Найти в Дзене
Workme | Центр экспертизы
634 подписчика

DNS: как интернет находит сайты и как их потом блокируют

73
10 мин
В прошлой статье мы разбирали, как VPN и прокси помогают нам попадать туда, куда «нельзя». Сегодня мы поговорим о технологии, которая позволяет нам попадать туда, куда «нужно». Представьте, что каждый раз, чтобы позвонить другу, вам нужно было бы вводить не имя «Дима» в контактах, а помнить наизусть его номер: +79210000000. Неудобно? А теперь представьте, что вместо youtube.com или workme.expert вам приходилось бы вбивать в строку браузера 142.250.74.206. Тогда интернет перестал бы быть удобным местом. Эту проблему решает DNS - «телефонная книга интернета», где вместо номера — IP, а вместо имени — домен. DNS (Domain Name System) — это распределенная система доменных имен. Если говорить простым языком, это глобальная автоматическая служба, которая связывает понятные человеку буквы (домены) с понятными компьютеру цифрами (IP-адреса). В эру зарождения интернета (ARPANET) сайтов было так мало, что их список велся вручную в одном файле hosts.txt. Чтобы зайти на новый узел, администраторы д
Оглавление

В прошлой статье мы разбирали, как VPN и прокси помогают нам попадать туда, куда «нельзя». Сегодня мы поговорим о технологии, которая позволяет нам попадать туда, куда «нужно».

Представьте, что каждый раз, чтобы позвонить другу, вам нужно было бы вводить не имя «Дима» в контактах, а помнить наизусть его номер: +79210000000. Неудобно? А теперь представьте, что вместо youtube.com или workme.expert вам приходилось бы вбивать в строку браузера 142.250.74.206.

Тогда интернет перестал бы быть удобным местом. Эту проблему решает DNS - «телефонная книга интернета», где вместо номера — IP, а вместо имени — домен.

Что такое DNS и зачем она нужна

DNS (Domain Name System) — это распределенная система доменных имен. Если говорить простым языком, это глобальная автоматическая служба, которая связывает понятные человеку буквы (домены) с понятными компьютеру цифрами (IP-адреса).

Немного истории

В эру зарождения интернета (ARPANET) сайтов было так мало, что их список велся вручную в одном файле hosts.txt. Чтобы зайти на новый узел, администраторы должны были скачивать обновленный файл.

Но когда количество узлов перевалило за тысячи, файл стал гигантским, а обновлять его вручную стало невозможно. В 1983 году Пол Мокапетрис придумал DNS — иерархическую и автоматическую систему, которая работает до сих пор. Первый стандарт опубликован в RFC 882 и 883 в 1983 году, а в 1987 DNS стал основой интернета. К 2025 году DNS эволюционировал, добавив IPv6, DNSSEC и защиту от атак.

Зачем это нужно:

  1. Удобство: Людям проще запомнить google.com, чем 142.250.31.100.
  2. Мобильность: Владелец сайта может сменить сервер (и IP-адрес), но домен останется прежним. Пользователь даже не заметит переезда.
  3. Балансировка нагрузки: Один домен может ссылаться на несколько IP, распределяя трафик.
  4. Масштабируемость: Иерархия позволяет управлять миллионами доменов без центрального bottleneck.
  5. Производительность: кэширование ускоряет повторные открытия сайтов.

Без DNS интернет был бы неудобным: сайты были бы доступны только по IP, а управление ими — крайне сложным.

Подробнее о домене: уровни, домен верхнего уровня, основной домен

Домен — это уникальное имя ресурса в интернете, состоящее из уровней, разделенных точками (например, workme.expert). Уровни идут от общего к конкретному (справа налево):

  • Корневой (0-й уровень): Скрытый, обозначается точкой (.). Это вершина иерархии.
  • Домен верхнего уровня (TLD, 1-й уровень): Часть после последней точки (.ru, .com, .net). TLD бывают родовыми (.com — коммерческие, .org — некоммерческие) и географическими (.ru — Россия, .io — Британская территория в Индийском океане, но часто используется для IT). ICANN управляет глобальными TLD, а национальными — локальные организации (в России — Координационный центр .RU/.РФ).
  • Основной домен (2-й уровень): Уникальное имя сайта (workme в workme.expert). Может включать буквы, цифры, дефисы (длина 2–63 символа). Для .рф — кириллица.
  • Поддомены (3-й и ниже уровни): Логические подразделы (blog.example.com). www — традиционный поддомен для веб-сайтов.
-2

Домены регистрирует ICANN через аккредитованных регистраторов (например, Reg.ru). Новый домен в популярных зонах вроде .ru стоит от 199 руб./год, в международных вроде .com — дороже.

Иерархия важна, потому что DNS делегирует ответственность: разные части пространства имён обслуживаются разными авторитетными серверами.

Основные типы записей

Когда администратор настраивает домен, он прописывает разные типы записей в файл зоны. Вот самые популярные, с которыми вы можете столкнуться:

Основные типы записей
Основные типы записей

Структура DNS

DNS не является одним «суперкомпьютером»: это множество зон и серверов, которыми управляют разные организации, но по общим правилам.

1. Корневые серверы (Root Servers)

В мире существует 13 корневых серверов, управляемых организациями вроде Verisign, ICANN и др. Они не хранят IP-адреса сайтов, а только направляют запросы к TLD-серверам (подробнее об этом ниже).

13 корневых серверов — это НЕ 13 физических компьютеров, и если их "выключить", интернет НЕ рухнет. За каждым из 13 логических серверов (обозначаются буквами A–M) скрываются сотни физических экземпляров по всему миру благодаря технологии Anycast (один IP-адрес обслуживается множеством машин). На декабрь 2025 года всего около 1960 таких экземпляров. Они распределены глобально для повышения скорости и отказоустойчивости: значительная часть в Северной Америке и Европе, растущая доля в Азии, с экземплярами в десятках стран. В России также размещено несколько копий в крупных городах (Москва, СПб, Новосибирск, Екатеринбург, Ростов-на-Дону).

2. TLD-серверы (Top Level Domain - домены верхнего уровня)

Это серверы, отвечающие за зоны, которые идут после последней точки: .ru, .com, .org, .net.
Корневой сервер направляет запрос к TLD-серверу. Например, сервер зоны .ru знает, где искать информацию обо всех российских сайтах.

3. Авторитетные DNS-серверы (Authoritative)

Это конечная инстанция. Именно здесь записано, какому IP-адресу соответствует сайт (к примеру, какой IP-адрес соответствует домену workme.expert).

4. Рекурсивные резолверы (Recursive Resolvers)

Рекурсивный резолвер — это сервер-посредник между пользователем и всей DNS-иерархией. Он сам выполняет поиск ответа: обращается к корневым серверам, затем к TLD, затем к авторитетным — и возвращает пользователю итоговый результат.

Обычно рекурсивные резолверы принадлежат вашему провайдеру или крупным корпорациям. Они обладают памятью (кэшем). Если кто-то из соседей уже искал этот сайт 5 минут назад, резолвер не побежит искать его снова, а сразу отдаст сохраненный ответ.

5. Stub-резолверы (Клиентские резолверы)

Это самый маленький, но важный элемент, который живет прямо внутри вашей операционной системы (Windows, macOS, Android). Он не умеет сам гулять по интернету и искать сложные маршруты. Его единственная задача — получить запрос от браузера («Куда идти за workme.expert?») и передать его дальше — «взрослому» рекурсивному резолверу.

Если кратко по ролям:

  • Stub — спрашивает
  • Рекурсивный — ищет
  • Авторитетный — знает
  • TLD — указывает, где искать
  • Root — знает, к какому TLD идти
Структура DNS
Структура DNS

Как работает DNS

Процесс разрешения домена (DNS resolution) — многошаговый:

  1. Пользователь вводит домен (example.ru) в браузер.
  2. Stub-резолвер (клиент в ОС) проверяет локальный кэш/hosts-файл. Если нет — отправляет запрос рекурсивному резолверу (провайдера или публичному, как 1.1.1.1).
  3. Рекурсивный резолвер проверяет свой кэш. Если нет — обращается к корневому серверу.
  4. Корневой сервер направляет к TLD-серверу (.ru).
  5. TLD-сервер указывает авторитетный сервер зоны (example.ru).
  6. Авторитетный сервер возвращает IP (85.119.149.3).
  7. Рекурсивный резолвер кэширует ответ (TTL) и передает клиенту.

*TTL (Time to Live) — это время жизни записи в кэше, которое задаёт владелец домена (обычно от нескольких минут до нескольких часов или суток. По истечении TTL кэш автоматически очищается, и сервер снова запрашивает свежие данные — это гарантирует актуальность информации.

8. Браузер подключается по IP.

-5

Весь процесс занимает от 1 до 4 запросов и всего несколько миллисекунд. Поэтому сайты открываются быстро, несмотря на то что их открытие требует задействовать так много разной инфраструктуры.

Когда система получает IP, она сохраняет его у себя. Поэтому в следующий раз, когда пользователь захочет открыть нужный сайт на том же устройстве, системе не придется обращаться к резолверу – она уже будет знать соответствие.

Что происходит, когда появляется новый сайт в интернете

  • Владелец регистрирует домен у аккредитованного регистратора (проверяет доступность, вносит деньги).
  • Регистратор обновляет TLD-сервер, добавляя NS-записи на авторитетные серверы (где хранятся A/MX-записи).
  • ICANN/локальный координатор распространяет изменения по DNS (до 72 часов, но обычно 1–24 часа).
  • Сайт размещается на хостинге, IP привязывается к домену.
  • DNS обновляется глобально; кэши очищаются автоматически по истечении TTL. Если IP меняется (например, при переносе сайта), старые кэши могут вызывать временные сбои, пока не истечёт TTL и не загрузятся свежие данные.

Что такое атаки на DNS-сервера

DNS — привлекательная цель для хакеров, так как сбой парализует доступ к сайтам. Поскольку DNS разрабатывался в 80-е, безопасность не была приоритетом. Протокол работает через UDP (быстро, но без гарантии доставки) и в открытом виде. Это порождает риски.

1. DNS Spoofing/Cache Poisoning: (Отравление кэша)

Хакер подсовывает резолверу ложные данные. Вы вводите bank.ru. Резолвер, «отравленный» хакером, отдает вам IP-адрес поддельного сайта, который выглядит точь-в-точь как настоящий банк. Вы вводите пароль, и он улетает мошенникам.

2. DDoS на DNS (Флуд DNS-серверов)

Злоумышленник засыпает DNS-сервер миллионами запросов. Сервер тратит все ресурсы на обработку фейковых запросов и перестает отвечать на нормальные — сайты становятся недоступны, потому что DNS не может сказать, куда к ним идти.

3. DNS Amplification (Усиленная атака через DNS)

Если хакеры хотят «положить» сайт, сервер, дата-центр или провайдера, они подменяют их IP-адрес, делая их жертвой, и отправляют запросы к сотням и тысячам DNS-серверов. Эти DNS-серверы считают, что запрос пришёл от жертвы, и одновременно начинают слать ей ответы. В канал и инфраструктура жертвы забиваются трафиком, и сервис падает.

4. DNS Hijacking (Перехват/угон DNS)

Злоумышленник захватывает управление настройками вашего домена у регистратора, чтобы запросы на нормальные сайты перенаправлялись на фейковые. Аналогично с Spoofing, вы вводите bank.ru — попадаете на поддельный сайт хакера, который выглядит как настоящий. Вводите логин/пароль — данные улетают мошенникам. Или весь трафик идет через сервер хакера для слежки.

5. DNS Tunneling (Туннелирование через DNS)

DNS используют как тайный канал связи. Данные «прячут» внутри DNS-запросов и ответов. Так можно незаметно вытащить информацию из сети или управлять заражённым компьютером, обходя обычные фильтры и фаерволы.

Как работают блокировки по DNS и по IP?

Блокировка по DNS: «Вырвать страницу из телефонной книги»

Это самый простой и исторически первый способ блокировки.

  • Как это работает: Когда вы вводите instagram.com, ваш компьютер спрашивает DNS-сервер провайдера: «Какой у него адрес?». Провайдер по приказу регулятора просто велит серверу отвечать: «Такого адреса не существует» или подсовывает адрес «заглушки» с надписью «Ресурс заблокирован».
  • Плюсы для цензора: Дешево, быстро, точечно (можно заблокировать один конкретный сайт).
  • Минусы: Обходится за 10 секунд. Достаточно прописать в настройках устройства публичный DNS (например, Google 8.8.8.8), и «телефонная книга» провайдера перестает иметь значение.

Блокировка по IP: «Заблокировать дорогу к дому»

Это более жесткий метод. Провайдеру дают список IP-адресов, к которым запрещено подключаться.

  • Как это работает: Даже если вы узнали правильный IP сайта через другой DNS, провайдер на своем оборудовании (маршрутизаторе) ставит «заслон». Как только ваш компьютер пытается отправить пакет данных на этот IP, провайдер его просто сбрасывает.
  • Почему это эффективно: Неважно, какой у вас DNS. Дорога физически перекрыта.
  • Главный минус: На одном IP-адресе могут «жить» тысячи сайтов. Блокируя один «плохой» IP, власти могут заблокировать сотни «хороших» ресурсов.

Однако в нынешнее время ресурсы блокируются не только по DNS или IP, но и с помощью ТСПУ (Технические средства противодействия угрозам), представляющих собой «черные ящики» с технологией DPI (Deep Packet Inspection). Эта система проводит глубокий анализ каждого пакета данных, позволяя регулятору не просто закрывать доступ к сайтам, но и применять замедление (throttling): оборудование распознает трафик, например, YouTube, и искусственно удерживает его в очереди, из-за чего видео постоянно буферизируется или не открывается вовсе.

Кроме того, создана национальная система доменных имен (НСДИ), чтобы при необходимости обеспечивать разрешение доменных имен и контроль доступа внутри страны.

Заключение

DNS — главный справочник интернета, без которого об удобстве и привычных адресах не могло бы быть и речи. Теперь мы понимаем, как именно работает DNS, почему эта система так важна и каким хакерским атакам она подвергается. А еще, мы поняли, как через DNS и IP происходят блокировки, и почему именно эти точки оказываются самыми удобными для контроля доступа к ресурсам.

Подписывайся на наш Telegram-канал — там ещё больше простых и понятных разборов о том, как на самом деле работает интернет.

t.me
WorkMe | Центр экспертизы

Домашний интернет и сотовая связь
119,3 тыс интересуются