Що таке DNS
DNS – система доменних імен, яка відповідає за зіставлення доменів із числовими IP-адресами через сервери імен.
Коли інтернет тільки починав розвиватися, то для зв’язку між комп’ютерами використовували цифрові імена – IP-адреси, але коли їх ставало дедалі більше, то вирішили використовувати більш зрозумілі текстові імена – домени.
Так як спочатку доменів було дуже мало, то їх імена та IP відповідності зберігалися у спеціальному файлі, який копіювали між собою. Але коли їхня кількість почала зростати, то почали шукати рішення зберігання інформації про домени та їхні IP-адреси.
Для цього і було створено систему DNS, яка відповідала за це завдання. Що таке DNS-сервер, читайте в цій статті.
DNS-server – що це таке? Навіщо потрібна технологія DNS та як вона працює
DNS-сервер – це величезне сховище даних. Роль DNS сервера – це зберігати інформацію про домени, а саме адреси, на яких вони розміщуються.
Також DNS-сервери можуть кешувати DNS-записи з інших серверів для розподілу навантаження. Як це працює? Наприклад, коли Ви вводите в адресному рядку Вашого браузера ім’я сайту, браузер робить запит до DNS-сервера й отримує IP-адресу, на якій розміщений цей сайт, і відкриває сайт із цього IP. Це основне і головне з того, що робить DNS-сервер.
Типи DNS-записів та як ними керувати
Основне завдання DNS-сервера – це видати IP-адресу сервера, де розташований сайт. Але крім цього є ще безліч DNS-записів, які відповідають за інші сервіси. Нижче в таблиці наведено коротку інформацію про DNS-записи.
| DNS Record | Опис |
|---|---|
| A | Вказує IPv4 адресу сервера, де розміщено домен |
| AAAA | Вказує IPv6 адресу сервера, де розміщено домен |
| CNAME | Перенаправляє домен на інший домен |
| PTR | Перетворює адресу IPv4 або IPv6 на доменне ім’я |
| NS | Іменний сервер, відповідальний за домен |
| MX | Вказує поштовий сервер, відповідальний за домен |
| SOA | Технічні дані про домен |
| TXT | Текстовий запис про домен |
| CAA | DNS-запис, призначений для визначення центрів сертифікації, яким дозволено випуск SSL/TLS-сертифікатів для певного домену |
| SRV | Вказує ім’я хоста та номер порту серверів для певних служб, наприклад, SIP. |
Раніше всі записи керувалися шляхом внесення записів у файл DNS зони за допомогою текстового редактора.
Також були ролі Primary та Secondary сервера, за допомогою яких можна було делегувати управління DNS записами іншим серверам DNS. У разі помилки в записі, домен переставав працювати. Основною помилкою завжди була втрачена точка наприкінці запису.
На сьогодні, як правило, управління DNS-записами зводиться до зручної панелі управління, яка підказує, як правильно внести запис, щоб не припуститися помилки.
Що таке DNS-сервер
Нагадаю, що основне завдання DNS – це зіставлення імені та IP адреси.
Відповідно, кожен домен має свій індивідуальний запис.
Це свого роду інструкція для домену, де він обслуговується,
куди пошту відправляти, яким центрам сертифікації дозволено видавати сертифікати і так далі.
Geo-DNS. Що таке ДНС-адреса сервера
DNS сервер – це перший вузол, який приймає запит від відвідувача та повертає IP-адресу сервера. Після цього браузер відвідувача посилає HTTP запит на сервер програми та отримує відповідь.
Як правило, використовується одна або кілька IP адрес для одного запису. У разі використання кількох адрес, DNS сервер повертає відповіді по колу, використовуючи алгоритм round robin.
Тому для балансування навантаження часто використовується саме такий метод. Але якщо хочеться розподіляти навантаження не просто по різних IP адресах, а ще й по різних країнах?
В цьому випадку допоможе Geo-DNS.
Geo-DNS – це надбудова або частина програмного забезпечення DNS сервера, здатна видавати різні DNS відповіді залежно від того, звідки надійшов запит, з якої країни. Як правило в цьому випадку використовується база даних MaxMind, в якій зберігається інформація про те, якою IP до якої країни належить.
Така технологія дозволяє розподіляти навантаження та прискорювати роботу сайтів. Наприклад сайт має 3 сервери: Україна, Європа та США.
За допомогою GeoDNS можна створити запис, за допомогою якого клієнти з України потраплятимуть на сервер в Україні, клієнти зі США потраплятимуть на свій сервер, а європейські клієнти потраплятимуть на свій сервер у Європі.
Таким чином мінімізується відгук до сайту, оскільки сайт відкриватиметься від найближчого сервера.
Атаки на DNS-сервери та способи захисту
Основне, для чого використовується DNS – це відповідати на запити,
а не піддавати їх сумніву, тому для передачі даних використовується протокол UDP, що і є однією з причин, через які сервери DNS уразливі для атак.
Існують два основних транспортних протоколи передачі даних TCP і UDP.
Основні відмінності TCP від UDP:
- TCP встановлює з’єднання між комп’ютерами перед передачею даних.
- UDP відправляє дані на кінцевий комп’ютер, не перевіряючи чи доступний він.
В результаті чого DNS має потенціал для кібератак.
Як правило, є 3 основні типи атак на DNS.
- Порушення доступності сервера DNS, мета – не дати отримати доступ до сайту.
- Підміна DNS відповіді, мета перенаправити відвідувача на сервер зловмисника.
- Перехоплення трафіку, що проходить, мета така ж як і в пункті 2, також іноді використовують
Цей метод для впровадження цензури в Інтернеті.
Розглянемо основні атаки та способи захисту від них:
DNS Amplification (DNS посилення), суть посилення полягає в тому,
що зловмисник посилає короткий запит вразливому DNS-серверу, наприклад, запитати всі DNS записи про якийсь домен, а той у свою чергу вже відповідає значно більшим за розміром пакетом.
Якщо ж підмінити IP в пакеті на комп’ютер жертви, то вразливий DNS-сервер відправлятиме у великій кількості пакети комп’ютера-жертві, доки повністю не паралізує його роботу.
DNS spoofing, також відомий як пошкодження кешу DNS.
Використовуючи вразливі місця на сервері DNS, зловмисник намагається отримати контроль над сервером.
Отримуючи доступ до кешу DNS, він його намагається змінити, тим самим спрямовує відвідувачів сайту на фішинговий сайт. Основним ризиком пошкодження DNS є крадіжка даних.
DNS flood – досить простий тип атаки, коли зловмисник надсилає безліч DNS-запитів на DNS-сервер, переповнюючи сервер запитами і споживаючи його ресурси.
Такий тип атаки зазвичай призводить до того, що DNS сервер перестає відповідати на запити і тим самим відвідувачі перестають отримувати відповіді від DNS, а отже, не можуть потрапити на свої сайти.
DNS hijacking – перехоплення DNS, також називають перенаправленням DNS. Суть атаки зводиться до того, щоб DNS запити не коректно поверталися, перенаправляючи відвідувача на інший ресурс.
Для проведення атаки зловмисники або встановлюють шкідливе програмне забезпечення на комп’ютери користувачів, захоплюють маршрутизатори, або перехоплюють або зламують DNS сервери.
Основні методи захисту від DNS атак – це грамотне настроювання DNS сервера та використання завжди стабільного програмного забезпечення з усіма патчами безпеки.
Також останні роки один із популярних методів захисту від заміни DNS набирає популярності DNSSEC.
В основі даного протоколу лежить метод цифрового підпису відповіді запити DNS. Це дозволяє переконатися, що відповідь надійшла саме від коректного DNS сервера і підмінити відповідь вже не вийде.
Висновок
Тепер ви знаєте більше про те, для чого потрібен DNS-сервер. Насамкінець хотів би відзначити, що від роботи DNS серверів цілком залежить робота сайтів.
Якщо DNS не дасть відповіді на запит і сайт не завантажиться, незалежно від того чи працює сервер де розміщений сайт.
Тому робота DNS є чи не найголовнішим фактором у роботі сайтів.
У своїй роботі ми використовуємо 4 сервери DNS, географічно розміщені в різних країнах, що позитивно впливає на роботу сайтів. Навіть у разі виходу з ладу одного або двох серверів, Ваші сайти продовжуватимуть працювати, а наші фахівці цілодобово моніторять їхню роботу і роблять все, щоб Ваші сайти працювали стабільно і 24/7.
Тепер ви знаєте, що таке ДНС сервер і як він працює.
Також Ви завжди можете організувати власний DNS, замовивши у нас сервер або VPS.
