Что такое DNS-хостинг
Прежде всего начнем с одной важной детали: DNS (как технология) и DNS-хостинг (как сервис) — это не одно и то же, и путать их не стоит. В сети часто сравнивают DNS с телефонной книгой — и, на наш взгляд, это отличная метафора, которая наглядно объясняет суть технологии.
Давайте представим, что вам срочно понадобилось подключить защиту от DDoS-атак, и чтобы это сделать, вы первым делом начали вбивать в поисковой строке браузера адрес сайта провайдера защиты. И выглядит он вот так — https://185.178.208.138/. Мало того, представьте, что все адреса в интернете выглядят подобным образом. Удобства в этом мало, согласитесь? Гораздо приятнее и понятнее видеть, искать, вбивать https://ddos-guard.ru/.
Пример выше показывает, как работает служба DNS (Domain Name System). Иными словами, она трансформирует неудобные человеку IP-адреса в удобочитаемые формы. В свою очередь DNS-хостинг — это место/услуга где будет храниться вся информация о вашем IP.
Если обычный хостинг хранит файлы сайта, то DNS-хостинг хранит различную информацию о том, где этот сайт находится, а также множество важных конфигураций по настройке ресурсных записей. Без DNS-хостинга доменное имя не будет работать, даже если сам сайт доступен на сервере. Основой DNS-хостинга является система DNS-записей — специальных строк, задающих соответствие между именами и сетевыми адресами.
Зачем нужен DNS-хостинг
DNS-хостинг нужен как авторитетный сервер, который хранит данные о вашем домене — иначе говоря DNS-записи:
- Соответствие домена и IP (как в той самой телефонной книге, где ddos-guard.ru будет соответствовать 185.178.208.138).
- Адрес почтового сервера или MX-запись для приема и отправки электронной почты.
- Служебные инструкции о главном сервере зоны и администраторе.
- Списки синонимов к действительному доменному имени — CNAME-записи.
- Указание на серверы DNS-хостинга (NS-записи), которые являются ответственными (авторитетными) за эту конкретную зону.
Пример DNS-записи
; Запись SOA (Start of Authority) - Основная информация о зоне
example.com. IN SOA ns1.yourhosting.com. admin.example.com. (
2024072001 ; Serial number
7200 ; Refresh (2 hours)
3600 ; Retry (1
hour)
1209600 ; Expire (2 weeks)
3600 ) ; Negative Cache TTL (1 hour)
; Записи NS (Name Server) - Указывают на DNS-серверы, отвечающие за зону
example.com. IN NS ns1.yourhosting.com.
example.com. IN NS ns2.yourhosting.com.
; Запись A (Address) - Связывает домен с IP-адресом
example.com. IN A 192.0.2.1
www IN A 192.0.2.1
; Запись CNAME (Canonical Name) - Создает псевдоним для другого домена
mail IN CNAME example.com.
ftp IN CNAME example.com.
; Записи MX (Mail Exchanger) - Указывают на почтовые серверы
example.com. IN MX 10 mail1.example.com.
example.com. IN MX 20 mail2.example.com.
; Записи A - для почтовых серверов (обязательны для MX)
mail1 IN A 192.0.2.10
mail2 IN A 192.0.2.20
; Запись TXT (Text) - Для различной текстовой информации
example.com. IN TXT "v=spf1 mx ~all" ; SPF-запись для защиты от спама
; Запись AAAA (IPv6 Address) - Аналог A-записи для IPv6
example.com. IN AAAA 2001:0db8:85a3::8a2e:0370:7334
Несколько уточнений к примеру DNS-записи:
Существует несколько утилит для проверки DNS-записей — nslookup, dig. С их помощью можно узнать, что именно DNS говорит о домене — его IP, MX, TXT, CNAME и другие записи. Строки с «;» — это комментарий программы, чтобы человеку удобнее было читать содержимое файла.
Подробнее о работе DNS и DNS-записях читайте в блоге.
Зоны DNS
Выше мы упоминали понятие DNS-записей (MX, CNAME и другие). Все эти записи объединяются в DNS-зону — логическую область, за которую отвечает определенный DNS-хостинг. Именно она содержит все данные о домене и его поддоменах.
DNS-зона — это часть глобальной системы DNS, определяющая границы ответственности в иерархии доменных имен. Проще говоря, зона хранит набор записей, описывающих настройки конкретного участка DNS-пространства. О том, какую доменную зону лучше выбрать для вашего сайта читайте в наших материалах блога.
Существуют два основных уровня DNS-зон:
Зоны верхнего уровня (TLD)
Зоны .ru, .com, .org и так далее — это огромные сегменты, управляемые центральными организациями (реестрами).Серверы этих зон хранят информацию не об IP-адресах сайтов, а о том, какие серверы DNS-хостинга (NS-записи) отвечают за все домены второго уровня в этой зоне (например, за mysite.com)
Зоны второго уровня (привычные пользователям домены)
Когда вы регистрируете домен, например, mysite.com, вы создаете свой собственный управляемый сегмент — DNS-зону moysite.com.Именно эта зона moysite.com и размещается на серверах вашего DNS-хостинга. Она содержит все ресурсные записи (A, MX, CNAME), которые управляют вашим сайтом, почтой и поддоменами (например, blog.moysite.com).
DNS-зона — это совокупность данных, относящихся к конкретному узлу в глобальной иерархии доменных имен. Часть этих данных описывает сам узел, а другая часть — его непосредственных «потомков».
Например для сайта ddos-guard.ru, информация распределятся между тремя зонами:
- Корневая зона хранит информацию о том, где искать данные для зоны .ru;
- Зона .ru содержит сведения о расположении зоны ddos-guard.ru;
- Зона ddos-guard.ru уже включает запись об имени ddos-guard.ru.
Еще одно наглядное объяснение, почему существует термин «дерево доменов». Они представлены как корневая система:
. (корень)
└── ru
└── ddos-guard
└── www
Вся нужная информация, которая принадлежит конкретной зоне, хранится в специальном текстовом документе — zone file. Несмотря на распространение баз данных, во многих системах DNS эта структура до сих пор реализуется именно в виде обычных текстовых файлов.
Каждая зона имеет своего администратора — это может быть организация или отдельное лицо, которое отвечает за ее содержание и работу. Также могут быть аккредитованные регистраторы, которые будут предоставлять свои услуги пользователям, помогая им регистрировать и обслуживать конкретные домены внутри определенной зоны. Например, Рег.ру для зоны .ru.
Управление корневой зоной осуществляет международная организация ICANN (Internet Corporation for Assigned Names and Numbers, www.icann.org), которая определяет основные правила функционирования и использования доменных имен.
Как DNS-хостинг обеспечивает доступ к сайту по доменному имени
Когда вы вводите адрес нужного сайта в браузере — запускается целый процесс преобразования доменного имени в IP-адрес, который занимает всего несколько секунд:
- Запрос отправляется на DNS-сервер провайдера или локальный кэш компьютера.
- Если нужная информация отсутствует, запрос передается дальше в авторитетные DNS-серверы, где хранится зонный файл домена.
- DNS-хостинг возвращает корректный IP-адрес, соответствующий имени сайта.
Браузер, получив IP-адрес, устанавливает соединение с нужным веб-сервером и загружает нужный сайт.
В этом процессе DNS-хостинг — ключевое звено между доменным именем и физическим расположением сайта в сети. Он управляет маршрутизацией трафика и определяет, куда именно должен вести конкретный домен.
Кроме того, DNS-хостинг дает возможность добавлять и изменять записи — например, для подтверждения домена, настройки SSL-сертификата или корпоративной почты.
Важность безопасности DNS-хостинга
Для специалистов создан специальный документ RFC 3833, который содержит перечень всех возможных угроз, которым может быть подвержена технология DNS
Система DNS была создана 42 года назад. С тех пор она претерпела незначительные изменения, которые слабо повлияли на ее безопасность. Обычные DNS-запросы передаются в открытом виде. Это значит, что любой, кто имеет доступ к сетевому трафику (например, провайдер, администратор Wi-Fi или злоумышленник), может увидеть какие сайты вы посещаете или же подменить ответы и направить вас на фишинговые ресурсы. Система DNS по своей сути не должна проверять действительно ли ответ на запрос пользователя пришел от «правильного» сервера — и снова этой особенностью пользуются злоумышленники.
Из этого следует простой вывод: чтобы защитить онлайн-ресурсы, важно обеспечить безопасность DNS. Его компрометация может привести к плачевным последствиям: злоумышленники могут подменить записи и перенаправить пользователей на поддельный сайт (DNS Spoofing), похитить данные и нанести репутационный ущерб компании. А в случае DDoS-атаки на DNS-сервер пользователи не смогут попасть на сайт, даже если сам хостинг работает исправно — крупные финансовые потери обеспечены.
Поэтому предпочтительно выбирать надежных хостинг-провайдеров, которые могут обеспечить защиту от самых разных угроз.
DNS-хостинг со встроенной защитой DDoS-Guard
- Отказоустойчивость: геораспределенные дата-центры обеспечивают доступность даже при сбоях.
- Скорость: пользователи получают ответы с ближайшего сервера — минимальная задержка.
- Защищенность: защита от DDoS и предотвращение амплификационных атак.
- Управление: удобная работа с записями DNS в личном кабинете.
- Автонастройка: при добавлении домена параметры применяются автоматически.
- Без ограничений по трафику и с бесплатным CDN.
Можно с уверенностью сказать, что DNS — одна из ключевых основ глобальной инфраструктуры интернета. Эта система обеспечивает миллионам пользователей доступ к веб-ресурсам. Однако из-за особенностей своей архитектуры система DNS остается достаточно уязвимой к действиям злоумышленников.
Технология была создана на заре становления глобальной сети и с тех пор претерпела лишь незначительные изменения. DNS по-прежнему функционирует без аутентификации и шифрования, фактически «вслепую» обрабатывая все пользовательские запросы. Этой уязвимостью и пользуются киберпреступники.
Инвестируя в безопасный и надежный DNS-хостинг, вы укрепите фундамент своего онлайн-ресурса и обеспечите защиту и стабильность его цифровых сервисов для пользователей.
