Можно ли открыть сайт без DNS-запроса

Обновлено: 21.11.2024

Ищете легкое для понимания введение в DNS без профессионального жаргона? Вы обратились по адресу!

Давайте сразу же ответим на ваш вопрос: что такое DNS? DNS расшифровывается как система доменных имен, и ее основная цель — переводить доменные имена в IP-адреса.

Хорошо, но почему? Ну, веб-браузеры и компьютеры, составляющие Интернет, взаимодействуют друг с другом и идентифицируются с помощью IP-адресов. IP-адрес — это уникальная строка цифр, которая идентифицирует каждую машину, использующую Интернет. Думайте об IP-адресе как о почтовом адресе: он есть у каждого устройства в Интернете, и вам нужен адрес, чтобы определить ваше местоположение (например, веб-страницу).

Домены гораздо легче запомнить, чем IP-адреса, и мы можем использовать домены благодаря DNS. Это связано с тем, что DNS берет наше легко запоминающееся доменное имя и переводит его в строку чисел, которую может понять наш веб-браузер.

Без DNS нам всем пришлось бы запоминать IP-адреса для навигации в Интернете, так что действительно DNS — это круто!

Нравится то, что вы видите?

Пожалуйста, не стесняйтесь использовать любую графику, которую вы видите в нашей статье — вы можете найти полностью объединенную инфографику прямо здесь, на этом Google Диске. Мы просто просим вас указывать ссылку на эту страницу и ссылаться на нее. Наслаждайтесь!

Познакомьтесь с DNS-серверами

Когда вы пытаетесь загрузить веб-страницу с помощью доменного имени, вы запускаете DNS-запрос — процесс получения доменного имени и его преобразования в IP-адрес для вашего веб-браузера.

Этот процесс является результатом совместной работы четырех DNS-серверов, работающих вместе, чтобы найти правильный IP-адрес для вашего поиска. Серверы имен обычно управляются вашим регистратором доменных имен или вашим провайдером веб-хостинга. Представляем…

Через минуту мы познакомим вас с процессом совместной работы этих серверов, но сначала давайте рассмотрим каждый из них по очереди.

Разрешение сервера имен

Это рабочая лошадка поиска DNS: разрешающий сервер имен является первым сервером в процессе поиска, и его задача заключается в поиске и запросе каждого сервера по очереди, пока не будет найден правильный IP-адрес.

Вы можете думать о разрешающем сервере имен как о библиотекаре, который ищет место для книги, или о почтовом работнике, доставляющем письмо. В обоих случаях вы должны сузить конечный пункт назначения, используя систему, например, по стране, штату, улице и имени, пока не получите правильный адрес!

Самое важное, что должен знать сервер разрешающих имен, — это где найти корневые серверы имен, что прекрасно подводит нас к…

Корневой сервер имен

Это первое место, где разрешающий сервер имен ищет IP-адрес. Корневой сервер имен обычно является точкой отсчета — он сообщает разрешающему серверу имен, где искать, давая ему более конкретное направление. Короче говоря, он может сообщить серверу разрешенных имен, где найти правильный сервер имен TLD!

Сервер доменных имен

При покупке домена реестр TLD обновляет серверы имен TLD. Это означает, что сервер имен TLD знает, к какому полномочному серверу имен обращаться.

Авторитетный сервер имен

Как работает DNS: от начала до конца

Хорошо, значит, вы знаете, что такое DNS, и познакомились с четырьмя серверами, участвующими в процессе поиска. Но как именно работает DNS? Мы проведем вас через весь процесс от начала до конца в доступной для понимания форме. Если вы спешите, прокрутите список вниз, чтобы увидеть, как этот процесс объяснен на блок-схеме!

Чтобы помочь с нашим объяснением, мы будем использовать пример, в котором Боб пытается найти домашнюю страницу Website Builder Expert.

Боб не может запоминать IP-адреса веб-сайтов (в конце концов, он всего лишь человек), поэтому вместо этого он ищет в Интернете легко запоминающиеся доменные имена. Это единственное, что нужно сделать Бобу — с этого момента обо всем позаботится DNS.

2. Браузер Боба проверяет свой кеш, чтобы убедиться, что этот домен уже сохранен

Если вы уже посещали веб-сайт, ваш браузер может сохранить его в своей памяти (или в «кэше») — если это так, он может загрузить веб-страницу быстрее, поскольку ему не нужно проходить через весь процесс DNS.

4. Разрешающий сервер имен запрашивает корневой сервер имен

5.Корневой сервер имен направляет разрешающий сервер имен на соответствующий сервер TLD

Сервер разрешенных имен помещает всю эту информацию в свой кэш и отправляется на поиск сервера имен TLD.

6. Разрешающий сервер имен запрашивает сервер имен TLD

7. Сервер имен TLD направляет разрешающий сервер имен на авторитетный сервер имен

Как сервер имен TLD узнает, какой авторитетный сервер имен использовать?

При покупке доменного имени регистратору (например, GoDaddy) сообщается, какой авторитетный сервер имен должен использовать этот домен. Затем серверы имен TLD обновляются, чтобы отразить эту информацию.

Резолвящий сервер имен снова сохраняет всю эту информацию в своем кеше и отправляется на поиск авторитетного сервера имен.

8. Разрешающий сервер имен запрашивает авторитетный сервер имен

Авторитетный сервер имен отвечает правильным IP-адресом, который разрешающий сервер имен помещает в свой кэш и возвращает операционной системе.

Операционная система получает IP-адрес и передает его веб-браузеру. Веб-браузер подключается к IP-адресу, что означает…

И Боб может с удовольствием просмотреть страницу, которую он искал!

Это может показаться сложным и длительным процессом — вы даже можете представить себе Боба, сидящего там, барабанящего пальцами по столу и бродящего, чтобы приготовить чашку кофе, пока он ждет, пока серверы не найдут его IP-адрес.< /p>

Но что удивительно, так это то, что весь этот процесс поиска происходит быстрее, чем мгновение ока!

Три типа запросов DNS

Теперь вы знаете, как работают DNS-запросы, и все, что происходит за кулисами, когда вы ищете домен в Интернете. Однако, если вам нужны настоящие мельчайшие детали DNS, ознакомьтесь с тремя различными типами запросов в системе DNS ниже.

Рекурсивный запрос

Рекурсивный запрос означает, что DNS должен предоставить ответ пользователю, будь то правильный IP-адрес или сообщение об ошибке.

В процессе рекурсивного запроса разрешающий сервер имен проходит весь процесс, описанный выше, пока не достигнет авторитетного сервера имен и не сможет предоставить правильный IP-адрес для веб-браузера.

Итеративный запрос

При повторяющемся запросе DNS предоставляет пользователю наилучший из возможных ответов. На этот раз, если у разрешающего сервера имен есть соответствующая информация, хранящаяся в его кэше, он немедленно доставляет этот результат.

Если у него нет ответа, пользователь перенаправляется на корневой сервер или авторитетный сервер имен, который, скорее всего, содержит ответ. Пользователь будет продолжать направляться вниз по цепочке, пока не получит результат или сообщение об ошибке.

Нерекурсивный запрос

Нерекурсивный запрос — это когда DNS уже знает ответ — например, когда информация уже сохранена в его кеше, и он может немедленно доставить ответ на запрос.

Если ответ не сохранен в кэше, он отправит запрос авторитетному серверу имен, который гарантированно имеет правильный IP-адрес, поэтому пользователь все равно получит немедленный и точный ответ.

В отличие от двух других типов запросов, нерекурсивным запросам не нужно проходить несколько раундов запросов — ответ будет прямым и немедленным.

Удивительный мир кэширования DNS

Хотя процесс поиска в DNS сам по себе довольно быстрый, кэширование делает его еще быстрее. Но что такое кэширование? И где это происходит?

По сути, кэширование повышает производительность и надежность за счет временного хранения данных в различных местах. В идеале данные хранятся рядом с пользователем, чтобы запрос можно было удовлетворить как можно быстрее, что ускоряет процесс.

Если пользователь вводит домен, а IP-адрес уже сохранен в кеше, это устраняет необходимость выполнять весь процесс поиска DNS. Это снижает нагрузку на DNS, высвобождает полосу пропускания и повышает скорость загрузки для пользователя.

Так где же именно хранятся данные? Вот два основных места кэширования DNS:

Кэширование браузера

Большинство веб-браузеров автоматически кэшируют записи DNS, что имеет смысл: чем ближе эти данные хранятся к запросу пользователя (т. е. к вводу URL-адреса в строку поиска), тем быстрее этот запрос может быть удовлетворен.

Отправляя запрос к его источнику и предоставляя IP-адрес в самом веб-браузере, DNS не нужно каждый раз выполнять все этапы запроса каждого сервера.

Проверка кэша веб-браузера на наличие ответов — это первый шаг к процессу поиска DNS.

Кэширование на уровне операционной системы

Если в кэше веб-браузера нет IP-адреса, следующим местом хранения данных будет операционная система вашего компьютера. Это последнее место, куда нужно отправить запрос, прежде чем он покинет ваш компьютер для поиска ответов.

Когда в операционную систему поступает запрос, DNS-клиент (или «резольвер-заглушка», если вы хотите что-то более интересное) обрабатывает запрос. Сначала он проверяет свой кеш, чтобы узнать, есть ли уже ответ, и в этом случае он отправляет IP-адрес обратно в веб-браузер.

Однако, если данные не хранятся в его кеше, именно тогда он отправляет DNS-запрос на разрешающий сервер имен, запуская процесс поиска DNS за пределами вашего компьютера.

Разрешающий сервер имен также проверит свой собственный кэш, чтобы убедиться, что в нем сохранены данные, прежде чем запрашивать другие серверы в процессе поиска DNS.

Вы понимаете, почему кэширование может значительно ускорить процесс поиска DNS!

Что такое DNS? Заключительный обзор

DNS состоит из множества частей, которые работают вместе, чтобы предоставлять результаты всякий раз, когда мы ищем в Интернете, используя домены. Из-за всех этих движущихся частей DNS может показаться сложной концепцией, чтобы разобраться в ней.

Но это не обязательно! Разобрав этот процесс на части, вы сможете разобраться с DNS и понять, насколько сильно он влияет на то, как мы перемещаемся в Интернете.

Если коротко, DNS означает систему доменных имен. Он преобразует понятные для человека доменные имена в удобные для компьютера IP-адреса, чтобы веб-браузеры могли загружать правильные страницы для пользователей.

Существует несколько этапов, составляющих процесс поиска DNS, в котором четыре основных сервера отвечают на запросы и находят правильный IP-адрес. Существуют также различные типы запросов, чтобы распределить нагрузку на разные серверы в ходе процесса.

Процесс поиска DNS можно ускорить за счет кэширования, при котором данные сохраняются на вашем компьютере.

Если ваш веб-браузер имеет правильный IP-адрес в своем кеше, он может немедленно ответить на собственный запрос и сразу же загрузить страницу, ускорив процесс и сняв нагрузку с DNS.

Хорошая новость заключается в том, что DNS предназначен для быстрой и эффективной работы за кулисами для быстрой загрузки веб-страниц. На самом деле это происходит так быстро, что большинство людей даже не подозревают, сколько тяжелой работы происходит за кулисами, когда они ищут веб-страницу.

Теперь, когда вы прочитали наше руководство для начинающих, вы можете поднять руку и с гордостью сказать, что знаете, что такое DNS, как он работает и почему это важно!

Простите, если мне не хватает понимания концепции DNS, но, насколько я могу судить, это просто адресация IP-адреса в более удобочитаемую строку символов. Я видел аналогию с телефонной книгой в том смысле, что вы можете запоминать номера, но гораздо проще иметь телефонную книгу.

С учетом сказанного, если, скажем, произошел сбой DNS-сервера (он же потерял мою телефонную книгу), могу ли я получить доступ к нужному сайту, используя его необработанный IP-адрес (запомненный номер телефона)?

Чтобы уточнить, я не спрашиваю, может ли Интернет в целом работать без DNS, я имею в виду событие, когда DNS моего провайдера не работает.

5 ответов 5

Ответ: и да, и нет.

Это зависит от конфигурации сервера. Например, общий веб-хостинг будет иметь много доменов, указывающих на один и тот же IP-адрес. Сервер переводит, какой домен используется, и перенаправляет трафик на нужный сайт. Если вы заходите на сайт по IP-адресу на общем сервере веб-хостинга, сервер не знает, куда ему нужно направить ваш трафик, и поэтому вы получите свой собственный сайт, или пустой сайт, или, что еще хуже, «этот сайт еще не настроен - тип веб-сайта по умолчанию.

Однако, если имеется только один веб-сайт и сервер принимает трафик через порт 80, тогда да, вы можете получить доступ к веб-сайту исключительно по IP-адресу.

В любом случае, это не то, что вам нужно.

Вместо этого вы захотите изменить свой DNS-сервер на клиентском компьютере. Обычно используются 8.8.8.8 и 8.8.4.4 (это DNS-серверы Google). Если вы настроите этот DNS-сервер, вы все равно сможете выполнять преобразования DNS и, таким образом, получать доступ к веб-сайтам по их доменному имени, и это будет работать.

Ты опередил меня на минуту. Вы также должны упомянуть тот факт, что многие веб-сайты могут иметь более 1 IP-адреса. DNS попытается подключиться к лучшему из доступных. Это может быть для балансировки нагрузки или резервирования. Или для обслуживания веб-страниц в зависимости от местоположения пользователя

@Д.О Хотя верно то, что веб-сайт может иметь более одного IP-адреса для балансировки нагрузки, технически не имеет значения, помните ли вы один из двух IP-адресов для доступа к сайту таким образом. Это интересно знать, но это не меняет исхода этого конкретного вопроса.

Это важно для понимания концепции DNS, которую OP упоминает в первом предложении. Это не просто адресация IP, это может сделать намного больше. Но я понимаю, что вы говорите

В основном это происходит из-за конфигурации веб-серверов, где сайты обычно ссылаются на полное доменное имя, а не на IP-адрес.

Большинство этих веб-сайтов имеют сайт "по умолчанию", который будет действовать как запасной, если ни один другой сайт не соответствует полному доменному имени.

Имейте в виду, что существуют сайты с тысячами доменов на одном сервере, и контент будет отображаться в зависимости от открытого вами полного доменного имени.

Теоретически вы действительно можете использовать адрес вместо имени во многих сетевых приложениях, но часто это не работает для веб-страниц, потому что сервер, с которым вы разговариваете, является «виртуальным» сервером: на самом деле несколько серверов по одному и тому же адресу, а «настоящий» сервер смотрит на имя сервера в URL-адресе, чтобы определить, на какой сервер следует перенаправить ваш запрос (*).

В этом случае легко справиться, заставив собственный компьютер преобразовывать имена в адресатов. Существует файл «hosts» (/etc/hosts/ в Linux, C:\windows\system32\drivers\etc\hosts в Windows), который просматривается до того, как ваш компьютер переходит на DNS-сервер, поэтому вы можете поместить туда имена и адреса. и использовали их так, как если бы они были получены обычным DNS. Редактирование этого файла может привести к тому, что программное обеспечение безопасности поднимет тревогу, поскольку вредоносное ПО также может изменить этот файл, чтобы перенаправить вас на нежелательные сайты.

Однако бывают случаи, когда даже это не сработает, потому что адрес меняется динамически (балансировка нагрузки) или ваш веб-сервер находится за "сетью доставки контента" (статические вещи обслуживаются с сервера, расположенного рядом с вами, с реального сервера получается только "персонализированная" часть). Так что вы все равно должны использовать правильный DNS. Но ничто не заставляет вас (кроме местного законодательства) использовать серверы имен вашего интернет-провайдера, вы можете настроить свой компьютер на использование определенных серверов имен (где-то в настройках вашей сети), наиболее часто используемыми для этого являются Google 8.8.8.8 и OpenDNS 208.67.220.220 и 208.67.220.222.

После того как вы обновите настройки сервера имен своего домена, распространение DNS может иногда занимать от 24 до 48 часов. В течение этого времени вы не можете использовать свое доменное имя. Однако вы можете обойти DNS и просмотреть свой веб-сайт, используя общий URL-адрес или файл hosts.

Это рекомендуемый метод, поскольку вам не нужно изменять какие-либо файлы конфигурации на локальном компьютере.

Некоторые системы управления контентом (CMS) и веб-приложения могут отображаться неправильно при использовании общего URL-адреса. Это связано с тем, что они настроены на использование вашего доменного имени, которое отличается от общего URL-адреса. Например, вы должны обновлять две настройки базы данных каждый раз, когда используете другое доменное имя в WordPress.

Еще один способ обойти DNS — использовать файл hosts на локальном компьютере. Файл hosts содержит сопоставления доменного имени и IP-адреса. Эти сопоставления имитируют функцию DNS-сервера и позволяют «обмануть» ваш компьютер, заставив его связать доменное имя с определенным IP-адресом.

Чтобы использовать файл hosts для обхода DNS для вашего домена, выполните следующие действия:

    Откройте файл hosts в текстовом редакторе. Расположение файла hosts зависит от операционной системы вашего компьютера: На компьютерах Microsoft Windows файл hosts находится в папке \%SystemRoot%\system32\drivers\etc\hosts.

  • В Windows Vista, Windows 7 и Windows 8 нажмите "Пуск" , найдите "Блокнот", щелкните значок правой кнопкой мыши и выберите "Запуск от имени администратора".
  • В Windows 10 нажмите "Пуск" , введите "Блокнот" , щелкните правой кнопкой мыши "Блокнот" и выберите "Запуск от имени администратора".

При этом Блокнот запускается с повышенными привилегиями, необходимыми для открытия, изменения и сохранения файла hosts. Обратите внимание, что в диалоговом окне «Открыть» Блокнота необходимо использовать фильтр «Все файлы», чтобы увидеть файл hosts.

Файл hosts представляет собой обычный текстовый файл, поэтому для его редактирования следует использовать обычный текстовый редактор, например Блокнот или nano. Не используйте текстовый процессор, такой как Microsoft Word, который может добавить дополнительное форматирование!

Когда вы открываете файл hosts, вы должны увидеть запись, похожую на следующую строку:

Чтобы создать новое сопоставление для вашего домена, добавьте в файл следующую строку:

Сохраните файл hosts и закройте текстовый редактор.

Если вы используете Mac OS X, вам также следует очистить кэш DNS. Информацию о том, как это сделать, см. в этой статье.

После завершения распространения DNS обязательно вернитесь и удалите соответствующие записи из файла hosts!

Сертификаты SSL перед распространением

Современные браузеры все чаще ожидают SSL-соединений и выдают сообщения об ошибках, когда SSL не используется. Чтобы получить наилучший предварительный просмотр вашего сайта перед обновлениями DNS, используйте один из следующих способов. Эти методы работают только с методом файла hosts, описанным выше.

Копирование существующего сертификата SSL

Если на вашем сайте уже есть SSL-сертификат, вы можете переместить его на новое место. Чтобы переместить сертификат SSL, сделайте копию сертификата и закрытого ключа. Не нужно перемещать файлы; вы можете просто скопировать сертификат и ключ в буфер обмена вашего компьютера, а затем вставить их на место. Подробнее о том, как ввести сертификат и ключ в панель управления хостингом, читайте в этой статье.

Использование самоподписанного сертификата

Если у вас еще нет SSL-сертификата, вы можете создать его и временно использовать для просмотра своего сайта с помощью SSL. Когда ваш сайт будет готов к работе, вы должны заменить самозаверяющий сертификат сертификатом от признанного центра сертификации (ЦС). Информацию об установке самозаверяющего сертификата см. в этой статье.

Фото: Free-Photos

Привет всем, давно не было.

Приготовьте для вас лишнее. Есть веб-сайт, который мы разрешили через наш брандмауэр, но наш компьютер по-прежнему зависит от нашего DNS-сервера Windows, чтобы добраться до него. Если веб-сайт разрешен, но Интернет полностью отключен от компьютеров в сети, как нам сделать так, чтобы веб-сайт все еще был доступен? Несмотря на то, что правило доступа/белый список для этого сайта существует, наш DNS-сервер не смог разрешить адрес.

Шакал Лир

Участвуйте, чтобы выиграть набор Webroot/Carbonite Swag Kit!

Конкурс заканчивается 06.04.2022 Конкурсы Поделитесь своим уроком по резервному копированию данных в ответе ниже, и вы можете выиграть один из 10 наборов сувениров! Детали конкурса Просмотреть все конкурсы

58 ответов

Том0517

Итак, чтобы уточнить, ваш DNS-сервер не имеет доступа к Интернету?

данкран

Это странно сформулированный вопрос. Вы удаляете их шлюз или просто разрешаете DNS с клиентских машин?

ОП Шакал Лир

@Tom0517
Нет, из-за того, что мы делаем, наш DNS-сервер не имеет доступа к Интернету. Это то, что мы пытаемся найти способ обойти это. Если DNS не может разрешить общедоступный адрес, потому что у него нет Интернета (но сайт внесен в белый список), как мы можем заставить его работать?

@dancrane
Просто удалить DNS, вот и все.

L0ST_0NE

Вы можете поместить веб-сайт в файл HOST ПК, с которого необходимо получить доступ к этому веб-сайту.

Бр@д

L0ST_0NE написал:

Вы можете поместить веб-сайт в файл HOST ПК, с которого необходимо получить доступ к этому веб-сайту.

или сделайте статическую запись на своем внутреннем DNS-сервере (в любом случае вам нужно будет обновить, когда сайт изменит IP-адрес)

Шакал Лир написал:

@Tom0517
Нет, из-за того, что мы делаем, наш DNS-сервер не имеет доступа к Интернету. Это то, что мы пытаемся найти способ обойти это. Если DNS не может разрешить общедоступный адрес, потому что у него нет Интернета (но сайт внесен в белый список), как мы можем заставить его работать?

@dancrane
Просто удалить DNS, вот и все.

Надо искать не DNS, а маршрутизацию.

Как правило, между вашим DNS и Интернетом установлен брандмауэр. Ваш внутренний DNS должен быть настроен для разрешения систем в вашем домене. Вещи за пределами вашего домена будут перенаправляться через ваш шлюз и решаться провайдером или каким-либо другим провайдером.

L0ST_0NE написал:

Вы можете поместить веб-сайт в файл HOST ПК, с которого необходимо получить доступ к этому веб-сайту.

Это быстро и просто.

данкран

L0ST_0NE написал:

Вы можете поместить веб-сайт в файл HOST ПК, с которого необходимо получить доступ к этому веб-сайту.

Именно то, о чем я думал. Вероятно, проще всего отредактировать файл HOSTS и задокументировать изменения.

Или настройте сервер условной пересылки на DNS-сервере для этого домена, чтобы он выполнял исходящие запросы только для этого домена. Вам нужно убедиться, что нет других внешних серверов пересылки и что рекурсивный поиск отключен.

Джим Питерс

Итак, я думаю, вы на самом деле хотите сказать, что удаляете преобразование DNS — способность устройства использовать локальную сеть для поиска и преобразования имени хоста в IP-адрес. Я полагаю. это было бы, если бы не указывались какие-либо DNS-серверы в DHCP. Конечно, вы можете обойти это, предоставив статическую запись в файле hosts или на сетевом DNS-сервере, но, будучи статическим, это будет чревато проблемами каждый раз, когда указанный IP-адрес в общедоступном Интернете изменяется. Мне кажется, что вы делаете что-то не так, чтобы обеспечить какую-то защиту.

Недурно создавать Host-файл, просто помните, что он нужен для устранения неполадок в будущем

Кит Мун, Новая Зеландия

KeithMoon — поставщик ИТ-услуг.

Это быстро и просто, если это 3 машины, а если 300 машин? Это похоже на то, что вам нужен централизованный способ сделать это... например, DNS-сервер.

6 Нажмите «Файл» > «Сохранить», чтобы сохранить изменения.
При сохранении не добавляйте никаких расширений
файл hosts

Если ваш компьютер имеет доступ к внутреннему DNS-серверу, добавьте этот сайт в качестве HOST на своем DNS-сервере. Таким образом, если IP-адрес сайта изменится, вы просто обновите запись HOST на своем DNS-сервере.

greggmh123

Шакал Лир написал:

@Tom0517
Нет, из-за того, что мы делаем, наш DNS-сервер не имеет доступа к Интернету. Это то, что мы пытаемся найти способ обойти это. Если DNS не может разрешить общедоступный адрес, потому что у него нет Интернета (но сайт внесен в белый список), как мы можем заставить его работать?

@dancrane
Просто удалить DNS, вот и все.

"Нет, из-за того, что мы делаем, наш DNS-сервер не имеет доступа к Интернету."

Есть ли возражения против предоставления вашему DNS-серверу **только** DNS-доступа к Интернету? Выделите ему порт 53 для определенного DNS-сервера, например, выделите его только для 8.8.8.8 и 8.8.4.4, после чего он выполнит поиск рабочих станций, которым нужно попасть на этот веб-сайт.

Или у вас есть какие-то ограничения, требующие НУЛЕВОГО доступа к Интернету? В результате системы останутся без исправлений и уязвимы, если кто-то подключит зараженный USB-накопитель.

деанмонкастер

JCT2 написал:

Шакал Лир написал:

@Tom0517
Нет, из-за того, что мы делаем, наш DNS-сервер не имеет доступа к интернет. Это то, что мы пытаемся найти способ обойти это. Если DNS не может разрешить общедоступный адрес, потому что у него нет Интернета (но сайт внесен в белый список), как мы можем заставить его работать?

@dancrane
Просто удалить DNS, вот и все.

Надо искать не DNS, а маршрутизацию.

Как правило, между вашим DNS и Интернетом установлен брандмауэр. Ваш внутренний DNS должен быть настроен для разрешения систем в вашем домене. Вещи за пределами вашего домена будут перенаправляться через ваш шлюз и решаться провайдером или каким-либо другим провайдером.

Один раз нет, два раза нет и три раза НЕТ. Какой совершенно ужасный совет. Это будет означать либо настройку двух DNS-серверов на ваших локальных компьютерах и разрешение всем локальным компьютерам выходить в Интернет через порт 53 с дополнительным бонусом, заключающимся в том, что конечный пользователь может изменить свои DNS-серверы на все, что захочет, если только вы не внесете их в белый список. разрешенные DNS-серверы, что удваивает ваши административные расходы. Что у вас уже должно быть, так это вышестоящий DNS-сервер, настроенный на вашем локальном DNS-сервере, поэтому, когда локальный DNS-сервер не может разрешить адрес, он запрашивает вышестоящий сервер или выполняет рекурсивный запрос (даже если это считается плохим), чтобы найти адрес. IP-адреса доменов по мере необходимости. Затем этот адрес будет добавлен в локальные таблицы IP-адресов, и его можно будет быстро разрешить для будущих запросов.

Ваш DNS-сервер обеспечивает разрешение скорости передачи данных для кэшированных записей DNS.

Что им нужно сделать здесь, так это удалить все вышестоящие DNS-серверы, чтобы неизвестные адреса не могли быть разрешены (игнорируя тот факт, что в любом случае нет шлюза по умолчанию, из которого сервер мог бы выйти), а затем ввести статическую запись в базу данных своих DNS-серверов. .

Проще говоря, им просто нужно сделать записи DNS на своем DNS-сервере для каждого разрешенного веб-сайта из белого списка, к которому они хотят получить доступ.

Google Public DNS – это бесплатная глобальная служба разрешения системы доменных имен (DNS), которую вы можете использовать в качестве альтернативы вашему текущему провайдеру DNS.

Почему Google работает над службой DNS?

Мы считаем, что более быстрая и безопасная инфраструктура DNS может значительно улучшить работу в Интернете. Google Public DNS сделал много улучшений в области скорости, безопасности и достоверности результатов. Мы поделились этими улучшениями в нашей документации, чтобы способствовать продолжающемуся обсуждению в веб-сообществе.

Могу ли я использовать Google Public DNS для размещения своего доменного имени?

Google Public DNS не является официальной службой хостинга DNS и не может использоваться как таковая. Если вам нужен программируемый авторитетный сервер имен с большим объемом данных, использующий инфраструктуру Google, попробуйте Google Cloud DNS.

Предлагает ли общедоступный DNS Google возможность блокировать или отфильтровывать нежелательные сайты?

Общедоступный DNS Google — это исключительно сервер разрешения и кэширования DNS; он не выполняет никакой блокировки или фильтрации, за исключением того, что он может не разрешать определенные домены в исключительных случаях, если мы считаем, что это необходимо для защиты пользователей Google от угроз безопасности. Но мы считаем, что функции блокировки обычно лучше всего выполняет клиент. Если вы заинтересованы в включении такой функции, вам следует рассмотреть возможность установки для этой цели клиентского приложения или надстройки для браузера.

Есть ли какие-либо общие зависимости от Google Public DNS?

Google Public DNS — это независимая служба.

Нужна ли мне учетная запись Google для использования Google Public DNS?

Для использования Google Public DNS не требуется никакой учетной записи.

Чем общедоступный DNS Google отличается от службы DNS моего интернет-провайдера или других открытых преобразователей DNS? Как узнать, лучше ли он?

Открытые резолверы и ваш интернет-провайдер предлагают услуги резолвера DNS. Мы приглашаем вас попробовать Google Public DNS в качестве основного или дополнительного преобразователя DNS вместе с любыми другими альтернативными службами DNS. При выборе распознавателя DNS, который работает для вас, необходимо учитывать множество факторов, таких как скорость, надежность, безопасность и достоверность ответов. В отличие от Google Public DNS, некоторые интернет-провайдеры и открытые преобразователи блокируют, фильтруют или перенаправляют ответы DNS в коммерческих целях.

Как Google Public DNS обрабатывает несуществующие домены?

Если вы отправляете запрос для несуществующего доменного имени, Google Public DNS всегда возвращает запись NXDOMAIN в соответствии со стандартами протокола DNS. Браузер должен показать этот ответ как ошибку DNS. Если вместо этого вы получаете какой-либо ответ, кроме сообщения об ошибке (например, вы перенаправлены на другую страницу), это может быть результатом следующего:

  • Клиентское приложение, например подключаемый модуль браузера, отображает альтернативную страницу для несуществующего домена.
  • Некоторые интернет-провайдеры могут перехватывать и заменять все ответы NXDOMAIN ответами, ведущими на их собственные серверы. Если вы обеспокоены тем, что ваш интернет-провайдер перехватывает запросы или ответы Google Public DNS, обратитесь к своему интернет-провайдеру.

Будет ли Google Public DNS использоваться для показа рекламы в будущем?

Мы стремимся сохранить целостность протокола DNS. Google Public DNS никогда не вернет адрес сервера объявлений для несуществующего домена.

Использование и поддержка

Сейчас я использую другую службу DNS. Могу ли я также использовать Google Public DNS?

Вы можете установить Google Public DNS в качестве основного или дополнительного преобразователя DNS вместе с вашим текущим преобразователем DNS. Помните, что операционные системы по-разному относятся к сопоставителям DNS: некоторые предпочитают ваш основной сопоставитель DNS и используют дополнительный только в том случае, если основной не отвечает, в то время как другие выполняют циклический перебор между каждым из сопоставителей.

Если есть различия в безопасности или фильтрации между настроенными преобразователями, вы получаете самый слабый уровень безопасности или фильтрации среди всех преобразователей. Иногда может работать фильтрация NXDOMAIN или перенаправление на заблокированные страницы, но SERVFAIL не блокирует домены, если только все преобразователи не возвращают SERVFAIL.

Примечание. Ошибки проверки DNSSEC являются ответами SERVFAIL; использование Google Public DNS вместе с резолверами, не проверяющими DNSSEC, отключает безопасность DNSSEC. Для защиты DNSSEC используйте только провайдеров, локальные или общедоступные преобразователи, которые проверяют DNSSEC.

Подходит ли Google Public DNS для всех типов устройств с выходом в Интернет?

Google Public DNS можно использовать на любом стандартном сетевом устройстве. Если вы обнаружите, что Google Public DNS не работает должным образом, сообщите нам об этом.

Могу ли я запустить Google Public DNS на своем рабочем компьютере?

В некоторых офисах есть частные сети, которые позволяют вам получать доступ к доменам, к которым вы не можете получить доступ вне работы. Использование Google Public DNS может ограничить ваш доступ к этим частным доменам. Прежде чем использовать Google Public DNS на своем рабочем компьютере, ознакомьтесь с политикой своего ИТ-отдела.

В каких странах доступен Google Public DNS?

Он доступен для пользователей Интернета по всему миру, хотя ваш опыт может сильно различаться в зависимости от вашего конкретного местоположения.

Работает ли Google Public DNS со всеми интернет-провайдерами?

Общедоступный DNS Google должен работать с большинством интернет-провайдеров, если у вас есть доступ для изменения настроек DNS вашей сети.

Нужно ли использовать оба IP-адреса Google Public DNS?

Вы можете использовать Google в качестве основного сервиса, просто указав один из IP-адресов. Однако не указывайте один и тот же адрес в качестве основного и дополнительного серверов.

Имеет ли значение, в каком порядке я указываю IP-адреса?

Порядок не имеет значения. Любой IP-адрес может быть вашим первичным или вторичным сервером имен.

Какое соглашение об уровне обслуживания для сервиса?

Для бесплатной службы Google Public DNS не существует соглашения об уровне обслуживания (SLA).

У меня интернет-провайдер. Могу ли я перенаправить своих пользователей на Google Public DNS?

Интернет-провайдеры, которые хотят использовать Google Public DNS, должны следовать инструкциям провайдера, чтобы узнать, нужно ли им что-то делать, прежде чем отправлять запросы в Google Public DNS.

Как я могу получить поддержку от команды Google Public DNS?

Мы рекомендуем вам присоединиться к нашим группам Google, чтобы получать полезные обновления от команды и задавать любые вопросы, которые у вас есть. Если вы столкнулись с проблемой и хотели бы сообщить о ней, см. Процедуры в разделе Сообщение о проблемах.

Технические

Как Google Public DNS узнает, куда отправлять мои запросы?

Маршрутизация Anycast направляет ваши запросы на ближайший общедоступный DNS-сервер Google. Дополнительные сведения о маршрутизации произвольной рассылки см. в статье Википедии.

Google Public DNS использует записи сервера имен (NS), опубликованные в корневой зоне DNS и зонах доменов верхнего уровня, для поиска имен и адресов DNS-серверов, которые являются полномочными для любого домена. Некоторые из этих серверов имен также используют произвольную маршрутизацию.

Где сейчас находятся ваши серверы?

Общедоступные DNS-серверы Google доступны по всему миру. На этот вопрос есть два ответа: один для клиентов, а другой для DNS-серверов, с которых Google Public DNS получает ответы, возвращаемые клиентам.

Когда клиенты отправляют запросы в Google Public DNS, они перенаправляются в ближайшее место, рекламирующее используемый произвольный адрес ( 8.8.8.8 , 8.8.4.4 или один из IPv6-адресов в 2001:4860:4860:: ). Конкретные местоположения, рекламирующие эти адреса произвольной рассылки, меняются в зависимости от состояния сети и нагрузки трафика и включают почти все основные центры обработки данных и пограничные точки присутствия (PoP) в сети Google Edge.

Google Public DNS отправляет запросы на авторитетные серверы из основных центров обработки данных и региональных местоположений Google Cloud. Google публикует список диапазонов IP-адресов, которые Google Public DNS может использовать для запросов к авторитетным DNS-серверам (используются не все диапазоны в списке). Вы можете использовать его для геолокации DNS-запросов, в которых отсутствуют данные клиентской подсети EDNS (ECS), а также для настройки списков управления доступом, чтобы разрешить более высокую частоту запросов из Google Public DNS.

В дополнение к этому часто задаваемым вопросам Google также публикует список в виде записи "TXT" DNS. Google еженедельно обновляет оба источника, добавляя, изменяя и удаляя их. Каждая запись диапазона IP-адресов включает код IATA ближайшего аэропорта. Автоматизация для данных GeoIP или ACL должна получать эти данные через DNS, а не путем очистки этой веб-страницы (см. пример ниже).

Расположение диапазонов IP-адресов, которые Google Public DNS использует для отправки запросов

Получение данных о местоположении из DNS

Диапазоны адресов можно получить в виде файла JSON:

Вы можете использовать следующий скрипт Python, чтобы создать список диапазонов IP-адресов, которые Google Public DNS будет использовать для выполнения запросов к полномочным DNS-серверам.

Эти данные также доступны на сайтеlocations.publicdns.goog. как TXT-запись. Однако размер данных означает, что записи DNS TXT больше не являются подходящим форматом. Мы заменяем запись TXT описанным выше файлом в формате JSON. Если вы используете запись TXT, переключитесь на использование файла JSON, поскольку мы планируем удалить запись TXT в будущем.

Командная строка

Вы можете использовать curl и инструмент jq для извлечения диапазонов IP-адресов Google Public DNS из командной строки.

Для этого требуется следующее:

Питон

Вы можете использовать следующий скрипт Python для создания списка диапазонов IP-адресов, которые используются Google Public DNS.

Для macOS для этого скрипта требуется среда выполнения Python 3, настроенная следующим образом:

Основан ли общедоступный DNS Google на программном обеспечении с открытым исходным кодом, таком как BIND?

Google Public DNS — это собственная реализация Google стандартов DNS.

Планируется ли выпуск кода Google Public DNS в качестве программного обеспечения с открытым исходным кодом?

В настоящее время мы не планируем открывать исходный код Google Public DNS. Но мы подробно описали все шаги, которые мы предприняли для повышения скорости, безопасности и соответствия стандартам.

Поддерживает ли Google Public DNS IPv6?

Google Public DNS имеет адреса IPv6 для входящих запросов от клиентов с подключением IPv6 и отвечает на все запросы адресов IPv6, возвращая записи AAAA, если они существуют. Мы полностью поддерживаем авторитетные серверы имен только для IPv6. Адреса преобразователя IPv6 приведены в инструкциях по началу работы с Google Public DNS.

Обратите внимание, что вы можете не увидеть результаты IPv6 для веб-сайтов Google. Чтобы оптимизировать взаимодействие с пользователем, Google предоставляет записи AAAA только клиентам с хорошим подключением IPv6. Эта политика полностью независима от Google Public DNS и применяется авторитетными серверами имен Google. Дополнительную информацию см. на странице Google через IPv6.

Для сетей и систем, использующих только IPv6, вы можете использовать Google Public DNS64 для получения синтезированных записей AAAA для доменных имен с записями A, но без записей AAAA.Эти синтезированные записи AAAA направляют клиентов, использующих только IPv6, к шлюзу NAT64 с использованием известного префикса IPv6, зарезервированного для службы NAT64. Просто настройте свои системы, следуя инструкциям по началу работы, заменив адреса преобразователя конфигурацией DNS64 IPv6.

Поддерживает ли Google Public DNS протокол DNSSEC?

Google Public DNS — это проверяющий и безопасный преобразователь. Все ответы из зон, подписанных DNSSEC, проверяются, если только клиенты явно не установили флаг CD в запросах DNS, чтобы отключить проверку.

Как узнать, использую ли я DNSSEC?

Как Google Public DNS обрабатывает запросы, не прошедшие проверку DNSSEC?

Если Google Public DNS не может проверить ответ (из-за неправильной настройки, отсутствия или неверных записей RRSIG и т. д.), вместо этого будет возвращен ответ об ошибке (SERVFAIL). Однако, если влияние серьезное (например, очень популярный домен не прошел проверку), мы можем временно отключить проверку в зоне, пока проблема не будет устранена.

Как узнать, почему данный домен не прошел проверку DNSSEC?

DNS Analyzer от Verisign Labs и DNSViz от Sandia National Laboratories – это два инструмента визуализации DNSSEC, которые показывают цепочку аутентификации DNSSEC для любого домена. Они показывают, где происходят сбои, и полезны для поиска источника сбоев DNSSEC.

Google Public DNS обслуживает старые данные. Могу ли я заставить его обновить свои данные?

Вы можете использовать инструмент Flush Cache для обновления кэша Google Public DNS для распространенных типов записей и большинства доменных имен. Вам не нужно подтверждать право собственности на домен, чтобы очистить его, но вы должны решить reCAPTCHA, которая ограничивает автоматическое злоупотребление службой.

Сброс любого типа записи для домена, который вы зарегистрировали или делегировали с помощью записей NS, не только сбрасывает кэшированные ответы для этого типа, но также сбрасывает информацию о делегировании серверов имен для этого домена. Когда вы недавно меняли серверы имен (путем смены регистраторов или провайдеров хостинга DNS), очень важно сделать это до очистки субдоменов, таких как www , чтобы они не обновлялись из устаревших данных на ваших старых DNS-серверах.< /p>

Если Google Public DNS возвращает ответы с устаревшими записями CNAME, вам необходимо очистить тип записи CNAME для каждого домена CNAME, начиная с последнего CNAME в цепочке и возвращаясь к запрошенному имени. После того, как вы сбросите все CNAME, сбросьте запрошенные имена со всеми типами записей, которые отвечают устаревшим CNAME.

Существуют некоторые ограничения на то, что можно сбросить:

Домены, использующие клиентскую подсеть EDNS (ECS) для геолокации, не могут быть очищены. Для любых доменов, использующих ECS, установите достаточно короткие значения TTL для записей с поддержкой ECS (15 минут или меньше), чтобы вам никогда не приходилось их очищать.

Единственный способ сбросить все субдомены или все типы записей для доменного имени — сбросить каждый тип записи для каждого доменного имени, которое вы хотите сбросить. Если это нецелесообразно, вы всегда можете дождаться истечения срока жизни записи (обычно он ограничен шестью часами, даже если фактический срок жизни больше).

Чтобы очистить интернационализированные доменные имена, такие как пример.example , используйте форму с punycoded ( xn‑‑e1afmkfd.example для приведенного выше примера). Домены с символами, отличными от букв ASCII, цифр, дефиса или подчеркивания, не могут быть очищены.

Защищает ли общедоступный DNS Google так называемый «последний переход» за счет шифрования связи с клиентами?

Есть ли инструменты, которые я могу использовать для проверки производительности Google Public DNS по сравнению с другими службами DNS?

Существует множество бесплатных инструментов, которые можно использовать для измерения времени отклика Google Public DNS. Мы рекомендуем Namebench. Независимо от того, какой инструмент вы используете, его следует запускать на большом количестве доменов — более 5000 — для получения статистически значимых результатов. Хотя выполнение тестов занимает больше времени, использование как минимум 5000 доменов гарантирует, что изменчивость из-за сетевой задержки (потеря пакетов и повторная передача) будет сведена к минимуму, а кэш больших имен Google Public DNS будет тщательно проверен.

Чтобы установить количество доменов в Namebench, используйте параметр графического интерфейса Количество тестов или флаг командной строки -t; дополнительную информацию см. в документации Namebench.

Когда я запускаю команду ping или traceroute для преобразователей общедоступных DNS Google, задержка ответа выше, чем у других служб. Означает ли это, что Google Public DNS всегда медленнее?

Помимо времени проверки связи, вам также необходимо учитывать среднее время разрешения имени. Например, если у вашего интернет-провайдера время проверки связи составляет 20 мс, а среднее время разрешения имени — 500 мс, общее среднее время ответа составляет 520 мс. Если Google Public DNS имеет время проверки связи 300 мс, но разрешает многие имена за 1 мс, общее среднее время ответа составляет 301 мс. Чтобы сравнение было более точным, мы рекомендуем протестировать разрешения имен на большом наборе доменов.

Как Google Public DNS работает с геолокацией CDN?

Многие сайты, которые предоставляют загружаемые или потоковые мультимедийные файлы, размещают свой контент в сторонних сетях распространения контента (CDN) на основе DNS, таких как Akamai. Когда преобразователь DNS запрашивает у авторитетного сервера имен IP-адрес CDN, сервер имен возвращает ближайший (по сетевому расстоянию) адрес к преобразователю, а не к пользователю. В некоторых случаях для сопоставителей на основе интернет-провайдера, а также общедоступных сопоставителей, таких как Google Public DNS, сопоставитель может находиться не в непосредственной близости от пользователей. В таких случаях работа в Интернете может несколько замедлиться. В этом отношении Google Public DNS ничем не отличается от других провайдеров DNS.

Чтобы сократить расстояние между DNS-серверами и пользователями, Google Public DNS развернула свои серверы по всему миру. В частности, пользователи в Европе должны быть направлены на серверы CDN в Европе, пользователи в Азии должны быть направлены на серверы CDN в Азии, а пользователи в восточной, центральной и западной части США должны быть направлены на серверы CDN в соответствующих регионах. Мы также опубликовали эту информацию, чтобы помочь CDN обеспечить хорошие результаты DNS для пользователей мультимедиа.

Кроме того, Google Public DNS использует техническое решение, называемое клиентской подсетью EDNS, как описано в RFC. Это позволяет преобразователям передавать часть IP-адреса клиента (первые 24/56 бит или меньше для IPv4/IPv6 соответственно) в качестве исходного IP-адреса в сообщении DNS, чтобы серверы имен могли возвращать оптимизированные результаты на основе местоположения пользователя. чем у преобразователя.

Конфиденциальность

Какую информацию регистрирует Google, когда я использую общедоступную службу DNS Google?

На странице конфиденциальности Google Public DNS приведен полный список информации, которую мы собираем. Google Public DNS соответствует основной политике конфиденциальности Google, доступной в нашем Центре конфиденциальности.

IP-адрес вашего клиента регистрируется только временно (удаляется в течение дня или двух), но информация о интернет-провайдерах и местоположениях на уровне города/агломерации хранится дольше, чтобы сделать наш сервис быстрее, лучше и безопаснее.< /p>

Хранится ли какая-либо собранная информация в моей учетной записи Google?

Сохраненные данные не связаны ни с одним аккаунтом Google.

Передает ли Google информацию, которую он собирает из службы Google Public DNS, кому-либо за пределами Google?

Сопоставляет или объединяет ли Google информацию из временных или постоянных журналов с какой-либо личной информацией, которую я предоставил Google для других служб?

Как указано на странице конфиденциальности, мы не объединяем и не сопоставляем данные журналов таким образом.

Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

Читайте также: