этого и была создана система DNS, которая отвечала за эту задачу. Что такое DNS-сервер, читайте в этой статье.
DNS-server – что это такое? Зачем нужна технология DNS и как она работает
DNS-сервер — это огромное хранилище данных. Роль DNS сервера — это хранить информацию о доменах, а именно адреса, на которых они размещаются.
Также DNS-сервера могут кешировать DNS-записи с других серверов для распределения нагрузки. Как это работает? К примеру, когда Вы вводите в адресной строке Вашего браузера имя сайта, браузер делает запрос к DNS-серверу и получает IP-адрес на котором размещен данный сайт и открывает сайт с этого IP. Это основное и главное из того, что делает DNS-сервер.
Типы DNS-записей и как ими управлять
Основная задача DNS-сервера — это выдать IP-адрес сервера, где находится сайт. Но помимо этого есть еще множество DNS-записей, которые отвечают за другие сервисы. Ниже в таблице приведена краткая информация о DNS-записях.
| DNS Record | Описание |
|---|---|
| A | Указывает IPv4 адрес сервера, где размещен домен |
| AAAA | Указывает IPv6 адрес сервера, где размещен домен |
| CNAME | Перенаправляет домен на другой домен |
| PTR | Преобразует адрес IPv4 или IPv6 в доменное имя |
| NS | Именной сервер, ответственный за домен |
| MX | Указывает почтовый сервер, ответственный за домен |
| SOA | Технические данные о домене |
| TXT | Текстовая запись о домене |
| CAA | DNS-запись, предназначенная для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного домена |
| SRV | Указывает имя хоста и номер порта серверов для определенных служб, например SIP. |
Ранее все записи управлялись путем внесения записей в файл DNS-зоны с помощью текстового редактора.
Также были роли Primary и Secondary сервера, с помощью которых можно было делегировать управление DNS-записями другим серверам DNS. В случае допущения ошибки в записи, домен переставал работать. Основной ошибкой всегда была упущенная точка в конце записи.
На сегодняшний день как правило управление DNS-записями сводится к удобной панели управления, которая подсказывает как правильно внести запись, чтобы не допустить ошибку.
Что такое DNS-сервер
Напомню, что основная задача DNS это сопоставление имени и IP адреса.
Соответственно каждый домен имеет свою индивидуальную запись.
Это своего рода инструкция для домена, где он обслуживается,
куда почту отправлять, каким центрам сертификации разрешено сертификаты выдавать и так далее.
Geo-DNS. Что такое ДНС-адрес сервера
DNS сервер — это первый узел, который принимает запрос от посетителя и возвращает IP-адрес сервера. После этого браузер посетителя посылает HTTP запрос на сервер приложения и получает ответ.
Как правило используется один или несколько IP адресов для одной записи. В случае использования нескольких адресов, DNS сервер возвращает ответы по кругу, используя round robin алгоритм.
Поэтому для балансировки нагрузки часто используется именно такой метод. Но что если хочется распределять нагрузку не просто по разным IP адресам, а еще и по разным странам?
В этом случае поможет Geo-DNS.
Geo-DNS – это надстройка или часть программного обеспечения DNS сервера, способная выдавать разные DNS ответы в зависимости от того, откуда пришел запрос, с какой страны. Как правило в этом случае используется база данных MaxMind, в которой хранится информация о том какой IP к какой стране относится.
Такая технология позволяет распределять нагрузку и ускорять работу сайтов. Например у сайта есть 3 сервера: Украина, Европа и США.
С помощью GeoDNS можно создать запись, с помощью которой клиенты из Украины будут попадать на сервер в Украине, клиенты из США будут попадать на свой сервер, а европейские клиенты будут попадать на свой сервер в Европе.
Таким образом минимизируется отклик к сайту, так как сайт будет открываться от ближайшего сервера.
Атаки на DNS-серверы и способы защиты
Основное, для чего используется DNS – это отвечать на запросы,
а не подвергать их сомнению, поэтому для передачи данных используется протокол UDP, что и является одной из причин, по которой сервера DNS уязвимы для атак.
Есть два основных транспортных протокола передачи данных TCP и UDP.
Основные отличия TCP от UDP:
- TCP устанавливает соединение между компьютерами перед передачей данных.
- UDP отправляет данные на конечный компьютер, не проверяя доступен ли он.
В результате чего у DNS есть потенциал для кибератак.
Как правило есть 3 основные типы атак на DNS.
- Нарушение доступности DNS сервера, цель – не дать получить доступ к сайту.
- Подмена DNS ответов, цель перенаправить посетителя на сервер злоумышленника.
- Перехват проходящего трафика, цель такая же как и в пункте 2, также иногда используют
данный метод для внедрения цензуры в интернете.
Рассмотрим основные атаки и способы защиты от них:
DNS Amplification (DNS усиление), суть усиления заключается в том,
что злоумышленник посылает короткий запрос уязвимому DNS-серверу, например запросить все DNS записи о каком-то домене, а тот в свою очередь уже отвечает значительно большим по размеру пакетом.
Если же подменить IP в пакете на компьютер жертвы, то уязвимый DNS-сервер будет отправлять в большом количестве пакеты компьютеру-жертве, пока полностью не парализует его работу.
DNS spoofing, также известный как повреждение кэша DNS.
Используя уязвимые места в DNS сервере, злоумышленник пытается получить контроль над сервером.
Получая доступ к кешу DNS он его пытается изменить, тем самым направляет посетителей сайта на фишинговый сайт. Основным риском повреждения DNS является кража данных.
DNS flood – довольно простой тип атаки, когда злоумышленник отправляет множество DNS-запросов на DNS сервер, переполняя сервер запросами и потребляя его ресурсы.
Такой тип атаки как правило приводит к тому, что DNS сервер перестает отвечать на запросы и тем самым посетители перестают получать ответы от DNS, а следовательно не могут попасть на свои сайты.
DNS hijacking – перехват DNS, также называют перенаправлением DNS. Суть атаки сводится к тому, чтобы DNS запросы не корректно возвращались, тем самым перенаправляя посетителя на другой ресурс.
Для проведения атаки злоумышленники либо устанавливают вредоносное ПО на компьютеры пользователей, захватывают маршрутизаторы, либо перехватывают или взламывают DNS сервера.
Основные методы защиты от DNS атак – это грамотная настройка DNS сервера и использование всегда стабильного ПО с всеми патчами безопасности.
Также последние годы один из популярных методов защиты от подмены DNS набирает популярности DNSSEC.
В основе данного протокола лежит метод цифровой подписи ответов на запросы DNS. Это позволяет убедиться, что ответ пришел именно от корректного DNS сервера и подменить ответ уже не выйдет.
Заключение
Теперь вы знаете больше о том, для чего нужен DNS-сервер. Напоследок хотелось бы отметить, что от работы DNS-серверов целиком зависит работа сайтов.
Если DNS не даст ответ на запрос, то и сайт не загрузится, независимо от того работает ли сервер где размещен сайт.
Поэтому работа DNS является чуть ли не самым главным фактором в работе сайтов.
В своей работе мы используем 4 сервера DNS, географически размещенных в разных странах, что положительно влияет на работу сайтов. Даже при выходе из строя одного или двух серверов, Ваши сайты будут продолжать работать, а наши специалисты круглосуточно мониторят их работу и делают все, чтобы Ваши сайты работали стабильно и 24/7.
Теперь вы знаете, что такое ДНС сервер, и как он работает.
Также Вы всегда можете организовать собственный DNS, заказав у нас сервер или VPS.
