Система доменних імен

Систе́ма доме́нних іме́н (англ. Domain Name System, DNS) — ієрархічна розподілена система перетворення імені хоста (комп'ютера або іншого мережевого пристрою) в IP-адресу.

Кожен комп'ютер в Інтернеті має свою власну унікальну адресу — число, яке складається з чотирьох (у протоколі IPv4) або шістнадцяти (у протоколі IPv6) байтів. Оскільки запам'ятати десятки чи навіть сотні номерів — важка процедура, то всі (чи майже всі) машини мають імена, запам'ятати які (особливо якщо знати правила утворення імен) значно легше.

Уся система імен в Інтернеті — ієрархічна. Це зроблено для того, щоб не підтримувати одне централізоване джерело, а роздати владу на місця.

Повноцінне доменне ім'я (англ. FQDN - Fully Qualified Domain Name^[en]) машини можна розбити на дві частини — ім'я області-домену та власне ім'я машини. Наприклад, m30.example.org — повне доменне ім'я машини m30, яка перебуває у домені example.org.

За порядок у доменах, як правило, відповідає певний комп'ютер, користувачі-адміністратори якого слідкують за тим, щоб не було, наприклад, різних машин з однаковими ІР-адресами. Наприклад, відповідальність за область-домен example.org покладається на машину alpha.example.org Ця влада делегується зверху вниз від машини ns.example.net, яка, наприклад, відповідає за домен example.org. В свою чергу, відповідальність за область ua делегована машині зверху від так званих кореневих серверів (root server).

Всю цю систему можна уявити у вигляді перевернутого дерева. Список імен доменів верхнього рівня на сайті IANA. Повний список географічних областей, в основному, відповідає двобуквеним ISO-кодам країн і його можна знайти, наприклад, на WWW-сервері ISOC (http://www.isoc.org).

Необхідно розрізняти доменне ім'я, та поштову адресу. В поштовій адресі повинен бути знак «@», який в економіці має назву «комерційне at», а в електронній пошті — «равлик». Цей знак у поштовій адресі відокремлює ім'я поштової скриньки від доменного імені. Знак «@» вперше у 1971 році використав Рей Томлінсон, щоб відокремити імена користувача і комп'ютера, коли він відправив повідомлення з одного ДЕК-10 (Digital Equipment Corporation) комп'ютера на інший ДЕК-10. Обидва комп'ютери були розміщені поруч один з одним.

Коли мережа Інтернет була молода та невелика, таблиці відповідності імен та адрес зберігалися у звичайному текстовому файлі, який періодично просто розсилався всім учасникам електронною поштою. Після того, які кількість машин значно збільшилася, така схема перестала ефективно працювати і програмісти університету штату Каліфорнія в Берклі спроектували і написали програму BIND (Berkeley Internet Name Domain), яка відповідає на запити машин користувачів, які стосувалися імен та ІР-адресу.

Служба імен DNS (Domain Name System) — це розподілена база даних доволі простої структури. Для початкового знайомства можна вважати, що це кілька таблиць, у яких записано:

• яку ІР-адресу має машина з певним іменем;
• яке ім'я має машина з визначеною адресою;
• що це за комп'ютер і яка операційна система встановлена на ньому;
• куди потрібно направляти електронну пошту для користувачів цієї машини;
• які псевдоніми є у даної машини.

Для прикладу розглянемо випадок, коли користувач посилає пошту з машини example.com користувачу за адресою rozhik@example.org. При встановленні на машину протоколів TCP/IP системний адміністратор вказує ІР-адресу комп'ютера — найближчого серверу імен. Поштова програма подає цьому найближчому серверу запит: «Куди посилати пошту для example.org» Якщо найближчий сервер не може відповісти, то він, в свою чергу, посилає запит до більш «старшого» серверу. Нарешті, стає зрозумілим, що всю пошту для області example.org необхідно відправляти на машину alpha.example.org або relay2.example.net. Разом з цим відповіді містять ще адресу цієї машини. Поштова програма зв'язується з цим комп'ютером (використовуючи не ім'я, а адресу) та передає йому пошту. Всі ці переговори та відправка пошти, як правило, відбувається протягом кількох секунд і користувач не помічає цього. Якщо машина example.org недоступна то тоді пошта на час, в якій неможливо зв'язатися з машиною example.org (наприклад під час профілактики каналу зв'язку) чекає своєї черги на пересилку на машині relay2.example.net.

Це характерна для Internet-програм поведінка. Як правило, поштові програми подають доволі багато запитів службі DNS, і ці питання доволі складні. У більшості випадків у програмах користувачів намагаються дізнатися лише одне — яка ІР-адреса у машини з відповідним іменем. Зрозуміло, що всередині цієї системи імен існує маса нюансів, правил та хитрощів. Докладніше з ними можна ознайомитися в описах стандартів Internet або в спеціальних книгах.

Компанія «Хостмайстер» спільно з ICANN в Україні ввела у дію локальний кореневий сервер DNS, що містить інформацію про домени верхнього рівня. Сервер є «дзеркалом» одного з 13-кореневих серверів ICANN, відомого під назвою «L-root».

Як вже було відмічено, існує домен кореневого рівня, який позначається крапкою .. Наступний рівень ієрархії — це домени верхнього рівня. Вся структура служби DNS є ієрархічною. Існують домени першого, другого, третього, n-го рівнів.

Розглянемо доменне ім'я комп'ютера department.firma.isp.ua. Тут доменом першого рівня є ua, другого — isp, третього — firma, і четвертого — department.

Існує три основні типи серверів DNS, які відрізняються покладеними на них завданнями:

• основний сервер DNS;
• резервний (вторинний) сервер DNS;
• кешуючий сервер DNS.

Основний сервер DNS керує зоною повноважень. Якщо потрібно додати/видалити домен або вузол або якось інакше модифікувати зону, зміни потрібно проводити на основному сервері DNS. Через певний час, який залежить від налаштувань сервера, основний сервер передасть зону резервному серверу DNS. Дане явище називається трансфером зони.

Що ж до резервних серверів, то повинен бути хоч би один резервний сервер DNS. Тому є декілька причин: якщо клієнтів багато, то наявність резервного сервера DNS дозволить знизити навантаження на основний сервер DNS і прискорити доступ фізично віддалених від основного сервера клієнтів до бази даних доменних імен.

DNS володіє такими характеристиками:

• Розподільність адміністрування. Відповідальність за різні частини ієрархічної структури несуть різні люди або організації.
• Розподільність зберігання інформації. Кожен вузол мережі в обов'язковому порядку повинен зберігати тільки ті дані, які входять в його зону відповідальності та (можливо) адреси кореневих DNS-серверів.
• Кешування інформації. Вузол може зберігати деяку кількість даних не зі своєї зони відповідальності, для зменшення навантаження на мережу.
• Ієрархічна структура, в якій всі вузли об'єднані в дерево, і кожен вузол може або самостійно визначає роботу нижчестоящих вузлів, або делегувати (передавати) їх іншим вузлам.
• Резервування. За зберігання та обслуговування своїх вузлів (зон) відповідають (зазвичай) кілька серверів, розділені як фізично, так і логічно, що забезпечує збереження даних і продовження роботи навіть у разі збою одного з вузлів.

DNS важлива для роботи Інтернету, так як для з'єднання з вузлом необхідна інформація про його IP-адресу, а для людей простіше запам'ятовувати буквені (зазвичай осмислені) адреси, ніж послідовність цифр IP-адреси. У деяких випадках це дозволяє використовувати віртуальні сервери, наприклад, HTTP-сервери, розрізняючи їх по імені запиту. Спочатку перетворення між доменними та IP-адресами вироблялося з використанням спеціального текстового файлу hosts, який складався централізовано й автоматично розсилався на кожну з машин у своїй локальній мережі. З ростом Мережі виникла необхідність в ефективному, автоматизованому механізмі, яким і стала DNS.

DNS була розроблена Полом Мокапетрісом в 1983 році; оригінальний опис механізмів роботи містяться в RFC 882 і RFC 883. У 1987 публікація RFC 1034 і RFC 1035 змінила специфікацію DNS і скасувала RFC 882, RFC 883 і RFC 973 як застарілі.

Ключовими поняттями DNS є:

• Домен (англ. domain — область) — частина простору ієрархічних імен мережі Інтернет, що обслуговується групою серверів доменних імен (DNS-серверів) та централізовано адмініструється. DNS-сервери зберігають інформацію про вузли, імена яких належать домену і виконують трансляцію їхніх імен в адреси. Кожний домен має унікальне ім'я, а кожен комп'ютер, підключений до Інтернету, має, як правило, доменне ім'я. Домени мають між собою ієрархічні стосунки. Два домени, що розташовані на сусідніх рівнях ієрархії, називаються відповідно доменом вищого та нижчого рівнів. Домени найвищого (верхнього) рівня можуть бути сформовані за організаційним або географічним ознаками. Домени, сформовані за географічним ознаками, об'єднують вузли, що належать конкретній державі. За географічними ознаками об'єднуються в основному комп'ютери, що містяться на території США.
• Піддомен (англ. subdomain) — підлеглий домен (наприклад, wikipedia.org — піддомен домену org, а uk.wikipedia.org — домену wikipedia.org). Теоретично такий розподіл може досягати глибини в 127 рівнів, а кожна мітка може містити до 63 символів, поки загальна довжина разом з крапками не досягне 254 символів. Але на практиці реєстратори доменних імен використовують більш суворі обмеження. Наприклад, якщо у вас є домен виду mydomain.ua, ви можете створити для нього різні піддомени виду mysite1.mydomain.ua, mysite2.mydomain.ua і т. д.
• Ресурсний запис — одиниця зберігання і передачі інформації в DNS. Кожний ресурсний запис має ім'я (тобто прив'язаний до певного доменного імені, вузлу в дереві імен), тип і поле даних, формат і зміст якого залежить від типу.
• Зона — частина дерева доменних імен (включаючи ресурсні записи), що розміщується як єдине ціле на деякому сервері доменних імен (DNS-сервері, див. нижче), а частіше — одночасно на декількох серверах (див. нижче). Метою виділення частини дерева в окрему зону є передача відповідальності (див. нижче) за відповідний домен іншій особі або організації. Це називається делегуванням (див. нижче). Як зв'язкова частина дерева, зона всередині теж являє собою дерево. Якщо розглядати простір імен DNS як структуру із зон, а не окремих вузлів/імен, теж виходить дерево; виправдано говорити про батьківських і дочірніх зонах, про старших і підлеглих. На практиці, більшість зон 0-го і 1-го рівня ('.', ua, com, …) складаються з єдиного вузла, якому безпосередньо підпорядковуються дочірні зони. У великих корпоративних доменах (2-го і більше рівнів) іноді зустрічається утворення додаткових підпорядкованих рівнів без виділення їх у дочірні зони.
• Делегування — операція передачі відповідальності за частину дерева доменних імен іншій особі або організації. За рахунок делегування в DNS забезпечується розподільність, адміністрування та зберігання. Технічно делегування виражається у виділенні цієї частини дерева в окрему зону, і розміщенні цієї зони на DNS-сервері (див. нижче), керованому цією особою чи організацією. При цьому в батьківську зону включаються «склеюючі» ресурсні записи (NS і А), що містять покажчики на DNS-сервери дочірньої зони, а вся інша інформація, що належить до дочірньої зони, зберігається вже на DNS-серверах дочірньої зони.
• DNS-сервер — програма, призначена для відповідей на DNS-запити за відповідним протоколом. Також DNS-сервером можуть називати хост, на якому запущено відповідну програму.
• DNS-клієнт (від англ. Domain Name System-client — доменних імен система — клієнт) — програма або модуль в програмі, що забезпечує з'єднання із DNS-сервером для визначення IP-адреси по його доменному імені.
• Авторитетність (англ. authoritative) — ознака розміщення зони на DNS-сервері. Відповіді DNS-сервера можуть бути двох типів: авторитетні (коли сервер заявляє, що сам відповідає за зону) і неавторитетні (англ. Non-authoritative), коли сервер обробляє запит, і повертає відповідь інших серверів. У деяких випадках замість передачі запиту далі DNS-сервер може повернути вже відоме йому (за запитами раніше) значення (режим кешування).
• DNS-запит (англ. DNS query) — запит від клієнта (або сервера) до сервера. Запит може бути рекурсивним або нерекурсивний (див. Рекурсія).

Система DNS містить ієрархію DNS-серверів, відповідну ієрархії зон. Кожна зона підтримується як мінімум одним авторитетним сервером DNS (від англ. Authoritative — авторитетний), на якому розташована інформація про домен.

Ім'я та IP-адреса не тотожні — одна IP-адреса може мати безліч імен, що дозволяє підтримувати на одному комп'ютері безліч вебсайтів (це називається віртуальний хостинг). Зворотне теж справедливо — одному імені може бути зіставлено безліч IP-адрес: це дозволяє створювати балансування навантаження. Для підвищення стійкості системи використовується безліч серверів, що містять ідентичну інформацію, а в протоколі є засоби, що дозволяють підтримувати синхронність інформації, розташованої на різних серверах. Існує 13 кореневих серверів, їх адреси практично не змінюються.

Протокол DNS використовує для роботи TCP-або UDP-порт 53 для відповідей на запити. Традиційно запити та відповіді відправляються у вигляді однієї UDP дейтаграми. TCP використовується для AXFR-запитів.

Система імен DNS — це ієрархічна деревоподібна система. У цьому дереві існує корінь — він позначається «.» (root). Список кореневих серверів повинен бути у кожного сервера: він міститься у файлі named.са. Цей файл може називається і по-іншому — залежно від налаштувань сервера. Існує певна кількість доменів верхнього рівня. Найбільш відомі: com, gov, net, org і домени країн — ua, de, fr та ін.

Нехай користувач вводить у вікні браузера адресу http://server. Проте адресація в локальній мережі (так само як і в Інтернет) побудована на основі IP-протоколу. Тому для того, щоб встановити з'єднання з комп'ютером server комп'ютеру користувача необхідно знати його IP-адресу, тому операційна система користувача намагається перекодувати ім'я комп'ютера в IP-адресу. З цією метою вона спочатку використовує свої стандартні засоби (той же файл hosts), а потім звертається до служби DNS. Розглянемо тепер інтернет-адресу www.yahoo.com (насправді абсолютно неважливо це інтернет-адреса або адреса в локальній мережі — все те ж саме). Сервер DNS спочатку намагається вирішити ім'я даного комп'ютера, використовуючи свій власний кеш імен. Якщо необхідне ім'я комп'ютера в ньому відсутнє, то сервер DNS звертається до одного з кореневих серверів DNS.

Запит обробляється рекурсивно: кореневий сервер звертається до сервера, який відповідає за домен com, а той, у свою чергу, до сервера DNS домену yahoo.com. Сервер DNS домену yahoo.com повертає IP-адресу комп'ютера www — 64.58.76.222 або всі адреси, які зіставлені цьому імені (багато мережевих операційних систем, у тому числі і Linux, дозволяють одному імені зіставляти декілька IP-адрес). А офіційне ім'я комп'ютера www.yahoo.com (це його канонічне ім'я — про канонічні імена і як їх використовувати буде сказано нижче) — www.yahoo.akadns.net.

Нерекурсивна процедура:

1. DNS-клієнт звертається до кореневого DNS-сервера з вказівкою повного доменного імені;
2. DNS-сервер відповідає клієнту, вказуючи адресу наступного DNS-сервера, який виконує обслуговування домену верхнього рівня, заданого в наступній старшій частині імені;
3. DNS-клієнт виконує запит наступного DNS-сервера, який його надсилає до DNS-сервера потрібного піддомену і т. д., доти, доки не буде знайдено DNS-сервер, який повністю відповідає запитуваному імені IP-адреси. Сервер дає кінцеву відповідь клієнту.

Рекурсивна процедура:

1. DNS-клієнт запитує локальний DNS-сервер, який обслуговує піддомен, якому належить клієнт;
2. Далі, якщо локальний DNS-сервер відповідь знає, то повертає її клієнту, в протилежному випадку виконує ітеративні запити до кореневого сервера до тих пір, поки не отримає відповідь.

Після отримання відповіді сервер передає її клієнту. Таким чином, при рекурсивній процедурі клієнт фактично передоручає роботу власному серверу. Для прискорення пошуку IP-адрес DNS-сервери часто застосовують кешування (на час від годин до декількох днів) відповідей, які проходять через них.

Записи DNS, або Ресурсні записи (англ. Resource Records, RR) — одиниці зберігання і передачі інформації в DNS. Кожний ресурсний запис складається з таких полів:

• ім'я (NAME) — доменне ім'я, до якого прив'язана або яким «належить» даний ресурсний запис;
• TTL (Time To Live) — допустимий час зберігання даного ресурсного запису в кеші не відповідального DNS-сервера (вимірюється в секундах);
• тип (TYPE) ресурсного запису — визначає формат і призначення даного ресурсного запису;
• клас (CLASS) ресурсного запису; теоретично вважається, що DNS може використовуватися не тільки з TCP / IP, але і з іншими типами мереж, код в поле клас визначає тип мережі;
• довжина поля даних (RDLEN);
• поле даних (RDATA), формат та зміст якого залежить від типу запису.

Найбільш важливі типи DNS-записів:

• Запис A (address record) або запис адреси зв'язує ім'я хоста з адресою IP. Наприклад, запит A-запису на ім'я referrals.icann.org поверне його IP адресу — 192.0.34.164
• Запис AAAA (IPv6 address record) зв'язує ім'я хоста з адресою протоколу IPv6. Наприклад, запит AAAA-запису на ім'я K.ROOT-SERVERS.NET поверне його IPv6 адресу — 2001:7 fd :: 1
• Запис CNAME (canonical name record) або канонічний запис імені (псевдонім) використовується для перенаправлення на інше ім'я
• MX-запис (mail exchange) або поштовий обмінник вказує сервер(и) обміну поштою для даного домену.
• Запис NS (name server) вказує на DNS-сервер для даного домену.
• Запис PTR (pointer) або запис покажчика зв'язує IP хоста з його канонічним ім'ям. Запит в домені in-addr.arpa на IP хоста в reverse формі поверне ім'я (FQDN) даного хоста (див. Зворотний запит DNS). Наприклад, (на момент написання), для IP адреси 192.0.34.164: запит запису PTR 164.34.0.192.in-addr.arpa поверне його канонічне ім'я referrals.icann.org. З метою зменшення обсягу небажаної кореспонденції (спаму) багато серверів-одержувачів електронної пошти можуть перевіряти наявність PTR запису для хоста, з якого відбувається відправлення. У цьому випадку PTR запис для IP адреси повинна відповідати імені відправляючого поштового сервера, яким він представляється в процесі SMTP-сесії.
• Запис SOA (Start of Authority) або початковий запис зони вказує, на якому сервері зберігається еталонна інформація про даний домен, містить контактну інформацію особи, відповідальної за дану зону, таймінги (параметри часу) кешування зонної інформації та взаємодію DNS-серверів.
• SRV-запис (server selection) вказує на сервери для сервісів, використовується зокрема для Jabber і Active Directory.

Документ RFC 2606 (Reserved Top Level DNS Names — Зарезервовані імена доменів верхнього рівня) визначає назви доменів, які слід використовувати як приклади (наприклад, в документації), а також для тестування. Крім example.com, example.org і example.net, в цю групу також входять test, invalid і ін.

Доменне ім'я може складатися тільки з обмеженого набору ASCII символів, дозволяючи набрати адресу домену незалежно від мови користувача. ICANN затвердив засновану на Punycode систему IDNA, перетворюючи будь-який рядок в кодуванні Unicode в допустимий DNS набір символів.

Протокол DNS не містить вбудованих засобів, які дозволяють відрізнити відповідь від легітимного сервера від відповіді, надісланої зловмисником. Це дозволяє зловмиснику шляхом підробки відповідей DNS перенаправляти трафік на контрольовані хости. Цей недолік виправляється за допомогою DNSSEC.

Розмір DNS-запита може бути відносно невеликим (60-70 байтів), тоді як розмір відповідей при неправильній конфігурації сервера може досягати 1000—2000 байт. Зловмисник може підробити IP-адресу відправника у DNS-запиті, замінивши її на IP-адресу хоста, що атакується (хост-жертва). Відповідь на такий підроблений DNS-запит надійде не зловмиснику, а до хоста-жертви. Таким чином, витративши відносно невеликі ресурси, зловмисник може організувати потужну DDoS-атаку^[1]. Така техніка називається DNS-ампліфікацією.

DNS cache poisoning (отруєння кешу DNS) — пошкодження цілісності даних у системі DNS шляхом заповнення кешу DNS-сервера даними, що не походять від авторитетного DNS-джерела.

• DNS поверх TLS
• DNS поверх HTTPS

• DNS Resources Directory (англ.)
• Ресурси, присвячені DNS & BIND (англ.)
• Спільнота CircleID DNS (англ.)
• Підвищення безпеки DNS (DNSSEC) (англ.)
• Робочий комітет IETF по розробці розширеної специфікації DNS (DNSEXT) (англ.)
• Сайт корневых DNS-серверов (англ.)
• Вебінструменти для DNS (англ.)
• How DNS Works - відеопояснення того, як працює DNS на каналі «Computerphile» (англ.)