Очень популярно о DNS
Немного про DNS, раз уж он попал в новости. Пытался написать максимально просто.
Есть много статей в больших технических деталях - например вот https://habr.com/ru/articles/303446/ Я понимаю, что статья очень базовая, но довольно много людей про эти вещи не знает и судя по новостями могут захотеть узнать больше
1. Зачем появился DNS и когда
В самом начале интернета никаких доменных имён не было. Был файл hosts.txt, где вручную сопоставлялись имена и IP-адреса. Пока компьютеров были сотни - это ещё работало. Когда стали тысячи и миллионы - перестало.
DNS (Domain Name System) появился в 1983 году как распределённая система, которая позволяет переводить понятные человеку имена (example.com) в IP-адреса (93.184.216.34). Ключевая идея - не один центральный список, а иерархия серверов, где каждый отвечает только за свою часть.
Грубо говоря если вы хотите чтобы домен abc.com указывал на нужный вам IP адрес вы можете это сделать прям локально на своем компьютере, все будет работать и никто об этом не узнает. Но надо знать какой домен на какой адрес вы хотите направить
Сейчас это выглядит примерно так - каждый прямоугольник тут это кластер серверов
2. Кто сейчас «владеет» DNS, где они находятся и где сервера
Координацией глобальной DNS-зоны занимается ICANN (штаб-квартира - США, Калифорния).
Технические реестры ведёт IANA (структурное подразделение ICANN).
Где физически находятся корневые DNS-серверы
В мире существует 13 логических корневых серверов (A–M), но физически это сотни Anycast-узлов, распределённых по десяткам стран.
Что это значит:
нет «одного дата-центра»
каждая буква (A, B, C…) обслуживается разными операторами
трафик автоматически идёт в ближайший узел
Примеры операторов корневых серверов:
Verisign
RIPE NCC
ICANN
Университеты и исследовательские сети
Формально ICANN - американская юрисдикция.
Фактически управление корнем — многостороннее, через советы, коммьюнити, технические комитеты. Ну по крайней мере так везде пишут (с).
3. Как устроено в РФ
В России администратор национальных доменов:
Координационный центр доменов .RU/.РФ
Под его управлением:
.ru
.рф
.su (исторический домен СССР)
Что делает Координационный центр:
устанавливает правила регистрации
аккредитует регистраторов доменов в подконтрольных зонах (RU-CENTER, REG.RU и др.)
управляет DNS-инфраструктурой зон
4. Что даёт использование публичных DNS-резолверов и что это такое
Помимо иерархической инфраструктуры ICANN -> региональные координационные центры - DNS серверов очень много. Фактически каждый может поднять свой DNS сервер если он ему зачем-то нужен. Например у меня есть виртуалка где-то в дата-центре в Москве, я могу поднять свой DNS сервер на ней примерно за час (опытный админ за 10 минут). Свой сервер, свои правила. Хочу имя pikabu.ru направлю на IP адрес https://joy.reactor.cc/
Но видеть это будут только те что укажут у себя в настройках это DNS сервер явно. Есть значения по умолчанию которые стоят у 99.9% населения планеты и это DNS сервера вашего провайдера.
Но есть ньюанс, читай ниже ...
Есть публичные DNS резолверы подерживаемые большими компаниями (Например Яндексом).
Когда вы используете DNS провайдера:
провайдер видит ваши запросы
провайдер может подменять ответы
иногда это медленно
Публичные резолверы (например, от Cloudflare или Google):
быстрее за счёт глобальных Anycast-сетей (тут все сильно зависит от местного пейзажа)
часто поддерживают шифрование (DoH / DoT - см про это ниже)
обычно не подменяют ответы по локальным спискам блокировок т.е. придерживаются принципа сетевой нейтральности.
Дополнительные плюсы:
защита от DNS-spoofing (хакерская атака с подменой скажем адреса госуслуг на IP адрес мошенников см https://www.cloudflare.com/learning/dns/dns-cache-poisoning/ )
иногда встроенная фильтрация вредоносных доменов, см например https://dns.yandex.ru/ - режимы
5. Как настроить использование публичного DNS у себя на компьютере
Описано например тут (на английском) https://developers.cloudflare.com/1.1.1.1/setup/windows/ но в целом легко гуглится
Можно настроить на десктопе, на мобилке или сразу на роутере.
Например на моем роутере настройки выглядят так
6. DoH и DoT - как это реально работает
Если вообще коротко - до DNS сервера запрос идет зашифрованным, видно что он есть, а что внутри нет. Т.е. какое именно доменное имя вы превращаете в IP адрес не понятно никому снаружи.
DoH (DNS over HTTPS)
DNS-запрос уходит как обычный HTTPS-трафик (порт 443)
DoT (DNS over TLS)
DNS поверх TLS, обычно порт 853
Что это даёт:
провайдер видит только факт соединения с DNS-сервером
не видит, какие домены вы спрашиваете
Если просто указать DoH/DoT в Windows — будет ли работать?
Да. Начиная с Windows 11 есть нативная поддержка.
Если ОС старая - можно использовать браузерный DoH (Chrome, Firefox) или отдельные клиенты (Cloudflare WARP, Stubby).
Надеюсь кому-то это было не бесполезно.
