Что такое DNS, и как он работает? Простое объяснение системы доменных имён

DNS — это система доменных имён (англ. Domain Name System), которая выступает в роли телефонного справочника для интернета. Вместо номеров телефонов, компьютеры используют числовые адреса, которые называются IP-адресами и выглядят как 192.168.1.1.

Без DNS вы не сможете заходить на веб-сервисы (в том числе на сайты, форумы и даже учётные записи электронной почты). Это связано с тем, что язык веб-браузера (IP-адреса) отличается от вашего (обычный текст), и DNS помогает выполнять перевод между этими языками.

Далее вы узнаете, как работает эта система, и почему это важно для вашей конфиденциальности.

Простое определение DNS

Как уже говорилось выше, веб-браузер не понимает ваш язык и не может распознать обычный текст, вводимый в адресную строку. Вместо этого, веб-браузеру нужен IP-адрес — числовой эквивалент введённого вами веб-адреса.

Поэтому DNS выступает в роли посредника и превращает введённый вами веб-адрес в IP-адрес, чтобы его понял ваш браузер. Это позволяет браузеру понимать ваш запрос и открывать те самые страницы, которые вы хотите посетить.

Смотрите: Что такое DNS? (видео с объяснением от ExpressVPN)

Как работает DNS? Пошаговое объяснение

DNS активируется при вводе адреса веб-страницы и нажатии на строку поиска или перехода в браузере (или при нажатии на клавишу Enter на клавиатуре). DNS-серверы работают очень быстро и обрабатывают запросы за миллисекунды.

Далее я простыми словами расскажу, что происходит в период между отправлением вашего веб-запроса и его выполнением в браузере.

От ввода URL до загрузки страницы

После ввода веб-адреса в браузере и нажатия на кнопку перехода/Enter, ваш браузер отправляет этот адрес в систему доменных имён. DNS использует четыре основных сервера (подробнее — ниже) для поиска соответствующего IP-адреса этого сайта (этот процесс называется DNS-поиском).

IP-адрес нужен вашему браузеру, поскольку этот уникальный адрес указывает, где именно в интернете расположен необходимый вам контент. DNS отправляет этот IP-адрес обратно в ваш браузер. Теперь веб-браузер точно знает, куда идти, что приводит к успешной загрузке страницы, либо к появлению ошибки, если страницу невозможно открыть по какой-либо причине.

Но разве нельзя просто ввести IP-адрес в браузере и обойти обращение к DNS? Можно, но обычно оно того не стоит. И вот почему:

• DNS проще: Запомнить название сайта, например www.expressvpn.com, намного проще, чем запоминать числовые IP-адреса.
• IP-адреса могут меняться: Сайты часто обновляют свои IP-адреса, и DNS обрабатывает такие изменения автоматически. Если вы запомните IP, он может быстро стать неактуальным.
• Технические ограничения: Современные сайты часто используют общий хостинг и HTTPS. Ввод IP-адреса напрямую может привести к несовпадению TLS-сертификата, либо сервер не сможет обнаружить нужный сайт, из-за чего вы увидите ошибки или предупреждения безопасности.

Четыре основных DNS-сервера

Для получения, обработки и распознания DNS-запросов из вашего браузера используется четыре основных сервера.

Рекурсивный DNS-распознаватель

Рекурсивный DNS-распознаватель, также известный как преобразователь DNS или рекурсивный сервер, принимает запросы на DNS-поиск от вашего браузера и отправляет их на обработку.

Его можно представить в виде администратора в огромном банке данных, в котором хранятся все DNS-записи. Это значит, что прежде чем попасть в другие отделы (серверы) для обработки, все запросы сначала проходят через него.

Во многих случаях, рекурсивный DNS-распознаватель не только принимает запросы. В том числе, это относится к процессу DNS-кэширования, о котором мы расскажем подробнее позже.

Сервер имён корневого домена

Если на рекурсивном DNS-сервере нет кэшированной информации, он передаёт обращение (запрос) на сервер имён корневого домена.

Сервер имён корневого домена можно представить как отдел записей, в котором хранится важная информация о расположении нужных адресов. Он предоставит список TLD-серверов, чтобы ваше устройство могло передать запрос дальше на TLD-сервер.

Сервер имён TLD (англ. Top-Level Domain — домен верхнего уровня)

Домен верхнего уровня (TLD) является последней частью адреса сайта, перед которой обычно стоит точка. Например:

На TLD-сервере хранится информация обо всех доменных именах с общей доменной зоной, например .com или .org. TLD разделяется на две категории: организационная иерархия и географическая иерархия. Примерами организационной иерархии являются домены .com, .gov, и .edu. Например, на TLD-сервере .com содержится информация обо всех сайтах, заканчивающихся на .com. Географические TLD относятся к сайтам, работающим в определённых географических зонах.

Полномочный сервер доменных имён

Полномочный сервер доменных имён — это финальная точка поиска. В отличие от остальных серверов, он привязан к определённому доменному имени. Поэтому он может хранить всю необходимую информацию о доменном имени, обновлять информацию при необходимости и передавать эти данные (IP-адрес) на рекурсивный сервер без каких-либо ошибок.

Рекурсивный сервер получает от него IP-адрес и отправляет его в ваш браузер. После этого, браузер может преобразовать введённый вами веб-адрес в правильное расположение в интернете.

Виды DNS-запросов: рекурсивные, итеративные, нерекурсивные

Рекурсивный сервер отвечает за составление запросов от клиента (вашего браузера) для трёх других серверов. Подобные запросы разделяются на категории в зависимости от места хранения искомой DNS-информации.

• Рекурсивные запросы: это все взаимодействия между клиентом (вашим браузером) и рекурсивным сервером. Результатом каждого DNS-запроса, проходящего через рекурсивный сервер, является либо ответ (показ необходимой веб-страницы), либо ошибка (неверные сертификаты, имя не найдено в DNS-записях и т.д.).
  
• Итеративные запросы: к итеративным DNS-запросам относятся взаимодействия рекурсивного сервера с другими основными серверами, которые приводят к обращению (от корневого и TLD-сервера) или ответу (от полномочного сервера).
• Нерекурсивные запросы: при таких запросах, рекурсивный сервер уже знает ответ и не обращается к другим промежуточным серверам. Это происходит в случае, если запрашиваемый DNS уже находится в кэше.

DNS-кэширование: как браузеры и устройства хранят DNS

DNS-кэширование — это процесс, обеспечивающий временное хранение DNS-запросов ближе к клиенту, отправляющему запрос, обычно на рекурсивном сервере. В этом случае, клиенту не нужно проходить через все серверы при отправке нового запроса для входа на один и тот же ресурс. Это позволяет уменьшить нагрузку на процессор.

Но есть одна особенность: кэширование повышает скорость и производительность, но в этом случае вы не увидите новейшую версию сайта. Например, если вы повторно заходите на кэшированную страницу обсуждения на reddit, возможно, вы не увидите новые ответы (комментарии, голоса и т.д.). В этом случае, чтобы получить обновление, вам придётся перезагрузить страницу, очистить кэш или дождаться удаления кэшированных данных.

Но где хранятся кэшированные данные DNS?

Кэширование происходит на всех этапах рекурсивного процесса: DNS кэшируется вашим браузером, вашим устройством, роутером и DNS-сервером, на который вы отправляете запрос (как показано на схеме выше).

Хранилище DNS-кэша в браузере

Хорошие интернет-браузеры хранят кэш недавно посещённых сайтов. Это позволяет уменьшить потребление ресурсов, поскольку им не придётся выполнять несколько запросов для повторного получения доступа к странице.

Также в этом случае вы не будете видеть устаревший контент. Данные в кэше хранятся временно, поскольку браузер запрашивает новые и обновлённые страницы после истечения срока хранения кэша.

Хотите проверить свой кэш для популярных сайтов? Введите в своём браузере внутренние адреса, показанные ниже:

Хранение кэша на уровне устройства

Большинство современных операционных систем предоставляют встроенный DNS-сервер, который называется "распознаватель-заглушка" или усечённый резолвер DNS (англ. DNS stub resolver).

Такой DNS-сервер не может отправлять запросы на другие серверы. Однако он может собирать сообщения от вашего веб-клиента (в том числе от браузера) и отправлять их на рекурсивные DNS-серверы. После этого, рекурсивный DNS-сервер выполняет все необходимые запросы.

И здесь начинается самое интересное.

После завершения процесса DNS-поиска и получения рекурсивным сервером IP-адреса запрашиваемого сайта, эта информация отправляется веб-клиенту через усечённый резолвер DNS. На этом этапе, усечённый резолвер может сохранить копию (кэш) ответа на DNS-запрос.

Поэтому если вы запросите эти же данные, усечённый резолвер может ответить веб-клиенту без отправки сообщения на рекурсивный DNS-сервер.

Что такое DNS-адрес?

DNS-адрес — это IP-адрес рекурсивного DNS-сервера, который использует ваше устройство для выполнения DNS-поиска описанным выше способом.

Для большинства пользователей важен только их рекурсивный сервер, который обычно принадлежит и управляется интернет-провайдером или работодателем, при этом отдельные пользователи, правительства или организации также могут владеть, управлять и содержать DNS-серверы, используемые для преобразования имени сайта в IP-адрес. Одними из самых известных публичных рекурсивных DNS-серверов являются 8.8.8.8 и 1.1.1.1, которые принадлежат Google и Cloudflare соответственно.

Конфиденциальность и безопасность DNS: Что необходимо знать

Вам может быть интересно знать, что такое DNS и как он работает. Но намного важнее знать, почему он крайне важен для вашей интернет-безопасности и конфиденциальности.

Что раскрывает DNS интернет-провайдерам и сетевым провайдерам

По умолчанию, ваши DNS-запросы проходят через интернет-провайдера или сетевого администратора. Как только DNS-сервер находит нужный вам IP-адрес, он также отправляется в ваш браузер через серверы интернет-провайдера. Этот процесс раскрывает вашему интернет-провайдеру определённые метаданные:

• Запрашиваемое вами доменное имя.
• Точное время запроса.
• Ваш IP-адрес, по которому можно определить ваше местоположение и устройство.

Этой информации достаточно, чтобы доказать, что вы намеренно подключались к данному сайту, даже если точные передаваемые данные будут скрыты (как в случае с использованием HTTPS). Несмотря на это, DNS-запросы могут рассказать наблюдателям о ваших интернет-привычках.

Но есть и хорошая новость — при подключении к ExpressVPN, ваши DNS-запросы будут обрабатываться на наших серверах, а не на серверах интернет-провайдера.

В действительности, ExpressVPN защищает ваш трафик, и поэтому интернет-провайдер даже не сможет узнать, что вы выполняете DNS-запрос. Мы никогда не сохраняем DNS-запросы, а при выполнении поиска доменного имени от вашего клиента, другие DNS-серверы смогут увидеть только адрес нашего сервера.

А поскольку все пользователи сервера, к которому вы подключены, будут использовать один и тот же DNS-сервер, все запросы будут исходить из одного источника, и ваши запросы будут смешаны со всеми запросами других пользователей. Даже если кто-то заинтересуется DNS-трафиком, он не сможет привязать его к определённому пользователю.

Как утечки через DNS влияют на онлайн-анонимность и безопасность

В целом, публичные DNS-серверы являются безопасными, хотя их и нельзя назвать конфиденциальными. Несмотря на это, киберпреступники могут атаковать DNS-серверы с целью нарушения вашей конфиденциальности и безопасности, что может привести к сбою в работе ваших устройств:

• Подмена DNS (отравление кэша): Эта атака подразумевает внедрение вредоносных DNS-данных в кэш распознавателя, что приведёт к получению неверного IP-адреса. Из-за этого пользователи могут попасть на фишинговый сайт, на котором у них могут выманить чувствительные данные (например, данные банковской карты или логины) или заставить скачать вредоносное ПО.
• Атака DNS-амплификацией: Это разновидность DDoS-атаки, при которой злоумышленник отправляет ложные DNS-запросы на сервер, устанавливая в качестве адреса для ответа IP-адрес жертвы. После этого, DNS-серверы отправляют огромное количество ответов на IP-адрес жертвы. Подобные ответы могут перегрузить компьютеры и серверы жертвы, что приводит к сбою в работе и отключению.
• Перехват DNS: Этот способ похож на подмену DNS — злоумышленник переадресует обычные DNS-запросы на поддельные сайты, чтобы обмануть жертву. Основным отличием является использование активных DNS-запросов, а не кэшированных данных DNS. Для успешного выполнения этой атаки, киберпреступникам может потребоваться взломать ваш роутер или установить вредоносное ПО на ваше устройство.
• Подслушивание: DNS-запросы часто передаются через протоколы UDP в виде обычного текста, поэтому любой, кто обладает необходимыми техническими навыками, может перехватить и распознать подобные данные. Ваши интернет-данные могут раскрыть информацию о посещаемых сайтах, что создаёт риски безопасности для пользователей, которые желают сохранить свою конфиденциальность в интернете.

DNS over HTTPS (DoH) и DNSSEC: Что они защищают

К счастью, некоторые средства безопасности помогают усилить защиту ваших DNS-запросов и гарантировать их правильную обработку. Яркими примерами таких средств являются DNS over HTTPS и DNSSEC

DNS over HTTPS (DoH)

Защищает от: Перехвата DNS, подслушивания и подмены DNS.

Обычно DNS-трафик отправляется через определённые серверы в виде незашифрованного текста. Это ускоряет передачу данных, но также делает DNS-трафик уязвимым для злоумышленников. Даже если посещаемый сайт использует HTTPS, отправляемые на этот сайт DNS-запросы всё равно можно прочитать в виде обычного текста.

В этот момент в дело вступает DNS over HTTPS (DoH) и закрывает эту брешь в вашей обороне. С его помощью, DNS-трафик шифруется в процессе передачи, поэтому в случае перехвата, никто не сможет прочитать его. А если его невозможно прочитать, значит злоумышленник не сможет скопировать и подделать ваши данные, а также добавить вредоносный код или переадресацию в DNS-трафик.

DNSSEC

Защищает от: Переадресация, перехват, подмена DNS и активное вмешательство в соединение.

Domain Name System Security Extension (DNSSEC) гарантирует, что все DNS-записи будут использовать уникальные сигнатуры для подтверждения их достоверности перед выполнением на вашем компьютере. Другими словами, DNSSEC добавляет специальные ключи в серверы имён (обычно в полномочные серверы доменных имён), которые могут быть подтверждены вашим браузером до принятия ответной DNS-записи.

После подтверждения правильности ключа, браузер может уверенно отправить вас на сайт, который вы хотите посетить. А если цифровой ключ изменён или больше не существует, подключение будет заблокировано.

За каждой DNS-записью будет закреплена пара ключей: публичный ключ и приватный ключ. Приватный ключ никогда не раскрывается и всегда остаётся в зоне DNS, в которой хранятся записи. Публичный ключ генерируется одновременно в паре с приватным ключом и может быть запрошен рекурсивным DNS-сервером для подтверждения DNS-записи.

Установка DNSSEC значительно снижает вероятность атак, основанных на доверии, в том числе атак с перехватом и подменой DNS. Благодаря цифровым подписям, рекурсивный сервер не просто принимает ответ от полномочного сервера, а подтверждает его при помощи связанного публичного ключа.

Типичные проблемы и решения, связанные с DNS

DNS-серверы предназначены для бесперебойной работы. Вы можете годами пользоваться ими и даже не задумываться об их существовании. Это подтверждает их качественную работу в фоновом режиме без каких-либо действий со стороны пользователя.

Однако с ними всё же могут возникать некоторые проблемы:

• Сбой обработки DNS: возникает в случае, если DNS-сервер не можете обработать ваш запрос. Чтобы решить эту проблему, проверьте подключение к сети. Если с подключением всё нормально, необходимо дождаться, пока проблему решат на стороне сайта или регистратора доменных имён.
  
• Проблемы с DNS-кэшированием: ваш DNS-сервер может показывать вам старую версию страницы вместо новой. Чтобы решить эту проблему, очистите кэш в настройках браузера, перезапустите браузер или перезагрузите ваше устройство.
• Ошибка DNS NXDOMAIN: ошибка NXDOMAIN сообщает, что сайт, на который вы хотите зайти, не существует. Например, чтобы увидеть эту ошибку, мы написали "ExpressVeePN” вместо "ExpressVPN”. После этого, рекурсивный сервер безуспешно пытается найти DNS-запись для этого домена, поскольку он ещё не настроен. В зависимости от вашей ОС и версии Chrome, эта ошибка может выглядеть как DNS_PROBE_FINISHED_NXDOMAIN или ERR_NAME_NOT_RESOLVED. Обе ошибки указывают на одну и ту же проблему в DNS-поиске.
  

Если переподключение к интернету и перезагрузка вашего устройства не решает проблему с DNS, перезапустите роутер. Если это не поможет, лучше всего связаться с интернет-провайдером, поскольку проблема может быть связана с неверной настройкой на стороне провайдера.

Что значит "DNS-сервер не отвечает"?

Ошибка "DNS-сервер не отвечает" означает, что страница, на которую вы пытаетесь войти, недоступна из-за проведения техобслуживания или атаки, например (распределённого) отказа в доступе (DDoS).

Также эта ошибка может появиться, если:

• Вы не подключены к интернету.
• Ваш рекурсивный сервер не работает.
• Необходимо обновить кэш браузера.

Если вы не меняли сетевые настройки браузера или устройства, и у вас рабочее интернет-подключение, всё должно заработать после обычной перезагрузки.

Как изменить DNS-настройки на любом устройстве

Вам может потребоваться изменение DNS-настроек на смартфонах с iOS и Android и компьютерах (Mac и Windows) по нескольким причинам:

• Для добавления резервного сервера на случай сбоя в работе основного DNS-сервера.
• Для фильтрации контента и внедрения родительского контроля в вашей сети.
• Для переключения на внутреннюю или собственную DNS-сеть.
• Для усиления интернет-безопасности и конфиденциальности.

Если вы хотите повысить интернет-конфиденциальность и безопасность, мы рекомендуем не тратить время на слишком сложные технические решения. Вместо этого, вы можете подключиться к VPN-серверу компании, которая использует частные DNS-серверы, например к ExpressVPN.

Изменение DNS-настроек на Windows

Примечание: В нашем примере мы использовали Windows 11. Шаги на других версиях могут незначительно отличаться.

1. Подключитесь к сети, для которой вы хотите изменить настройки DNS. Вы можете подключиться через Ethernet или WiFi.
2. Перейдите в Панель управления Windows.
   
   
3. Нажмите на Сеть и Интернет.
   
   
4. Нажмите на Центр управления сетями и общим доступом.
   
   
5. Нажмите на Изменение параметров адаптера.
   
   
6. Нажмите правой кнопкой мыши на подключение, затем нажмите на Свойства.
   
   
7. На этом этапе у вас могут попросить ввести пароль администратора. Введите его.
8. Выберите вкладку Сеть. В разделе Отмеченные компоненты используются этим подключением, выберите IP версии 4 (TCP/IPv4) или IP версии 6 (TCP/IPv6). Затем нажмите на Свойства.
   
9. Нажмите на Использовать следующие адреса DNS-серверов.
   
   
10. Введите адреса Предпочитаемого DNS-сервера и Альтернативного DNS-сервера.
11. Нажмите на OK.

Не забудьте сразу протестировать подключение. Это позволит вам устранить возможные проблемы и не утратить доступ к интернету.

Изменение DNS-настроек на Mac

Примечание: В нашем примере мы использовали macOS версии 26.1. Шаги на других версиях могут незначительно отличаться.

1. Перейдите в Системные настройки Mac.
2. Нажмите на Сеть.
3. Нажмите на подключение, для которого вы хотите изменить DNS-настройки. Это может быть подключение через WiFi или Ethernet.
   
4. Нажмите на Подробнее… на подключённой сети.
   
5. Нажмите на DNS.
   
   
6. Скопируйте существующий адрес DNS-сервера и сохраните его. Это необходимо для устранения возможных проблем.
7. Нажмите на иконку +, чтобы изменить существующие настройки DNS.
   
8. Добавьте новый адрес IPv4 или IPv6.
9. Нажмите на OK.

Чтобы протестировать установленные настройки, вы можете выйти из браузера, перезапустить его и открыть веб-страницу. Это позволит вам убедиться, что браузер не просто показывает страницу из кэша, а загружает новую версию, обработанную новым DNS-сервером.

Изменение настроек DNS на iOS (iPhone и iPad)

Примечание: В нашем примере мы использовали iOS версии 26.0.1. Шаги на других версиях могут незначительно отличаться.

1. Подключитесь к WiFi-сети, для которой вы хотите изменить DNS-настройки, и перейдите в Настройки вашего iOS-устройства. Нажмите на Wi-Fi.
   
2. Нажмите на иконку info рядом с названием Wi-Fi.
   
3. Пролистайте вниз и нажмите на Настройка DNS.
   
   
4. Измените настройки с Автоматически на Вручную.
   
5. Нажмите на Добавить сервер и введите желаемые адреса IPv4 или IPv6.
   

Изменение DNS-настроек на Android

Примечание: В качестве примера мы использовали Xiaomi 15 Ultra на Android 15. Шаги в других устройствах и версиях ПО могут незначительно отличаться.

1. Перейдите в настройки вашего устройства Android и нажмите на Другие способы подключения.
   
2. Нажмите на Частный DNS-сервер.
   
3. Перейдите в Имя хоста провайдера DNS и введите имя хоста DNS-провайдера.
   
4. Нажмите Сохранить.

Что лучше: публичный или частный DNS?

Публичные DNS-серверы часто обслуживаются интернет-провайдерами и корпорациями (такими как Google и Cloudflare). С другой стороны, частные DNS обычно обслуживаются, принадлежат и используются для внутренних задач корпораций. Отдельные пользователи, управляющие большими компьютерными сетями, также могут настроить частный DNS для обеспечения интернет-безопасности и конфиденциальности.

Большинство пользователей интернета используют публичные DNS. Однако, как говорилось выше, это создаёт различные риски для конфиденциальности. Для дополнительной конфиденциальности, необходимо использовать VPN с надёжной политикой несохранения логов и зашифрованным DNS-сервисом.