Как строится доменная система имен?

Доменная система имён (DNS, Domain Name System) строится как глобальная распределённая “иерархическая телефонная книга” интернета, которая сопоставляет понятные человеку имена (например, example.com) с техническими адресами и другими данными (например, IP-адресом сервера, почтовыми записями и т. п.). Чтобы работать на масштабе всего мира и оставаться устойчивой, она устроена не как одна база данных, а как дерево зон и множество серверов, каждый из которых отвечает только за свою часть.

1) Иерархия: дерево доменных имён

DNS организован как дерево, где имена читаются справа налево:

• Корень (root) — вершина дерева. Формально это “пустой” домен, который в записи может обозначаться точкой в конце: example.com.

• Домены верхнего уровня (TLD) — сразу под корнем: .com, .org, .net, .bg, .ru и т. д.

• Домены второго уровня — то, что обычно регистрируют: example.com, mysite.ru

• Поддомены — любые уровни левее: www.example.com, api.dev.example.com

Каждая точка — это переход на следующий уровень иерархии. Такая структура позволяет “раздать ответственность”: не один сервер хранит всё, а разные организации отвечают за разные ветки дерева.

2) Зоны и делегирование: кто за что отвечает

Ключевое понятие в построении DNS — зона (zone). Зона — это управляемый участок дерева доменных имён, за который отвечает конкретный набор DNS-серверов.

Пример:

• Зона .com содержит сведения о том, какие серверы авторитетны для example.com, google.com и т. д.
  Но она не обязана хранить записи всех поддоменов example.com — это уже ответственность зоны example.com.

Передача ответственности называется делегирование:

• В зоне .com для домена example.com прописываются записи, которые указывают, какие DNS-серверы авторитетны для example.com (обычно через NS-записи).

• После этого все подробности (IP-адреса, поддомены, почта, политики) хранятся и обслуживаются уже авторитетными серверами зоны example.com.

Так система масштабируется: каждый уровень знает только “куда направить дальше”.

3) Типы DNS-серверов и их роли

В работе DNS обычно участвуют несколько ролей.

3.1 Рекурсивный резолвер (recursive resolver)

Это сервер, который делает “всю работу” за пользователя. Обычно он у провайдера, у корпоративной сети или у публичного DNS-сервиса. Пользовательское устройство обращается именно к нему.

Задача резолвера:

• Получить запрос (“какой IP у www.example.com?”)

• Самостоятельно пройти по иерархии DNS и собрать ответ

• Закэшировать результат на время, чтобы следующие запросы были быстрее

3.2 Корневые серверы (root)

Корневые серверы знают, где находятся серверы доменов верхнего уровня. Они не знают IP-адреса всех сайтов, они лишь говорят: “за .com отвечают такие-то серверы”.

3.3 Серверы TLD (например, для .com, .ru)

Они знают, какие авторитетные серверы обслуживают конкретный домен второго уровня (например, example.com) и возвращают делегирование.

3.4 Авторитетные серверы (authoritative)

Это сервера, которые “истинно” хранят DNS-данные конкретной зоны: example.com. Именно они отвечают, какой IP у www, где почта, какие TXT-проверки и т. д.

4) Как реально проходит запрос: пошагово

Допустим, нужно узнать адрес www.example.com:

1. Компьютер спрашивает у настроенного рекурсивного резолвера.

2. Если в кэше нет ответа, резолвер идёт к корневым серверам: “кто отвечает за .com?”

3. Корень возвращает список серверов .com.

4. Резолвер спрашивает у сервера .com: “кто отвечает за example.com?”

5. Сервер .com возвращает NS-записи (делегирование) для example.com (и часто “склеенные” IP этих NS — glue, если нужно).

6. Резолвер спрашивает у авторитетного сервера example.com: “какой IP у www.example.com?”

7. Авторитетный сервер возвращает запись (например, A/AAAA).

8. Резолвер отдаёт ответ компьютеру и сохраняет его в кэш на срок TTL.

5) Записи (Resource Records): что хранится в DNS

DNS хранит набор типизированных записей. Самые распространённые:

• A — IPv4-адрес (например, 93.184.216.34)

• AAAA — IPv6-адрес

• CNAME — псевдоним: имя указывает на другое имя (например, www → site-host.example.net)

• NS — какие сервера авторитетны для зоны (делегирование)

• MX — почтовые серверы домена

• TXT — произвольный текст (часто для проверок: SPF/DKIM/DMARC, подтверждения владения)

• SOA — “паспорт зоны”: основной сервер, серийный номер, тайминги обновления и т. п.

• SRV — сервисные записи (где и на каком порту находится сервис)

• CAA — какие центры сертификации имеют право выпускать сертификаты для домена

Записи живут внутри файла зоны (логически) и публикуются авторитетными серверами.

6) TTL и кэширование: почему изменения “не сразу”

У каждой записи есть TTL (time to live) — время жизни в кэше. Именно из-за TTL:

• Рекурсивные резолверы и устройства могут использовать старый ответ до истечения TTL.

• Поэтому изменения DNS иногда “разъезжаются” по миру не мгновенно.

Кэширование — одна из причин, почему DNS работает быстро и выдерживает огромные нагрузки.

7) Надёжность: несколько серверов и anycast

Чтобы DNS не “упал” из-за одного сбоя, обычно:

• Для зоны указывают несколько NS-серверов (минимум два, часто больше).

• Серверы могут быть географически распределены.

• Крупные DNS-операторы используют anycast: один и тот же IP-адрес обслуживается множеством узлов по миру, и трафик попадает на ближайший.

8) Регистратор, реестр и делегирование на практике

На практике владение доменом и публикация DNS устроены так:

• Реестр управляет зоной TLD (например, .ru или .com).

• Регистратор — компания, через которую пользователь регистрирует домен в реестре.

• В момент настройки домена владелец указывает NS-серверы.

• Реестр публикует эти NS в зоне TLD — так создаётся делегирование.

• Далее владелец управляет содержимым зоны на своих DNS-серверах (A/AAAA/MX/TXT и т. п.).

9) DNSSEC (дополнительно): защита от подмены

Базовый DNS исторически не проверял подлинность ответа. Для защиты существует DNSSEC:

• Зона подписывает записи криптографически.

• В иерархии есть цепочка доверия от корня к TLD и далее к домену.

• Резолвер может проверить, что данные не подменены по пути.

Это не “шифрование DNS”, а именно проверка целостности и подлинности.

Итого: доменная система имён строится как иерархическое дерево доменов, разбитое на зоны с делегированием ответственности, где запросы проходят через рекурсивные резолверы к корню, TLD и авторитетным серверам, а производительность и устойчивость обеспечиваются кэшированием (TTL), множеством NS-серверов и распределением инфраструктуры.