YOUexample.com?93.184.215.14DNSresolvercache + recurse

DNS servery

11 min přečtenovytváření sítí

Každé připojení na internetu začíná vyhledáváním DNS – převodem názvu jako example.com na IP adresu, ke které se váš počítač může připojit. Infrastruktura, díky které to funguje, je jednou z nejpoužívanějších a nejméně pochopených součástí moderního internetu, přičemž různé typy serverů hrají v každém jednotlivém požadavku odlišné role.

Celé tělo článku je uvedeno níže v angličtině.

A DNS server je jakýkoli počítač, který odpovídá na dotazy systému doménových jmen. Systém DNS má několik rolí – rekurzivní překladač, autoritativní server, kořenový server, TLD server – které společně mění jméno na IP adresu. Pochopení toho, která role dělá co, objasňuje, kdo vidí vaše dotazy, odkud pocházejí a jak je chránit.

Čtyři typy serverů DNS

  • Rekurzivní překladač. Server DNS, se kterým vaše zařízení komunikuje. Vykonává práci při hledání odpovědi, dotazování na jiné servery podle potřeby a ukládání výsledku do mezipaměti. Příklady: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), překladač vašeho ISP.
  • Root servery. 13 logických kořenových serverů (každý s mnoha fyzickými instancemi, přes anycast) — A až M — které vědí, které servery zpracovávají domény nejvyšší úrovně (.com, org.uk). Provozováno organizacemi koordinovanými ICANN. Servery
  • TLD. Jeden na doménu nejvyšší úrovně. .com provozuje společnost Verisign; .org registrem veřejného zájmu; kódy zemí podle národních síťových karet. Vědí, které servery jsou autoritativní pro jednotlivé domény pod jejich TLD.
  • Authoritativní servery. DNS servery, které uchovávají skutečné záznamy pro doménu (A, AAAA, MX, TXT atd.). Například servery example.com jsou autoritativní servery bez ohledu na to, co vlastník domény nakonfiguroval u registrátora. Dotaz

A, krok za krokem

Do prohlížeče zadejte example.com. Co se stane:

  1. Váš prohlížeč požádá operační systém o IP adresu example.com.
  2. OS zkontroluje svou místní mezipaměť; pokud není nalezen, dotáže se nakonfigurovaného překladače (obvykle vašeho routeru, který přepošle překladač ISP nebo veřejný).
  3. Rekurzivní překladač zkontroluje svou mezipaměť. Pokud není nalezen, spustí vyhledávání.
  4. Překladač se dotazuje kořenového serveru na „.com“. Kořen odpovídá jmény a IP adresami serverů TLD .com.
  5. Překladač se dotazuje na server .com TLD pro example.com. Server TLD odpoví názvy a IP autoritativních serverů example.com.
  6. Překladač se dotazuje na autoritativní server na záznam A domény example.com. Autoritativní server odpoví IP.
  7. Překladač vrátí IP do operačního systému, který ji vrátí prohlížeči, který se připojí.

Většina kroků je uložena v mezipaměti. Populární doména jako google.com je obsluhována z mezipaměti více než 99 % času; pouze čerstvé dotazy, které nejsou uloženy v mezipaměti, plně fungují.

Veřejné překladače DNS

Hlavní bezplatné veřejné překladače a jejich nabídka:

  • 1.1.1.1 (Cloudflare) — rychlý, audit soukromí. Nasazení Anycast.
  • 8.8.8.8 (Google) – rychlé, široce používané, Google uchovává některé protokoly dotazů.
  • 9.9.9.9 (Quad9) – švýcarské, blokuje známé škodlivé protokoly domén content.
  • 208.67.222.222 (Cisco OpenDNS) — původní mainstreamový veřejný resolver. Nabízí vrstvy filtrování.
  • NextDNS — přizpůsobitelné filtrování, placené pro pokročilé uživatele.
  • AdGuard DNS — blokování reklam a sledovačů na úrovni DNS.XPLZ82:Z8sing a vaše ISP83sPL obvykle rychlejší, často soukromější (v závislosti na zásadách překladače), někdy dokáže obejít blokování domény na úrovni poskytovatele internetových služeb.

    Proč je váš výběr DNS důležitý pro soukromí

    Váš překladač vidí každou doménu, kterou navštívíte. ISP resolvery to historicky zaznamenávaly. Někteří to stále dělají a někteří data zpeněžili. Veřejné překladače se silnými zásadami ochrany osobních údajů (Cloudflare 1.1.1.1, Quad9) jsou vylepšením většiny výchozích nastavení poskytovatelů internetových služeb.

    Šifrovaný DNS — DNS přes HTTPS, DNS přes TLS, DNSCrypt — dále chrání rozlišení mezi vámi a vámi v síti. Bez šifrování vidí vaše hotelová Wi-Fi jednoduché dotazy DNS, i když je skutečný webový provoz HTTPS.

    DNS záznamy, se kterými se setkáte

    • A — IPv4 adresa pro jméno
    • AAAA — IPv6 adresa
    • CNAME — alias ukazující jedno jméno na jiný
    • MX — poštovní server pro doménu
    • TXT — libovolný text. Používá se pro SPF, DKIM, ověření vlastnictví domény
    • NS — autoritativní jmenné servery pro doménu
    • SOA — počátek autority, definuje parametry zóny
    • X až CAXXX pro vydání certifikátu CAX31X domain
    • HTTPS — novější typ záznamu, umožňuje prohlížečům naučit se podporu HTTP/3 před připojením

    Jak zkontrolovat DNS

    • dig example.comXPLZ44lineX — Unix command-lineX; důkladný výstup
    • dig +trace example.com — zobrazí každý krok od roota po autoritativní
    • nslookup example.com — starší nástroj, funguje na Windows
      • XPLZ54r simple —PLZ55Z5lineXhost example.com answer
    • Náš test úniku DNS vám řekne, který překladač vaše zařízení skutečně používá

Často kladené otázky

Zrychlí změna mého serveru DNS internet?
Někdy. Pokud je překladač vašeho ISP pomalý nebo geograficky daleko, může přechod na 1.1.1.1 nebo 8.8.8.8 zkrátit vyhledávání DNS při první návštěvě o desítky milisekund. Na většině moderních sítí je rozdíl malý, protože mezipaměti resolveru jsou již teplé.
Kdo provozuje kořenové servery DNS?
Dvanáct organizací provozuje 13 logických kořenových serverů – univerzity (např. University of Maryland), společnosti (Verisign), vládní agentury (DoD NIC) a neziskové organizace (ICANN, Internet Systems Consortium). Každé kořenové písmeno je replikováno na stovkách fyzických webů prostřednictvím Anycast. Neexistuje žádný ústřední orgán, který by držel DNS jako rukojmí; struktura byla záměrně decentralizována.
Mohu spustit svůj vlastní DNS resolver?
Ano. Pi-hole, AdGuard Home, Unbound a BIND jsou běžné volby. Samoobslužné překladače vám poskytují úplnou kontrolu nad ukládáním do mezipaměti, filtrováním a protokolováním. Kompromisy: udržujete jej a čerstvě spuštěný resolver má pomalejší první dotazy než veřejný s teplou mezipamětí.
Jaký je rozdíl mezi rekurzivním a autoritativním DNS?
<em>recursive</em> resolver dělá práci při hledání odpovědí dotazováním na jiné servery. Server <em> autoritativní</em> uchovává skutečné záznamy pro konkrétní zónu a odpovídá na otázky týkající se této zóny. Veřejné řešitele (1.1.1.1) jsou rekurzivní; jmenné servery, na které odkazuje vaše doména, jsou směrodatné.
Jak DNS zpracovává výpadek serveru?
Většina domén má alespoň dva autoritativní jmenné servery na různých místech. Pokud je jeden nedostupný, překladač zkouší další. Hodnoty TTL (Time-To-Live values) omezují, jak dlouho zastaralá odpověď žije v mezipaměti. Stále dochází ke katastrofickým selháním DNS – výpadek Facebooku v říjnu 2021 byl stažením DNS, kvůli kterému byla celá globální služba offline – ale protokol je navržen pro rutinní výpadky serveru.
Vysvětlení serverů DNS: Jak ve skutečnosti funguje vyhledávání domén