YOUexample.com?93.184.215.14DNSresolvercache + recurse

DNS-servere

11 min læstNetværk

Hver forbindelse på internettet starter med et DNS-opslag - konvertere et navn som eksempel.com til en IP-adresse, som din computer kan oprette forbindelse til. Infrastrukturen, der får dette til at fungere, er en af ​​de mest brugte og mindst forståede dele af det moderne internet, med flere typer servere, der spiller forskellige roller i hver enkelt anmodning.

Hele artiklens krop findes på engelsk nedenfor.

A DNS-server er enhver computer, der besvarer Domain Name System-forespørgsler. DNS-systemet har flere roller - rekursiv resolver, autoritativ server, rodserver, TLD-server - der tilsammen gør et navn til en IP-adresse. Forståelse af, hvilken rolle der gør, hvad der afklarer, hvem der ser dine forespørgsler, hvor de kommer fra, og hvordan man beskytter dem.

De fire DNS-servertyper

  • Rekursiv resolver. Den DNS-server, som din enhed taler med. Det gør arbejdet med at finde svaret, forespørge på andre servere efter behov og cache resultatet. Eksempler: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), din internetudbyders resolver.
  • Root-servere. 13 logiske rodservere (med mange fysiske forekomster hver, via anycast) — A til M — der ved, hvilke servere, der håndterer dk. osv.). Drives af ICANN-koordinerede organisationer.
  • TLD-servere. Én pr. topdomæne. .com drives af Verisign; .org af Public Interest Registry; landekoder af nationale NIC'er. De ved, hvilke servere der er autoritative for individuelle domæner under deres TLD.
  • Authoritative servere. De DNS-servere, der holder de faktiske poster for et domæne (A, AAAA, MX, TXT osv.). For eksempel.com er de autoritative servere uanset domæneejeren, der er konfigureret ved registratoren.

A-forespørgsel, trin for trin

Du skriver example.com i din browser. Hvad sker der:

  1. Din browser beder operativsystemet om IP-adressen for example.com.
  2. OS kontrollerer sin lokale cache; hvis den ikke findes, forespørger den konfigurerede resolver (normalt din router, som videresender til internetudbyderens resolver eller en offentlig).
  3. Den rekursive resolver tjekker sin cache. Hvis den ikke findes, starter opslaget.
  4. Resolveren forespørger på en root-server efter ".com". Rodsvarene med navne og IP'er på .com TLD-serverne.
  5. Resolveren forespørger på en .com TLD-server for eksempel.com. TLD-serveren svarer med navnene og IP'erne på example.com's autoritative servere.
  6. Resolveren forespørger på en autoritativ server for A-posten for example.com. Den autoritative server svarer med IP.
  7. Resolveren returnerer IP til OS, som returnerer den til browseren, som forbinder.

De fleste trin cachelagres. Et populært domæne som google.com serveres fra cache 99 %+ af tiden; kun friske, ikke-cachede forespørgsler går hele vejen.

Offentlige DNS-resolvere

De største gratis offentlige resolvere og hvad de tilbyder:

  • 1.1.1.1 (Cloudflare)G-hurtig, auditeret af KPM-fokuseret. Anycast-implementering.
  • 8.8.8.8 (Google) — hurtig, udbredt, Google beholder nogle forespørgselslogfiler.
  • 9.9.9.9 (Quad9) — ondsindede domæner, der er kendt for domæner content.
  • 208.67.222.222 (Cisco OpenDNS) — original mainstream offentlig resolver. Tilbyder filtreringsniveauer.
  • NextDNS — tilpasselig filtrering, betalt for superbrugere.
  • AdGuard DNS — annonce- og trackerblokering på DNS-niveau.XPLZ82PLZ8Chooter din offentlige ISP'er: normalt hurtigere, ofte mere private (afhængigt af resolverens politikker), nogle gange i stand til at omgå domæneblokering på ISP-niveau.

    Hvorfor dit DNS-valg er vigtigt for privatlivets fred

    Din resolver ser hvert domæne, du besøger. ISP-resolvere har historisk logget dette. Nogle gør det stadig, og nogle har tjent penge på dataene. Offentlige resolvere med stærke privatlivspolitikker (Cloudflares 1.1.1.1, Quad9) er en forbedring af de fleste internetudbyderes standardindstillinger.

    Krypteret DNS — DNS over HTTPS, DNS over TLS, DNSCrypt mod yderligere beskyttelse af netværket mellem dig og andre på netværket. Uden kryptering ser dit hotel Wi-Fi almindelige DNS-forespørgsler, selv når den faktiske webtrafik er HTTPS.

    DNS-registreringer, du vil støde på

    • A — IPv4-adresse for et navn
    • AAAA — IPv6-adresse
    • CNAME — alias, der peger på ét navn another
    • MX — mailserver for domænet
    • TXT — vilkårlig tekst. Anvendes til SPF, DKIM, domæneejerskabsbekræftelse
    • NS — autoritative navneservere til domænet
    • SOA — start af autoritet, definerer zonens parametreXPLZ0CAXXPLZZ — CA2X0CAXXPLZZ, CA2X0XXPLZ3 har tilladelse til at udstede certifikater for domænet
    • HTTPS — nyere posttype, lader browsere lære HTTP/3-understøttelse før tilslutning grundig output
    • dig +trace example.com — vis hvert trin fra rod til autoritativ
    • nslookup example.com — ældre værktøj, fungerer på Windows
    • X6PLZPLZ55Xhost et eksempel answer
    • Vores DNS-lækagetest fortæller dig, hvilken resolver din enhed faktisk bruger

Ofte stillede spørgsmål

Gør ændring af min DNS-server internettet hurtigere?
Undertiden. Hvis din internetudbyders resolver er langsom eller geografisk langt, kan skift til 1.1.1.1 eller 8.8.8.8 barbere snesevis af millisekunder fra DNS-opslag ved første besøg. På de fleste moderne netværk er forskellen lille, fordi resolvercachene allerede er varme.
Hvem kører DNS-rodserverne?
Tolv organisationer driver de 13 logiske rodservere - universiteter (f.eks. University of Maryland), virksomheder (Verisign), offentlige myndigheder (DoD NIC) og nonprofitorganisationer (ICANN, Internet Systems Consortium). Hvert rodbogstav replikeres på tværs af hundredvis af fysiske websteder via anycast. Der er ingen central myndighed, der holder DNS som gidsel; strukturen var bevidst decentraliseret.
Kan jeg køre min egen DNS-resolver?
Ja. Pi-hole, AdGuard Home, Unbound og BIND er almindelige valg. Selv-hostede resolvere giver dig fuld kontrol over caching, filtrering og logning. Afvejningen: du vedligeholder den, og en nystartet resolver har langsommere første forespørgsler end en offentlig med en varm cache.
Hvad er forskellen mellem rekursiv og autoritativ DNS?
En <em>recursive</em>-resolver udfører arbejdet med at finde svar ved at forespørge på andre servere. En <em>authoritative</em>-server opbevarer de faktiske registreringer for en specifik zone og besvarer spørgsmål om den. Offentlige resolvere (1.1.1.1) er rekursive; de navneservere, dit domæne peger på, er autoritative.
Hvordan håndterer DNS en server, der går ned?
De fleste domæner har mindst to autoritative navneservere på forskellige steder. Hvis den ene ikke er tilgængelig, forsøger resolveren den næste. TTL'er (Time-To-Live-værdier) begrænser, hvor længe et forældet svar lever i caches. Katastrofale DNS-fejl sker stadig - Facebooks udfald i oktober 2021 var en DNS-tilbagetrækning, der tog en hel global tjeneste offline - men protokollen er designet til rutinemæssige serverafbrydelser.
DNS-servere forklaret: Hvordan domæneopslag faktisk fungerer