Почему большинство людей не слышали о системе корневых серверов DNS?

На заседании ICANN 81 в Стамбуле 10 ноября 2024 г. я выступил с докладом о системе корневых серверов DNS, стремясь углубить понимание системы корневых серверов (RSS) и операторов корневых серверов (RSO). Доклад предназначался для членов Правительственного консультативного комитета (GAC) ICANN, но многое из этого объяснения может представлять интерес для широкой аудитории.

Роль и назначение системы доменных имен (DNS)

DNS использует человекочитаемые имена – обычно называемые доменными именами – для поиска цифровых адресов компьютеров. Люди могут запомнить и понять такие имена, как www.amazon.com, в то время как компьютерам нужны IP-адреса, например 18.239.62.181. DNS сообщает нам, что www.amazon.com находится по адресу 18.239.62.181. Цифры могут часто меняться, а человекочитаемые имена остаются неизменными.

Подключенные устройства в Интернете – компьютеры, телефоны, принтеры, холодильники и так далее – нуждаются в DNS, чтобы иметь возможность находить другие подключенные устройства. Когда ваш «умный» холодильник хочет отправить на ваш телефон оповещение о том, что у вас закончилось молоко, для этого требуется DNS. Но как все устройства узнают, где найти друг друга? Каждое устройство может задавать DNS вопросы о доменных именах, а в ответ получать IP-адреса.

Интересно: BadDNS - инструмент с открытым исходным кодом для проверки DNS

В чем преимущества DNS? Самое очевидное – это то, что имена гораздо легче запоминаются людьми, чем строки цифр. Но не менее важно и то, что служба становится очень переносимой; адреса/аппаратное обеспечение/платформа/местоположение/что угодно еще могут быть изменены, но пока имя остается прежним, его можно будет найти. Кроме того, DNS – это огромная распределенная сеть, которая удивительно проста в использовании. Это гибкая, делегированная база данных, включающая сотни миллионов каталогов, расположенных в самой большой в мире распределенной базе данных.

Вот так выглядит DNS в двух словах, но на практике все гораздо сложнее.

Каковы роли ресолвера адресов и авторитетного сервера?

Устройства получают адреса от разрешителей адресов, которых в мире миллионы. Резольверы могут находить и читать то, что мы можем считать телефонными книгами Интернета, которые на самом деле являются авторитетными серверами, принадлежащими организациям, управляющим отдельными частями Интернета. Каждый из этих авторитетных серверов содержит содержимое зон, или адресную информацию, для всех доменов, которые он контролирует.

Проще говоря, DNS состоит из устройств, задающих вопросы типа «Какой номер у www.amazon.com?» и получающих ответ «Номер www.amazon.com – (в данный момент) 18.239.62.181. Подобные вопросы задаются примерно 500 триллионов раз в день, и ответы на них поступают от резолверов за миллисекунды.

Обычно резолверы запоминают информацию, которую они запрашивали у авторитетных серверов, и сохраняют ее для будущих запросов. Это называется кэшированием. Но иногда резолверу нужно узнать новый номер или подтвердить старый.

Давайте пройдемся по слоям процесса и посмотрим, как работает DNS для вымышленного местоположения www.example.com, в зависимости от того, сколько информации нужно преобразователю:

  • Случай 1 (наиболее распространенный сценарий): Резолвер может сконструировать весь необходимый ответ, используя только свою кэш-память, поэтому ему не нужно никого спрашивать.
  • Случай 2: резолвер имеет кэшированную информацию о example.com, поэтому он спрашивает только авторитетный сервер доменных имен о том, где найти www.
  • Случай 3: у распознавателя нет информации о www или example, но он знает, где получить информацию о .com, домене верхнего уровня (ДВУ). Он запрашивает у авторитетного сервера ДВУ местоположение example.com, а затем у авторитетного сервера этого доменного имени IP-адрес www.
  • Случай 4: Если преобразователь совсем новый и в его памяти нет кэшированной информации, ему необходимо начать заполнять свой кэш памяти. Он начинает с запроса к корневой серверной системе (RSS), чтобы выяснить, где получить информацию о .com, затем спрашивает у авторитетного сервера ДВУ о example, а затем запрашивает у авторитетного сервера доменных имен местоположение www.

Более 90% ответов относятся к случаю 1, когда резолвер имеет конечный IP-адрес в своей кэш-памяти. Примерно 5% запросов попадают в случай 2, и примерно 2% – в случай 3. Только один из каждых 5 000-10 000 запросов, или около 0,02% от общего числа запросов IP-адресов, требует вопроса к RSS.

Как, когда и почему решатель обращается к RSS

Единственная задача RSS – направлять запросы от резолверам к авторитетным серверам всех доменов верхнего уровня в Интернете.

Если представить себе DNS в виде слоев, это может немного прояснить ситуацию:

Существует три уровня вещей, которые могут быть запрошены в DNS, в порядке слева направо в интернет-адресе (например, www.example.com): то, что мы называем зонами доменных имен, зонами ДВУ и корневой зоной.

  • По оценкам, в Интернете существует 350 000 000 различных доменных имен, таких как amazon.com, или adminway.ru, или itshaman.ru; они поддерживаются различными регистраторами доменов по всему миру.
  • Существует всего около 1450 доменов верхнего уровня, например .fr или .edu; в каждом из них может быть от 1000 до 10 000 000 доменов. Домены верхнего уровня поддерживаются различными реестрами доменов верхнего уровня, которые полностью контролируют домены в этих доменах.
  • Корневая зона, по сравнению с ними, очень мала. Она представляет собой один документ, содержащий список 1450 ДВУ и адрес каждого из них. Она поддерживается Управлением по распределению номеров в Интернете (IANA) и криптографически защищена Root Zone Maintainer (RZM).

Вкратце:

  • Корневой сервер хранит копию корневой зоны.
  • Корневая зона содержит адреса 1450 ДВУ, таких как .com, .nl, .jobs и т. д.
  • Авторитетный сервер ДВУ знает адреса всех доменных имен, находящихся под ним, например, все адреса, заканчивающиеся на .com (например, tiktok.com или amazon.com), все адреса, заканчивающиеся на .nl (например, google.nl или amsterdam.nl), или все адреса, заканчивающиеся на .jobs (например, tech.jobs или highpay.jobs).
  • Авторитетный сервер доменных имен знает адреса конкретных серверов в своем домене, например www.amazon.com или mail.amazon.com или info.amazon.com.
  • Резольвер на каждом устройстве находит и возвращает ответ, когда он нужен пользователю.
  • В миллисекундном мире резольвера запросы к корневой серверной системе редки.

RSS: Что есть и чего нет

Давайте немного подробнее рассмотрим саму систему Root Server System.

  • RSS предоставляет адресную информацию, а не содержимое.
    RSS отвечает на одну небольшую часть вопроса об адресе: Можете ли вы дать мне адрес авторитетного сервера, на котором я могу посмотреть адреса доменов верхнего уровня?
    RSS НЕ предлагает контент; он не размещает веб-сайты, электронную почту или любой другой контент, а также не передает и не доставляет никакой интернет-контент.
    Вывод: Система корневых серверов не управляет и не передает никакого содержимого Интернета.
  • RSS не является привратником в Интернет. Он отвечает на вопросы, задаваемые адресными распознавателями, в тех редких случаях, когда адресные распознаватели уже не имеют ответов в своей кэш-памяти.
    Вывод: Интернет-трафик почти всегда передается без необходимости взаимодействия с системой корневых серверов.
  • RSS стабилен, безопасен и устойчив.
    С технологической точки зрения: RSS состоит из более чем 1800 глобально распределенных серверных экземпляров, что делает его массово избыточным. Каждый экземпляр сервера хранит 100 % информации о корневой зоне, и все эти серверы имеют различные аппаратные платформы, операционные системы, DNS-приложения и маршрутизацию данных.
    Вывод: Система корневых серверов не имеет единой точки технологического отказа.
  • RSS совместно управляется 12 автономными операторами корневых серверов (RSO) по всему миру. Каждый RSO независим от других, но при этом они постоянно сотрудничают друг с другом. Форс-мажорные обстоятельства, возникшие у одного RSO (например, судебный запрет), не оказывают оперативного влияния на остальных.
    Вывод: Система корневых серверов не имеет единой точки институционального сбоя.
  • RSS работает с 1980-х годов и ни разу не отключала сервис, хотя многие онлайн-злоумышленники пытались это сделать. Разнообразие системы – ее сильная сторона.
    Вывод: Система Root Server имеет почти 40-летнюю историю успешной работы в режиме 24×7×365.
  • Операторы Root Server не решают, что появится в Root Zone; они просто являются надежным, аутентифицированным способом доставки.
  • Регистрант (владелец доменного имени) определяет адресную информацию для своего домена и предоставляет свой авторитетный адрес службы реестру ДВУ.
  • Реестр ДВУ определяет адреса своих авторитетных серверов и предоставляет их в IANA.
    IANA проверяет подлинность всех изменений в адресах авторитетных серверов ДВУ и предоставляет их владельцу корневой зоны (RZM).
  • RZM криптографически подписывает корневую зону и предоставляет ее операторам корневых серверов и всему миру.
    Вывод: Система корневых серверов обслуживает адреса ДВУ, предоставленные ДВУ, IANA и RZM.

Система корневых серверов лежит в основе системы доменных имен, но реальные запросы к RSS при нормальной работе Интернета крайне редки.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Похожие статьи
BadDNS - инструмент с открытым исходным кодом для проверки DNS
Как исправить dns_probe_finished_nxdomain
История BIND

Комментарии (0)