В мире огромное количество доменов, которые неразрывно связаны с сетью Интернет. Но первоначальное значение понятия домена было далеко от сегодняшнего. Оно давно потерялось во времени. 
Что обозначал домен в старые времена
В стародавние времена, когда люди не знали еще даже текстового Интернета, сети связи были другими: к ним относились, например, дороги, по которым гонцы разносили грамоты с сообщениями и приказами. Доменами тогда называли огромные королевские владения. Плодородные пахотные земли, реки, полные рыбы, деревни с работящими крестьянами, леса с тучными круторогими оленями – все это несметное богатство составляло королевский домен, переходивший по наследству.
Домен приносил доход, позволяя существовать королевскому двору. И именно из домена монарх жаловал земли и ресурсы своим вассалам, поддерживавшим его власть на территории государства силой оружия и убеждения. За домены шли многолетние войны между королевствами и аристократическими домами. Эти войны и составили всемирную историю.
С тех пор прошли столетия. Появился Интернет. Времена изменились, и королей в реальном мире почти не осталось. Зато о доменах теперь можно услышать гораздо чаще, чем о королях.
Значение доменов с XXI по настоящее время
В XXI веке доменом именуют владения в адресном пространстве Интернета. Реальные земли сменились виртуальными. Но домены Интернета, как и прежние, приносят доход своим хозяевам. «Короли» выделяют из доменов наделы «вассалам». «Вассалы» утверждают в домене свою власть и поддерживают власть «короля». За домены идут многолетние судебные споры. За контроль над доменами борются государства и транснациональные корпорации. Домены отбирают силой, уводят хитростью, покупают за астрономические суммы. Передел виртуального пространства идет активно, и не первый год.
Домен в Интернете, с одной стороны, предстает несложной строкой из алфавитно-цифровых символов, обозначающей некоторый участок адресного пространства всемирной Сети. Например,.net, nic.ru, www.example. com, whois.ripn.net – это домены или, как тоже часто говорят, доменные имена. С другой стороны, за символами доменов скрывается хитроумный клубок технологий, делающий использование доменов возможным для всего Интернета. А обе стороны создают новый объект, объединяющий виртуальный и реальный миры, – объект, ставший первопричиной изменений в законах больших государств и перевернувший жизнь многих и многих людей. Эта статья повествует о жизни доменов и о жизни вокруг них.
Причина появления доменов и интернета
Традиционная популярная история связывает создание Интернета с ядерной войной, а точнее, с приготовлениями к ней. Действительно, появившаяся в 70-х годах прошлого века вычислительная сеть, ставшая прообразом Интернета, финансировалась в рамках проекта, рассматривавшего случай глобальной ядерной войны. Сценаристы Пентагона предполагали очень неприятный расклад: после массированного ядерного удара по территории США инфраструктура систем связи будет разрушена, и уцелеет лишь несколько командных центров-бункеров, разбросанных по огромной территории. Этим центрам нужно будет попытаться установить связь между своими компьютерными сетями, используя остатки инфраструктуры. Не представлялось возможным заранее предсказать, какие кабельные и радиорелейные линии связи сохранят работоспособность и какие пути окажутся доступными для доставки данных из одного командного пункта в другой. Более того, нельзя было предвидеть, какие командные центры уцелеют после ядерного удара. Все это усложняло задачу, решение которой в итоге дало миру Интернет.
Ключевую поддержку проекту оказывало Агентство перспективных исследований Минобороны США – ARPA (ныне DARPA). Следы его деятельности и сейчас в изобилии находятся в разных системах Интернета. Например, существует специальный технический домен. ARPA. Весьма интересен тот факт, что DARPA, вполне официально, ведет отсчет своей истории с момента запуска первого искусственного спутника Земли. Как известно, Cпутник-1 был запущен 4 октября 1957 года СССР. И именно в качестве ответа на советский технологический прорыв правительство США оперативно создало специальное агентство перспективных научных разработок, деятельность которого должна была помочь сократить возникшее технологическое отставание. Да, сейчас этот момент может показаться неочевидным, но в середине XX века успешный запуск первого спутника однозначно указывал на критическое отставание важнейших для военного дела направлений прикладной науки и техники США от СССР.
«Ядерная тема» красной нитью бежит сквозь канву ключевых технологий Сети. Например, веб придуман в одном из ведущих мировых центров ядерной физики – CERN. Не многие знают, что в Россию Интернет пришел благодаря ряду проектов Курчатовского института, связанных с Чернобыльской аварией и международным сотрудничеством по анализу ее последствий.
Теперь, спустя десятилетия, глядя на «ядерную составляющую» глобальной Сети, можно сказать, что Интернет – это апокалиптическая технология, не дождавшаяся своего часа. Впрочем, тот факт, что Апокалипсис еще не наступил, не помешал Интернету развиться в нечто гораздо большее, чем первоначально планировали его главные разработчики.
Итак, разработки DARPA позволили построить Интернет. А само DARPA появилось в результате запуска советского спутника. Можно сказать, что Интернет некоторым образом обязан своим рождением успехам советских программ освоения космического пространства. Вот так переплетены пути истории технологий.
Конечно, военная составляющая технологий вычислительных сетей была лишь одним аспектом. Для военной программы исследователям удалось получить финансирование и ресурсы, которые позволили ковать фундаментальные научные достижения в области телекоммуникаций. При этом у той же программы была и более старая, чисто гражданская составляющая: ученым требовались механизмы разделения вычислительных ресурсов больших компьютеров, установленных в разных университетах, между пользователями, также разбросанными по всей стране. В общем, как это всегда бывает с успешными глобальными технологиями, полезное решение рождалось на стыке интересов нескольких научных дисциплин и ведомств, на государственные деньги и перед лицом военной угрозы (возможно, мнимой).
Первые успешные эксперименты по построению сетей связи между вычислительными машинами проводились в США еще в конце 1960-х годов. Интересно, что эти первые «сети» были беспроводными – сигнал передавался по радиоэфиру.
Так что окутывающий нынешние мегаполисы электромагнитный смог из сигналов станций Wi-Fi и аппаратуры мобильных сетей GSM имеет корни подревнее, чем сам Интернет и, тем более, веб.
Что такое веб
Веб – это группа технологий, позволяющих публиковать гипертекстовые документы, связанные между собой. Логически обособленный набор таких документов, вместе с сопутствующими данными, сейчас называют веб-сайтом. Веб, разработанный в 1989–90 годах, в наши дни стал настолько популярным, что для многих пользователей превратился в синоним Интернета. Однако веб – лишь один из сервисов, работающих на базе Интернета, пусть и весьма популярный. Хорошим примером другой технологии, популярной и работающей на базе Интернета, является IP-телефония. Доменные имена являются фундаментом и для веба, и для IP-телефонии, и для массы других сервисов, транспорт для которых обеспечивает Интернет.
Интернет придумали как саморегулирующуюся сеть компьютерных сетей – и в итоге эту сумму телекоммуникационных технологий использовали для обеспечения надежности межсетевого взаимодействия в масштабе стран и огромных территорий.
Интернет действительно весьма давнее явление. Итак, древний Интернет в плане адресации был числовым, потому что его придумали специалисты в области компьютерных технологий, а как известно, компьютеры очень любят самые разнообразные числа и не любят слова и естественные языки. Более того, именно использование правильного числового представления позволило решить сложную задачу создания саморегулирующейся сети передачи данных. Числами обозначались адреса подключенных к Интернету компьютеров. С помощью преобразований чисел компьютеры находили пути доставки данных внутри Сети друг другу.
В основе функционирования современного Интернета, конечно, также лежат числа. Однако современному массовому пользователю они не видны и, скорее, напоминают некий тайный реликт, артефакт, направляющий глубинные процессы внутри глобальной Сети.
Важно понимать, что абсолютно все межкомпьютерные процедуры по обмену данными реализуются в исключительно числовом виде и могут быть полностью сведены к математическим операциям по «превращению» одних чисел в другие и по установлению сравнительных отношений между ними (больше, меньше, равно). Когда речь идет о компьютерной технике, то буквенные обозначения всегда появляются лишь для удобства работающих с компьютерами людей. Но эти буквенные обозначения рано или поздно появляются обязательно.
Каждый компьютер, подключенный к Интернету, идентифицируется специальным адресом – так называемым IP-адресом. Грубо говоря, IP-адрес позволяет отличить один узел от другого. По этой причине редкая книга об Интернете обходится без рассказа о группе протоколов TCP/IP. 
Прежде чем приступить к краткому рассказу о них, я поясню важный момент: сама по себе передача данных в глобальной Сети организована довольно-таки сложным образом. Если подвергнуть эту организацию детальному строгому разбору, то быстро выяснится, что первоочередное значение имеют вовсе не сами IP-адреса, а такие непривычные для неспециалиста объекты, как автономные системы (AS), представляющие собой группы компьютеров; политики маршрутизации, определяющие в конечном итоге доступность отдельных узлов сети для остального Интернета (да, вовсе не сам IP-адрес позволяет обмениваться данными с другими компьютерами на земном шаре); точки обмена трафиком, реализующие физическую коммутацию между крупными сегментами Интернета, и т. д. Однако эта статья о доменах, а не об IP-сетях. Потому IP я уделю лишь несколько слов, изложив упрощенно некоторые важные особенности фундаментального транспортного протокола.
Транспортные протоколы
В настоящее время (то есть на начало 2019 года) наибольшее распространение в Интернете имеет версия протокола IPv6. Он появился еще в 2007 году.
Итак, IPv4 адреса состоят из 32 бит. Такой IP-адрес можно записать с помощью нескольких чисел в десятичной системе счисления – например, 192.168.35.101 или 10.10.101.123. Наверное, самым часто озвучиваемым отличием новой версии протокола – IPv6 – является длина записи адреса: в IPv6 для представления полного адреса используется 128 бит против 32 в IPv4.
Это очень серьезное увеличение «пространства адресации». Так, с помощью IPv6 можно выделить уникальный IP-адрес всем когда-либо произведенным человечеством электронным устройствам. При этом останется еще предостаточно адресов для использования, скажем, в целях нумерации всех автомобилей, холодильников или даже всех рубашек, проданных на территории Китая. Нумерация рубашек IP-адресами, возможно, окажется полезна в том случае, если они будут оснащены микрочипами и попадут в автоматическую химчистку, центральный компьютер которой захочет выяснить, какие на конкретной рубашке присутствуют пятна.
Строго говоря, максимальное число узлов, которые можно пронумеровать, используя 128 бит, равняется 2, или приблизительно 3,4*10. Это действительно большое число, значительно превышающее массу нашей родной планеты Земля, выраженную в граммах. Однако из-за особенностей протокола адреса IPv6 будут распределяться блоками (то есть не просто по порядку), а все пространство адресов с помощью особых префиксов окажется разбито на подмножества, выделенные каждое для определенных целей. Тем не менее даже с учетом этого адресов будет более чем достаточно для обозначения всех мыслимых устройств, которые можно подключить к Интернету – хотя бы в течение ближайших нескольких десятков лет, пока к Сети не захотят присоединиться марсианские колонии.
IPv6 может предложить новые механизмы обеспечения надежности и безопасности передачи данных в Интернете. Однако для перехода на этот протокол интернет-провайдерам требуется совершить довольно затратные в ресурсном плане шаги.
Ну вот, наверняка теперь даже не искушенный в тонкостях системного администрирования читатель сделал вывод, что IPv6 сложнее IPv4 в плане использования. Поэтому я не стану дальше вдаваться в подробности систем счисления и фундаментальных для IP стандартов RFC, а плавно перейду к связи чисел и имен.
Для начала давайте вспомним, что протоколы обмена данными – это некоторые стандарты, определяющие, каким образом компьютеры должны воспринимать и преобразовывать числа, представляющие собой передаваемые данные. Например, в определении протокола описано, какие части принятого (или переданного) пакета данных являются служебной информацией, а какие собственно полезными данными. Для успешного обмена информацией между собой компьютеры должны использовать совместимые протоколы, если сильно упростить ситуацию, то можно сказать, что компьютеры должны использовать один и тот же протокол.
Уместна аналогия с языками общения людей. Два человека лучше понимают друг друга в разговоре если используют язык, известный им обоим. Занятно, что это не обязательно один язык. Протоколы обмена данными имеют некоторые заметные отличия от живых языков, например, в них не всегда встречаются глаголы, но представление о протоколе передачи данных как о языке вполне информативно.
Протокол IP, входящий в состав группы TCP/IP, определяет адресацию сетевых узлов в Интернете и задает правила доставки пакетов данных от узла к узлу. Часть, обозначаемая TCP, отвечает за установление и работу сеанса связи, то есть некоторого «разговора», в рамках которого может быть передано и, что важно, получено большое количество пакетов. Числа, составляющие IP-адрес, определяют не только узел Интернета, но и сеть, к которой тот принадлежит (ведь Интернет – это сеть сетей).
По мере роста количества пользователей компьютерных сетей выяснилось, что числа вообще привычны лишь небольшой части этих пользователей. Поэтому неудивительно, что чисто человеческие трудности с практическим использованием чисел, определяющих адреса в Интернете, возникли довольно давно – еще в начале 80-х годов XX века.
Числа весьма отличаются от привычных нам слов того или иного языка. Разница особенно заметна в случае представления и обработки данных компьютером. Конечно, и числа могут быть записаны словами, и слова – числами. Однако слова человеческого языка обозначают многогранные понятия, существующие в памяти человека. Именно из-за связи с речью словесные обозначения лучше запоминаются.
Первопричиной прихода буквенных, точнее, алфавитно-цифровых обозначений в систему адресации Интернета стала электронная почта. Оказалось, что для людей гораздо удобнее представлять адреса электронной почты в формате, сходном с адресами для почты обычной. Понятно, что удобство записи и запоминания адресов человеком способствует росту эффективности использования электронной почты. Поэтому вместо сложных комбинаций чисел сейчас применяются адреса вида alex.ivanov@test.ru.
Появление DNS
Конечно, системы, преобразующие числовые адреса в символьные строки, в компьютерных сетях были известны и ранее, до появления электронной почты. Более того, некоторые из таких систем использовались задолго до появления TCP/IP. Тем не менее именно межсетевое распространение электронной почты подтолкнуло инженеров к идее введения общей системы «символьной адресации» в Интернете. Так в 1983 году появилась – сперва в качестве научного лабораторного проекта – система доменных имен Интернета. Сокращенное название DNS обозначает одновременно и Domain Name System (систему имен), и Domain Name Service (сервис по преобразованию адресов). Эквивалентное русскоязычное название – доменная система имен.
DNS представляет собой сложный распределенный технологический механизм, позволяющий, помимо прочего, сопоставить символьному имени домена (строке символов) один или несколько числовых IP-адресов, определяющих соответствующий узел Интернета. Например, доменному имени test.ru соответствует адрес 192.168.17.101.
Заметьте, что это далеко не единственная задача, которую решает DNS. Система гораздо гибче и универсальнее. DNS – распределенная база данных, ориентированная на хранение и поиск записей, представляющих собой пары значений. Пара «домен – IP-адрес» – только одна из возможных. При помощи DNS выполняют и обратное преобразование, позволяющее найти символьное имя, соответствующее IP-адресу. В этой книге основное внимание уделено функциям DNS, используемым для работы с IP-адресами применительно к символьным адресам ресурсов. Это один из самых востребованных классов функций DNS.
Домены для Интернета придумал Пол Мокапетрис (Paul Mockapetris), ученый из США. Именно он разработал основополагающие для DNS документы – RFC 882 и RFC 883, которые содержат фундаментальным принципам работы нынешней системы DNS.
Современный Интернет все больше ассоциируется с вебом и веб-сайтами. Большинство новых пользователей вообще не слышали о других технологиях Интернета, для них понятия «веб» и «Интернет» эквивалентны. Но если старые технологии типа Gopher давно умерщвлены всемогущим вебом, то DNS только окрепла, ведь именно символьные имена позволяют вебу виртуализировать понятия реального мира, отражая их в именах доменов.
Современные пользователи Интернета давно привыкли к символьным именам. Подавляющему их большинству даже не придет в голову набирать в адресной строке браузера загадочную цепочку чисел вместо привычного www.nic.ru. Текстовые имена проще воспринимаются в рекламе. Адреса, заданные в виде доменных имен, могут быть привязаны не только к названию бренда (что необходимо для корпоративных сайтов), но и к той отрасли, к тому сектору рынка, с которым относится сайт. Примером подобного «говорящего» имени могут быть auto.ru и gramota.ru.
То есть без символьного именования сайтов никакого интернет-бума быть не могло – ни первого, ни второго. Скорее всего, после очередного «схлопывания инвестиционного пузыря» (а оно неминуемо наступит) в выигрыше опять останутся держатели доменного пространства как единственной технологии, позволяющей через языковые конструкции мертвым узлом привязать виртуальный мир к реальному.
Обнаружение адреса
DNS преобразует строки символов в IP-адреса.
Например, соответствие IP-адресов и имен доменов изменяется. Для этого есть целый ряд причин: скажем, домен может сменить владельца, и новый администратор захочет настроить соответствие имен и адресов таким образом, чтобы домен указывал на его сетевой узел, а не на узел прежнего владельца домена. В маленькой локальной сети из десяти машин, содержащей два собственных домена, наверное, нет никаких проблем с тем, чтобы разослать измененную «таблицу соответствия» всем компьютерам. Но когда речь идет о сотнях миллионов доменов, помноженных на сотни миллионов компьютеров, разбросанных по всему земному шару, идея с рассылкой общей таблицы имен доменов оказывается, мягко говоря, абсурдной. А ведь нужно учитывать постоянный бурный рост Интернета. Так что реально работающая система DNS устроена не так просто.
Можно сказать, что IP-адресация формирует из множества узлов Интернета одноуровневую структуру. Узлы в ней соединяют разным образом проложенные линии связи.
DNS представляет собой иерархическую древовидную структуру, разбивающую одноуровневое множество узлов (или серверов) Интернета на отдельные районы – кластеры. Каждый такой кластер может состоять из многих тысяч серверов или включать в себя только один сервер. Кластеры способны пересекаться, то есть один и тот же узел-сервер может входить в несколько кластеров.
Как несложно догадаться, с каждым доменом связан единственный узел древовидной структуры DNS. В свою очередь, те серверы Интернета, которые попали в соответствующий узлу кластер, оказываются внутри данного домена. То есть в древовидной структуре DNS каждому узлу дерева соответствует один кластер узлов Интернета – это так называемая зона DNS. Можно сказать, что дерево DNS как бы добавляет адресной системе Интернета еще одно измерение. Ведь в иерархии доменных имен кластеры вкладываются друг в друга, образуя несколько уровней.
Деление дерева DNS по уровням (первый, второй, третий и т. д.) – важнейшая особенность всех отношений, возникающих вокруг доменов. Система доменных имен, как и всякое дерево, начинается с единственного корневого домена (это нулевой уровень). Правда, современная реализация работы с DNS на компьютерах пользователей позволяет не указывать корневой домен в адресной строке.
Благодаря этому про существование корневого домена сейчас помнят только специалисты. Адреса сайтов с использованием DNS записываются в виде последовательности, отражающей данную иерархию имен. Чем выше уровень домена, тем правее он записывается в строке адреса. Разделяются домены точками. Разберем, например, строку www.info.nic.ru. Здесь домен www – это домен четвертого уровня, а другие упомянутые в адресной строке домены расположены в домене первого уровня RU. Например, info.nic.ru – это домен третьего уровня. Очень важно понимать, что привычный адрес сайта, скажем, www.test.ru, обозначает домен третьего уровня (www), расположенный внутри домена второго уровня test.ru.
Адресная строка с указанием корневого домена выглядит, например, так: site.test.ru. – здесь корневой домен (он не обозначен никакими буквами) отделен последней, крайней справа точкой.
Работу DNS в масштабах всего Интернета обеспечивает распределенная система из многих серверов, образующих собственную иерархию. Каждый такой сервер имеет свою зону ответственности, то есть за ним закреплен некоторый участок адресного пространства DNS, где он определяет соответствие IP-адресов и доменных имен, а также другие параметры систем адресации и работы сервисов, находящихся в этой доменной зоне. Например, ответственный сервер (специалисты называют его авторитативным) определяет, на какой сервер приходит электронная почта, предназначенная для адресов в домене.
Основываясь на специальных правилах «доверия» и используя особые протоколы, серверы глобальной DNS обмениваются между собой информацией об изменениях в адресации. При этом изменения, конечно, не отражаются на всех участвующих в процессе серверах моментально – напротив, для распространения информации об изменениях в адресации для того или иного домена по всему Интернету может потребоваться несколько суток. Это одна из ключевых особенностей системы, которую постоянно приходится учитывать инженерам, обеспечивающим работу информационных ресурсов в Глобальной сети. Так, если настройки адресации в доменной зоне изменились, это не означает, что все пользователи сразу станут работать с новыми настройками. Напротив, некоторое время в глобальной системе будут действовать и новые, и старые настройки. Если изменился IP-адрес сайта, то пользователи будут некоторое время попадать на узел, размещенный под старым адресом.
Среди всех разнообразных серверов DNS есть самые важные – это корневые серверы системы, обеспечивающие работу DNS в целом. Таких серверов 13, данные адресации на этих серверах контролируются техническим центром, входящим в структуру корпорации ICANN, управляющей адресным пространством Интернета (подробнее об ICANN и о ее регулирующей роли рассказано в отдельной главе книги).
Работа корневых серверов имен DNS – ключевой аспект современного Интернета. Если вдруг корневые серверы разом остановятся, то через некоторое время для рядового пользователя весь Интернет просто «погаснет»: ведь обыватель не умеет работать с ресурсами Сети без использования доменных имен. Не станет привычного веба, не будет электронной почты – то есть случится катастрофа.
Как нетрудно догадаться, корневые серверы распространяют сведения об адресации, заданной для корневой доменной зоны (корневого домена). Благодаря древовидной структуре доменной системы имен сведения из корневой зоны определяют вид всего дерева. То есть в конечном итоге от этой зоны зависит доступность любого домена глобальной DNS.
Итак, корневых серверов 13. Существует весьма неплохое объяснение тому, почему выбрано именно это популярное и многозначительное число. Дело в том, что некоторые технические ограничения протокола, используемого для передачи ответов системы доменных имен, требуют, чтобы пакет данных с информацией об адресах всех корневых серверов умещался в 512 байтов (ремарка для тех, кто хочет изучить вопрос подробнее: речь идет об одном UDP-пакете). В эти байты удается поместить данные лишь о 13 серверах.
Технически корневая зона DNS
Таким образом, технически корневая зона глобальной DNS обслуживается децентрализованной системой из множества физических серверов, расположенных в различных странах мира и физически управляемых различными организациями. Такая система сложилась исторически в результате заключения соглашений между многими заинтересованными сторонами. Очевидно, тут есть масса преимуществ: децентрализованная (в плане компьютерного обеспечения), распределенная по земному шару система надежнее и гибче, она масштабируется с меньшими сложностями, она лучше реагирует на изменения нагрузки. Кроме того, считается, что децентрализованный подход делает Интернет более демократичным.
Однако не стоит спешить с выводами о том, что корневая зона DNS – это децентрализованная система, не имеющая центрального управления. На первый взгляд такое замечание кажется парадоксальным: ведь только что мы выяснили, что корневых серверов множество и они не только принадлежат разным компаниями, но и находятся в разных странах мира. Вся хитрость в том, что одно дело – серверы, физические компьютеры, и совсем другое – данные, которые на этих компьютерах находятся.
Для сохранения целостности системы имен корневые серверы должны содержать одинаковую информацию о корневой зоне. Это очень важный момент, политическая составляющая которого никак не меньше технической. Поэтому вся распределенная система корневых серверов DNS получает сведения о корневой зоне из единственного источника. Этим источником является специальный защищенный скрытый сервер, находящийся под управлением компании из США VeriSign. Все корневые серверы по расписанию копируют сведения об адресации со скрытого сервера-источника и без изменений (это строго оговорено) передают данную информацию ее потребителям в Интернете.
Другими словами, корневые серверы являются распределенной и децентрализованной компьютерной системой, но это лишь транспорт, механизм доставки. Корневая зона DNS ими ретранслируется из единого центрального источника. Поэтому расхожее мнение о децентрализованной и никем в одиночку не управляемой DNS, которое часто можно встретить в интернетовских форумах, в корне неверно.
Ключевую роль в системе имен Интернета играют также серверы доменов первого уровня (например, RU), обеспечивающие распространение по всей Сети DNS– информации о домене, находящемся в их зоне ответственности.
Все хитрые технологические решения в построении практически работающей DNS направлены на то, чтобы каждый из сотен миллионов разбросанных по всему миру компьютеров, подключенных к Интернету, имел возможность корректного преобразования адресов.
Важно понимать, что все серверы DNS делятся на два типа согласно основной роли, которую они играют. Одни отвечают за хранение и распространение информации о вверенном им домене в глобальной Сети, другие – за поиск информации о том или ином адресе DNS. Иногда обе роли могут быть объединены в одном физическом сервере, но использовать такую конфигурацию не рекомендуется.
Серверы, выполняющие поиск информации в DNS, призваны отвечать на запросы своих клиентов о тех или иных адресах. Ответы они ищут, опрашивая другие серверы DNS. То есть в рамках обеспечения работы сервиса доменных имен различные DNS-серверы обмениваются между собой информацией.
Серверы, опрашивающие DNS в поисках нужных адресов, называются рекурсивными резолверами (от англ. resolve – решать, решение, резолюция), или просто резолверами (также иногда используются термины «сопоставитель» и «рекурсор»).
С точки зрения пользователя и в сильно упрощенном виде алгоритм работы DNS-резолвера по поиску адресов сайтов можно описать следующим образом. Когда пользователь вводит в адресной строке браузера адрес сайта, например hat.nic.ru, компьютер выполняет запрос к тому или иному известному ему DNS-резолверу, спрашивая этот сервер о том, какой IP-адрес связан с «доменным адресом», указанным пользователем. В ответ сервер-резолвер DNS, проверив соответствие по своим внутренним таблицам или выполнив запрос к другим серверам, присылает искомый IP-адрес. Далее браузер устанавливает соединение с сайтом уже по IP-адресу.
По отношению к другим серверам DNS-резолвер выступает клиентом, так как отправляет запросы, на которые они отвечают с теми или иными данными. У резолвера есть и свои клиенты, для них он – сервер. Это операционные системы на компьютерах, обслуживаемых данным резолвером. Например, в сети интернет-провайдера обязательно существует резолвер, обслуживающий его клиентов. Традиционно им является сервер, доступный изнутри сети по известному IP-адресу.
В ряде случаев работа DNS-резолвера, пытающегося выяснить IP-адрес, соответствующий заданному имени домена, начинается с запроса к одному из корневых серверов. Корневой сервер, конечно, не знает ответа для каждого из имен, существующих в Интернете, однако он может сообщить клиенту адреса тех серверов, которые располагают информацией об искомом имени, – и клиент обратится к следующим серверам с тем же запросом. В этом и состоит рекурсия. Ниже мы разберем процесс подробно.
Пример
Предположим, что требуется определить IP-адрес, соответствующий домену www.nic.ru.
Сразу нужно обговорить пару важных моментов. Во– первых, резолвер, занимающийся поиском имен, – это обычно специальная программа, работающая на том или ином компьютере. Как мы разобрались, резолвер обрабатывает запросы вида «А какой адрес у www.nic. ru?», поступающие от других программ и компьютеров. Резолвер может быть и локальным, то есть работающим на том же компьютере, где, например, запущен браузер. Во-вторых, наиболее важные из резолверов (кэширующие DNS-серверы) обслуживают множество разных запросов и имеют собственный кэш адресов (особую память), в котором в течение определенного времени сохраняются ранее полученные из DNS сведения об адресации внутри доменов. Наличие такого кэширования – важнейшая особенность DNS, делающая эту систему распределенной и устойчивой к большим нагрузкам.
Вернемся к нашему примеру: получив запрос о www. nic.ru резолвер прежде всего проверит свой кэш; если там не удастся найти ответа на вопрос об адресе узла с именем www.nic.ru, то рекурсивный резолвер начнет опрос глобальной DNS с запроса к одному из корневых серверов. Конечно, корневой сервер не знает ответа на вопрос о www.nic.ru, но он сообщит резолверу адреса тех серверов, которые отвечают за доменную зону.ru, благо они содержатся в корневой доменной зоне. Серверы.ru в свою очередь отправят резолвер к серверам, отвечающим за.nic.ru, и те наконец ответят о www.nic.ru, то есть об адресе узла, соответствующего домену третьего уровня www.nic.ru. Вот так рекурсивно работает DNS.
Существуют автоматические методы настройки адресов DNS для пользовательских компьютеров, подключенных к локальной сети. Их подробное рассмотрение выходит за рамки статьи. Ключевой момент тут простой: базовые адреса для работы DNS жестко задаются извне, но при этом никто не может помешать сделать нестандартные настройки, то есть, например, использовать какие-то другие корневые серверы. Именно здесь и коренится основа доменных войн (или так называемых войн DNS, приведших в конце 1990-х годов к серьезным изменениям в политике управления Сетью). Подробнее об этой основе и ее историческом значении рассказывается в главе 3.
Другой особенностью корневых серверов глобальной DNS является то, что изменение их IP-адресов (напомню, что именно по этим адресам компьютеры в Сети находят друг друга) – очень большая проблема. Действительно, использовать DNS для первичного поиска адресов корневых серверов не получится, так как именно с обращения к ним начинается работа с самой DNS. Сохраненные в исходных настройках той или иной операционной системы компьютера IP-адреса корневых серверов очень сложно будет поддерживать в актуальном состоянии, если они начнут часто изменяться.
Посудите сами: разнообразных классов/типов/линеек/ версий операционных систем в лучшем случае насчитываются как минимум сотни. Дистрибутивы (наборы файлов, служащие для установки операционной системы на компьютер) также бывают самыми разными и сохраняются в неизменном состоянии годами. Что уж говорить про уже настроенное программное обеспечение – оно также не всегда обновляется, а если и обновляется, то далеко не оперативно. В итоге получается, что изменить IP-адрес корневого сервера не так трудно, но вот отследить и скорректировать все директивные упоминания старого адреса – задача чрезвычайной сложности. Если такое произойдет, многие компьютеры продолжат обращаться по старому адресу корневого сервера и не смогут получить ответ. Впрочем, так как серверов несколько, возможна постепенная «миграция» адресов: не сумев установить соединение с одним из корневых серверов, компьютер, пытающийся работать с DNS, соединится с другим корневым сервером, адрес которого не изменялся, и получит возможность определить актуальные адреса всех 13, уже задействовав DNS.
На практике, однако, после изменения IP-адресов некоторых корневых серверов запросы по старым адресам продолжали фиксироваться еще долгие годы после «переезда». Эта особенность только подтверждает факт, что DNS в глобальном плане требует очень непростого управления и весьма чувствительна к изменениям. Одно неловкое движение – и случится неприятность: Интернет для всех рядовых пользователей «погаснет».
Проблемы безопасности
С DNS связано множество проблем безопасности, актуальных как для клиентских компьютеров, так и для всей Глобальной сети в целом. Например, особо продвинутые хакеры могут проводить атаки на серверы DNS с целью их перегрузки, вызывающей отказы в обслуживании. Подмена адресов в DNS может приводить к тому, что пользователи, набирающие в адресной строке привычное имя домена, ранее привязанного к одному сайту, будут соединяться с совсем другим сервером, например с сервером злоумышленников, представляющим собой поддельный интернет-магазин, собирающий данные о кредитных картах посетителей.
Проблемы безопасности в DNS в основном связаны с тем, что, когда эта система создавалась в 1980-х годах, Интернет был другим – в нем все друг друга знали. Так что во время становления Глобальной сети не задумывались об атаках, оказавшихся возможными теперь.
