Приветствую, уважаемые! Давно хотел написать поподробнее о работе DNS-сервисов и вот недавние сложности и проблемы, с ними связанные, торопят меня с данной темой. Давайте начнем с азов: что такое вообще этот DNS.
Я сетевой инженер в большой компании, пишу статьи про сетевое оборудование, сетевые технологии и околоАЙТИшные темы. Рассматриваю возможности разного оборудования, вместе с вами продолжаю изучать разный функционал и привожу конкретные примеры того, что сделано и как сделано. Это не призыв к действию и не точный мануал - в моих статьях бывают ошибки, которые я всегда готов обсудить в комментариях. Прошу следовать правилам платформы, не нарушать законодательство РФ, не оскорблять других людей и все будет норм!
Итак, DNS (Domain Name System) - это иерархическая децентрализованная система именования для интернет-ресурсов, подключённых к Интернет, которая ведёт список доменных имён вместе с их числовыми IP-адресами. DNS позволяет перевести простое запоминаемое имя хоста в IP-адрес. Если совсем грубо, то это записная книжка, где вы записываете сначала ФИО абонента, а потом его номер телефона. DNS делает тоже самое только вместо ФИО там имена веб-ресурсов, а вместо телефона IP-адрес этого ресурса. Надеюсь, так станет понятнее.
Так какие тут могут быть, казалось бы, сложности?! А все дело в слове "иерархическая". Логично, что все ДНС-сервера не могут быть полностью автономными и знать обо всех адресах интернета ежесекундно. Ведь, одно дело знать, а как отслеживать изменения? Если вы админ, то наверняка сталкивались с проблемой, когда на внешнем хостинге вы поменяли адрес своего ресурса, например, почтового сервера или некоего VPN-шлюза, а клиенты еще некоторое время жалуются, что не могут работать... Так вот, это связано с этой иерархией, где каждый ДНС-сервер владеет только своей некой зоной, например, "company.ru", разберем подробнее...
Допустим, Вы хотите купить некий внешний домен, который будете говорить клиентам, желающим узнать о вашей компании. Выбрали название "company.ru" и идете к хостинг-провайдеру, который зарегистрирует у себя данное имя. Далее этот "хостер" прописывает ваше имя на своих ДНСах, которые обмениваются с вышестоящими ДНС (корневыми) зоны "ru" и так все остальные ДНС-сервера узнают о том, где искать домен "company.ru". Т.е. условный ДНС-сервер, который вам выдал ваш непосредственный провайдер связи, никогда не знает где именно расположен тот или иной домен. При вашем обращении, когда в браузере вбили адрес "company.ru", запрос направляется к ДНС-серверу вашего провайдера, тот понимает, что такого имени у него нет в базе и направляет запрос вышестоящему узлу в иерархии ДНС-серверов, в какой-то момент он доходит до корневого ДНСа зоны "ru", который и сообщает, что такой домен имеется на ДНСах вашего хост-провайдера. Далее ваш запрос направляется непосредственно к хост-провайдеру, где выдается IP-адрес нужной вам веб-страницы. Когда первичный цикл прошел и ваш ДНС от провайдера узнал конечный адрес, то он запоминает его на какое-то время "кэширует", чтобы при каждом запросе не повторять такой длинный путь. Так же "кэширует" результат и ваш компьютер. Такое кэширование позволяет ДНСам быстрее выдавать самые популярные запросы и оставлять больше вычислительной мощности и пропускной способности для редких запросов, чтобы и их обработать быстрее.
Прошу не слишком серьезно относиться к данному объяснению, т.к. оно лишь для понимания концепции. Чтобы упростить объяснение опущены некоторые подробности и сокращены шаги итераций (не сильно).
Так вот, возвращаясь к проблемам массовых сбоев и т.п. Как таковой проблемы с самими ресурсами обычно нет. Как, например, недавний с ютубом и телеграмом - они вполне себе живы и работали. Но проблема возникла где-то в иерархии ДНС, когда некоторые провайдерские сервера перестали получать обновление о хостере тех или иных внешних ресурсов. Наверное, если вы использовали, как корневые, сервера яндекса или гугла, то даже не обратили на это внимания. Хотя, с телеграмом действительно что-то было странное... что-то было... странное...
Как выяснилось позже - это было некоей репетицией отключения незаконных впнов. Была разослана команда всем провайдерам связи и ... что-то пошло не так. Косвенно эта версия подтверждается тем, что когда телеграм заработал, то заработали и некоторые ранее заблокированные ресурсы, а некоторые люди писали, что вообще все блокировки слетели...
Частный ДНС / Private DNS
А чтобы сделать данную статью еще более полезной, давайте расскажу вам о защищенных DNS'ах, чем отличаются и как пользоваться. Обычные днс-запросы работают по 53 порту tcp/udp. Данные пакета не шифруются и ваш провайдер или другой "нехороший человек", может получить всю историю ваших запросов, благо ее даже расшифровывать не придется. Поэтому есть много предупреждений о небезопасности при использовании WiFi в общественных местах. В двух словах, не буду углубляться сейчас в эту тему, но WiFi - это радио-сигнал, который направлен во все стороны и его можно принять другим устройством связи и, даже, записать и сохранить... Так вот, сидите вы в кафе, "серфите интернеты", а ваш телефон/планшет/ноутбук вещает в радио-эфире бесплатного WiFi, где может сидеть человек и записывать все, что работает в данном диапазоне. Потом он устанавливает владельца, делает фоточку и может предоставить всю историю ваших запросов... Это, конечно, самый простой и глупый способ воспользоваться такой информацией. Как правило, такие люди не выходят на прямой контакт и продолжают собирать о вас информацию, чтобы потом точечно бить по вашим болевым точкам, шантажировать, вымогать, подсунуть фишинговый сайт, где вы введете данные своей карты или войдете в банк-клиент/госуслуги...
Так вот, давайте теперь рассмотрим как можно осложнить этим "нехорошим людям" жизнь. Чтобы они не могли так просто получить от наших устройств наши интернет-запросы. На Андроиде это уже заложено из коробки, кстати. Вот все считают Айфон более безопасной системой, а в каких-то моментах Андроид ушел далеко вперед. Делается это в "Настройки -> Сеть и интернет -> Частный DNS-сервер."
По умолчанию включен режим "Авто" - это значит, что все запросы днс пойдут через защищенные сервера гугла. Пакеты будут шифроваться и ходить по 443 порту, неотличимы от веб-трафика. И все бы хорошо, но устройств на Андроиде становится все больше, запросов к этим серверам бегут терабайтами и они все-таки иногда начинают "уставать". Я поменял на своем устройстве на Яндекс и почувствовал разницу. Серфить в интернете стало гораздо быстрее. Для этого ставим режим "Вручную" и вводим адрес: "common.dot.dns.yandex.net". Нам подойдет DoH-сервер (DNS over HTTPS).
Если честно, то на Айфоне я не нашел ничего похожего в штатных средствах и прям сходу использовать DNS DoH не получится. Однако, если в AppStore поискать что-нибудь типа "Secure DNS", то вы найдете целую кучу приложений, которые помогут подключить данный протокол и пользоваться им, скрывая свои днс-запросы. Так же, в iOS есть ограничение: нельзя централизованно для всех WiFi установить такой режим и придется в каждом профиле указать нужные адреса, которые сообщит вам выбранная в АппСторе утилита. Некоторые такие "утилиты" являются vpn-клиентами, будьте аккуратны, потому что вместо безопасности - вы будете перегонять весь трафик через сервера этих впн-приложений.
Так же, есть возможность настроить DoH или DoT DNS на микротике и скрыть днс-запросы от вашего провайдера. Но об этом в другой статье, а то уже и так много букв получилось...
Как обычно: прошу, нижайше, лайк, если улыбнулись; подписаться, если был вам полезен; коммент на злободневную тему или сплетню о том "кто с кем спит"... Вам всего хорошего, не болейте и больше позитива по жизни!
