Оригинальные товары DNS или нет
Обновлено: 02.07.2024
Большинство приложений используют функцию getaddrinfo() библиотеки glibc для разрешения DNS-запросов. По умолчанию glibc отправляет все DNS-запросы на первый DNS-сервер, указанный в файле /etc/resolv.conf. Если этот сервер не отвечает, Red Hat Enterprise Linux использует следующий сервер в этом файле.
В этом разделе описывается, как настроить порядок DNS-серверов.
31.1. Как NetworkManager упорядочивает DNS-серверы в /etc/resolv.conf
NetworkManager упорядочивает DNS-серверы в файле /etc/resolv.conf на основе следующих правил:
-
Если существует только один профиль подключения, NetworkManager использует порядок DNS-серверов IPv4 и IPv6, указанный в этом подключении.
Если активировано несколько профилей подключения, NetworkManager упорядочивает DNS-серверы на основе значения приоритета DNS. Если вы устанавливаете приоритеты DNS, поведение NetworkManager зависит от значения, установленного в параметре dns. Вы можете установить этот параметр в секции [main] в файле /etc/NetworkManager/NetworkManager.conf:
dns=default или если параметр dns не задан:
NetworkManager упорядочивает DNS-серверы из разных подключений на основе параметров ipv4.dns-priority и ipv6.dns-priority в каждом подключении.
Если вы не задали никакого значения или установили для ipv4.dns-priority и ipv6.dns-priority значение 0 , NetworkManager использует глобальное значение по умолчанию. См. раздел Значения по умолчанию для параметров приоритета DNS.
dns=dnsmasq или dns=systemd-resolved :
При использовании одного из этих параметров NetworkManager устанавливает либо 127.0.0.1 для dnsmasq, либо 127.0.0.53 в качестве записи сервера имен в файле /etc/resolv.conf.
Как dnsmasq, так и systemd-resolved службы перенаправляют запросы для поискового домена, установленного в соединении NetworkManager, на DNS-сервер, указанный в этом соединении, и перенаправляют запросы к другим доменам на соединение с маршрутом по умолчанию. Когда для нескольких подключений задан один и тот же поисковый домен, dnsmasq и systemd-resolved пересылают запросы для этого домена на DNS-сервер, установленный в подключении с самым низким значением приоритета.
Значения параметров приоритета DNS по умолчанию
NetworkManager использует следующие значения по умолчанию для соединений:
- 50 для VPN-соединений
- 100 для других подключений
Действительные значения приоритета DNS:
Вы можете установить для глобальных параметров ipv4.dns-priority и ipv6.dns-priority значения по умолчанию и для конкретных подключений в диапазоне от -2147483647 до 2147483647 .
- Меньшее значение имеет более высокий приоритет.
- Отрицательные значения имеют особый эффект исключения других конфигураций с большим значением. Например, если существует хотя бы одно соединение с отрицательным значением приоритета, NetworkManager использует только DNS-серверы, указанные в профиле соединения с самым низким приоритетом.
Если несколько подключений имеют одинаковый приоритет DNS, NetworkManager отдает приоритет DNS в следующем порядке:
- VPN-подключения
- Соединение с активным маршрутом по умолчанию. Активный маршрут по умолчанию — это маршрут по умолчанию с наименьшей метрикой.
Дополнительные ресурсы
- Описание параметра dns-priority в разделах ipv4 и ipv6 на справочной странице nm-settings(5)
- Использование разных DNS-серверов для разных доменов
31.2. Установка значения приоритета DNS-сервера по умолчанию для всего NetworkManager
NetworkManager использует следующие значения приоритета DNS по умолчанию для подключений:
- 50 для VPN-соединений
- 100 для других подключений
В этом разделе описывается, как переопределить эти общесистемные значения по умолчанию с помощью настраиваемого значения по умолчанию для подключений IPv4 и IPv6.
Процедура
Отредактируйте файл /etc/NetworkManager/NetworkManager.conf:
Добавьте раздел [connection], если он не существует:
Добавьте пользовательские значения по умолчанию в раздел [connection]. Например, чтобы задать новое значение по умолчанию для IPv4 и IPv6 равным 200 , добавьте:
Вы можете установить для параметров значения от -2147483647 до 2147483647 . Обратите внимание, что установка параметров на 0 включает встроенные значения по умолчанию (50 для VPN-подключений и 100 для других подключений).
Перезагрузите службу NetworkManager:
Дополнительные ресурсы
- Раздел подключения на справочной странице NetworkManager.conf(5)
31.3. Установка приоритета DNS для подключения NetworkManager
В этом разделе описывается, как определить порядок DNS-серверов, когда NetworkManager создает или обновляет файл /etc/resolv.conf.
Обратите внимание, что установка приоритетов DNS имеет смысл только в том случае, если у вас есть несколько подключений с разными настроенными DNS-серверами. Если у вас есть только одно подключение с несколькими настроенными DNS-серверами, вручную установите DNS-серверы в предпочтительном порядке в профиле подключения.
Предпосылки
- В системе настроено несколько подключений NetworkManager.
- В системе либо не задан параметр dns в файле /etc/NetworkManager/NetworkManager.conf, либо параметр установлен по умолчанию.
Процедура
При необходимости отобразите доступные соединения:
Установите параметры ipv4.dns-priority и ipv6.dns-priority. Например, чтобы установить оба параметра равными 10 для подключения Example_con_1:
На рабочем месте некоторые веб-страницы могут отвлекать сотрудников или, что еще хуже, мешать работе. Если вы являетесь поставщиком управляемых услуг (MSP), ваши клиенты могут быть заинтересованы в том, чтобы найти способ контролировать типы веб-сайтов, к которым их сотрудники могут обращаться в течение рабочего дня. Одним из возможных вариантов для них является блокировка DNS для ограничения доступа к определенным веб-адресам на данном сервере.
Сопутствующий товар
DNS-фильтрация
Защитите своих клиентов в сетях и за их пределами с помощью нашей передовой технологии DNS.
Сопутствующий товар
N-центральный
Управляйте большими сетями или масштабируйте ИТ-операции с помощью RMM, созданного для растущих поставщиков услуг.
Эта статья поможет вам понять, что такое блокировка DNS, кто ее использует и как она работает. Мы также затронем некоторые темы, связанные с безопасностью DNS в целом, в том числе рекомендации и ключевые термины, чтобы дать вам представление о некоторых связанных угрозах кибербезопасности.
Что такое блокировка DNS?
Блокировка DNS — это механизм, который позволяет запретить доступ к определенным веб-страницам на сервере. Изначально эта технология была разработана для защиты от спама и фишинговых атак путем блокировки известных подозрительных IP-адресов. Сегодня он служит множеству целей: одни используют его для защиты от пиратства, а другие — для предотвращения доступа к зараженным или вызывающим привыкание сайтам (например, азартным играм) на рабочем месте.
Основная функция программного обеспечения для блокировки DNS проста: оно служит шлюзом между веб-сервером и вашим личным сервером, гарантируя, что ваш браузер не распознает заблокированный IP-адрес и не сможет получить доступ к серверу веб-сайта.
Кто использует блокировщики DNS?
Поскольку компании из разных отраслей сегодня проводят большую часть рабочего дня в Интернете, блокировка DNS превратилась из своей первоначальной роли в средство защиты от спама. Сегодня организации могут использовать эту возможность, чтобы запретить доступ к деструктивным или отвлекающим сайтам на рабочем месте — от сайтов с азартными играми до сайтов социальных сетей. Многие программы блокировки DNS позволяют администраторам настраивать свои блокировки, чтобы указать, какие типы сайтов они хотят ограничить, поэтому у некоторых пользователей могут быть более гибкие меры безопасности.
Поскольку блокировка DNS — это серверная система идентификации, а не программное приложение, несколько устройств в данной сети, включая смартфоны, планшеты и другие устройства, также могут управляться блокировками DNS.
Как работает блокировка DNS?
Чтобы полностью понять, как работает блокировка DNS, нам нужно сделать шаг назад. IP-адрес веб-страницы — по сути, многозначный идентификационный код — является ее основным именем на домашнем сервере. Но пользователям нецелесообразно вводить IP-адреса каждый раз, когда они хотят получить доступ к веб-странице. Например, если вы ищете Twitter, было бы совершенно непрактично искать его IP-адрес — 199.59.149.165 — каждый раз, когда вы хотите попасть на домашнюю страницу. DNS — или система доменных имен — представляет собой процесс присвоения веб-сайтам имен на человеческом языке, а не их числовых IP-адресов.
Созданная в 1983 году, чтобы сделать Интернет более интуитивно понятным для обычных пользователей, DNS, по сути, действует как телефонная книга, которая связывает удобное для пользователя доменное имя с его более техническим IP-адресом. (Весь «перевод» выполняется вашими серверами в фоновом режиме.)
Блокировка DNS работает путем удаления имени IP-адреса из «телефонной книги» на вашем сервере. Например, если вы заблокируете Twitter с помощью блокировщика DNS, ваш сервер намеренно забудет имя, присвоенное 199.59.149.165. В результате блокировщики не позволяют вашему серверу обнаруживать определенные веб-страницы. Чтобы заблокировать целые жанры веб-страниц, например пиратские сайты, службы блокировки DNS могут настроить ваш сервер на забвение большого количества IP-адресов, соответствующих определенным критериям. Это прерывает связь между IP-сервером и устройством пользователя.
Таким образом, блокировка DNS может быть быстрым и простым способом предотвратить доступ сотрудников к вредоносным или нежелательным веб-страницам с незначительными накладными расходами и без физического оборудования.
Основные советы по безопасности DNS
Как видите, DNS играет важнейшую роль в облегчении современного веб-трафика и, по вполне понятным причинам, становится частой целью кибератак. Использование блокировки DNS считается одним из многих передовых методов, которые могут оказать большое влияние на общую кибербезопасность.
Читайте дальше, пока мы изучаем некоторые другие советы по безопасности DNS, которые помогут вам предотвратить угрозы, исходящие из этого общего источника.
- Используйте резервные DNS-серверы для повышения доступности
DNS является фундаментальной частью работы сетевых приложений, таких как Active Directory, службы обмена файлами и службы электронной почты. Другими словами, это означает, что MSP должны гарантировать высокую доступность инфраструктуры DNS своих клиентов.
Для резервирования требуется, как минимум, первичный и вторичный DNS-серверы, чтобы поддерживать работу важных для бизнеса служб. Это позволяет одному серверу взять на себя управление в случае возникновения ошибки на другом, что повышает доступность инфраструктуры и снижает риск сбоев.
Как и в случае с другими аспектами управления ИТ, к DNS-серверам следует относиться в соответствии с принципом наименьших привилегий, то есть они должны быть доступны только для определенных конечных пользователей, которые их используют. Ваш основной сервер должен быть скрыт от просмотра и доступен только для системных администраторов и уполномоченного ИТ-персонала.
Самый эффективный способ отслеживания активности DNS – ведение журнала, позволяющее выявить проблемы, связанные с активностью клиента, запросами, обновлениями и т. д. Журналы отладки также можно использовать для выявления отравления кеша (также называемого «спуфингом DNS» — подробнее об этом ниже). вместо этого ранее посещали вредоносный.
После включения журналов отладки следующим шагом будет блокировка кеша. Всякий раз, когда DNS получает запрос, он извлекает и сохраняет нужные данные в кэше для будущего использования, что значительно сокращает время ответа сервера на те же запросы. Однако, как упоминалось выше, хакеры могут использовать кеш в качестве вектора атаки для получения доступа к вашим системам.
Блокировка кеша помогает предотвратить это, ограничивая время изменения сохраненной информации, тем самым предотвращая ее перезапись до истечения TTL (время жизни). Блокировка кеша может быть включена по умолчанию и может быть настроена для блокировки перезаписи данных в течение определенного процента TTL.
Узнайте также:
Ключевые термины безопасности DNS, которые нужно знать
Хотите лучше понять некоторые ключевые термины и сокращения, связанные с защитой DNS? Скорее всего, вы столкнетесь с одним из следующих:
Благодаря этим передовым методам и ключевым терминам вы будете готовы управлять службами DNS для своих клиентов и лучше предотвращать распространенные проблемы безопасности.
Обязательно прочитайте также наше подробное руководство по устранению неполадок с DNS.
В этой статье описаны рекомендации по настройке параметров клиента системы доменных имен (DNS). Рекомендации в этой статье относятся к установке сред Windows 2000 Server или Windows Server 2003, где нет ранее определенной инфраструктуры DNS.
Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 825036
Контроллер домена с установленным DNS
На контроллере домена, который также действует как DNS-сервер, Microsoft рекомендует настраивать параметры DNS-клиента контроллера домена в соответствии со следующими спецификациями:
Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, и на сервере работает DNS, настройте параметры клиента DNS так, чтобы они указывали на IP-адрес этого первого сервера. Например, вы должны настроить параметры DNS-клиента так, чтобы он указывал на самого себя. Не указывайте какие-либо другие DNS-серверы, пока в этом домене не появится другой контроллер домена, на котором размещается DNS.
Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы они указывали на другой контроллер домена, на котором работает DNS в их домене и на сайте, и на котором размещено пространство имен домена, в котором установлен новый контроллер домена. или при использовании стороннего DNS на DNS-сервер, на котором размещена зона для домена Active Directory этого контроллера домена. Не настраивайте контроллер домена на использование собственной службы DNS для разрешения имен, пока не убедитесь, что входящая и исходящая репликация Active Directory работает и обновлена. Невыполнение этого требования может привести к возникновению «островов» DNS.
Для получения дополнительной информации по связанной теме щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
275278 DNS-сервер становится островом, когда контроллер домена указывает на себя для домена _msdcs.ForestDnsName
- Настройте предпочитаемый DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы он использовал себя в качестве основного DNS-сервера.
- Преимущества: гарантирует, что DNS-запросы, исходящие от контроллера домена, будут разрешаться локально, если это возможно. Сведет к минимуму влияние DNS-запросов контроллера домена на сеть.
- Недостатки. Зависит от репликации Active Directory для обеспечения актуальности зоны DNS.Длительные сбои репликации могут привести к неполному набору записей в зоне.
- Преимущества:
- Сводит к минимуму зависимость от репликации Active Directory для обновлений зоны DNS записей локатора контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей локатора контроллера домена, поскольку время задержки репликации не является проблемой.
- Предоставляет один авторитетный DNS-сервер, который может быть полезен при устранении неполадок репликации Active Directory
- Будет более интенсивно использовать сеть для разрешения DNS-запросов, исходящих от контроллера домена.
- Разрешение имени DNS может зависеть от стабильности сети. Потеря подключения к предпочитаемому DNS-серверу приведет к невозможности разрешения DNS-запросов от контроллера домена. Это может привести к очевидной потере подключения даже к местам, которые не находятся в потерянном сегменте сети.
Возможна комбинация этих двух стратегий, когда удаленный DNS-сервер устанавливается в качестве предпочтительного DNS-сервера, а локальный контроллер домена — в качестве альтернативного (или наоборот). Хотя эта стратегия имеет много преимуществ, есть факторы, которые следует учитывать перед внесением этого изменения в конфигурацию:
- Клиент DNS не использует каждый из DNS-серверов, перечисленных в конфигурации TCP/IP, для каждого запроса. По умолчанию при запуске DNS-клиент попытается использовать сервер, указанный в записи «Предпочитаемый DNS-сервер». Если этот сервер по какой-либо причине не отвечает, DNS-клиент переключится на сервер, указанный в альтернативной записи DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
- Он не отвечает на запрос DNS или:
- Достигнуто значение ServerPriorityTimeLimit (по умолчанию 15 минут).
Только отсутствие ответа приведет к тому, что DNS-клиент переключится на предпочитаемые DNS-серверы; получение авторитетного, но неправильного ответа не приводит к тому, что DNS-клиент пытается использовать другой сервер. В результате настройка контроллера домена с самим собой и другим DNS-сервером в качестве предпочитаемого и альтернативного серверов помогает гарантировать получение ответа, но не гарантирует точность этого ответа. Сбои обновления записей DNS на любом из серверов могут привести к несогласованному разрешению имен.
- Не настраивайте параметры DNS-клиента на контроллерах домена так, чтобы они указывали на DNS-серверы вашего интернет-провайдера (ISP). Если вы настроите параметры DNS-клиента так, чтобы они указывали на DNS-серверы вашего интернет-провайдера, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут находить информацию, связанную с Active Directory. Контроллер домена должен зарегистрировать свои записи на собственном DNS-сервере.
Чтобы перенаправлять внешние DNS-запросы, добавьте DNS-серверы интернет-провайдера в качестве серверов пересылки DNS в консоли управления DNS. Если вы не настраиваете серверы пересылки, используйте серверы корневых ссылок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер переадресовывался на DNS-сервер в Интернете, вы также должны удалить корень «.» (также называемой «точечной») в консоли управления DNS в папке «Зоны прямого просмотра».
- Если на контроллере домена, на котором размещается DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации DNS-имени.
Для получения дополнительной информации о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи базы знаний Майкрософт:
292822 Проблемы с разрешением имен и подключением на сервере маршрутизации и удаленного доступа, на котором также работает DNS или WINS
Чтобы проверить настройки DNS-клиента контроллера домена, введите в командной строке следующую команду, чтобы просмотреть сведения о конфигурации интернет-протокола (IP): ipconfig /all
Чтобы изменить конфигурацию DNS-клиента контроллера домена, выполните следующие действия. эти шаги:Щелкните правой кнопкой мыши Мое сетевое окружение и выберите Свойства.
Щелкните правой кнопкой мыши "Подключение по локальной сети" и выберите "Свойства".
Выберите Интернет-протокол (TCP/IP), а затем выберите Свойства.
Выберите «Дополнительно», а затем перейдите на вкладку «DNS». Чтобы настроить информацию DNS, выполните следующие действия:
- В адресах DNS-серверов в порядке использования добавьте рекомендуемые адреса DNS-серверов.
- Если для параметра «Для разрешения неполных имен» установлено значение «Добавлять эти суффиксы DNS (по порядку»), Microsoft рекомендует сначала указать DNS-имя домена Active Directory (вверху).
- Убедитесь, что DNS-суффикс для этого параметра подключения совпадает с доменным именем Active Directory.
- Убедитесь, что установлен флажок Зарегистрировать адреса этого подключения в DNS.
- Нажмите кнопку "ОК" три раза.
Если вы изменяете какие-либо настройки DNS-клиента, необходимо очистить кэш преобразователя DNS и зарегистрировать записи ресурсов DNS.Чтобы очистить кэш преобразователя DNS, введите в командной строке следующую команду: ipconfig /flushdns
Чтобы зарегистрировать записи ресурсов DNS, введите в командной строке следующую команду: ipconfig /registerdnsЧтобы убедиться в правильности записей DNS в базе данных DNS, запустите консоль управления DNS. Должна быть запись хоста для имени компьютера. (Эта запись хоста является записью "A" в расширенном представлении.) Также должны быть запись Start of Authority (SOA) и запись сервера имен (NS), указывающая на контроллер домена.
Контроллер домена без установленного DNS
Если вы не используете DNS, интегрированный в Active Directory, и у вас есть контроллеры домена, на которых не установлена DNS, Microsoft рекомендует настроить параметры клиента DNS в соответствии со следующими спецификациями:
- Настройте параметры DNS-клиента на контроллере домена, чтобы они указывали на DNS-сервер, уполномоченный для зоны, соответствующей домену, членом которого является компьютер. Локальные первичный и вторичный DNS-серверы предпочтительнее из-за соображений трафика глобальной сети (WAN).
- Если локальный DNS-сервер недоступен, укажите DNS-сервер, доступный по надежному каналу глобальной сети. Время безотказной работы и пропускная способность определяют надежность.
- Не настраивайте параметры клиента DNS на контроллерах домена так, чтобы они указывали на DNS-серверы вашего интернет-провайдера. Вместо этого внутренний DNS-сервер должен переадресовывать DNS-серверы провайдера для разрешения внешних имен.
Рядовые серверы Windows 2000 Server и Windows Server 2003
На рядовых серверах Windows 2000 Server и Windows Server 2003 Microsoft рекомендует настраивать параметры DNS-клиента в соответствии со следующими спецификациями:
Google Public DNS – это бесплатная глобальная служба разрешения системы доменных имен (DNS), которую вы можете использовать в качестве альтернативы вашему текущему провайдеру DNS.
Почему Google работает над службой DNS?
Мы считаем, что более быстрая и безопасная инфраструктура DNS может значительно улучшить работу в Интернете. Google Public DNS сделал много улучшений в области скорости, безопасности и достоверности результатов. Мы поделились этими улучшениями в нашей документации, чтобы способствовать продолжающемуся обсуждению в веб-сообществе.
Могу ли я использовать Google Public DNS для размещения своего доменного имени?
Google Public DNS не является официальной службой хостинга DNS и не может использоваться как таковая. Если вам нужен программируемый авторитетный сервер имен с большим объемом данных, использующий инфраструктуру Google, попробуйте Google Cloud DNS.
Предлагает ли общедоступный DNS Google возможность блокировать или отфильтровывать нежелательные сайты?
Общедоступный DNS Google — это исключительно сервер разрешения и кэширования DNS; он не выполняет никакой блокировки или фильтрации, за исключением того, что он может не разрешать определенные домены в исключительных случаях, если мы считаем, что это необходимо для защиты пользователей Google от угроз безопасности. Но мы считаем, что функции блокировки обычно лучше всего выполняет клиент. Если вы заинтересованы в включении такой функции, вам следует рассмотреть возможность установки для этой цели клиентского приложения или надстройки для браузера.
Есть ли какие-либо общие зависимости от Google Public DNS?
Google Public DNS — это независимая служба.
Нужна ли мне учетная запись Google для использования Google Public DNS?
Для использования Google Public DNS не требуется никакой учетной записи.
Чем общедоступный DNS Google отличается от службы DNS моего интернет-провайдера или других открытых преобразователей DNS? Как узнать, лучше ли он?
Открытые резолверы и ваш интернет-провайдер предлагают услуги резолвера DNS. Мы приглашаем вас попробовать Google Public DNS в качестве основного или дополнительного преобразователя DNS вместе с любыми другими альтернативными службами DNS. При выборе распознавателя DNS, который работает для вас, необходимо учитывать множество факторов, таких как скорость, надежность, безопасность и достоверность ответов. В отличие от Google Public DNS, некоторые интернет-провайдеры и открытые преобразователи блокируют, фильтруют или перенаправляют ответы DNS в коммерческих целях.
Как Google Public DNS обрабатывает несуществующие домены?
Если вы отправляете запрос для несуществующего доменного имени, Google Public DNS всегда возвращает запись NXDOMAIN в соответствии со стандартами протокола DNS. Браузер должен показать этот ответ как ошибку DNS. Если вместо этого вы получаете какой-либо ответ, кроме сообщения об ошибке (например, вы перенаправлены на другую страницу), это может быть результатом следующего:
- Клиентское приложение, например подключаемый модуль браузера, отображает альтернативную страницу для несуществующего домена.
- Некоторые интернет-провайдеры могут перехватывать и заменять все ответы NXDOMAIN ответами, ведущими на их собственные серверы. Если вы обеспокоены тем, что ваш интернет-провайдер перехватывает запросы или ответы Google Public DNS, обратитесь к своему интернет-провайдеру.
Будет ли Google Public DNS использоваться для показа рекламы в будущем?
Мы стремимся сохранить целостность протокола DNS. Google Public DNS никогда не вернет адрес сервера объявлений для несуществующего домена.
Использование и поддержка
Сейчас я использую другую службу DNS. Могу ли я также использовать Google Public DNS?
Вы можете установить Google Public DNS в качестве основного или дополнительного преобразователя DNS вместе с вашим текущим преобразователем DNS. Помните, что операционные системы по-разному относятся к сопоставителям DNS: некоторые предпочитают ваш основной сопоставитель DNS и используют дополнительный только в том случае, если основной не отвечает, в то время как другие выполняют циклический перебор между каждым из сопоставителей.
Если есть различия в безопасности или фильтрации между настроенными преобразователями, вы получаете самый слабый уровень безопасности или фильтрации среди всех преобразователей. Иногда может работать фильтрация NXDOMAIN или перенаправление на заблокированные страницы, но SERVFAIL не блокирует домены, если только все преобразователи не возвращают SERVFAIL.
Примечание. Ошибки проверки DNSSEC являются ответами SERVFAIL; использование Google Public DNS вместе с резолверами, не проверяющими DNSSEC, отключает безопасность DNSSEC. Для защиты DNSSEC используйте только провайдеров, локальные или общедоступные преобразователи, которые проверяют DNSSEC.
Подходит ли Google Public DNS для всех типов устройств с выходом в Интернет?
Google Public DNS можно использовать на любом стандартном сетевом устройстве. Если вы обнаружите, что Google Public DNS не работает должным образом, сообщите нам об этом.
Могу ли я запустить Google Public DNS на своем рабочем компьютере?
В некоторых офисах есть частные сети, которые позволяют вам получать доступ к доменам, к которым вы не можете получить доступ вне работы. Использование Google Public DNS может ограничить ваш доступ к этим частным доменам. Прежде чем использовать Google Public DNS на своем рабочем компьютере, ознакомьтесь с политикой своего ИТ-отдела.
В каких странах доступен Google Public DNS?
Он доступен для пользователей Интернета по всему миру, хотя ваш опыт может сильно различаться в зависимости от вашего конкретного местоположения.
Работает ли Google Public DNS со всеми интернет-провайдерами?
Общедоступный DNS Google должен работать с большинством интернет-провайдеров, если у вас есть доступ для изменения настроек DNS вашей сети.
Нужно ли использовать оба IP-адреса Google Public DNS?
Вы можете использовать Google в качестве основного сервиса, просто указав один из IP-адресов. Однако не указывайте один и тот же адрес в качестве основного и дополнительного серверов.
Имеет ли значение, в каком порядке я указываю IP-адреса?
Порядок не имеет значения. Любой IP-адрес может быть вашим первичным или вторичным сервером имен.
Какое соглашение об уровне обслуживания для сервиса?
Для бесплатной службы Google Public DNS не существует соглашения об уровне обслуживания (SLA).
У меня интернет-провайдер. Могу ли я перенаправить своих пользователей на Google Public DNS?
Интернет-провайдеры, которые хотят использовать Google Public DNS, должны следовать инструкциям провайдера, чтобы узнать, нужно ли им что-то делать, прежде чем отправлять запросы в Google Public DNS.
Как я могу получить поддержку от команды Google Public DNS?
Мы рекомендуем вам присоединиться к нашим группам Google, чтобы получать полезные обновления от команды и задавать любые вопросы, которые у вас есть. Если вы столкнулись с проблемой и хотели бы сообщить о ней, см. Процедуры в разделе Сообщение о проблемах.
Технические
Как Google Public DNS узнает, куда отправлять мои запросы?
Маршрутизация Anycast направляет ваши запросы на ближайший общедоступный DNS-сервер Google. Дополнительные сведения о маршрутизации произвольной рассылки см. в статье Википедии.
Google Public DNS использует записи сервера имен (NS), опубликованные в корневой зоне DNS и зонах доменов верхнего уровня, для поиска имен и адресов DNS-серверов, которые являются полномочными для любого домена. Некоторые из этих серверов имен также используют произвольную маршрутизацию.
Где сейчас находятся ваши серверы?
Общедоступные DNS-серверы Google доступны по всему миру. На этот вопрос есть два ответа: один для клиентов, а другой для DNS-серверов, с которых Google Public DNS получает ответы, возвращаемые клиентам.
Когда клиенты отправляют запросы в Google Public DNS, они перенаправляются в ближайшее место, рекламирующее используемый произвольный адрес ( 8.8.8.8 , 8.8.4.4 или один из IPv6-адресов в 2001:4860:4860:: ). Конкретные местоположения, рекламирующие эти адреса произвольной рассылки, меняются в зависимости от состояния сети и нагрузки трафика и включают почти все основные центры обработки данных и пограничные точки присутствия (PoP) в сети Google Edge.
Google Public DNS отправляет запросы на авторитетные серверы из основных центров обработки данных и региональных местоположений Google Cloud. Google публикует список диапазонов IP-адресов, которые Google Public DNS может использовать для запросов к авторитетным DNS-серверам (используются не все диапазоны в списке). Вы можете использовать его для геолокации DNS-запросов, в которых отсутствуют данные клиентской подсети EDNS (ECS), а также для настройки списков управления доступом, чтобы разрешить более высокую частоту запросов из Google Public DNS.
В дополнение к этому часто задаваемым вопросам Google также публикует список в виде записи "TXT" DNS. Google еженедельно обновляет оба источника, добавляя, изменяя и удаляя их.Каждая запись диапазона IP-адресов включает код IATA ближайшего аэропорта. Автоматизация для данных GeoIP или ACL должна получать эти данные через DNS, а не путем очистки этой веб-страницы (см. пример ниже).
Расположение диапазонов IP-адресов, которые Google Public DNS использует для отправки запросов
Получение данных о местоположении из DNS
Диапазоны адресов можно получить в виде файла JSON:
Вы можете использовать следующий скрипт Python, чтобы создать список диапазонов IP-адресов, которые Google Public DNS будет использовать для выполнения запросов к полномочным DNS-серверам.
Эти данные также доступны на сайтеlocations.publicdns.goog. как TXT-запись. Однако размер данных означает, что записи DNS TXT больше не являются подходящим форматом. Мы заменяем запись TXT описанным выше файлом в формате JSON. Если вы используете запись TXT, переключитесь на использование файла JSON, поскольку мы планируем удалить запись TXT в будущем.
Командная строка
Вы можете использовать curl и инструмент jq для извлечения диапазонов IP-адресов Google Public DNS из командной строки.
Для этого требуется следующее:
Питон
Вы можете использовать следующий скрипт Python для создания списка диапазонов IP-адресов, которые используются Google Public DNS.
Для macOS для этого скрипта требуется среда выполнения Python 3, настроенная следующим образом:
Основан ли общедоступный DNS Google на программном обеспечении с открытым исходным кодом, таком как BIND?
Google Public DNS — это собственная реализация Google стандартов DNS.
Планируется ли выпуск кода Google Public DNS в качестве программного обеспечения с открытым исходным кодом?
В настоящее время мы не планируем открывать исходный код Google Public DNS. Но мы подробно описали все шаги, которые мы предприняли для повышения скорости, безопасности и соответствия стандартам.
Поддерживает ли Google Public DNS IPv6?
Google Public DNS имеет адреса IPv6 для входящих запросов от клиентов с подключением IPv6 и отвечает на все запросы адресов IPv6, возвращая записи AAAA, если они существуют. Мы полностью поддерживаем авторитетные серверы имен только для IPv6. Адреса преобразователя IPv6 приведены в инструкциях по началу работы с Google Public DNS.
Обратите внимание, что вы можете не увидеть результаты IPv6 для веб-сайтов Google. Чтобы оптимизировать взаимодействие с пользователем, Google предоставляет записи AAAA только клиентам с хорошим подключением IPv6. Эта политика полностью независима от Google Public DNS и применяется авторитетными серверами имен Google. Дополнительную информацию см. на странице Google через IPv6.
Для сетей и систем, использующих только IPv6, вы можете использовать Google Public DNS64 для получения синтезированных записей AAAA для доменных имен с записями A, но без записей AAAA. Эти синтезированные записи AAAA направляют клиентов, использующих только IPv6, к шлюзу NAT64 с использованием известного префикса IPv6, зарезервированного для службы NAT64. Просто настройте свои системы, следуя инструкциям по началу работы, заменив адреса преобразователя конфигурацией DNS64 IPv6.
Поддерживает ли Google Public DNS протокол DNSSEC?
Google Public DNS — это проверяющий и безопасный преобразователь. Все ответы из зон, подписанных DNSSEC, проверяются, если только клиенты явно не установили флаг CD в запросах DNS, чтобы отключить проверку.
Как узнать, использую ли я DNSSEC?
Как Google Public DNS обрабатывает запросы, не прошедшие проверку DNSSEC?
Если Google Public DNS не может проверить ответ (из-за неправильной настройки, отсутствия или неверных записей RRSIG и т. д.), вместо этого будет возвращен ответ об ошибке (SERVFAIL). Однако, если влияние серьезное (например, очень популярный домен не прошел проверку), мы можем временно отключить проверку в зоне, пока проблема не будет устранена.
Как узнать, почему данный домен не прошел проверку DNSSEC?
DNS Analyzer от Verisign Labs и DNSViz от Sandia National Laboratories — это два инструмента визуализации DNSSEC, которые отображают цепочку аутентификации DNSSEC для любого домена. Они показывают, где происходят сбои, и полезны для поиска источника сбоев DNSSEC.
Google Public DNS обслуживает старые данные. Могу ли я заставить его обновить свои данные?
Вы можете использовать инструмент Flush Cache для обновления кэша Google Public DNS для распространенных типов записей и большинства доменных имен. Вам не нужно подтверждать право собственности на домен, чтобы очистить его, но вы должны решить reCAPTCHA, которая ограничивает автоматическое злоупотребление службой.
Сброс любого типа записи для домена, который вы зарегистрировали или делегировали с помощью записей NS, не только сбрасывает кэшированные ответы для этого типа, но также сбрасывает информацию делегирования о серверах имен для этого домена. Когда вы недавно меняли серверы имен (путем смены регистраторов или провайдеров хостинга DNS), очень важно сделать это до очистки субдоменов, таких как www , чтобы они не обновлялись из устаревших данных на ваших старых DNS-серверах.< /p>
Если Google Public DNS возвращает ответы с устаревшими записями CNAME, вам необходимо очистить тип записи CNAME для каждого домена CNAME, начиная с последнего CNAME в цепочке и возвращаясь к запрошенному имени. После того, как вы сбросите все CNAME, сбросьте запрошенные имена со всеми типами записей, которые отвечают устаревшим CNAME.
Существуют некоторые ограничения на то, что можно сбросить:
Домены, использующие клиентскую подсеть EDNS (ECS) для геолокации, не могут быть очищены. Для любых доменов, использующих ECS, установите достаточно короткие TTL для записей с поддержкой ECS (15 минут или меньше), чтобы вам никогда не приходилось их очищать.
Единственный способ сбросить все субдомены или все типы записей для доменного имени — сбросить каждый тип записи для каждого доменного имени, которое вы хотите сбросить. Если это нецелесообразно, вы всегда можете дождаться истечения срока жизни записи (обычно он ограничен шестью часами, даже если фактический срок жизни больше).
Чтобы очистить интернационализированные доменные имена, такие как пример.example , используйте форму с punycoded ( xn‑‑e1afmkfd.example для приведенного выше примера). Домены с символами, отличными от букв ASCII, цифр, дефиса или подчеркивания, не могут быть очищены.
Защищает ли общедоступный DNS Google так называемый «последний переход» за счет шифрования связи с клиентами?
Есть ли инструменты, которые я могу использовать для проверки производительности Google Public DNS по сравнению с другими службами DNS?
Существует множество бесплатных инструментов, которые можно использовать для измерения времени отклика Google Public DNS. Мы рекомендуем Namebench. Независимо от того, какой инструмент вы используете, его следует запускать на большом количестве доменов — более 5000 — для получения статистически значимых результатов. Хотя выполнение тестов занимает больше времени, использование как минимум 5000 доменов гарантирует, что изменчивость из-за сетевой задержки (потеря пакетов и повторная передача) будет сведена к минимуму, а кэш больших имен Google Public DNS будет тщательно проверен.
Чтобы установить количество доменов в Namebench, используйте параметр графического интерфейса Количество тестов или флаг командной строки -t; дополнительную информацию см. в документации Namebench.
Когда я запускаю команду ping или traceroute для преобразователей общедоступных DNS Google, задержка ответа выше, чем у других служб. Означает ли это, что Google Public DNS всегда медленнее?
Помимо времени проверки связи, вам также необходимо учитывать среднее время разрешения имени. Например, если у вашего интернет-провайдера время проверки связи составляет 20 мс, а среднее время разрешения имени — 500 мс, общее среднее время ответа составляет 520 мс. Если Google Public DNS имеет время проверки связи 300 мс, но разрешает многие имена за 1 мс, общее среднее время ответа составляет 301 мс. Чтобы сравнение было более точным, мы рекомендуем протестировать разрешения имен на большом наборе доменов.
Как Google Public DNS работает с геолокацией CDN?
Многие сайты, которые предоставляют загружаемые или потоковые мультимедиа, размещают свой контент в сторонних сетях распространения контента (CDN) на основе DNS, таких как Akamai. Когда преобразователь DNS запрашивает у авторитетного сервера имен IP-адрес CDN, сервер имен возвращает ближайший (по сетевому расстоянию) адрес к преобразователю, а не к пользователю. В некоторых случаях для распознавателей на основе интернет-провайдера, а также общедоступных распознавателей, таких как Google Public DNS, распознаватель может находиться не в непосредственной близости от пользователей. В таких случаях работа в Интернете может несколько замедлиться. В этом отношении Google Public DNS ничем не отличается от других провайдеров DNS.
Чтобы сократить расстояние между DNS-серверами и пользователями, Google Public DNS развернула свои серверы по всему миру. В частности, пользователи в Европе должны быть направлены на серверы CDN в Европе, пользователи в Азии должны быть направлены на серверы CDN в Азии, а пользователи в восточной, центральной и западной части США должны быть направлены на серверы CDN в соответствующих регионах. Мы также опубликовали эту информацию, чтобы помочь CDN обеспечить хорошие результаты DNS для пользователей мультимедиа.
Кроме того, Google Public DNS использует техническое решение, называемое клиентской подсетью EDNS, как описано в RFC. Это позволяет преобразователям передавать часть IP-адреса клиента (первые 24/56 бит или меньше для IPv4/IPv6 соответственно) в качестве исходного IP-адреса в сообщении DNS, чтобы серверы имен могли возвращать оптимизированные результаты на основе местоположения пользователя. чем у преобразователя.
Конфиденциальность
Какую информацию регистрирует Google, когда я использую общедоступную службу DNS Google?
На странице конфиденциальности Google Public DNS приведен полный список информации, которую мы собираем. Google Public DNS соответствует основной политике конфиденциальности Google, доступной в нашем Центре конфиденциальности.
IP-адрес вашего клиента регистрируется только временно (удаляется в течение дня или двух), но информация о интернет-провайдерах и местоположениях на уровне города/агломерации хранится дольше, чтобы сделать наш сервис быстрее, лучше и безопаснее.< /p>
Хранится ли какая-либо собранная информация в моей учетной записи Google?
Сохраненные данные не связаны ни с одним аккаунтом Google.
Передает ли Google информацию, которую он собирает из службы Google Public DNS, кому-либо за пределами Google?
Сопоставляет или объединяет ли Google информацию из временных или постоянных журналов с какой-либо личной информацией, которую я предоставил Google для других служб?
Как указано на странице конфиденциальности, мы не объединяем и не сопоставляем данные журналов таким образом.
Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.
Читайте также: