YOUexample.com?93.184.215.14DNSresolvercache + recurse

DNS poslužitelji

11 min pročitatiumrežavanje

Svaka internetska veza počinje traženjem DNS-a — pretvaranjem naziva kao što je example.com u IP adresu na koju se vaše računalo može povezati. Infrastruktura koja omogućuje ovo funkcioniranje jedan je od najčešće korištenih i najmanje shvaćenih dijelova modernog interneta, s više vrsta poslužitelja koji igraju različite uloge u svakom pojedinom zahtjevu.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

A DNS server je svako računalo koje odgovara na upite Domain Name System. DNS sustav ima više uloga — rekurzivni razrješivač, autoritativni poslužitelj, korijenski poslužitelj, TLD poslužitelj — koje zajedno pretvaraju ime u IP adresu. Razumijevanje koja uloga radi što pojašnjava tko vidi vaše upite, odakle dolaze i kako ih zaštititi.

Četiri vrste DNS poslužitelja

  • Rekurzivni razrješivač. DNS poslužitelj s kojim vaš uređaj komunicira. Obavlja posao pronalaženja odgovora, postavljanja upita drugim poslužiteljima po potrebi i spremanja rezultata u predmemoriju. Primjeri: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), razrešivač vašeg ISP-a.
  • Korijenski poslužitelji. 13 logičkih korijenskih poslužitelja (s mnogo fizičkih instanci svaki, putem bilo kojeg prijenosa) — A do M — koji znaju koji poslužitelji upravljaju domenama najviše razine (.com, .org, .uk, itd.). Upravljaju organizacije koje koordinira ICANN.
  • TLD poslužitelji. Jedan po domeni najviše razine. .com upravlja Verisign; .org Registra javnog interesa; šifre država po nacionalnim NIC-ovima. Oni znaju koji su poslužitelji mjerodavni za pojedinačne domene pod njihovim TLD-om.
  • Autoritativni poslužitelji. DNS poslužitelji koji drže stvarne zapise za domenu (A, AAAA, MX, TXT, itd.). Na primjer.com, autoritativni poslužitelji su sve što je vlasnik domene konfigurirao kod registrara.

A upit, korak po korak

Utipkajte example.com u svoj preglednik. Što se događa:

  1. Vaš preglednik traži od OS-a IP adrese example.com.
  2. OS provjerava svoju lokalnu predmemoriju; ako nije pronađen, postavlja upit konfiguriranom razrješavaču (obično vašem usmjerivaču, koji prosljeđuje ISP-ovom razlučivaču ili javnom).
  3. Rekurzivni razrješivač provjerava svoju predmemoriju. Ako se ne pronađe, pokreće traženje.
  4. Razrešivač postavlja upit korijenskom poslužitelju za ".com". Korijen odgovara s imenima i IP adresama .com TLD poslužitelja.
  5. Razrešivač postavlja upit .com TLD poslužitelju na primjer.com. TLD poslužitelj odgovara s imenima i IP adresama autoritativnih poslužitelja example.com.
  6. Razrešivač postavlja upit autoritativnom poslužitelju za zapis A za example.com. Mjerodavni poslužitelj odgovara IP-om.
  7. Razlučivač vraća IP OS-u, koji ga vraća pregledniku koji se povezuje.

Većina koraka je predmemorirana. Popularna domena poput google.com poslužuje se iz predmemorije 99%+ vremena; samo svježi upiti bez predmemorije obavljaju cijeli korak.

Javni DNS razrješivači

Glavni besplatni javni razrješivači i što oni nude:

  • 1.1.1.1 (Cloudflare) — brz, usredotočen na privatnost, revidirao KPMG. Anycast implementacija.
  • 8.8.8.8 (Google) — brz, široko korišten, Google zadržava neke zapisnike upita.
  • 9.9.9.9 (Quad9) — baziran u Švicarskoj, blokira poznate zlonamjerne domene, ne bilježi upite sadržaj.
  • 208.67.222.222 (Cisco OpenDNS) — izvorni mainstream javni razrješivač. Nudi razine filtriranja.
  • SljedećeDNS — prilagodljivo filtriranje, plaćeno za napredne korisnike.
  • AdGuard DNS — blokiranje oglasa i programa za praćenje na razini DNS-a.

Odabir javnog razrješitelja u odnosu na vašeg ISP-a: obično brži, često privatniji (ovisno o pravilima razrjeđivača), ponekad može zaobići blokiranje domene na razini ISP-a.

Zašto je vaš izbor DNS-a važan za privatnost

Vaš razrješivač vidi svaku domenu koju posjetite. Razlučivači ISP-a povijesno su to zabilježili. Neki to još uvijek čine, a neki su te podatke unovčili. Javni razrješivači sa snažnim pravilima o privatnosti (Cloudflare's 1.1.1.1, Quad9) poboljšanje su većine zadanih ISP-ova.

Šifrirani DNS — DNS preko HTTPS, DNS preko TLS-a, DNSCrypt — dodatno štiti upite od bilo koga na mreži između vas i razrješivača. Bez enkripcije, vaš hotelski Wi-Fi vidi obične DNS upite čak i kada je stvarni web promet HTTPS.

DNS zapisi na koje ćete naići

  • A — IPv4 adresa za ime
  • AAAA — IPv6 adresa
  • CNAME — alias koji upućuje jedno ime na another
  • MX — poslužitelj pošte za domenu
  • TXT — proizvoljan tekst. Koristi se za SPF, DKIM, provjeru vlasništva domene
  • NS — autoritativni poslužitelji imena za domenu
  • SOA — početak ovlaštenja, definira parametre zone
  • CAA — koji CA-ovi smiju izdavati certifikati za domenu
  • HTTPS — novija vrsta zapisa, omogućuje preglednicima da nauče HTTP/3 podršku prije povezivanja

Kako provjeriti DNS

  • dig example.com — Unix naredbeni redak; temeljit izlaz
  • dig +trace primjer.com — prikaži svaki korak od korijena do autoritativnog
  • nslookup primjer.com — stariji alat, radi na Windows
  • host primjer.com — jednostavniji jednolinijski odgovor
  • Naš test curenja DNS-a govori vam koji razrješivač vaš uređaj zapravo koristi

Često postavljana pitanja

Čini li promjena mog DNS poslužitelja internet bržim?
Ponekad. Ako je rezolver vašeg ISP-a spor ili geografski udaljen, prelaskom na 1.1.1.1 ili 8.8.8.8 možete smanjiti desetke milisekundi traženja DNS-a pri prvom posjetu. Na većini modernih mreža razlika je mala jer su predmemorije razlučivača već tople.
Tko upravlja korijenskim DNS poslužiteljima?
Dvanaest organizacija upravlja s 13 logičkih korijenskih poslužitelja — sveučilišta (npr. Sveučilište Maryland), tvrtke (Verisign), vladine agencije (DoD NIC) i neprofitne organizacije (ICANN, Internet Systems Consortium). Svako korijensko slovo replicira se na stotine fizičkih stranica putem anycasta. Ne postoji središnje tijelo koje DNS drži kao taoca; struktura je bila namjerno decentralizirana.
Mogu li pokrenuti vlastiti DNS razrješivač?
Da. Pi-hole, AdGuard Home, Unbound i BIND uobičajeni su izbori. Razlučivači s vlastitim hostom daju vam potpunu kontrolu nad predmemorijom, filtriranjem i zapisivanjem. Kompromisi: vi ga održavate, a svježe pokrenuti razrješivač ima sporije prve upite od javnog s toplom predmemorijom.
Koja je razlika između rekurzivnog i autoritativnog DNS-a?
Razlučivač <em>recursive</em> radi posao pronalaženja odgovora postavljanjem upita drugim poslužiteljima. <em>autoritative</em> poslužitelj čuva stvarne zapise za određenu zonu i odgovara na pitanja o njoj. Javni razrješivači (1.1.1.1) su rekurzivni; mjerodavni su poslužitelji imena na koje vaša domena upućuje.
Kako DNS rješava pad poslužitelja?
Većina domena ima najmanje dva autoritativna poslužitelja imena na različitim lokacijama. Ako je jedan nedostupan, razrješivač pokušava sljedeći. TTL-ovi (vrijednosti vremena života) ograničavaju koliko dugo ustajali odgovor živi u predmemoriji. Katastrofalni kvarovi DNS-a i dalje se događaju – prekid rada Facebooka u listopadu 2021. bio je povlačenje DNS-a zbog kojeg je cijela globalna usluga ostala izvan mreže – ali protokol je dizajniran za rutinske prekide rada poslužitelja.
Objašnjenje DNS poslužitelja: Kako traženje domene zapravo funkcionira