Как устроен и работает DNS

Перенос из темы «Депутаты заставят регистрировать сайты в Роскомнадзоре»
 
+
-
edit
 

TEvg-2

мракобес

Не пора ли сделать децентрализованную, распределенную DNS?

Т.е. комп не знающий адрес сайта по доменному имени, спрашивает другой комп в сети, тот если не знает - третий, а получив адрес - сохраняют его в своих базах данных для дальнейшего использования. Первичное имя знает сам комп-сервер. Когда к нему прилетает запрос "ты кто?" - он отвечает "я airbase.ru", а если на нем нету сайта, то отвечает - "я простой комп". Нужно лишь придумать механизм предотвращения конфликта имен, когда и Вася и Петя на своих домашних компах забьют одно и то же имя и механизм предотвращающий перехват имен, а значих и фейковые сайты.

Распространить это на весь инет и забить на DNS и ICANN
 20.020.0

Jerard

аксакал

TEvg-2> Распространить это на весь инет и забить на DNS и ICANN

Лесник ICANN свое слово еще НЕ сказал... а ему есть что сказать.
"Остановите Землю — я сойду" (С) Лесли Брикасс, Энтони Ньюли  27.027.0

Mishka

модератор
★★☆

TEvg-2> Не пора ли сделать децентрализованную, распределенную DNS?
Хм, она такая и есть. Централизация там только одна — конфликт имён. Да и то, отдано много на уровень стран — за каждый топ-домен страны отвечает сама же страна. А протоколом вообще пофиг на политику.

Женя, изучи матчасть сначала. :F

TEvg-2> Т.е. комп не знающий адрес сайта по доменному имени, спрашивает другой комп в сети, тот если не знает - третий, а получив адрес - сохраняют его в своих базах данных для дальнейшего использования. Первичное имя знает сам комп-сервер. Когда к нему прилетает запрос "ты кто?" - он отвечает "я airbase.ru", а если на нем нету сайта, то отвечает - "я простой комп". Нужно лишь придумать механизм предотвращения конфликта имен, когда и Вася и Петя на своих домашних компах забьют одно и то же имя и механизм предотвращающий перехват имен, а значих и фейковые сайты.

Domain Name System - Wikipedia, the free encyclopedia

The Domain Name System (DNS) is a hierarchical distributed naming system for computers, services, or any resource connected to the Internet or a private network. It associates various information with domain names assigned to each of the participating entities. Most prominently, it translates easily memorized domain names to the numerical IP addresses needed for the purpose of locating computer services and devices worldwide. The Domain Name System is an essential component of the functionality of the Internet. // Дальше — en.wikipedia.org
 

upload.wikimedia.org

upload.wikimedia.org // upload.wikimedia.org
 
Address resolution mechanism

Domain name resolvers determine the appropriate domain name servers responsible for the domain name in question by a sequence of queries starting with the right-most (top-level) domain label.
The process entails:
  • A network host is configured with an initial cache (so called hints) of the known addresses of the root name servers. Such a hint file is updated periodically by an administrator from a reliable source.
  • A query to one of the root servers to find the server authoritative for the top-level domain.
  • A query to the obtained TLD server for the address of a DNS server authoritative for the second-level domain.
  • Repetition of the previous step to process each domain name label in sequence, until the final step which returns the IP address of the host sought.

  • The diagram illustrates this process for the host Wikipedia.

    The mechanism in this simple form would place a large operating burden on the root servers, with every search for an address starting by querying one of them. Being as critical as they are to the overall function of the system, such heavy use would create an insurmountable bottleneck for trillions of queries placed every day. In practice caching is used in DNS servers to overcome this problem, and as a result, root name servers actually are involved with very little of the total traffic.
     


    http://www.inetdaemon.com/tutorials/.../dns/operation/hierarchy.shtml и http://technet.microsoft.com/en-us/library/dd197427%28v=ws.10%29.aspx — тут тоже немного расписано.

    https://www.google.com/... — много разных картинок.


    На русском:

    DNS — Википедия

    Domain Name System Прикладной TCP/IP 53/TCP, 53/UDP Разрешение доменных имён RFC 1034, RFC 1035 / STD 13 Встроен во все сетевые ОС BIND, Infoblox, PowerDNS или Microsoft DNS Server DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись). Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу. // Дальше — ru.wikipedia.org
     

    Иерархия DNS серверов | datanets.ru

    Система Доменных Имен DNS использует иерархию серверов, которая выглядит как перевернутое дерево с корнем на вершине и ветвями снизу // datanets.ru
     

    Что такое система доменных имен (DNS) и как она работает | Энциклопедия сайтостроения

    Современные пользователи Интернета привыкли к символьным адресам сайтов, например: nic.ru или test.ru. Действительно, такие адреса и набирать проще, и запоминаются они лучше. Технология доменных имён (DNS), благодаря которой функционируют эти символьные адреса, настолько срослась с Интернетом, что абсолютное большинство пользователей вообще не задумываются о ее существовании. А некоторое количество «продвинутых пользователей» вспоминают про DNS только тогда, когда с ней возникают те или иные проблемы. Между тем, для адресации узлов Интернета используются специальные числовые «коды» – IP-адреса. // Дальше — site.nic.ru
     

    http://www.kgau.ru/istiki/umk/mir/ch13s04.html
    А, если хочешь разобраться на уровне, как сделано, то тебе в RFC страничку IETF, потом в описания серверов, имплементирующие те протоколы, можно взять тот же линь поставить на виртуалку и поиграться..


    TEvg-2> Распространить это на весь инет и забить на DNS и ICANN

    Ы! Оно так и сделано. Только без центральной точки администрирования никто никому не верит, запросы отшибает так же бодро, как и обновления. :D
     27.027.0

    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Могу даже привести в пример применение отсутствия централизации DNS в рамках вопроса "попыток регулирования свыше всего и вся". :)

    У моего провайдера на DNS-е стоит фильтр на некоторые ресурсы, но достаточно вбить другой DNS и они становятся доступны. Со своей стороны провайдер сделал то, что его просили, - он не предоставляет с помощью своих сервисов доступа к некоторым именам, а что там делает конкретный потребитель используя сторонние сервисы, его не касается. :)
     
    +
    +1
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Lamort> Могу даже привести в пример применение отсутствия централизации DNS
    Lamort> У моего провайдера на DNS-е стоит фильтр на некоторые ресурсы

    Это не имеет ничего общего с децентрализацией. DNS строго иерархичен. А местные изменения внизу дерева иерархии с одной стороны никак не влияют на другую сторону.
     3232
    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Balancer> Это не имеет ничего общего с децентрализацией. DNS строго иерархичен. А местные изменения внизу дерева иерархии с одной стороны никак не влияют на другую сторону.

    Централизация и иерархичность это не одно и то же, - централизация предполагает привязку к определённой структуре в рамках общей структуры сети, а иерархичность это просто способ организации сервиса.
    Конкретному пользователи ничто вообще не мешает пользоваться абсолютно любым DNS-сервером где угодно, если он этого хочет.
     
    +
    +1
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Lamort> Централизация и иерархичность это не одно и то же

    Угу. Иерархичность — частный случай централизации :)

    Lamort> Конкретному пользователи ничто вообще не мешает пользоваться абсолютно любым DNS-сервером где угодно, если он этого хочет.

    Ага. Как ни что не мешает конкретному пользователю пользоваться другим централизованным сервером, если основной пропадёт. С твоим подходом централизованных систем вообще не существует? :)
     3232
    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Lamort>> Централизация и иерархичность это не одно и то же
    Balancer> Угу. Иерархичность — частный случай централизации :)

    Ничего подобного, тогда, например, банковская система России тоже тоже централизована, поскольку она подразумевает наличие у банка иерархической структуры и предполагает наличие ЦБ РФ.
    Тем не менее, не хочешь иметь дело с каким-то банком и можешь не знать про его существование.

    Balancer> Ага. Как ни что не мешает конкретному пользователю пользоваться другим централизованным сервером, если основной пропадёт. С твоим подходом централизованных систем вообще не существует? :)

    Ещё как существуют, например паспортный контроль, ты не можешь вот так просто законно взять и получить другой паспорт и пользоваться на выбор тем или иным паспортом по своему усмотрению.

    В Интернете да, почти нет централизованных систем обеспечивающих важные общие сервисы используемые в процессе доставки информации, по крайней мере я не могу придумать. Это принципиальное свойство Интернета, собственно таким он и был задуман. :)
    Задача структуры Интернета, - доставить тебе информацию "во что бы то ни стало", а разного рода "фильтры" придумали разного рода "централизаторы".
     
    +
    +1
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Lamort> Ещё как существуют, например паспортный контроль, ты не можешь вот так просто законно взять и получить другой паспорт

    Можешь получить паспорт другого государства. Та же история, что и с «другими DNS». А то, что некоторые государства паспорт могут не выдать — так и к DNS тебе доступ могут не дать.
     3232
    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Balancer> Можешь получить паспорт другого государства. Та же история, что и с «другими DNS». А то, что некоторые государства паспорт могут не выдать — так и к DNS тебе доступ могут не дать.

    В принципе да, хотя это не совсем одно и то же, - паспорт другого государства это "другой сервис", а другой DNS это просто другой источник того же сервиса.
    Хотя твой пример вполне подтверждает то, что централизованные системы не очень-то нужны конкретному потребителю. :)
     
    +
    +1
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Lamort> В принципе да, хотя это не совсем одно и то же, - паспорт другого государства это "другой сервис"

    Это тот же протокол, но для работы с другой системой. Как и с альтернативным DNS.
     3232
    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Lamort>> В принципе да, хотя это не совсем одно и то же, - паспорт другого государства это "другой сервис"
    Balancer> Это тот же протокол, но для работы с другой системой. Как и с альтернативным DNS.

    Офигенно "тот же протокол", тебя, например, могут обязать использовать в документах какой-то определённый язык, а не тот, который ты используешь сейчас, и тому подобное. Так что это, минимум, другой протокол для получения похожего сервиса. :)
     
    +
    +1
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Lamort> Офигенно "тот же протокол", тебя, например, могут обязать использовать в документах какой-то определённый язык, а не тот, который ты используешь сейчас

    Ну да, и с DNS может оказаться, что на нужном тебе другом сервере не будет тех же имён, что на старом.

    Карта никогда не равна территории и поэтому развитие аналогий — ущербно.
     3232
    +
    -
    edit
     

    Lamort

    ограниченный
    ☆★★★
    админ. бан
    Lamort>> Офигенно "тот же протокол", тебя, например, могут обязать использовать в документах какой-то определённый язык, а не тот, который ты используешь сейчас
    Balancer> Ну да, и с DNS может оказаться, что на нужном тебе другом сервере не будет тех же имён, что на старом.

    Имена это не сам сервис, а уже результат работы сервиса, тебе вообще никто не гарантирует, что на любом DNS-сервере есть нужные тебе имена.

    В случае с заменой гражданства несколько другое, - сам сервис изменяется, грубо говоря, если проводить аналогию с DNS, тебе "вообще никто не обязан предоставлять какие-то имена", хотя, как правило, предоставляют. :)

    Balancer> Карта никогда не равна территории и поэтому развитие аналогий — ущербно.

    Вообще согласен. :)
     
    LT Bredonosec #03.03.2014 21:14  @TEvg-2#26.02.2014 12:44
    +
    -
    edit
     
    TEvg-2> Не пора ли сделать децентрализованную, распределенную DNS?
    TEvg-2> Т.е. комп не знающий адрес сайта по доменному имени, спрашивает другой комп в сети, тот если не знает - третий, а получив адрес - сохраняют его в своих базах данных для дальнейшего использования.
    И в первую же минуту настает кромешный ад ))
    Потому что даж такие неучи как я знают про арп спуфинг, и принимание арп ответов от любого адреса по 53 порту будет означать только то, что к примеру, я тебе скажу, что авиабаза - это я. А по адресу индексной страницы ты скачаешь какого-нить виря.
    Ну, это самое примитивное. Всякие прозрачные "прокси", которые могут или просто писать, или подменять на лету часть инфы, - для твоего общения с банковскими системами весьма пригодятся :)
    Напр, покупаешь ты на амазоне финтифлюшку за 5 баксов, весь процесс покупки видишь всё как и должно быть, но в результате весь счет опустошается куда-нить на виртуальный кошелек или хз куда.
    ну и т.д. :)
     26.026.0
    RU TEvg-2 #15.03.2014 16:26  @Bredonosec#03.03.2014 21:14
    +
    -
    edit
     

    TEvg-2

    мракобес

    существуют же такие вещи как контроль целостности, электронные подписи и проч.
    а вири они толькот от дырявых браузеров бывают
     

    TEvg-2

    мракобес

    Возьмем в качестве примера торенты.
    один кусок у пети, другой у васи, но все корректно собирается. и скачивая с торентов винду, мы ее смело запускаем не боясь зловредов, которые мог подсунуть вася
     
    US Mishka #18.03.2014 22:43  @Bredonosec#03.03.2014 21:14
    +
    -
    edit
     

    Mishka

    модератор
    ★★☆

    Bredonosec> Потому что даж такие неучи как я знают про арп спуфинг, и принимание арп ответов от любого адреса по

    Костя, ARP не при делах. ARP/RARP — разрешение IP адресов (уровень 3) и уровня 2 (Ethernet, Token Ring и прочее). Т.е., когда надо узнать, а какой адрес на локальной сети имеет машина с таким IP (или наоборот). Собственно ARP Spoofing был "изобретён" для того, чтобы продемонстрировать, что и в локалкал Ethernet со свитчами можно вполне себе шпионить за всеми. Я на Базе даже давал ссылку на работу того PhD студента, который это дело разработал. Там и код был.

    Bredonosec> 53 порту будет означать только то, что к примеру, я тебе скажу, что авиабаза - это я. А по адресу индексной страницы ты скачаешь какого-нить виря.

    53 порт — это nameservice — выдержка из линухового /etc/services
    code text
    1. domain          53/tcp                          # name-domain server
    2. domain          53/udp

    Это порт по умолчанию, на котором DNS и сидит. Этот сервис в основном предназначен для разрешения пары IP<->доменное имя. Поэтому это отдельно от ARP/RARP, тем более, что ARP/RARP работают на IP уровне или чуток ниже, где портов нет.
     27.027.0

    Mishka

    модератор
    ★★☆

    TEvg-2> существуют же такие вещи как контроль целостности, электронные подписи и проч.
    Электронные подписи без централизации совсем не работают. На моём собственном сервере я могу быть кем хочешь, хоть Microsoft, хоть ФСБ.

    TEvg-2> а вири они толькот от дырявых браузеров бывают
    Ага, держи карман шире. :F
     27.027.0
    +
    +1
    -
    edit
     

    Mishka

    модератор
    ★★☆

    TEvg-2> Возьмем в качестве примера торенты.
    Возьмём. :)

    TEvg-2> один кусок у пети, другой у васи, но все корректно собирается. и скачивая с торентов винду, мы ее смело запускаем не боясь зловредов, которые мог подсунуть вася
    Только часто собирается часто не то, что нужно. На торрентах открытых (считай, централизации нет), была популярна такая дурка — загрузить мусор, обозвать красиво, а потом куча людей плевалась, что файл пустой или забит случайными числами. :F Пришлось закрывать свободный доступ и проверять.
     27.027.0
    +
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Mishka> Электронные подписи без централизации совсем не работают.

    А Bitcoin (как структура/протокол) не годится на роль электроподписи? Вон, Твиттер на его основе и то уже делают :)

    twister | P2P microblogging platform

    twister is the fully decentralized P2P microblogging platform leveraging from the free software implementations of Bitcoin and BitTorrent protocols. Because twister is completely decentralized no one can censor you. No one can remove your posts. Your account cannot be blocked. Private communication (Direct Messages) are protected with end-to-end encryption. Both content and metadata (the recipient address) are protected. The IP address you use to access twister is not recorded on any server. Your online presence is not announced. // twister.net.co
     
     33.0.1750.15433.0.1750.154
    +
    -
    edit
     

    Balancer

    администратор
    ★★★★☆
    Mishka> На торрентах открытых (считай, централизации нет), была популярна такая дурка — загрузить мусор

    Почти не выжила. Как только торренты стали хоть немного популярны, эта забава (в отличие от ed2k) сразу исчезла. Сейчас есть много хороших открытых трекеров, но левых торрентов я там не встречал, хотя качаю сотнями наименований :)

    Первая же скачанная закачка левого мусора приведёт к его компрометации и следующие тысячи качальщиков на это уже не попадутся.
     33.0.1750.15433.0.1750.154
    LT Bredonosec #26.03.2014 00:11  @Mishka#18.03.2014 22:43
    +
    -
    edit
     
    Mishka> Костя, ARP не при делах. ARP/RARP — разрешение IP адресов (уровень 3) и уровня 2 (Ethernet, Token Ring и прочее). Т.е., когда надо узнать, а какой адрес на локальной сети имеет машина с таким IP (или наоборот).
    Я знаю, что это другой уровень.
    Я просто обьяснил, что если принимать "ответы" насчет адресов от кого попало, то что на этом, что на том уровнях, можно хорошо повеселиться.
    Что я успел ощутить на собственной шкуре лет 11 назад.
     26.026.0
    +
    -
    edit
     

    Mishka

    модератор
    ★★☆

    Balancer> А Bitcoin (как структура/протокол) не годится на роль электроподписи? Вон, Твиттер на его основе и то уже делают :)

    Так тоже централизация. Или каждый может себе тот же сертификат взять и сказать, что он Ленина видел. :)
     28.028.0
    +
    -
    edit
     

    Mishka

    модератор
    ★★☆

    Balancer> Почти не выжила. Как только торренты стали хоть немного популярны, эта забава (в отличие от ed2k) сразу исчезла. Сейчас есть много хороших открытых трекеров, но левых торрентов я там не встречал, хотя качаю сотнями наименований :)

    Централизация больше. Да и всякие там голливудские конторы перестали нанимать людей, чтобы это делать. На большинстве открытых трекеров просто так не выложить, ЕМНИП. А так задавили эти компании тем, что скачать можно быстро, проверить и тут же написать, что лажа, а выложил такой-то.

    Balancer> Первая же скачанная закачка левого мусора приведёт к его компрометации и следующие тысячи качальщиков на это уже не попадутся.
    Дык, если бы качалось не час-два-четыре, а, как раньше — неделю, то скачивали бы многие.
     28.028.0

    в начало страницы | новое
     
    Поиск
    Настройки
    Твиттер сайта
    Статистика
    Рейтинг@Mail.ru