YOUexample.com?93.184.215.14DNSresolvercache + recurse

DNS-servrar

11 min lästNätverk

Varje anslutning på Internet börjar med en DNS-sökning — konvertera ett namn som example.com till en IP-adress som din dator kan ansluta till. Infrastrukturen som får detta att fungera är en av de mest använda och minst förstådda delarna av det moderna Internet, med flera typer av servrar som spelar olika roller i varje enskild begäran.

Hela artikeltexten finns på engelska nedan.

A DNS-server är vilken dator som helst som svarar på frågor i domännamnssystem. DNS-systemet har flera roller - rekursiv resolver, auktoritativ server, rotserver, TLD-server - som tillsammans förvandlar ett namn till en IP-adress. Förstå vilken roll som gör det som klargör vem som ser dina frågor, var de kommer ifrån och hur man skyddar dem.

De fyra DNS-servertyperna

  • Rekursiv resolver. DNS-servern som enheten pratar med. Den gör jobbet med att hitta svaret, fråga efter andra servrar efter behov och cachelagra resultatet. Exempel: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), din ISP:s resolver.
  • Root-servrar. 13 logiska rotservrar (med många fysiska instanser vardera, via anycast) — A till M — som vet vilka servrar som hanterar .com, . etc.). Drivs av ICANN-koordinerade organisationer.
  • TLD-servrar. En per toppdomän. .com drivs av Verisign; .org av Public Interest Registry; landskoder av nationella NIC. De vet vilka servrar som är auktoritativa för enskilda domäner under deras TLD.
  • Auktoritativa servrar. DNS-servrarna som håller de faktiska posterna för en domän (A, AAAA, MX, TXT, etc.). Till exempel.com, de auktoritativa servrarna är oavsett domänägaren som konfigurerats vid registrar.

A-frågan, steg för steg

Du skriver example.com i din webbläsare. Vad händer:

  1. Din webbläsare frågar operativsystemet om IP:n för example.com.
  2. OSet kontrollerar sin lokala cache; om den inte hittas, frågar den konfigurerade resolvern (vanligtvis din router, som vidarebefordrar till ISP:s resolver eller en offentlig).
  3. Den rekursiva resolvern kontrollerar sin cache. Om den inte hittas, startar sökningen.
  4. Resolvern frågar en rootserver efter ".com". Rotsvaren med namn och IP-adresser för .com TLD-servrarna.
  5. Resolvern frågar en .com TLD-server till exempel.com. TLD-servern svarar med namnen och IP-adresserna för exempel.coms auktoritativa servrar.
  6. Resolvern frågar en auktoritativ server för A-posten för example.com. Den auktoritativa servern svarar med IP.
  7. Resolvern returnerar IP:n till operativsystemet, som returnerar den till webbläsaren, som ansluter.

De flesta stegen cachelagras. En populär domän som google.com betjänas från cachen 99 %+ av tiden; endast färska, uncachade frågor gör hela promenaden.

Public DNS-resolvers

De stora kostnadsfria offentliga resolversna och vad de erbjuder:

  • 1.1.1.1 (Cloudflare)G -snabb, sekretessfokuserad, auditerad av KPM. Anycast-deployment.
  • 8.8.8.8 (Google) — snabb, allmänt använd, Google behåller vissa frågeloggar.
  • 9.9.9.9 (Quad9) — schweiziska kända, loggarbaserade blockeringar content.
  • 208.67.222.222 (Cisco OpenDNS) — original mainstream public resolver. Erbjuder filtreringsnivåer.
  • NextDNS — anpassningsbar filtrering, betald för avancerade användare.
  • AdGuard DNS — annons- och spårningsblockering på DNS-nivå.XPLZ82PLZ84X offentliga ISP:er: vanligtvis snabbare, ofta mer privata (beroende på resolverns policyer), kan ibland kringgå domänblockering på ISP-nivå.

    Varför ditt DNS-val är viktigt för integriteten

    Din resolver ser varje domän du besöker. ISP-lösare har historiskt loggat detta. Vissa gör det fortfarande, och vissa har tjänat pengar på uppgifterna. Offentliga resolvers med starka integritetspolicyer (Cloudflares 1.1.1.1, Quad9) är en förbättring jämfört med de flesta ISP-standarder.

    Krypterad DNS — DNS över HTTPS, DNS över TLS, DNSCrypt från alla andra på nätverket och ytterligare skyddar nätverket mellan dig. Utan kryptering ser ditt hotells Wi-Fi vanliga DNS-frågor även när den faktiska webbtrafiken är HTTPS.

    DNS-poster du kommer att stöta på

    • A — IPv4-adress för ett namn
    • AAAA — IPv6-adress
    • CNAME — alias som pekar på ett namn another
    • MX — e-postserver för domänen
    • TXT — godtycklig text. Används för SPF, DKIM, verifiering av domänägande
    • NS — auktoritativa namnservrar för domänen
    • SOA — start av auktoritet, definierar zonens parametrarXPLZ0CAXXXXXPLZ, vilka parametrarXPLZ0CAAXPLZZ3 — CA2X0XXPLZ tillåts utfärda certifikat för domänen
    • HTTPS — nyare posttyp, låter webbläsare lära sig HTTP/3-stöd innan de ansluter

    Hur man inspekterar DNS

    • XPLZXPLZ4 kommandorad – Uni-XXPLZ4exempel. grundlig utdata
    • dig +spårexempel.com — visa varje steg från root till auktoritativ
    • nslookup example.com — äldre verktyg, fungerar på Windows
    • X6PLZPLZ55Xhost ett exempel.com55XXhost ett exempel. answer
    • Vårt DNS-läckagetest berättar vilken resolver din enhet faktiskt använder

Vanliga frågor

Gör Internet snabbare att byta DNS-server?
Ibland. Om din ISP:s resolver är långsam eller geografiskt långt borta, kan byte till 1.1.1.1 eller 8.8.8.8 raka tiotals millisekunder av DNS-sökningar vid första besök. På de flesta moderna nätverk är skillnaden liten eftersom resolvercachen redan är varma.
Vem kör DNS-rotservrarna?
Tolv organisationer driver de 13 logiska rotservrarna – universitet (t.ex. University of Maryland), företag (Verisign), statliga myndigheter (DoD NIC) och ideella organisationer (ICANN, Internet Systems Consortium). Varje rotbokstav replikeras över hundratals fysiska webbplatser via anycast. Det finns ingen central myndighet som håller DNS som gisslan; strukturen var medvetet decentraliserad.
Kan jag köra min egen DNS-resolver?
Ja. Pi-hole, AdGuard Home, Unbound och BIND är vanliga val. Självvärdade resolvers ger dig fullständig kontroll över cachelagring, filtrering och loggning. Avvägningarna: du behåller den, och en nystartad resolver har långsammare första frågor än en offentlig med en varm cache.
Vad är skillnaden mellan rekursiv och auktoritativ DNS?
En <em>recursive</em> resolver gör jobbet med att hitta svar genom att fråga andra servrar. En <em>authoritative</em>-server håller de faktiska posterna för en specifik zon och svarar på frågor om den. Public resolvers (1.1.1.1) är rekursiva; namnservrarna som din domän pekar på är auktoritativa.
Hur hanterar DNS att en server går ner?
De flesta domäner har minst två auktoritativa namnservrar på olika platser. Om en är otillgänglig försöker resolvern nästa. TTL:er (Time-To-Live-värden) begränsar hur länge ett inaktuellt svar lever i cacher. Katastrofala DNS-fel inträffar fortfarande – Facebooks avbrott i oktober 2021 var ett DNS-uttag som tog en hel global tjänst offline – men protokollet är designat för rutinmässiga serveravbrott.
DNS-servrar förklaras: Hur domänsökningar faktiskt fungerar