DNS-сервер — сервер, реализующий протокол DNS (Domain Name System) для преобразования доменных имён в IP-адреса и обратно. Без DNS пользователям пришлось бы вводить IP-адреса вместо имён: вместо google.com — 142.250.185.78. DNS-серверы обрабатывают около 4,5 триллиона запросов в сутки (по оценкам APNIC, 2023).
Как работает
Когда пользователь вводит адрес в браузер, ОС обращается к настроенному в системе рекурсивному резолверу (обычно это сервер провайдера или публичный DNS: 8.8.8.8 Google, 1.1.1.1 Cloudflare). Резолвер выполняет итеративный обход: спрашивает корневые серверы (13 пар anycast-кластеров, обозначаются a–m.root-servers.net), получает адреса TLD-серверов (.com, .ru), спрашивает их, получает адреса авторитативных NS-серверов домена, и наконец получает ответ с IP.
Результат кэшируется на время TTL. Последующие запросы к тому же домену резолвер обслуживает из кэша. Стандартный TTL A-записей — 300–3600 секунд. При изменении IP-адреса до истечения TTL часть пользователей продолжает получать старый адрес.
Авторитативный сервер отличается от рекурсивного: он не ищет ответ, а отдаёт его из собственной зоны. Один DNS-сервер может совмещать оба режима (split-brain DNS) — отвечать авторитативно для своих зон и рекурсивно для остальных.
История
До 1983 года разрешение имён осуществлялось через файл HOSTS.TXT, рассылаемый SRI-NIC. С ростом ARPANET это стало неудобным. Пол Мокапетрис разработал DNS в 1983 году (RFC 882, 883), реализация BIND создана в 1984 году в UC Berkeley. Публичные DNS появились в 2009 году (Google 8.8.8.8), Cloudflare 1.1.1.1 — в 2018 году.
Популярные DNS-серверы
| Сервис | IP | Особенности |
|---|---|---|
| Google DNS | 8.8.8.8, 8.8.4.4 | Быстрый, глобальный anycast |
| Cloudflare DNS | 1.1.1.1, 1.0.0.1 | Самый быстрый по замерам DNSPerf |
| Яндекс.DNS | 77.88.8.8 | Фильтрация вредоносных сайтов |
| OpenDNS | 208.67.222.222 | Родительский контроль, логирование |
Связь с хостингом
Хостинг-провайдеры предоставляют собственные NS-серверы и рекурсивные резолверы для клиентов. На VPS администраторы разворачивают локальный DNS-кэш (BIND, Unbound, dnsmasq) для ускорения разрешения имён — вместо обращения к внешнему DNS для каждого запроса. Nginx и другие веб-серверы используют DNS для разрешения имён upstream-серверов в конфигурации proxy_pass.
Типы DNS-записей
A — IPv4-адрес. AAAA — IPv6-адрес. CNAME — псевдоним (alias) для другого имени. MX — почтовый сервер. TXT — произвольный текст (SPF, DKIM). CAA — авторизованные CA для SSL. NS — серверы имён зоны. PTR — обратный DNS. SOA — начало зоны.
Рекурсивные резолверы и кэширование
Публичные DNS: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), 77.88.8.8 (Яндекс). TTL определяет время кэширования: 300–600 с для динамических записей, 86400 с для статических. Отрицательный кэш (NXDOMAIN) — для несуществующих доменов, ограничивает частоту запросов.
Безопасность DNS
DNS Cache Poisoning — подмена записей в кэше резолвера. DNSSEC — подпись записей криптографическими ключами. DNS over HTTPS (DoH) и DNS over TLS (DoT) — шифрование DNS-запросов для защиты от прослушивания. В хостинге для критических записей рекомендован TTL 300–600 и DNSSEC на NS-серверах регистратора.
DNS-сервер отвечает за преобразование имён в IP-адреса. Авторитативный NS-сервер хранит зону домена. Рекурсивный резолвер обращается к корневым серверам. TTL определяет время кэширования. GeoDNS добавляет геолокационную маршрутизацию.