Arvutivõrgud · Protokollid

Domeeninimede
süsteemi ülevaade

DNS (Domain Name System) on interneti telefoniraamat — see tõlgib inimloetavad domeenid masinloetavateks IP-aadressideks.

// 01 — Mis on DNS?

Interneti nimeserver

Igal seadmel internetis on numbriline aadress — IP-aadress. Kuid inimesed mäletavad pigem nimesid nagu google.com kui numbreid nagu 142.250.74.46. DNS lahendab selle probleemi.

DNS on hajutatud andmebaasisüsteem, mis on organiseeritud hierarhiliselt ja mis vastutab domeeninimede tõlkimise eest IP-aadressideks — protsessi nimetatakse nimeotsinguks (name resolution).

↗ Asutamine

DNS loodi 1983. aastal Paul Mockapetrise poolt, asendades aegunud HOSTS.TXT faili süsteemi. RFC 882 ja RFC 883 standardid kirjeldasid esmakordselt DNS-i arhitektuuri.

// 02 — Hierarhia

Domeenide puu

DNS on üles ehitatud puustruktuurina, mille tipus on juurdomeeni serverid. Iga tase pärindab eelmiselt.

L0 Juurdomeeni serverid 13 klastrit globaalselt, haldab IANA ·  .
L1 TLD serverid Tippdomeenid: .com, .net, .org, .ee, .fi ...
L2 Autoriteetsed nimeserverid Domeeni omaniku serverid · nt google.com, ut.ee
L3 Alamdomeenid mail.google.com, www.ut.ee, api.github.com ...
// 03 — Kirjetüübid

DNS kirjete tüübid

DNS-kirjed (resource records) salvestavad erinevat tüüpi teavet domeenide kohta.

Tüüp Nimi Kirjeldus
A Address Seob domeeni IPv4-aadressiga
AAAA IPv6 Address Seob domeeni IPv6-aadressiga
CNAME Canonical Name Domeeni varjunimi, suunab teisele domeenile
MX Mail Exchange Postiserveri aadress e-kirjade vastuvõtmiseks
NS Name Server Domeeni autoriteetsed nimeserverid
TXT Text Vabatekstiline info, kasutatakse SPF, DKIM jm
PTR Pointer Pöördotsing: IP-aadressilt domeenile
SOA Start of Authority Tsooni autoritatiivse info kirje
// 04 — Nimeotsingu protsess

Kuidas nimeotsimine toimib?

Kui sisestad brauserisse aadressi, käivitub mitmetasemeline küsimisprotsess. Kogu see protsess võtab tavaliselt vähem kui 100 millisekundit.

1
Kohalik vahemälu (cache) Brauser ja operatsioonisüsteem kontrollivad esmalt oma vahemälust, kas aadress on juba teada. TTL (Time to Live) määrab, kui kaua kirjet hoitakse.
2
Rekursiivne resolver Interneti-teenusepakkuja või Google/Cloudflare DNS-resolver võtab päringu vastu ja hakkab vastust otsima teiste serverite poole pöördudes.
3
Juurdomeeni server Resolver küsib juurdomeeni serverilt, kes vastutab .com (või muu TLD) tsooni eest.
4
TLD nimeserver Tippdomeeni server suunab resolveri autoriteetsete nimeserverite poole, kes vastutavad konkreetse domeeni eest.
5
Autoritatiivne nimeserver Domeeni enda server annab lõpliku vastuse — A-kirje kujul IP-aadressi — ning resolver edastab selle brauserile.
// 05 — Olulised mõisted

Põhimõisted

TTL — Time to Live

Aeg sekundites, mitu sekundit DNS-kirjet vahemälus hoitakse. Lühem TTL = kiiremad muudatused, rohkem päringuid.

🔒

DNSSEC

DNS turvalisuse laiendus, mis lisab kirjetele digitaalallkirjad, kaitstes DNS-mürgituse rünnakute vastu.

🌐

Tsoon (Zone)

Domeenipuu administratiivne osa. Iga tsoonil on oma SOA-kirje ja nimeserverid, kes seda haldavad.

♻️

Vahemälu mürgitus

Rünnak, kus ründaja lisab võltsitud DNS-kirjeid resolveri vahemällu, suunates kasutajad vale serverisse.

🔄

Rekursiivne vs. iteratiivne

Rekursiivne resolver teeb töö kasutaja eest ära. Iteratiivses päringus saab klient viited edasi ise järgida.

📡

Protokoll ja port

DNS kasutab UDP port 53 kiirete päringute jaoks. TCP port 53 kasutatakse suurte vastuste ja tsooniülekannete korral.