DNS-резолвер (рекурсивный резолвер) — DNS-сервер, который принимает запросы от клиентских устройств и выполняет полный цикл разрешения имени: от корневой зоны до авторитетного сервера нужного домена. Клиент (браузер, ОС) не обращается к корневым серверам напрямую — всю работу делает резолвер.
Как работает рекурсивный резолвер
Допустим, клиент запрашивает IP для example.com:
- Резолвер проверяет кеш — нет ли ответа.
- Нет кеша → спрашивает один из 13 корневых серверов DNS (
a.root-servers.net…m.root-servers.net): «Кто отвечает за .com?» - Корневой сервер возвращает адреса TLD-серверов .com (Verisign).
- Резолвер спрашивает TLD-сервер: «NS для example.com?»
- TLD возвращает NS-записи: ns1.registrar.com, ns2.registrar.com.
- Резолвер спрашивает авторитетный NS: «A-запись для example.com?»
- NS возвращает IP. Резолвер кеширует результат по TTL и отдаёт клиенту.
Итоговое время разрешения: 50–200 мс при первом запросе, <1 мс из кеша.
Публичные резолверы
- Google Public DNS: 8.8.8.8, 8.8.4.4
- Cloudflare: 1.1.1.1, 1.0.0.1
- Quad9: 9.9.9.9 (блокирует вредоносные домены)
- Yandex DNS: 77.88.8.8, 77.88.8.1
История
DNS разработан Полом Мокапетрисом в 1983 году; RFC 882/883 (1983) и RFC 1034/1035 (1987) описывают архитектуру с рекурсивными резолверами. До DNS имена хостов распространялись файлом HOSTS.TXT с FTP-сервера SRI. Первый публичный рекурсивный резолвер открыл Google в 2009 году (8.8.8.8); Cloudflare запустил 1.1.1.1 в 2018 году.
Связь с хостингом
На каждом сервере настроен локальный или удалённый резолвер (/etc/resolv.conf). В Docker-контейнерах и Kubernetes используются встроенные резолверы (CoreDNS) для разрешения имён внутри кластера. Медленный или ненадёжный резолвер напрямую увеличивает задержку открытия страниц. DNS over HTTPS (DoH) и DNS over TLS (DoT) шифруют запросы к резолверу.
Как работает DNS-резолвер
DNS-резолвер (resolver) выполняет рекурсивный поиск IP по доменному имени. Алгоритм: резолвер запрашивает корневые серверы (13 групп, управляемых A.root-servers.net -- M.root-servers.net), получает адреса серверов TLD зоны (.com, .ru), затем запрашивает авторитетный NS-сервер домена. Все ответы кэшируются на TTL DNS-записи. Публичные резолверы: Google 8.8.8.8, Cloudflare 1.1.1.1, Yandex DNS 77.88.8.8. Резолвер провайдера обычно быстрее публичных (физически ближе), но может перехватывать NXDOMAIN-ответы для рекламы. DoH (DNS over HTTPS) и DoT (DNS over TLS) шифруют DNS-запросы. Recursive DNS -- более точное название рекурсивного резолвера.
DNS-резолвер и хостинг
На VPS рекомендуется настроить локальный кэширующий резолвер (Unbound, dnsmasq) вместо использования резолвера провайдера. Это снижает задержки DNS-запросов с 20--50 мс до 1--5 мс для повторных запросов. Для почтового сервера важен резолвер с поддержкой DNSSEC-валидации. DNSSEC защищает от DNS-спуфинга, подписывая записи цифровой подписью. DNS-сервер может быть как авторитетным (хранит зоны), так и рекурсивным (только резолвинг).
История
DNS разработан Полом Мокапетрисом (Paul Mockapetris) в 1983 году (RFC 882, 883). До DNS использовался файл HOSTS.TXT, поддерживаемый вручную. Первый DNS-сервер BIND (Berkeley Internet Name Domain) написан в 1984 году студентами UC Berkeley. Unbound (2006) и PowerDNS (1999) стали популярными альтернативами BIND. DNS over HTTPS стандартизирован в RFC 8484 (2018).