Настройка DNS-записей

DDoS-Guard предоставляет клиентам возможность воспользоваться защищенным DNS-хостингом. NS-серверы нашей сети расположены в ключевых дата-центрах регионов: это обеспечивает отказоустойчивость и ускоряет обновление записей по всему миру.

NS-серверы защищены от воздействия DDoS-атак, а также от использования их для амплификации атак на другие ресурсы.

 

Чтобы записями домена можно было управлять в личном кабинете, для него должна быть создана DNS-зона. Она автоматически создается:

DNS-зона создается только при добавлении домена второго уровня или национального домена второго уровня (example.com.mx, example.co.uk и подобных)

При создании DNS-зоны для домена в нее сразу добавляются две А-записи:

  • А-запись домена, указывающая на защищенный IP-адрес DDoS-Guard
  • Wildcard-запись для всех поддоменов (*.example.com), указывающая на защищенный IP-адрес DDoS-Guard

Чтобы посмотреть существующие DNS-зоны, перейдите в Дашборд → Подключенные услуги → Управление DNS

 

Перед переносом домена на DNS-хостинг важно убедиться, что для него создана доменная зона. Если ее нет, оставьте заявку через тикет

После подключения услуги вы сможете перенести DNS-записи домена на защищенный DNS-хостинг DDoS-Guard. Вот как это сделать:

  1. Зайдите в личный кабинет регистратора домена. Если вы не знаете регистратора, воспользуйтесь WHOIS
  2. В панели управления регистратора замените NS-серверы на защищенные NS DDoS-Guard:
    ns1.ddos-guard.net
    ns2.ddos-guard.net
  3. Подождите, пока изменения вступят в силу. Обычно это занимает около двух часов, но некоторые DNS-серверы хранят устаревшие данные больше суток.

Проверить, изменились ли NS-записи домена, можно через DNSChecker

 

После переноса домена на DNS-хостинг вы сможете управлять DNS-записями в личном кабинете DDoS-Guard. Для этого перейдите в Дашборд → Подключенные услуги → Управление DNS.

Раздел Подключенные услуги на дашборде, под услугой выделена кнопка Управление DNS

На странице Управление DNS-записями слева отображаются DNS-зоны ваших доменов, а справа — DNS-записи в выбранной зоне. 

Интерфейс управления DNS-записями

Для корректной работы почты потребуется добавить MX и TXT записи, предоставленные вашим почтовым провайдером. Вы можете скопировать их из настроек предыдущего DNS-хостера.

Некоторые провайдеры требуют указание "@" в поле Name. В таком случае вместо "@" необходимо указывать полное имя домена.

 

А-запись

А-запись используется, чтобы связать имя домена и IP-адрес сервера. Когда пользователь вводит домен в строку браузера, DNS-сервер передает ему IP-адрес, указанный в А-записи.

Если вы используете защиту сайта от DDoS, в А-записи домена должен быть указан защищенный IP-адрес DDoS-Guard

Пример записи:

ИмяЗначение
test.com186.2.163.99

 

MX-запись

MX-запись (Mail eXchange) указывает на почтовые серверы, которые обслуживают домен.

Можно задать несколько серверов с разным приоритетом — если приоритетный сервер окажется недоступен, письмо будет отправлено на резервный. Чтобы добавить запись, укажите приоритет и адрес почтового сервера.

Чем меньше число, тем выше приоритет: сервер 10 mx.test.com будет приоритетнее, чем 100 mx2.test.com

Пример записи:

ИмяЗначение
test.com10 mx.test.com

 

SRV-запись

SRV-запись указывает на местоположение — то есть имя хоста и номер порта — веб-сервисов.

В записи через пробел указывается приоритет, вес (влияет на распределение запросов между записями с одинаковым приоритетом), номер порта и адрес сервера.

Пример записи:

ИмяЗначение
_testname._udp.test.com10 5000 82 upd-server.test.com

Для адреса сервера (upd-server.test.com в примере) должна быть создана запись A или CNAME.

 

TXT-запись

TXT-запись содержит в себе информацию о конкретном хосте или устройстве. Чаще всего применяется для проверок на право владения доменом, а также для защиты почты с помощью SPF, DKIM и DMARC.

Пример записи:

ИмяЗначение
test.comAny text you need to have here

 

CNAME-запись

CNAME-запись отвечает за привязку поддомена к домену. При запросе к поддомену с CNAME-записью, DNS-сервер будет использовать записи из привязанного домена.

Если для поддомена добавлена запись CNAME, не добавляйте для него записи других типов — DNS-сервер проигнорирует их в пользу записей привязанного домена

Пример записи:

ИмяЗначение
mine.test.comtest.com

 

CAA-запись

CAA-запись определяет центры сертификации, которым разрешен выпуск SSL-сертификатов для домена или поддомена. Если у домена нет ни одной CAA-записи, выпустить сертификат сможет любой центр.

Чтобы добавить CAA-запись, укажите в значении через пробел:

ПолеПредназначениеВозможные значения
flagОпределяет, что следует делать центру сертификации, если он не смог распознать запись с нестандартным полем tag

0 — центр может выпустить сертификат, даже если не распознал одну из записей

128 — центр не имеет права выпускать сертификат, если не распознал одну из записей

tagОпределяет смысл CAA-записи. Есть три стандартных значения (RFC-8659), но некоторые центры сертификации могут использовать собственные tag’и

issue — разрешает одному центру сертификации (указан в value) выпустить сертификат

issuewild — разрешает одному центру сертификации (указан в value) выпустить только wildcard-сертификат

iodef — позволяет указать в value адрес, по которому центр сертификации сообщает о попытке выпустить сертификат вопреки условиям CAA-записей

valueЗначение tag

Для issue и issuewild — домен центра сертификации

Для iodef — адрес (URL или почта) для сообщений о нарушениях

Пример набора записей:

ИмяЗначение
test.com0 issue "example-ca.test"
test.com0 issuewild "example-ca.test"
test.com0 iodef "cert-breach@test.com"

Набор записей разрешает центру example-ca.test выпуск обычного и wildcard-сертификата и содержит почту cert-breach@test.com для сообщений о нарушениях.

 

PTR-запись

PTR-запись противоположна А-записи: служит для связи IP-адреса сервера с каноническим именем домена.

Добавить запись этого типа можно через поддержку.