Система доменных имен DNS

Являясь провайдером виртуальной инфраструктуры, компания 1cloud интересуется сетевыми технологиями, о которых мы регулярно рассказываем в своем блоге. Сегодня мы подготовили материал, затрагивающий...

Корневые серверы DNS

Как уже говорилось выше, DNS, по сути, является иерархической системой. В верхней части этой системы находится то, что мы называем корневым сервером DNS. Эти серверы находятся под контролем различных организаций, действующих по согласию с ICANN (Корпорация по управлению доменными именами и IP-адресами).

В настоящее время 13 корневых серверов находятся в эксплуатации. Тем не менее, так как каждую минуту появляется немыслимое количество имен для преобразования, каждый из этих серверов имеет зеркало. Интересно, что все зеркала для одного корневого сервера делят один IP-адрес. Когда выполняется запрос к определенному серверу, он будет перенаправлен к ближайшему зеркалу этого корневого сервера.

Что делают эти корневые серверы? Они обрабатывают запросы на информацию о доменах верхнего уровня. Поэтому если приходит запрос о чем-то, что DNS-сервер не может преобразовать, то запрос перенаправляется в корневой DNS-сервер.

Корневые серверы на самом деле не обладают информацией о том, где размещен домен. Они, однако, в состоянии направить запрашивающего к DNS-серверу, который обрабатывает нужный домен верхнего уровня.

Таким образом, если запрос “www.wikipedia.org” производится в корневой сервер, то он ответит, что не может найти результат в своих записях. Он проверит свои файлы зоны на наличие соответствий “www.wikipedia.org”. И также не найдет их.
Вместо этого он найдет запись для домена верхнего уровня “org” и предоставит запрашивающему адрес DNS-сервера, отвечающего за адреса “org”.

GitHub полностью «удалил» репозиторий утилиты для обхода блокировок и весь аккаунт создателя

10 апреля 2019 года GitHub без объявления войны удалил репозиторий популярной утилиты GoodByeDPI, предназначенной для обхода государственных блокировок (цензуры) сайтов в Интернете. UPD от 13.04.2019
Сухие факты. Недоступен не только репозиторий, а весь аккаунт целиком. Хотя для любого постороннего пользователя всё выглядит, как удаление, на самом деле — это shadowban, о чем автор. Далее он признался, что магнет-ссылки на видео со сценами убийств в Новой Зеландии на публичной странице своего аккаунта. Позже экспериментально выяснили, что блокировку автору программы для борьбы с блокировками дали . Но было и предположение, что бан был за спам с диапазона IP, к которому принадлежит автор. ТЧКUPD от 16.04.2019
Судя по всему, shadowban с аккаунта ValdikSS , все репозитории восстановлены. Причина была в ссылках на видео со стрельбой.
Что такое DPI, как связан с блокировками и зачем с ним бороться (по версии автора):

При истечении срока действия доменаWhen domain expires

Azure работает с доменами службы приложений с истекшим сроком действия или с истекшим сроком действия следующим образом:Azure deals with expiring or expired App Service domains as follows:

  • Если автоматическое продление отключено: 90 дней до истечения срока действия домена, на портале отправляется сообщение с уведомлением об обновлении и активируется кнопка продлить домен .If automatic renewal is disabled: 90 days before domain expiration, a renewal notification email is sent to you and the Renew domain button is activated in the portal.
  • Если автоматическое продление включено: в день после истечения срока действия домена Azure пытается выставить счет за продление доменного имени.If automatic renewal is enabled: On the day after your domain expiration date, Azure attempts to bill you for the domain name renewal.
  • Если во время автоматического продления возникает ошибка (например, истек срок действия карточки в файле) или автоматическое продление отключено и вы разрешаете срок действия домена, Azure уведомляет об истечении срока действия домена и парки имя домена.If an error occurs during automatic renewal (for example, your card on file is expired), or if automatic renewal is disabled and you allow the domain to expire, Azure notifies you of the domain expiration and parks your domain name. Вы можете .You can your domain.
  • В течение 4-го и 12-дневного дня после истечения срока действия Azure отправляет вам дополнительные уведомления по электронной почте.On the 4th and 12th days day after expiration, Azure sends you additional notification emails. Вы можете .You can your domain.
  • По истечении 19-дневного дня домен остается на удержании, но подпадает под контрольную плату за погашение.On the 19th day after expiration, your domain remains on hold but becomes subject to a redemption fee. Вы можете обратиться в службу поддержки клиентов, чтобы продлить свое доменное имя в соответствии с любыми подходящими обновлениями и погашением расходов.You can call customer support to renew your domain name, subject to any applicable renewal and redemption fees.
  • На 25-й день после истечения срока действия Azure помещает свой домен в поле “аукцион” в доменное имя службы отрасли.On the 25th day after expiration, Azure puts your domain up for auction with a domain name industry auction service. Вы можете обратиться в службу поддержки клиентов, чтобы продлить свое доменное имя в соответствии с любыми подходящими обновлениями и погашением расходов.You can call customer support to renew your domain name, subject to any applicable renewal and redemption fees.
  • В течение 30 дней после истечения срока действия вы больше не сможете активировать домен.On the 30th day after expiration, you’re no longer able to redeem your domain.

Институт развития интернета назвал сайты, которые могут отключиться в Рунете с 1 февраля

1 февраля 2019 года наступит DNS Flag Day: будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound. Они начнут принимать только трафик, соответствующий стандарту EDNS (RFC 6891). Трафик со старых и необновлённых серверов будет рассматриваться как нелегитимный и эти сервера перестанут обслуживаться, что может привести к недоступности сайтов, которые находятся на этих серверах.
Для большинства обычных сайтов DNS Flag Day пройдёт незамеченным. Если они размещаются на популярных хостингах. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, предупреждает Cisco.
Вчера Институт развития интернета назвал сайты, которые могут отключить в Рунете с 1 февраля. По состоянию на декабрь 2018 года 104 DNS-сервера в доменных зонах .ru и .рф не готовы к DNS Flag Day, говорится в исследовании.

Политика и стратегия назначения имен

Имена зон условно можно разделить на “организационные” и “географические“. В высшей зоне зарегестрированы следующие “организационные” зоны:

  • com – commercial (коммерческие)
  • edu – educational (образовательные)
  • gov – goverment (правительственные)
  • mil – military (военные)
  • net – network (организации, обеспечивающие работу сети)
  • org – organization (некоммерческие организации)

В данный момент, чтобы разгрузить домен com, собираются создать несколько новых доменов, но у меня нет достоверной информации по ним. В организационных зонах обычно размещаются непосредственно домены организаций.

Каждая страна (государство) имеет свой географический домен из двух букв:

  • ae – United Arab Emirates (Объединенные Арабские Эмираты)
  • au – Australia (Австралия)
  • be – Belgium (Бельгия)
  • br – Brazil (Бразилия)
  • by – Belarus (Белоруссия)
  • ca – Canada (Канада)
  • ch – Switzerland (Швейцария)
  • cz – Czech Republic (Чехия)
  • de – Germany (Германия)
  • dk – Denmark
  • do – Dominican Republic (Доминиканская республика)
  • ee – Estonia (Эстония)
  • eo – ???
  • es – Spain (Испания)
  • fi – Finland (Финляндия)
  • fr – France (Франция)
  • hu – Hungary (Венгрия)
  • il – Israel (Израиль)
  • in – India (Индия)
  • iz – ???
  • jp – Japan (Япония)
  • kg – Kyrgyzstan (Кыргызстан)
  • kr – South Korea (Южная Корея)
  • kz – Kazakhstan (Казахстан)
  • lt – Lithuania (Литва)
  • lv – Latvia (Латвия)
  • mx – Mexico (Мексика)
  • nl – Netherlands (Нидерланды)
  • no – Norway (Норвегия)
  • nz – New Zealand (Новая Зеландия)
  • pl – Poland (Польша)
  • ro – Romania (Румыния)
  • ru – Russia (Россия)
  • si – Slovenia (Словения)
  • sk – Slovak Republic (Словакия)
  • su – Soviet Union (Советский Союз – поддерживается, но не распределяется)
  • ua – Ukraine (Украина)
  • uk – United Kingdom (Соединенное Королевство ВеликоБритания / Англия)
  • yu – Yugoslavia (Югославия)
  • za – South Africa (Южная Африка)

Я перечислил отнюдь не все страны

В зонах государств опять же имеются “организационные” и “географические” зоны. “Организационные” в большинстве своем повторяют структуру “организационных” зон верхнего уровня, разве что вместо “com” используется “co“. “Географические” выделяются городам, областям и т.п. территориальным образованиям. Непосредственно в тех и других размещаются домены организаций или домены персональных пользователей.

После выбора зоны, в которую будет включен наш домен надо выбрать собственное имя домена. Обычно это имя компании, торговая марка или что-нибудь столь же характерное. Для неанглоязычных стран используется транскрипция имен. Часто возникают конфликты, связанные с тем, что одно и то же имя используется несколькими фирмами (законодательство допускает это для фирм, работающих в разных отраслях); многие люди заранее резервируют имена, могущие стать популярными для последующей продажи их владельцу торговой марки; но это уже касается юридической стороны функционирования Internet и не входит в мою компетенцию.

С левого конца доменного имени находятся имена машин. Имена бывают “собственные” и “функциональные“. Имена “собственные” каждый придумавает в меру фантазии: машинам присваиваются имена членов семьи, животных, растений, музыкантов и артистов, литературных персонажей – кто во что горазд.

Имена “функциональные” вытекают из функций, выполняемых машиной:

  • www – HTTP (WWW) сервер
  • ftp – FTP сервер
  • ns, nss, dns – DNS (Name) сервер
  • mail – Mail сервер
  • relay – Mail Exchanger
  • *proxy – соответствующий Proxy сервер

Я считаю нежелательным присваивать какой-либо машине функциональное имя – в любой момент может потребоваться перенести соответствующую функцию на другую машину. Для этого лучше всего использовать псевдонимы, которые перенаправляют запросы к данному имени на записи, относящиеся к другому имени. Но вот ссылаться на псевдонимы при обьявлении Mail Exchanger’ов и вообще использовать их в правой части записей считается нежелательным, а зачастую является недопустимым.

Ключевые понятия Domain Name System

1.Домен, или в прямом переводе с английского, область – узел в системе доменных имен, включает все подчиненные ему домены (при наличии). Домен представляет собой как-бы дерево имен, ветками которого являются менее важные домены (домены нижних уровней). Структура интернета как дерево имен имеет примерно такой вид: корневой домен без обозначения, домены первого уровня (доменные зоны), домены второго уровня (адреса отдельных сайтов), домены третьего уровня (адреса отдельных сайтов и поддомены), домены четвертого уровня и т.д. В этой классификации стоит уточнить, что домен первого уровня – разделение сайтов по регионам(ru, ua, и т.д.), принадлежности(com, net), специализации (mobi, fm, biz). Домен второго уровня – домены отдельные для каждого сайта, присваиваются для легкого запоминания адреса, быстрого поиска, создания бренда. Домены третьего уровня – зачастую поддомены в рамках одного сайта, разделенные по разделам и специализации; четвертый и более нижний уровни домена могут преследовать те же цели. Сочетание доменной зоны и самого домена может давать легко запоминающиеся адреса.

2.Поддомен, или в прямом переводе с английского subdomain – второстепенный домен. Как примерmail.ru – главный домен, а games.mail.ru, news.mail.ru и прочие – поддомены. В теории в такой классификации существуют следующие ограничения: поддомены могут создаваться до 127-го уровня, каждое наименование до 63-х символов, общая длина с точками до 254-х символов. Но на практике обычно используются домены до 3-го уровня, длина наименования несколько символов, общая длина не более нескольких десятков символов.

3.Ресурсная запись – инструмент хранения и передачи информации в системе DNS. В состав ресурсной памяти входит имя домена, формат, тип и поле данных. Эти значения зависят от типа доменного имени.

4.Зона – большая часть дерева имен доменов. Является, единым целым на определенных серверах доменных имен, зачастую нескольких. Цель разделения доменных зон как частей доменного дерева – передача прав владения и ответственности за каждый отдельный домен разным компаниям или лицам.

5.Делегирование – привязка определенного доменного имени (сайта) к определенному серверу. То есть при обращении по нужному домену происходит автоматическое направление на определенный сервер, к которому это имя делегировано.

6.DNS-сервер – специальное программное обеспечение, обслуживающее Domain Name System, а также узел сети, на котором это ПО установлено. DNS-сервер, как правило, имеет ответственность за некоторые доменные имена и может выполнять перенаправление на более важные сервера.

7.DNS-клиент – программа или библиотека для работы с DNS. По сути, в некоторых случаях DNS-сервер – это и есть DNS-клиент.

8.Авторитетность – в случае, если зона DNS находится на том же сервере. Существуют два вида ответовDNS – авторитетные и не авторитетные. В первом случае сервер сам отвечает за зону и сам обрабатывает запросы. Во втором случае сервер обрабатывает запрос, возвращая ответ от других серверов. Иногда при таких запросах используется кеширование, когда сервер может вернуть ранее известное ему имя, использованное при предыдущих запросах.

9.DNS-запрос (не рекурсивный или рекурсивный) – запрос на сервер от клиента.

Различия в отношениях

Хотя, вероятно, функциональными различия являются наиболее очевидные между конфигурациями DNS-серверов, реляционные различия также чрезвычайно важны.

Основной (Primary) и подчинённый (Slave) серверы

Учитывая важность DNS в обеспечении доступности служб и целых сетей, большинство DNS-серверов, которые являются авторитативными для зоны, будут иметь встроенную избыточность. Существуют различные термины для отношений между этими серверами, но в целом сервер может быть главным (Primary) или подчиненным (Slave) в своей конфигурации.. И главный, и подчинённый серверы являются авторитативными для зон, с которыми они работают

Главный (master) не имеет больше власти над зонами, чем Slave. Единственный различающий фактор между главным и подчиненным серверами — это то, откуда они читают свои файлы зон.

И главный, и подчинённый серверы являются авторитативными для зон, с которыми они работают. Главный (master) не имеет больше власти над зонами, чем Slave. Единственный различающий фактор между главным и подчиненным серверами — это то, откуда они читают свои файлы зон.

Главный сервер считывает файлы своей зоны из файлов на системном диске, обычно здесь администратор зоны добавляет, редактирует или передаёт исходные файлы зоны.

Подчинённый сервер получает зоны, для которых он является полномочным, посредством передачи зоны от одного из главных серверов для зоны. Как только он получает эти зоны, он помещает их в кеш. Если он должен перезапуститься, он сначала проверяет свой кэш, чтобы увидеть, обновлены ли зоны внутри. Если нет, он запрашивает обновлённую информацию с главного сервера.

Серверы не обязательно должны относиться только к master или только к slave для всех зон, с которыми они работают. Главный или подчинённый статус присваивается по зонам, поэтому сервер может быть ведущим для некоторых зон и ведомым для других.

DNS-зоны обычно имеют как минимум два сервера имён. Любая зона, отвечающая за маршрутизируемую зону Интернета, должна иметь как минимум два сервера имён. Часто для обслуживания повышенной нагрузки и увеличения избыточности используется гораздо больше серверов имён.

Публичные и частные серверы

Часто организации используют DNS как снаружи, так и внутри. Однако информация, которая должна быть доступна в обеих из этих сфер, часто существенно отличается.

Организация может поддерживать доступными из вне DNS серверы с только авторитативной функцией (Authoritative-Only) для обработки публичных DNS-запросов для доменов и зон, которые относятся к их «юрисдикции». Для своих внутренних пользователей организация может запустить отдельный DNS-сервер, который содержит публичную информацию, предоставляемую общедоступным DNS, а также дополнительную информацию о внутренних хостах и службах. Он также может предоставлять дополнительные функции, такие как рекурсия и кэширование для своих внутренних клиентов.

Хотя выше мы упомянули о возможности иметь один сервер для выполнения всех этих задач на «комбинированном» сервере, есть определённые преимущества для разделения рабочей нагрузки. На самом деле, поддержание совершенно отдельных серверов (внутренних и внешних), которые не знают друг друга, обычно является более предпочтительным вариантом

С точки зрения безопасности особенно важно, чтобы на общедоступном сервере не было приватных записей. Это означает не перечислять ваши частные серверы имён с записями NS в публичных файлах зон.

Есть некоторые дополнительные соображения, которые следует иметь в виду. Хотя может быть проще, если ваши общедоступные и частные серверы будут совместно использовать данные зон, которые у них общие, и находится в традиционных отношениях главный-подчиненный (master-slave), это может привести к утечке информации о вашей частной инфраструктуре.

Кроме того, что ваши приватные сервера не должны попадать в сами файлы зон (то есть не должны быть доступны для публичного поиска), также неплохо удалить любые ссылки на приватные сервера в файлах конфигурации публичного сервера. Это означает удаление передачи, уведомлений и сведений о конфигурации, чтобы компрометация общедоступного сервера не означала, что ваши внутренние серверы имён внезапно становятся доступными.

Это означает поддержание отдельных файлов зон для каждого, что может быть дополнительной работой. Однако это может быть необходимо для абсолютного разделения и безопасности.

Путь DNS-запроса

Когда клиентская программа хочет получить доступ к серверу по его доменному имени, она должна выяснить, как преобразовать доменное имя в фактический маршрутизируемый адрес, который она может использовать для связи. Необходимо знать эту информацию, чтобы отправлять информацию на сервер и получать от него ответ.

Некоторые приложения, в том числе большинство веб-браузеров, поддерживают внутренний кеш последних запросов. Если в нём есть такая функциональность, то это первое место, где приложение попытается найти IP-адрес домена, к которому нужно подключиться. Если оно не находит ответа на свой вопрос здесь, оно просит системного распознавателя (resolver — резолвер) выяснить, каков адрес доменного имени.

В общем случае распознаватель (resolver) — это любой компонент, который в DNS запросе выступает в роли клиента. Системный распознаватель — это библиотека перевода имён, которую ваша операционная система использует для поиска ответов на DNS-запросы. В целом системные преобразователи, как правило, представляют собой то, что можно назвать заглушкой обработчика, поскольку обычно они способны не более чем на поиск по нескольким статичным файлам в системе (например, в файле /etc/hosts) и пересылки запросов другому преобразователю.

Таким образом, как правило, запрос передаётся из клиентского приложения в системный преобразователь, где он затем передаётся на DNS-сервер, чей адрес указан в настройках системы. Этот DNS-сервер называется рекурсивным DNS-сервером. Рекурсивный сервер — это DNS-сервер, который настроен на выполнение запросов к другим DNS-серверам, пока не найдёт ответ на вопрос. Он вернёт клиенту ответ на его запрос, либо сообщение об ошибке (его получит системный распознаватель, который, в свою очередь, передаст его клиентскому приложению).

Рекурсивные серверы обычно также поддерживают кеш. Сначала сервер проверит этот кеш — есть ли у него ответ на запрос. Если ответа нет, он посмотрит, есть ли у него адрес какого-либо из серверов, которые контролируют компоненты домена верхнего уровня. Поэтому, если запрос относится к www.example.com, и он не может найти этот адрес хоста в своём кэше, он проверит, есть ли у него адрес серверов имён для example.com и, если необходимо, для домена верхнего уровня com. Затем он отправит запрос на сервер имён наиболее конкретного компонента домена, который сможет найти, чтобы запросить дополнительную информацию.

Если сервер не находит адрес ни одному из этих компонентов домена, он должен начать с самой верхней части иерархии, запрашивая корневые серверы имён. Корневые серверы знают адреса всех серверов имён TLD (доменов верхнего уровня), которые контролируют зоны для .com, .net, .org и т. д. Он спросит корневой сервер, знает ли он адрес www.example.com. Корневой сервер направит рекурсивный сервер к серверам имён для домена .com.

Затем рекурсивный сервер следует по пути отсылок к каждому последующему серверу имён, которому делегирована ответственность за компоненты домена, до тех пор, пока он не найдёт конкретный сервер имён, который имеет полный ответ. Он помещает этот ответ в кэш для последующих запросов, а затем возвращает его клиенту.

Как видно из этого примера, существует много разных типов серверов, и каждый из них играет свою роль. Давайте рассмотрим особенности различных типов DNS-серверов.

Пример рекурсивных запросов о домене suip.biz:

dig suip.biz +trace

Active Directory — что это? Простыми словами о сложном

Отслеживание данных сети — трудоемкая задача. Даже в небольших сетях пользователи, как правило, испытывают трудности с поиском сетевых файлов и принтеров. Без какого-либо каталога средними и крупными сетями невозможно управлять, и часто приходится сталкиваться с трудностями при поиске ресурсов.

Предыдущие версии Microsoft Windows включали службы, помогающие пользователям и администраторам находить данные. Сетевое окружение полезно во многих средах, но явным недостатком являются неудобный интерфейс и его непредсказуемость. WINS Manager и Server Manager могут использоваться для просмотра списка систем, но они не были доступны конечным пользователям. Администраторы использовали User Manager для добавления и удаления данных совершенно другого типа сетевого объекта. Эти приложения оказались неэффективными для работы в крупных сетях и вызывали вопрос, зачем в компании Active Directory?

Каталог, в самом общем смысле, представляет собой полный список объектов. Телефонная книга — это тип каталога, в котором хранится информация о людях, предприятиях и правительственных организациях, и обычно в них записывают имена, адреса и номера телефонов. Задаваясь вопросом, Active Directory — что это, простыми словами можно сказать, что эта технология похожа на справочник, но является гораздо более гибкой. AD хранит информацию об организациях, сайтах, системах, пользователях, общих ресурсах и любом другом сетевом объекте.

Доменная зона

Доме́нная зона — совокупность доменных имён определённого уровня, входящих в конкретный домен. Например, зона wikipedia.org включает все доменные имена третьего уровня в этом домене. Термин «доменная зона» в основном применяется в технической сфере, при настройке DNS-серверов (поддержание зоны, делегирование зоны, трансфер зоны).

Самые известные международные зоны – com, biz, info, gov и многие другие. Изначально зоны создавались в зависимости от направления деятельности пользователей. Например, зона com первоначально создавалась для коммерческих организаций, info – для информационных сайтов, net – для сетевых структур, а org – для организаций, которые не попадают под критерии иных зон. Ныне же эти доменные зоны могут использоваться без каких-либо ограничений. Некоторые эксперты предполагают, что подобное «размывание» ожидает и другие раскрученные международные доменные зоны.

В сети имеются также доменные зоны для резидентов ЕС (зона .eu) и для жителей Азиатского региона (asi).

Собственную доменную зону имеет также каждая страна, что, правда, не означает, что граждане иных государств не могут зарегистрировать в ней свои сайты. Например, национальная доменная зона России (зона RU) очень популярна у русскоязычных пользователей всего мира.

Просмотр истории и приобретение освободившихся имён

Согласно установленным международным правилам регистраторы предоставляют информацию о владельцах доменов второго уровня бесплатно и открыто.

Однако сейчас также предоставляются услуги по сокрытию такой регистрационной информация о владельце ресурса.

Разные официальные сервисы предлагают такую услугу как платно, так и бесплатно. Также предоставляется возможность поменять данные на фиктивные.

12. Данные о владельце

По правилам регистрации домена второго уровня при заключении договора с официальным регистратором необходимо указывать свои личные и контактные данные.

Адрес сайта привязывается именно к конкретному физическому или юридическому лицу, с кем заключается договор.

Многие владельцы популярных онлайн ресурсов советуют пользоваться услугами сокрытия информации или её подмены.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий