Система доменных имен

Система идентификации ресурсов в сети

Система доменных имен ( DNS ) — это иерархическая и распределенная служба имен , которая предоставляет систему именования для компьютеров , служб и других ресурсов в Интернете или других сетях Интернет-протокола (IP). Она связывает различную информацию с доменными именами ( идентификационными строками ), назначенными каждому из связанных объектов. Наиболее заметно, что она преобразует легко запоминаемые доменные имена в числовые IP-адреса, необходимые для обнаружения и идентификации компьютерных служб и устройств с помощью базовых сетевых протоколов . ^[1] Система доменных имен является важным компонентом функциональности Интернета с 1985 года.

Система доменных имен делегирует ответственность за назначение доменных имен и сопоставление этих имен с интернет-ресурсами, назначая авторитетные серверы имен для каждого домена. Сетевые администраторы могут делегировать полномочия над поддоменами своего выделенного пространства имен другим серверам имен. Этот механизм обеспечивает распределенный и отказоустойчивый сервис и был разработан, чтобы избежать единой большой центральной базы данных. Кроме того, DNS определяет техническую функциональность службы базы данных , которая лежит в ее основе. Она определяет протокол DNS, подробную спецификацию структур данных и обменов данными, используемых в DNS, как часть набора интернет-протоколов .

Интернет поддерживает два основных пространства имен : иерархию доменных имен и пространства IP-адресов . ^[2] Система доменных имен поддерживает иерархию доменных имен и предоставляет услуги перевода между ней и адресными пространствами. Серверы имен Интернета и протокол связи реализуют систему доменных имен. Сервер имен DNS — это сервер, который хранит записи DNS для домена; сервер имен DNS отвечает ответами на запросы к своей базе данных.

Наиболее распространенными типами записей, хранящихся в базе данных DNS, являются начало полномочий ( SOA ), IP-адреса ( A и AAAA ), почтовые обменники SMTP (MX), серверы имен (NS), указатели для обратного поиска DNS (PTR) и псевдонимы доменных имен (CNAME). Хотя DNS не предназначена для использования в качестве базы данных общего назначения, со временем она была расширена для хранения записей для других типов данных либо для автоматического поиска, например, записей DNSSEC , либо для запросов человека, например, записей ответственного лица (RP). Как база данных общего назначения, DNS также использовалась для борьбы с нежелательной электронной почтой (спамом) путем хранения списка черных дыр в реальном времени (RBL). База данных DNS традиционно хранится в структурированном текстовом файле, файле зоны , но распространены и другие системы баз данных.

Первоначально система доменных имен использовала протокол пользовательских датаграмм (UDP) в качестве транспорта по IP. Вопросы надежности, безопасности и конфиденциальности породили использование протокола управления передачей (TCP), а также многочисленные другие разработки протоколов.

Функция

Часто используемая аналогия для объяснения DNS заключается в том, что он служит телефонной книгой для Интернета, преобразуя понятные человеку имена хостов компьютеров в IP-адреса. Например, имя хоста www.example.comв доменном имени example.com преобразуется в адреса 93.184.216.34 ( IPv4 ) и 2606:2800:220:1:248:1893:25c8:1946 ( IPv6 ). DNS можно быстро и прозрачно обновить, что позволяет изменять местоположение сервиса в сети, не влияя на конечных пользователей, которые продолжают использовать то же имя хоста. Пользователи пользуются этим, когда используют осмысленные унифицированные указатели ресурсов ( URL ) и адреса электронной почты , не зная, как компьютер на самом деле находит сервисы.

Важной и повсеместной функцией DNS является ее центральная роль в распределенных интернет-сервисах, таких как облачные сервисы и сети доставки контента . ^[3] Когда пользователь получает доступ к распределенному интернет-сервису с помощью URL, доменное имя URL транслируется в IP-адрес сервера, который находится ближе всего к пользователю. Ключевая функциональность DNS, используемая здесь, заключается в том, что разные пользователи могут одновременно получать разные переводы для одного и того же доменного имени, что является ключевым моментом расхождения с традиционным представлением DNS как телефонной книги. Этот процесс использования DNS для назначения пользователям проксимальных серверов является ключом к предоставлению более быстрых и надежных ответов в Интернете и широко используется большинством основных интернет-сервисов. ^[4]

DNS отражает структуру административной ответственности в Интернете. ^[5] Каждый поддомен представляет собой зону административной автономии, делегированную менеджеру. Для зон, управляемых реестром , административная информация часто дополняется службами RDAP и WHOIS реестра . Эти данные могут использоваться для получения информации и отслеживания ответственности за определенный хост в Интернете. ^[6]

История

Использование более простого, более запоминающегося имени вместо числового адреса хоста восходит к эпохе ARPANET . Стэнфордский исследовательский институт (теперь SRI International ) поддерживал текстовый файл HOSTS.TXT , который сопоставлял имена хостов с числовыми адресами компьютеров в ARPANET. ^{[7] [8]} Элизабет Файнлер разработала и поддерживала первый каталог ARPANET. ^{[9] [10]} Поддержанием числовых адресов, называемых списком назначенных номеров, занимался Джон Постел из Института информационных наук (ISI) Университета Южной Калифорнии , чья команда тесно сотрудничала с SRI. ^[11]

Адреса назначались вручную. Компьютеры, включая их имена хостов и адреса, добавлялись в основной файл путем обращения в сетевой информационный центр SRI (NIC), которым руководила Файнлер, по телефону в рабочее время. ^[12] Позже Файнлер создала каталог WHOIS на сервере в NIC для извлечения информации о ресурсах, контактах и ​​сущностях. ^[13] Она и ее команда разработали концепцию доменов. ^[13] Файнлер предложила, чтобы домены основывались на местоположении физического адреса компьютера. ^[14] Например, компьютеры в образовательных учреждениях имели домен edu ^{. [15]} Она и ее команда управляли реестром имен хостов с 1972 по 1989 год. ^[16]

К началу 1980-х годов поддержание единой централизованной таблицы хостов стало медленным и громоздким, а развивающаяся сеть требовала автоматизированной системы именования для решения технических и кадровых проблем. Постел поручил Полу Мокапетрису задачу по нахождению компромисса между пятью конкурирующими предложениями решений . Вместо этого Мокапетрис создал систему доменных имен в 1983 году, работая в Университете Южной Калифорнии . ^{[12] [17]}

Целевая группа по инжинирингу Интернета опубликовала оригинальные спецификации в RFC 882 и RFC 883 в ноябре 1983 года. ^{[18] [19]} Они были обновлены в RFC 973 в январе 1986 года.

В 1984 году четыре студента Калифорнийского университета в Беркли , Дуглас Терри, Марк Пейнтер, Дэвид Риггл и Соннянь Чжоу, написали первую реализацию сервера имен Unix для домена имен Интернета в Беркли, обычно называемого BIND . ^[20] В 1985 году Кевин Данлэп из DEC существенно переработал реализацию DNS. Затем Майк Карелс , Фил Альмквист и Пол Викси взяли на себя поддержку BIND. Internet Systems Consortium был основан в 1994 году Риком Адамсом , Полом Викси и Карлом Маламудом специально для того, чтобы предоставить дом для разработки и поддержки BIND. Версии BIND, начиная с 4.9.3, разрабатывались и поддерживались ISC при поддержке спонсоров ISC. В качестве соавторов/программистов Боб Хэлли и Пол Викси выпустили первую готовую к производству версию BIND версии 8 в мае 1997 года. С 2000 года над BIND работали более 43 различных разработчиков ядра. ^[21]

В ноябре 1987 года RFC 1034 ^[22] и RFC 1035 ^[5] заменили спецификации DNS 1983 года. Несколько дополнительных запросов на комментарии предложили расширения основных протоколов DNS. ^[23]

Структура

Пространство доменных имен

Пространство доменных имен состоит из древовидной структуры данных . Каждый узел или лист в дереве имеет метку и ноль или более записей ресурсов (RR), которые содержат информацию, связанную с доменным именем. Само доменное имя состоит из метки, соединенной с именем его родительского узла справа, разделенного точкой. ^[24]

Дерево подразделяется на зоны, начиная с корневой зоны . Зона DNS может состоять из стольких доменов и поддоменов, сколько выберет менеджер зоны. DNS также может быть разделена по классам , где отдельные классы можно рассматривать как массив параллельных деревьев пространств имен. ^[25]

Иерархическая система доменных имен для класса Интернет , организованная в зоны, каждая из которых обслуживается сервером имен.

Административная ответственность за любую зону может быть разделена путем создания дополнительных зон. Полномочия над новой зоной, как говорят, делегируются назначенному серверу имен. Родительская зона перестает быть полномочной для новой зоны. ^[25]

Синтаксис доменного имени, интернационализация

Окончательные описания правил формирования доменных имен содержатся в RFC 1035, RFC 1123, RFC 2181 и RFC 5892. Доменное имя состоит из одной или нескольких частей, технически называемых метками , которые традиционно объединяются и разделяются точками, например example.com.

Самая правая метка указывает на домен верхнего уровня ; например, доменное имя www.example.com принадлежит домену верхнего уровня com .

Иерархия доменов спускается справа налево; каждая метка слева определяет подразделение или поддомен домена справа. Например, метка example определяет поддомен домена com , а www является поддоменом example.com. Это дерево подразделов может иметь до 127 уровней. ^[26]

Метка может содержать от нуля до 63 символов. Нулевая метка нулевой длины зарезервирована для корневой зоны. Полное доменное имя не может превышать длину 253 символов в текстовом представлении. ^[22] Во внутреннем двоичном представлении DNS максимальная длина требует 255 октетов памяти, так как оно также хранит длину имени. ^[5]

Хотя не существует технических ограничений, запрещающих меткам доменных имен использовать любые символы, которые можно представить октетом, имена хостов используют предпочтительный формат и набор символов. Символы, разрешенные в метках, являются подмножеством набора символов ASCII , состоящего из символов от a до z , от A до Z , цифр от 0 до 9 и дефиса. Это правило известно как правило LDH (буквы, цифры, дефис). Доменные имена интерпретируются независимо от регистра. ^[27] Метки не могут начинаться или заканчиваться дефисом. ^[28] Дополнительное правило требует, чтобы доменные имена верхнего уровня не были полностью цифровыми. ^[28]

Ограниченный набор символов ASCII, разрешенных в DNS, не позволял отображать имена и слова многих языков в их родных алфавитах или сценариях. Чтобы сделать это возможным, ICANN одобрила систему интернационализации доменных имен в приложениях (IDNA), с помощью которой пользовательские приложения, такие как веб-браузеры, сопоставляют строки Unicode с допустимым набором символов DNS с помощью Punycode . В 2009 году ICANN одобрила установку интернационализированных доменных имен с кодом страны верхнего уровня ( ccTLD ) . Кроме того, многие реестры существующих доменных имен верхнего уровня ( TLD ) приняли систему IDNA, руководствуясь RFC 5890, RFC 5891, RFC 5892, RFC 5893.

Серверы имен

Система доменных имен поддерживается распределенной системой баз данных, которая использует модель клиент-сервер . Узлами этой базы данных являются серверы имен . Каждый домен имеет по крайней мере один авторитетный DNS-сервер, который публикует информацию об этом домене и серверах имен всех подчиненных ему доменов. Верхняя часть иерархии обслуживается корневыми серверами имен , серверами для запроса при поиске ( разрешении ) TLD .

Авторитетный сервер имен

Авторитетный сервер имен — это сервер имен, который дает ответы на запросы DNS только на основе данных, настроенных исходным источником, например, администратором домена или с помощью динамических методов DNS, в отличие от ответов, полученных с помощью запроса к другому серверу имен, который только поддерживает кэш данных.

Авторитетный сервер имен может быть как первичным , так и вторичным сервером. Исторически термины «главный/ведомый» и «первичный/вторичный» иногда использовались взаимозаменяемо ^[29], но в настоящее время используется последняя форма. Первичный сервер — это сервер, который хранит оригинальные копии всех записей зоны. Вторичный сервер использует специальный механизм автоматического обновления в протоколе DNS в связи со своим первичным сервером для поддержания идентичной копии первичных записей.

Каждой зоне DNS должен быть назначен набор авторитетных серверов имен. Этот набор серверов хранится в родительской доменной зоне с записями серверов имен (NS).

Авторитетный сервер указывает свой статус предоставления окончательных ответов, считающихся авторитетными , устанавливая флаг протокола, называемый битом « Авторитетный ответ » ( AA ) в своих ответах. ^[5] Этот флаг обычно воспроизводится в заметном месте в выходных данных инструментов запросов администрирования DNS, таких как dig , чтобы указать , что отвечающий сервер имен является авторитетным для рассматриваемого доменного имени. ^[5]

Когда сервер имен назначается в качестве полномочного сервера для доменного имени, для которого у него нет полномочных данных, возникает тип ошибки, называемый «некорректным делегированием» или «некорректным ответом». ^{[30] [31]}

Операция

Механизм разрешения адресов

Резолверы доменных имен определяют серверы доменных имен, ответственные за рассматриваемое доменное имя, с помощью последовательности запросов, начиная с самой правой (верхнего уровня) доменной метки.

DNS-резолвер, реализующий итеративный подход, предписанный RFC 1034; в этом случае резольвер обращается к трем серверам имен для разрешения полного доменного имени «www.wikipedia.org».

Для правильной работы своего преобразователя доменных имен сетевой хост настраивается с начальным кэшем ( подсказками ) известных адресов корневых серверов имен. Подсказки периодически обновляются администратором путем получения набора данных из надежного источника.

Предполагая, что у резолвера нет кэшированных записей для ускорения процесса, процесс разрешения начинается с запроса к одному из корневых серверов. В типичной работе корневые серверы не отвечают напрямую, а отвечают ссылкой на более авторитетные серверы, например, запрос для "www.wikipedia.org" направляется на серверы org . Теперь резолвер запрашивает серверы, на которые он ссылается, и итеративно повторяет этот процесс, пока не получит авторитетный ответ. Диаграмма иллюстрирует этот процесс для хоста, который назван полным доменным именем "www.wikipedia.org".

Этот механизм возложил бы большую нагрузку на трафик на корневые серверы, если бы каждое разрешение в Интернете требовало начинать с корня. На практике кэширование используется в DNS-серверах для разгрузки корневых серверов, и в результате корневые серверы имен фактически участвуют только в относительно небольшой части всех запросов.

Рекурсивный и кэширующий сервер имен

Теоретически, авторитетных серверов имен достаточно для работы Интернета. Однако, при работе только авторитетных серверов имен, каждый запрос DNS должен начинаться с рекурсивных запросов в корневой зоне системы доменных имен, и каждая пользовательская система должна будет реализовать программное обеспечение-резолвер, способное к рекурсивным операциям. ^[32]

Для повышения эффективности, сокращения трафика DNS в Интернете и повышения производительности в приложениях конечных пользователей система доменных имен поддерживает серверы кэширования DNS, которые хранят результаты запросов DNS в течение периода времени, определенного в конфигурации ( время жизни ) рассматриваемой записи доменного имени. Обычно такие серверы кэширования DNS также реализуют рекурсивный алгоритм, необходимый для разрешения заданного имени, начиная с корня DNS и до авторитетных серверов имен запрашиваемого домена. Благодаря реализации этой функции на сервере имен пользовательские приложения получают эффективность в разработке и эксплуатации.

Сочетание кэширования DNS и рекурсивных функций на сервере имен не является обязательным; функции могут быть реализованы независимо на серверах специального назначения.

Интернет-провайдеры обычно предоставляют своим клиентам рекурсивные и кэширующие серверы имен. Кроме того, многие домашние сетевые маршрутизаторы реализуют кэширование DNS и рекурсию для повышения эффективности локальной сети.

DNS-резолверы

Клиентская сторона DNS называется DNS-резолвером. Резолвер отвечает за инициирование и упорядочивание запросов, которые в конечном итоге приводят к полному разрешению (трансляции) искомого ресурса, например, трансляции доменного имени в IP-адрес. DNS-резолверы классифицируются по различным методам запросов, таким как рекурсивные , нерекурсивные и итеративные . Процесс разрешения может использовать комбинацию этих методов. ^[22]

В нерекурсивном запросе DNS-резолвер запрашивает DNS-сервер, который предоставляет запись, для которой сервер является полномочным, или предоставляет частичный результат без запроса других серверов. В случае кэширующего DNS-резолвера нерекурсивный запрос его локального DNS-кеша предоставляет результат и снижает нагрузку на вышестоящие DNS-серверы путем кэширования записей ресурсов DNS на определенный период времени после первоначального ответа от вышестоящих DNS-серверов.

В рекурсивном запросе DNS-резолвер запрашивает один DNS-сервер, который, в свою очередь, может запрашивать другие DNS-серверы от имени запрашивающей стороны. Например, простой заглушка-резолвер, работающий на домашнем маршрутизаторе, обычно делает рекурсивный запрос к DNS-серверу, запущенному интернет-провайдером пользователя . Рекурсивный запрос — это запрос, на который DNS-сервер полностью отвечает, запрашивая другие серверы имен по мере необходимости. При типичной работе клиент отправляет рекурсивный запрос кэширующему рекурсивному DNS-серверу, который впоследствии отправляет нерекурсивные запросы для определения ответа и отправки одного ответа обратно клиенту. Резолвер или другой DNS-сервер, действующий рекурсивно от имени резолвера, договаривается об использовании рекурсивной службы с помощью битов в заголовках запроса. DNS-серверы не обязаны поддерживать рекурсивные запросы.

Процедура итеративного запроса — это процесс, в котором DNS-резолвер запрашивает цепочку из одного или нескольких DNS-серверов. Каждый сервер направляет клиента на следующий сервер в цепочке, пока текущий сервер не сможет полностью разрешить запрос. Например, возможное разрешение www.example.com запросит глобальный корневой сервер, затем сервер "com" и, наконец, сервер "example.com".

Циклические зависимости и склеивающие записи

Серверы имен в делегировании идентифицируются по имени, а не по IP-адресу. Это означает, что разрешающий сервер имен должен выдать еще один DNS-запрос, чтобы узнать IP-адрес сервера, на который он был направлен. Если имя, указанное в делегировании, является поддоменом домена, для которого предоставляется делегирование, то имеет место циклическая зависимость .

В этом случае сервер имен, предоставляющий делегирование, должен также предоставить один или несколько IP-адресов для уполномоченного сервера имен, упомянутого в делегировании. Эта информация называется Glue . Делегирующий сервер имен предоставляет этот Glue в виде записей в дополнительном разделе ответа DNS и предоставляет делегирование в разделе полномочий ответа. Glue-запись представляет собой комбинацию сервера имен и IP-адреса.

Например, если полномочный сервер имен для example.org — ns1.example.org, компьютер, пытающийся разрешить www.example.org, сначала разрешает ns1.example.org. Поскольку ns1 содержится в example.org, для этого требуется сначала разрешить example.org, что представляет собой циклическую зависимость. Чтобы разорвать зависимость, сервер имен для домена верхнего уровня org включает клей вместе с делегированием для example.org. Клеевые записи — это адресные записи, которые предоставляют IP-адреса для ns1.example.org. Резолвер использует один или несколько из этих IP-адресов для запроса одного из полномочных серверов домена, что позволяет ему выполнить DNS-запрос.

Кэширование записей

Распространенным подходом к снижению нагрузки на DNS-серверы является кэширование результатов разрешения имен локально или на промежуточных хостах-резолверах. Каждый результат DNS-запроса имеет время жизни (TTL), которое указывает, как долго информация остается действительной, прежде чем ее нужно будет удалить или обновить. Это TTL определяется администратором авторитетного DNS-сервера и может варьироваться от нескольких секунд до нескольких дней или даже недель. ^[33]

В результате этой распределенной архитектуры кэширования изменения в записях DNS не распространяются по всей сети немедленно, а требуют истечения срока действия всех кэшей и их обновления по истечении TTL. RFC 1912 передает основные правила для определения соответствующих значений TTL.

Некоторые резолверы могут переопределять значения TTL, так как протокол поддерживает кэширование до шестидесяти восьми лет или вообще не кэширует. Отрицательное кэширование , т. е. кэширование факта отсутствия записи, определяется серверами имен, уполномоченными для зоны, которые должны включать запись Start of Authority (SOA) при сообщении об отсутствии данных запрошенного типа. Значение минимального поля записи SOA и TTL самого SOA используются для установления TTL для отрицательного ответа.

Обратный поиск

Обратный поиск DNS — это запрос DNS на доменные имена, когда известен IP-адрес. С одним IP-адресом может быть связано несколько доменных имен. DNS хранит IP-адреса в форме доменных имен как специально отформатированные имена в записях указателей (PTR) в домене верхнего уровня инфраструктуры arpa . Для IPv4 доменом является in-addr.arpa. Для IPv6 доменом обратного поиска является ip6.arpa. IP-адрес представлен как имя в обратном порядке октетного представления для IPv4 и обратном порядке полубайтного представления для IPv6.

При выполнении обратного поиска DNS-клиент преобразует адрес в эти форматы перед запросом имени для записи PTR, следуя цепочке делегирования, как и для любого DNS-запроса. Например, предположим, что адрес IPv4 208.80.152.2 назначен Wikimedia, он представлен как имя DNS в обратном порядке: 2.152.80.208.in-addr.arpa. Когда DNS-резолвер получает запрос указателя (PTR), он начинает с запроса корневых серверов, которые указывают на серверы Американского реестра интернет-номеров (ARIN) для зоны 208.in-addr.arpa. Серверы ARIN делегируют 152.80.208.in-addr.arpa в Wikimedia, на которую резолвер отправляет другой запрос для 2.152.80.208.in-addr.arpa, что приводит к авторитетному ответу.

Поиск клиента

Последовательность разрешения DNS

Пользователи обычно не взаимодействуют напрямую с DNS-резолвером. Вместо этого DNS-разрешение происходит прозрачно в таких приложениях, как веб-браузеры , почтовые клиенты и другие интернет-приложения. Когда приложение делает запрос, требующий поиска доменного имени, такие программы отправляют запрос на разрешение DNS -резолверу в локальной операционной системе, который, в свою очередь, обрабатывает требуемые коммуникации.

DNS-резолвер почти всегда будет иметь кэш (см. выше), содержащий последние поиски. Если кэш может предоставить ответ на запрос, резольвер вернет значение в кэше программе, которая сделала запрос. Если кэш не содержит ответа, резольвер отправит запрос на один или несколько назначенных DNS-серверов. В случае большинства домашних пользователей поставщик интернет-услуг, к которому подключается машина, обычно предоставляет этот DNS-сервер: такой пользователь либо настроил адрес этого сервера вручную, либо разрешил DHCP установить его; однако, когда системные администраторы настроили системы на использование собственных DNS-серверов, их DNS-резолверы указывают на отдельно поддерживаемые серверы имен организации. В любом случае, запрошенный таким образом сервер имен будет следовать процессу, описанному выше, пока он либо успешно не найдет результат, либо нет. Затем он возвращает свои результаты DNS-резолверу; предполагая, что он нашел результат, резольвер должным образом кэширует этот результат для будущего использования и возвращает результат программному обеспечению, которое инициировало запрос.

Сломанные резольверы

Некоторые крупные интернет-провайдеры настроили свои DNS-серверы так, чтобы они нарушали правила, например, не соблюдая TTL или указывая, что доменное имя не существует, просто потому, что один из его серверов имен не отвечает. ^[34]

Некоторые приложения, такие как веб-браузеры, поддерживают внутренний кэш DNS, чтобы избежать повторных поисков через сеть. Эта практика может добавить дополнительные трудности при отладке проблем DNS, поскольку она скрывает историю таких данных. Эти кэши обычно используют очень короткое время кэширования, порядка одной минуты. ^[35]

Internet Explorer представляет собой заметное исключение: версии до IE 3.x по умолчанию кэшируют записи DNS на 24 часа. Internet Explorer 4.x и более поздние версии (до IE 8) уменьшают значение тайм-аута по умолчанию до получаса, которое можно изменить, изменив конфигурацию по умолчанию. ^[36]

Когда Google Chrome обнаруживает проблемы с DNS-сервером, он отображает определенное сообщение об ошибке.

Другие приложения

Система доменных имен включает в себя ряд других функций и возможностей.

Имена хостов и IP-адреса не обязательно должны совпадать в отношении один к одному. Несколько имен хостов могут соответствовать одному IP-адресу, что полезно при виртуальном хостинге , когда множество веб-сайтов обслуживаются с одного хоста. В качестве альтернативы одно имя хоста может разрешаться во множество IP-адресов для обеспечения отказоустойчивости и распределения нагрузки на несколько экземпляров серверов в масштабах предприятия или глобального Интернета.

DNS служит и другим целям, помимо преобразования имен в IP-адреса. Например, агенты пересылки почты используют DNS для поиска лучшего почтового сервера для доставки электронной почты : запись MX обеспечивает сопоставление между доменом и почтовым обменником; это может обеспечить дополнительный уровень отказоустойчивости и распределения нагрузки.

DNS используется для эффективного хранения и распространения IP-адресов хостов электронной почты, занесенных в черный список. Распространенным методом является размещение IP-адреса хоста субъекта в поддомене доменного имени более высокого уровня и разрешение этого имени в запись, которая указывает на положительный или отрицательный признак.

Например:

• Адрес 203.0.113.5 занесен в черный список. Он указывает на 5.113.0.203.blacklist.example , который разрешается в 127.0.0.1 .
• Адрес 203.0.113.6 не занесен в черный список и указывает на 6.113.0.203.blacklist.example . Это имя хоста либо не настроено, либо разрешается в 127.0.0.2 .

Почтовые серверы могут запрашивать blacklist.example, чтобы узнать, находится ли в черном списке определенный хост, подключающийся к ним. Многие из таких черных списков, как на основе подписки, так и бесплатные, доступны для использования администраторами электронной почты и антиспамовым программным обеспечением.

Для обеспечения устойчивости в случае сбоя компьютера или сети обычно предоставляется несколько DNS-серверов для покрытия каждого домена. На верхнем уровне глобального DNS существует тринадцать групп корневых серверов имен , с дополнительными «копиями» из них, распределенными по всему миру посредством anycast- адресации.

Динамический DNS (DDNS) обновляет DNS-сервер с помощью IP-адреса клиента «на лету», например, при перемещении между интернет-провайдерами или мобильными точками доступа , или когда IP-адрес изменяется административно.

Формат сообщения DNS

Протокол DNS использует два типа сообщений DNS, запросы и ответы; оба имеют одинаковый формат. Каждое сообщение состоит из заголовка и четырех разделов: вопрос, ответ, полномочия и дополнительный пробел. Поле заголовка ( флаги ) управляет содержимым этих четырех разделов. ^[22]

Раздел заголовка состоит из следующих полей: Идентификация , Флаги , Количество вопросов , Количество ответов , Количество записей ресурсов полномочий (RR) и Количество дополнительных RR . Каждое поле имеет длину 16 бит и отображается в указанном порядке. Поле идентификации используется для сопоставления ответов с запросами. Поле флага состоит из следующих подполей:

После слова флагов заголовок заканчивается четырьмя 16-битными целыми числами, которые содержат количество записей в каждом из последующих разделов в том же порядке.

Раздел вопросов

Раздел вопросов имеет более простой формат, чем формат записи ресурса, используемый в других разделах. Каждая запись вопроса (обычно только одна в разделе) содержит следующие поля:

Доменное имя разбивается на отдельные метки, которые объединяются; каждая метка имеет префикс в виде длины этой метки. ^[38]

Ресурсные записи

Система доменных имен определяет базу данных информационных элементов для сетевых ресурсов. Типы информационных элементов категоризируются и организуются с помощью списка типов записей DNS , записей ресурсов (RR). Каждая запись имеет тип (имя и номер), время истечения срока действия ( время жизни ), класс и данные, специфичные для типа. Записи ресурсов одного типа описываются как набор записей ресурсов (RRset), не имеющий специального порядка. DNS-резолверы возвращают весь набор по запросу, но серверы могут реализовывать циклический порядок для достижения балансировки нагрузки . Напротив, расширения безопасности системы доменных имен (DNSSEC) работают с полным набором записей ресурсов в каноническом порядке.

При отправке по сети Интернет-протокола все записи (ответ, полномочия и дополнительные разделы) используют общий формат, указанный в RFC 1035: ^[39]

ИМЯ — это полное доменное имя узла в дереве. ^{[ требуется пояснение ]} На линии имя может быть сокращено с помощью сжатия меток, при котором окончания доменных имен, упомянутых ранее в пакете, могут быть заменены на окончание текущего доменного имени.

TYPE — тип записи. Он указывает формат данных и дает подсказку об их предполагаемом использовании. Например, запись A используется для перевода доменного имени в адрес IPv4 , запись NS перечисляет, какие серверы имен могут отвечать на запросы в зоне DNS , а запись MX указывает почтовый сервер, используемый для обработки почты для домена, указанного в адресе электронной почты.

RDATA — это данные, имеющие типоспецифическую релевантность, например IP-адрес для записей адресов или приоритет и имя хоста для записей MX. Известные типы записей могут использовать сжатие меток в поле RDATA, но «неизвестные» типы записей не должны (RFC 3597).

CLASS записи устанавливается на IN (для Internet ) для общих записей DNS, включающих имена хостов Интернета, серверы или IP-адреса. Кроме того, существуют классы Chaos (CH) и Hesiod (HS). ^[40] Каждый класс представляет собой независимое пространство имен с потенциально различными делегированиями зон DNS.

Помимо записей ресурсов, определенных в файле зоны , система доменных имен также определяет несколько типов запросов, которые используются только при взаимодействии с другими узлами DNS ( по сети ), например, при выполнении переносов зон (AXFR/IXFR) или для EDNS (OPT).

Записи с подстановочными знаками

Система доменных имен поддерживает подстановочные записи DNS , которые указывают имена, начинающиеся с метки звездочки , *, например, *.example. ^{[22] [41]} Записи DNS, принадлежащие подстановочным доменным именам, определяют правила для генерации записей ресурсов в пределах одной зоны DNS путем замены целых меток соответствующими компонентами имени запроса, включая любых указанных потомков. Например, в следующей конфигурации зона DNS x.example указывает, что все поддомены, включая поддомены поддоменов, x.example используют почтовый обменник (MX) axexample . Запись A для axexample необходима для указания IP-адреса почтового обменника. Поскольку это приводит к исключению этого доменного имени и его поддоменов из подстановочных совпадений, в зоне DNS также должны быть определены дополнительная запись MX для поддомена axexample , а также подстановочная запись MX для всех его поддоменов.

x.пример. MX 10 a.x.пример. *.x.пример. MX 10 a.x.пример. *.axпример. MX 10 a.x.пример. axпример. MX 10 a.x.пример. axпример. AAAA 2001:db8::1              

Роль записей с подстановочными знаками была уточнена в RFC  4592, поскольку первоначальное определение в RFC  1034 было неполным и приводило к неправильному толкованию со стороны разработчиков. ^[41]

Расширения протокола

Первоначальный протокол DNS имел ограниченные возможности для расширения новыми функциями. В 1999 году Пол Викси опубликовал в RFC 2671 (замененном RFC 6891) механизм расширения, названный Extension Mechanisms for DNS (EDNS), который ввел необязательные элементы протокола без увеличения накладных расходов, когда они не используются. Это было достигнуто с помощью записи псевдоресурса OPT, которая существует только в проводных передачах протокола, но не в каких-либо файлах зоны. Также были предложены начальные расширения (EDNS0), такие как увеличение размера сообщения DNS в датаграммах UDP.

Динамические обновления зоны

Динамические обновления DNS используют код операции UPDATE DNS для динамического добавления или удаления записей ресурсов из базы данных зоны, поддерживаемой на авторитетном сервере DNS. ^[42] Эта возможность полезна для регистрации сетевых клиентов в DNS, когда они загружаются или иным образом становятся доступными в сети. Поскольку загружающемуся клиенту может каждый раз назначаться другой IP-адрес с сервера DHCP , невозможно предоставить статические назначения DNS для таких клиентов.

Транспортные протоколы

С момента своего возникновения в 1983 году DNS использовал протокол пользовательских датаграмм (UDP) для транспортировки по IP. Его ограничения мотивировали многочисленные разработки протоколов для надежности, безопасности, конфиденциальности и других критериев в последующие десятилетия.

DNS через UDP/TCP/53 (Do53)

UDP резервирует порт номер 53 для серверов, прослушивающих запросы. ^[5] Такие запросы состоят из открытого текстового запроса, отправленного в одном пакете UDP от клиента, на который сервер отвечает открытым текстовым ответом, отправленным в одном пакете UDP. Когда длина ответа превышает 512 байт, и и клиент, и сервер поддерживают механизмы расширения для DNS (EDNS), могут использоваться более крупные пакеты UDP. ^[43] Использование DNS по UDP ограничено, среди прочего, отсутствием шифрования на транспортном уровне, аутентификации, надежной доставки и длины сообщения. В 1989 году RFC 1123 указал необязательный транспорт протокола управления передачей (TCP) для запросов DNS, ответов и, в частности, переносов зон . Благодаря фрагментации длинных ответов TCP обеспечивает более длинные ответы, надежную доставку и повторное использование долгоживущих соединений между клиентами и серверами. Для более крупных ответов сервер направляет клиента на транспорт TCP.

DNS через TLS (DoT)

DNS поверх TLS появился как стандарт IETF для зашифрованного DNS в 2016 году, использующий Transport Layer Security (TLS) для защиты всего соединения, а не только полезной нагрузки DNS. Серверы DoT прослушивают порт TCP 853. RFC  7858 указывает, что могут поддерживаться оппортунистическое шифрование и аутентифицированное шифрование, но не делает аутентификацию сервера или клиента обязательной.

DNS через HTTPS (DoH)

DNS через HTTPS был разработан как конкурирующий стандарт для передачи DNS-запросов в 2018 году, туннелируя данные DNS-запросов через HTTPS, который передает HTTP через TLS. DoH продвигался как более удобная для веб-сайтов альтернатива DNS, поскольку, как и DNSCrypt, он использует TCP-порт 443 и, таким образом, выглядит похожим на веб-трафик, хотя на практике их легко различить без надлежащего заполнения. ^[44]

DNS через QUIC (DoQ)

RFC 9250, опубликованный в 2022 году Internet Engineering Task Force , описывает DNS over QUIC . Он имеет «свойства конфиденциальности, аналогичные DNS over TLS (DoT) [...], и характеристики задержки, аналогичные классическому DNS over UDP». Этот метод не то же самое, что DNS over HTTP/3 . ^[45]

Oblivious DoH (ODoH) и предшественник Oblivious DNS (ODNS)

Oblivious DNS (ODNS) был изобретен и реализован исследователями Принстонского университета и Чикагского университета как расширение незашифрованного DNS, ^[46] до того, как DoH был стандартизирован и широко распространен. Apple и Cloudflare впоследствии развернули технологию в контексте DoH, как Oblivious DoH (ODoH). ^[47] ODoH объединяет разделение входящего/исходящего трафика (изобретенное в ODNS) с туннелированием HTTPS DoH и шифрованием транспортного уровня TLS в одном протоколе. ^[48]

DNS через Tor

DNS может работать через виртуальные частные сети (VPN) и протоколы туннелирования . Использование, которое стало обычным с 2019 года, оправдывая его собственную часто используемую аббревиатуру, — DNS через Tor . Преимущества конфиденциальности Oblivious DNS могут быть получены за счет использования уже существующей сети Tor входящих и исходящих узлов в сочетании с шифрованием транспортного уровня, предоставляемым TLS. ^[49]

DNSCrypt

Протокол DNSCrypt , разработанный в 2011 году вне рамок стандартов IETF , ввел шифрование DNS на нисходящей стороне рекурсивных резолверов, где клиенты шифруют полезные данные запросов с помощью открытых ключей серверов, которые публикуются в DNS (вместо того, чтобы полагаться на сторонние центры сертификации) и которые, в свою очередь, могут быть защищены подписями DNSSEC. ^[50] DNSCrypt использует порт TCP или UDP 443, тот же порт, что и зашифрованный веб-трафик HTTPS. Это ввело не только конфиденциальность относительно содержания запроса, но и значительную меру возможности обхода брандмауэра. В 2019 году DNSCrypt был дополнительно расширен для поддержки «анонимного» режима, аналогичного предлагаемому «Oblivious DNS», в котором входной узел получает запрос, который был зашифрован открытым ключом другого сервера, и ретранслирует его на этот сервер, который действует как выходной узел, выполняя рекурсивное разрешение. ^[51] Конфиденциальность пар пользователь/запрос создается, поскольку входящий узел не знает содержание запроса, в то время как исходящие узлы не знают личность клиента. DNSCrypt был впервые реализован в производстве OpenDNS в декабре 2011 года. Существует несколько бесплатных и открытых реализаций программного обеспечения, которые дополнительно интегрируют ODoH. ^[52] Он доступен для различных операционных систем, включая Unix, Apple iOS, Linux, Android и Windows.

Проблемы безопасности

Первоначально проблемы безопасности не были основными соображениями проектирования программного обеспечения DNS или любого программного обеспечения для развертывания в раннем Интернете, поскольку сеть не была открыта для участия широкой публики. Однако расширение Интернета в коммерческий сектор в 1990-х годах изменило требования к мерам безопасности для защиты целостности данных и аутентификации пользователей .

Несколько уязвимостей были обнаружены и использованы злоумышленниками. Одной из таких проблем является отравление кэша DNS , при котором данные распределяются по кэширующим резолверам под видом авторитетного сервера-источника, тем самым загрязняя хранилище данных потенциально ложной информацией и длительным сроком действия (time-to-live). Впоследствии запросы легитимных приложений могут перенаправляться на сетевые хосты, работающие со злым умыслом.

Традиционно ответы DNS не имеют криптографической подписи , что приводит к многочисленным возможностям атак; расширения безопасности системы доменных имен (DNSSEC) изменяют DNS, добавляя поддержку криптографически подписанных ответов. ^[53] DNSCurve был предложен в качестве альтернативы DNSSEC. Другие расширения, такие как TSIG , добавляют поддержку криптографической аутентификации между доверенными одноранговыми узлами и обычно используются для авторизации операций передачи зоны или динамического обновления.

Некоторые доменные имена могут использоваться для достижения эффекта подмены. Например, paypal.com и paypa1.com — это разные имена, однако пользователи могут не различать их в графическом пользовательском интерфейсе в зависимости от выбранного шрифта пользователя . Во многих шрифтах буква l и цифра 1 выглядят очень похожими или даже идентичными. Эта проблема, известная как атака IDN-омографа , остро стоит в системах, поддерживающих интернационализированные доменные имена , поскольку многие коды символов в ISO 10646 могут выглядеть одинаково на типичных экранах компьютеров. Эта уязвимость иногда используется в фишинге . ^[54]

Для проверки результатов DNS также можно использовать такие методы, как обратный DNS с подтверждением .

DNS также может «утекать» из защищенных или частных соединений, если не уделять должного внимания их конфигурации, и порой DNS использовался злоумышленниками для обхода брандмауэров и кражи данных, поскольку часто считался безобидным.

Проблемы конфиденциальности и отслеживания

Первоначально разработанный как публичная, иерархическая, распределенная и сильно кэшированная база данных, протокол DNS не имеет контроля конфиденциальности. Пользовательские запросы и ответы сервера имен отправляются в незашифрованном виде, что позволяет перехватывать сетевые пакеты , перехватывать DNS , отравление кэша DNS и проводить атаки типа «человек посередине» . Этот недостаток обычно используется киберпреступниками и сетевыми операторами в маркетинговых целях, для аутентификации пользователей на порталах захвата и для цензуры . ^[55]

Конфиденциальность пользователей еще больше повышается в связи с предложениями по увеличению уровня информации об IP-адресе клиента в DNS-запросах (RFC 7871) в интересах сетей доставки контента .

Основные подходы, используемые для решения проблем конфиденциальности с помощью DNS:

• VPN , которые передают разрешение DNS оператору VPN и скрывают пользовательский трафик от локального интернет-провайдера,
• Tor , который заменяет традиционное разрешение DNS анонимными доменами .onion , скрывая как разрешение имен, так и пользовательский трафик за контрнаблюдением за маршрутизацией луковиц ,
• Прокси-серверы и публичные DNS-серверы, которые передают фактическое разрешение DNS стороннему провайдеру, который обычно обещает минимальное или полное отсутствие регистрации запросов и дополнительные функции, такие как блокировка рекламы на уровне DNS или порнографии.
  • Публичные DNS-серверы могут быть запрошены с использованием традиционного протокола DNS, в этом случае они не обеспечивают никакой защиты от локального наблюдения, или DNS через HTTPS , DNS через TLS и DNSCrypt , которые обеспечивают такую ​​защиту.

Решения, предотвращающие проверку DNS локальным сетевым оператором, критикуются за нарушение корпоративных политик безопасности сетей и цензуры в Интернете. Они также критикуются с точки зрения конфиденциальности, как передача разрешения DNS в руки небольшого числа компаний, известных монетизацией пользовательского трафика и централизацией разрешения имен DNS, что обычно воспринимается как вредное для Интернета. ^[55]

Google является доминирующим поставщиком платформы в Android , браузера в Chrome и DNS-резолвера в службе 8.8.8.8. Будет ли этот сценарий случаем, когда одна корпоративная организация находится в положении всеобъемлющего контроля над всем пространством имен Интернета? Netflix уже выставил приложение, которое использовало свой собственный механизм разрешения DNS независимо от платформы, на которой приложение работало. Что, если бы приложение Facebook включало DoH? Что, если бы iOS от Apple использовала механизм разрешения DoH для обхода локального разрешения DNS и перенаправляла все DNS-запросы с платформ Apple на набор управляемых Apple резольверов имен?

—  Конфиденциальность DNS и IETF

Регистрация доменного имени

Право на использование доменного имени делегируется регистраторами доменных имен, аккредитованными Корпорацией по управлению доменными именами и IP-адресами (ICANN) или другими организациями, такими как OpenNIC , которые отвечают за надзор за системами имен и номеров Интернета. Помимо ICANN, каждый домен верхнего уровня (TLD) технически поддерживается и обслуживается административной организацией, управляющей реестром. Реестр отвечает за управление базой данных имен в своей авторитетной зоне, хотя этот термин чаще всего используется для TLD. Регистратор — это лицо или организация, которые запросили регистрацию домена. ^[23] Реестр получает регистрационную информацию от каждого регистратора доменных имен , который уполномочен (аккредитован) назначать имена в соответствующей зоне и публикует информацию с использованием протокола WHOIS . По состоянию на 2015 год рассматривается использование RDAP . ^[56]

ICANN публикует полный список TLD, реестров TLD и регистраторов доменных имен. Информация о регистрантах, связанная с доменными именами, хранится в онлайн-базе данных, доступной через службу WHOIS. Для большинства из более чем 290 национальных доменов верхнего уровня (ccTLD) реестры доменов хранят информацию WHOIS (регистратор, серверы имен, даты истечения срока действия и т. д.). Например, DENIC , NIC Германии, хранит данные домена DE. Примерно с 2001 года большинство реестров общих доменов верхнего уровня (gTLD) приняли этот так называемый подход «толстого реестра», т. е. хранение данных WHOIS в центральных реестрах вместо баз данных регистраторов.

Для доменов верхнего уровня на COM и NET используется тонкая модель реестра. Реестр доменов (например, GoDaddy , BigRock и PDR , VeriSign и т. д. и т. п.) содержит основные данные WHOIS (т. е. регистратор и серверы имен и т. д.). Организации или регистранты, использующие ORG, с другой стороны, находятся исключительно в Public Interest Registry .

Некоторые реестры доменных имен, часто называемые сетевыми информационными центрами (NIC), также выполняют функции регистраторов для конечных пользователей, в дополнение к предоставлению доступа к наборам данных WHOIS. Реестры доменов верхнего уровня, такие как для доменов COM, NET и ORG, используют модель реестр-регистратор, состоящую из многих регистраторов доменных имен. ^[57] При этом методе управления реестр управляет только базой данных доменных имен и отношениями с регистраторами. Регистранты ( пользователи доменного имени) являются клиентами регистратора, в некоторых случаях через дополнительный субподряд реселлеров.

Смотрите также

• Интернет-портал

• Альтернативный корень DNS
• Сравнение программного обеспечения DNS-сервера
• Децентрализованное расположение и маршрутизация объектов
• Перехват домена
• DNS-перехват
• DNS-запросы с длительным сроком действия
• программное обеспечение для управления DNS
• DNS через HTTPS
• DNS через TLS
• Иерархическое пространство имен
• Неисправность IPv6 и белый список DNS
• Многоадресная DNS-рассылка
• Публичный рекурсивный сервер имен
• resolv.conf
• Разделение горизонта DNS
• Список типов записей DNS
• Список управляемых провайдеров DNS
• Файл зоны
• Утечка DNS

Ссылки

1. У, Хао; Данг, Сянлей; Ван, Лидун; Хэ, Лунтао (2016). «Метод на основе слияния информации для обнаружения и идентификации атак отравления кэша распределенной системы доменных имен». IET Information Security . 10 (1): 37–44. doi :10.1049/iet-ifs.2014.0386. ISSN  1751-8717. S2CID  45091791.
2. RFC 781, Интернет-протокол - Спецификация протокола программы Интернет DARPA , Институт информационных наук, Дж. Постел (ред.), Общество Интернета (сентябрь 1981 г.)
3. J. Dilley, B. Maggs, J. Parikh, H. Prokop, R. Sitaraman и B. Weihl. «Глобальная распределенная доставка контента, IEEE Internet Computing, сентябрь/октябрь 2002 г., стр. 50–58» (PDF) . Архивировано (PDF) из оригинала 17.04.2015.
4. Nygren., E.; Sitaraman RK; Sun, J. (2010). "The Akamai Network: A Platform for High-Performance Internet Applications" (PDF) . Обзор операционных систем ACM SIGOPS . 44 (3): 2–19. doi :10.1145/1842733.1842736. S2CID  207181702. Архивировано (PDF) из оригинала 2010-12-02 . Получено 19 ноября 2012 г. .
5. Мокапетрис, Пол (ноябрь 1987 г.). Доменные имена — реализация и спецификация. IETF . doi : 10.17487/RFC1035 . RFC 1035.
6. Champika Wijayatunga (февраль 2015 г.). "DNS Abuse Handling" (PDF) . APNIC . Архивировано (PDF) из оригинала 2015-12-22 . Получено 18 декабря 2016 г. .
7. J. Klensin (февраль 2003 г.). Роль системы доменных имен (DNS). Сетевая рабочая группа. doi : 10.17487/RFC3467 . RFC 3467. Информационный.
8. Лю, Крикет; Альбиц, Пол (2006). DNS и BIND (5-е изд.). O'Reilly Media. стр. 3. ISBN 978-0-596-10057-5.
9. Эванс 2018, стр. 112.
10. Эванс 2018, стр. 113.
11. Анналы IEEE [3B2-9] man2011030074.3d 29/7/011 11:54 Страница 74
12. «Почему сеть все еще работает в Рождество? Пол Мокапетрис — Зал славы Интернета». internethalloffame.org . 23 июля 2012 г.
13. Evans 2018, стр. 119.
14. Эванс 2018, стр. 120.
15. Эванс 2018, стр. 120–121.
16. "Элизабет Файнлер". Зал славы Интернета . Архивировано из оригинала 14 сентября 2018 года . Получено 25 ноября 2018 года .
17. "Пол Мокапетрис | Зал славы Интернета". internethalloffame.org . Получено 12.02.2020 .
18. Андрей Робачевский (26 ноября 2013 г.). «С 30-летием, DNS!». Internet Society . Получено 18 декабря 2015 г.
19. Элизабет Файнлер, IEEE Annals, 3B2-9 man2011030074.3d 29/7/011 11:54 Страница 74
20. Терри, Дуглас Б. и др. (12–15 июня 1984 г.). «Сервер доменов имен Интернета в Беркли». Летняя конференция, Солт-Лейк-Сити, 1984 г.: Труды . Группа пользователей программных инструментов ассоциации USENIX. стр. 23–31.
21. Internet Systems Consortium. "История BIND". История BIND. Архивировано из оригинала 2019-06-30 . Получено 4 апреля 2022 .
22. Мокапетрис, Пол (ноябрь 1987 г.). Доменные имена — концепции и возможности доменов. IETF . doi : 10.17487/RFC1034 . RFC 1034.
23. Пол Хоффман; Эндрю Салливан; Казунори Фудзивара (декабрь 2015 г.). Терминология DNS. IETF . doi : 10.17487/RFC7719 . RFC 7719 . Получено 18 декабря 2015 г. .
24. Пол Мокапетрис (ноябрь 1987 г.). «Спецификации и терминология пространства имен». Доменные имена — концепции и возможности доменов. IETF . раздел 3.1. doi : 10.17487/RFC1034 . RFC 1034 . Получено 17 декабря 2015 г. .
25. Пол Мокапетрис (ноябрь 1987 г.). "Как база данных делится на зоны". Доменные имена - Концепции и возможности доменов. IETF . раздел 4.2. doi : 10.17487/RFC1034 . RFC 1034 . Получено 17 декабря 2015 г. .
26. Линдсей, Дэвид (2007). Международное доменное право: ICANN и UDRP . Bloomsbury Publishing. стр. 8. ISBN 978-1-84113-584-7.
27. D. Eastlake 3rd (январь 2006 г.). Разъяснение по поводу нечувствительности к регистру в системе доменных имен (DNS). Сетевая рабочая группа. doi : 10.17487/RFC4343 . RFC 4343.{{citation}}: CS1 maint: numeric names: authors list (link) Предложенный стандарт. Обновлен RFC 5890. Обновления RFC 1034, 1035 и 2181.
28. J. Klensin (февраль 2004 г.). Методы применения для проверки и преобразования имен. Сетевая рабочая группа. doi : 10.17487/RFC3696 . RFC 3696. Информационный.
29. Фудзивара, Казунори; Салливан, Эндрю; Хоффман, Пол (2024). «Терминология DNS». tools.ietf.org . doi :10.17487/RFC9499 . Получено 01.07.2024 .
30. Немет, Эви; Снайдер, Гарт; Хайн, Трент Р. (2006-10-30). Справочник по администрированию Linux. Addison-Wesley Professional. ISBN 978-0-13-700275-7.
31. Bissyande, Tegawendé F.; Sie, Oumarou (2017-10-09). Электронная инфраструктура и электронные услуги для развивающихся стран: 8-я международная конференция, AFRICOMM 2016, Уагадугу, Буркина-Фасо, 6-7 декабря 2016 г., Труды. Springer. ISBN 978-3-319-66742-3.
32. "DNS zone". IONOS Digitalguide . 27 января 2022 г. Получено 31 марта 2022 г.
33. "Что такое распространение DNS?". IONOS Digitalguide . Получено 2022-04-22 .
34. "Провайдеры игнорируют DNS TTL?". Slashdot . 2005. Получено 07.04.2012 .
35. Бен Андерсон (7 сентября 2011 г.). «Бен Андерсон: Почему кэширование DNS в веб-браузере может быть плохим» . Получено 20 октября 2014 г.
36. "Как Internet Explorer использует кэш для записей хостов DNS". Корпорация Microsoft . 2004. Получено 25 июля 2010 г.
37. "Параметры системы доменных имен (DNS)". IANA . DNS RCODEs . Получено 14 июня 2019 г. .
38. Джеймс Ф. Куроуз и Кейт В. Росс, Компьютерные сети: подход сверху вниз, 6-е изд. Эссекс, Англия: Pearson Educ. Limited, 2012
39. RFC 5395, Вопросы IANA по системе доменных имен (DNS) , Д. Истлейк, 3-й (ноябрь 2008 г.), Раздел 3
40. RFC 5395, Вопросы IANA по системе доменных имен (DNS) , Д. Истлейк 3-й (ноябрь 2008 г.), стр. 11
41. RFC  4592, Роль подстановочных знаков в системе доменных имен , Э. Льюис (июль 2006 г.)
42. S. Thomson; Y. Rekhter; J. Bound (апрель 1997 г.). P. Vixie (ред.). Динамические обновления в системе доменных имен (DNS UPDATE). Сетевая рабочая группа. doi : 10.17487/RFC2136 . RFC 2136. Предложенный стандарт. Обновления RFC 1035. Обновлено RFC 3007, 4033, 4034 и 4035.
43. RFC  2671, Механизмы расширения для DNS (EDNS0) , P. Vixie (август 1999 г.)
44. Csikor, Levente; Divakaran, Dinil Mon (февраль 2021 г.). «Конфиденциальность DNS через HTTPS: реквием по мечте?» (PDF) . Национальный университет Сингапура. Мы исследуем, можно ли отличить трафик DoH от зашифрованного веб-трафика. С этой целью мы обучаем модель машинного обучения для классификации трафика HTTPS как веб-трафика или DoH. Используя нашу модель идентификации DoH, мы показываем, что авторитарный интернет-провайдер может правильно идентифицировать ≈97,4% пакетов DoH, при этом неправильно классифицируя только 1 из 10 000 веб-пакетов.
45. Уитема, Кристиан; Дикинсон, Сара; Манкин, Эллисон (май 2022 г.). DNS через выделенные соединения QUIC. Internet Engineering Task Force. doi : 10.17487/RFC9250 . RFC 9250.
46. Шмитт, Пол; Эдмундсон, Энн; Фимстер, Ник (2019). «Oblivious DNS: Practical Privacy for DNS Queries» (PDF) . Privacy Enhancing Technologies . 2019 (2): 228–244. arXiv : 1806.00276 . doi :10.2478/popets-2019-0028. S2CID  44126163. Архивировано (PDF) из оригинала 21.01.2022.
47. «Cloudflare и Apple развернули Oblivious DNS». 9 декабря 2020 г. Получено 27 июля 2022 г.
48. Pauly, Tommy (2 сентября 2021 г.). «Забывчивый DNS через HTTPS». IETF.
49. Маффетт, Алек (февраль 2021 г.). ""Нет порта 53, кто это?" Год DNS поверх HTTPS поверх Tor" (PDF) . Симпозиум по безопасности сетей и распределенных систем. Архивировано (PDF) из оригинала 2021-03-21. DNS поверх HTTPS (DoH) устраняет многие, но не все риски, а его транспортный протокол (т. е. HTTPS) вызывает опасения относительно конфиденциальности из-за (например) "cookie-файлов". Сеть Tor существует для предоставления TCP-цепям некоторой свободы от отслеживания, наблюдения и блокировки. Таким образом: в сочетании с Tor, DoH и принципом "Не делай этого, затем" (DDTT) для смягчения отпечатков пальцев запросов я описываю DNS поверх HTTPS поверх Tor (DoHoT).
50. Улевич, Дэвид (6 декабря 2011 г.). «DNSCrypt – критический, фундаментальный и актуальный». Cisco Umbrella . Архивировано из оригинала 1 июля 2020 г.
51. "Спецификация анонимного DNSCrypt". GitHub . DNSCrypt. Архивировано из оригинала 25 октября 2019 г.
52. "Oblivious DoH · DNSCrypt/dnscrypt-proxy Wiki". GitHub . Проект DNSCrypt . Получено 28 июля 2022 г. .
53. Герцберг, Амир; Шульман, Хая (2014-01-01). «Модернизация безопасности сетевых протоколов: случай DNSSEC». IEEE Internet Computing . 18 (1): 66–71. doi :10.1109/MIC.2014.14. ISSN  1089-7801. S2CID  12230888.
54. APWG. "Глобальное исследование фишинга: использование доменных имен и тенденции в 1П2010". 15.10.2010 apwg.org Архивировано 03.10.2012 на Wayback Machine
55. Huston, Geoff (июль 2019 г.). "DNS Privacy and the IETF" (PDF) . The Internet Protocol Journal . Архивировано (PDF) из оригинала 2019-09-30.
56. "Операционный профиль протокола доступа к регистрационным данным (RDAP) для реестров и регистраторов gTLD". ICANN . 3 декабря 2015 г. Архивировано из оригинала 22 декабря 2015 г. Получено 18 декабря 2015 г.
57. "Найти регистратора". VeriSign, Inc. Получено 18 декабря 2015 г.

Источники

• Эванс, Клэр Л. (2018). Broad Band: Нерассказанная история женщин, которые создали Интернет. Нью-Йорк: Portfolio/Penguin. ISBN 9780735211759.

Дальнейшее чтение

Стандарты трек

• RFC 1034, Доменные имена — концепции и возможности
• RFC 1035, Доменные имена — реализация и спецификация
• RFC 1123, Требования к интернет-хостам — применение и поддержка
• RFC 1995, Инкрементная передача зоны в DNS
• RFC 1996, Механизм оперативного уведомления об изменениях зоны (DNS NOTIFY)
• RFC 2136, Динамические обновления в системе доменных имен (DNS UPDATE)
• RFC 2181, Пояснения к спецификации DNS
• RFC 2308, Отрицательное кэширование DNS-запросов (DNS NCACHE)
• RFC 3225, Указание поддержки DNSSEC распознавателем
• Требования к размеру сообщений сервера/распознавателя RFC 3226, DNSSEC и IPv6 A6
• RFC 3596, Расширения DNS для поддержки IP версии 6
• RFC 3597, Обработка неизвестных типов записей ресурсов DNS (RR)
• RFC 4343, Разъяснение по вопросу нечувствительности к регистру в системе доменных имен (DNS)
• RFC 4592, Роль подстановочных знаков в системе доменных имен
• RFC 4635, Идентификаторы алгоритма HMAC SHA TSIG
• RFC 5001, опция идентификатора сервера имен DNS (NSID)
• RFC 5011, Автоматизированные обновления якорей доверия DNS Security (DNSSEC)
• RFC 5452, Меры по повышению устойчивости DNS к поддельным ответам
• RFC 5890, Интернационализированные доменные имена для приложений (IDNA): определения и структура документа
• RFC 5891, Интернационализированные доменные имена в приложениях (IDNA): Протокол
• RFC 5892, Кодовые точки Unicode и интернационализированные доменные имена для приложений (IDNA)
• RFC 5893, Шрифты с написанием справа налево для интернационализированных доменных имен приложений (IDNA)
• RFC 6672, Нетерминальное перенаправление DNS-имени
• RFC 6891, Механизмы расширения для DNS (EDNS0)
• RFC 7766, DNS Transport over TCP — Требования к реализации
• RFC 8945, Аутентификация транзакций с секретным ключом для DNS (TSIG)

Предлагаемые стандарты безопасности

• RFC 4033, Введение и требования к безопасности DNS
• RFC 4034, Записи ресурсов для расширений безопасности DNS
• RFC 4035, Изменения протокола для расширений безопасности DNS
• RFC 4509, Использование SHA-256 в записях ресурсов делегирования подписчика (DS) DNSSEC
• RFC 4470, минимальное освещение записей NSEC и онлайн-подписания DNSSEC
• RFC 5155, DNS Security (DNSSEC) Хэшированное аутентифицированное отрицание существования
• RFC 5702, Использование алгоритмов SHA-2 с RSA в записях ресурсов DNSKEY и RRSIG для DNSSEC
• RFC 5910, Сопоставление расширений безопасности системы доменных имен (DNS) для протокола Extensible Provisioning Protocol (EPP)
• RFC 5933, Использование алгоритмов подписи ГОСТ в записях ресурсов DNSKEY и RRSIG для DNSSEC
• RFC 7830, опция заполнения EDNS(0)
• RFC 7858, Спецификация DNS поверх безопасности транспортного уровня (TLS)
• RFC 8310, Профили использования для DNS через TLS и DNS через DTLS
• RFC 8484, DNS-запросы по HTTPS (DoH)

Экспериментальные RFC

• RFC 1183, Новые определения DNS RR

Лучшие современные практики

• RFC 2182, Выбор и эксплуатация вторичных DNS-серверов (BCP 16)
• RFC 2317, Бесклассовое делегирование IN-ADDR.ARPA (BCP 20)
• RFC 5625, Руководство по внедрению DNS-прокси (BCP 152)
• RFC 6895, Система доменных имен (DNS) IANA Рекомендации (BCP 42)
• RFC 7720, Протокол службы корневых имен DNS и требования к развертыванию (BCP 40)

Информационные RFC

Эти RFC носят рекомендательный характер, но могут предоставить полезную информацию, несмотря на то, что не определяют ни стандарт, ни BCP. (RFC 1796)

• RFC 1178, Выбор имени для вашего компьютера (FYI 5)
• RFC 1591, Структура и делегирование системы доменных имен
• RFC 1912, Распространенные ошибки в работе и конфигурации DNS
• RFC 2100, Именование хостов
• RFC 3696, Методы применения для проверки и преобразования имен
• RFC 3833. Анализ угроз системы доменных имен (DNS)
• RFC 4892, Требования к механизму идентификации экземпляра сервера имен
• RFC 5894, Интернационализированные доменные имена для приложений (IDNA): Предыстория, пояснения и обоснование
• RFC 5895, Сопоставление символов для интернационализированных доменных имен в приложениях (IDNA) 2008
• RFC 8806, Запуск локального корневого сервера для распознавателя
• RFC 9076, Вопросы конфиденциальности DNS
• RFC 9156, Минимизация имени DNS-запроса для повышения конфиденциальности
• RFC 9499, DNS-терминология

Неизвестный

Эти RFC имеют официальный статус «Неизвестно» , но из-за своего возраста не имеют четкой маркировки.

• RFC 920, Требования к домену – Указанные исходные домены верхнего уровня
• RFC 1032, Руководство администратора домена
• RFC 1033, Руководство по работе администраторов домена
• RFC 1101, DNS-кодировки сетевых имен и других типов

Внешние ссылки

• Викси, Пол (4 мая 2007 г.). "DNS Complexity". ACM Queue . Архивировано из оригинала 29 марта 2023 г.
• Болл, Джеймс (28 февраля 2014 г.). «Познакомьтесь с семью людьми, которые держат в руках ключи к всемирной интернет-безопасности». The Guardian . Guardian News & Media Limited . Получено 28 февраля 2014 г.
• Кругер, Леннард Г. (18 ноября 2016 г.). «Управление Интернетом и система доменных имен: вопросы для Конгресса» (PDF) . Исследовательская служба Конгресса . Получено 27 июля 2024 г. .
• Zytrax.com, Руководство с открытым исходным кодом – DNS для ракетостроителей.
• Возня с DNS – сайт, где вы можете проводить эксперименты с DNS.