Что такое DNS-записи?

Система доменных имен (Domain Name System, DNS) — важнейший компонент интернет-инфраструктуры, отвечающий за преобразование понятных человеку доменных имен в числовые IP-адреса, которые используются компьютерами для взаимодействия в сети. Без DNS пользователям пришлось бы запоминать сложные числовые IP-адреса для доступа к сайтам. В этом смысле DNS выполняет роль телефонного справочника интернета, позволяя людям использовать удобные имена вместо длинных строк чисел.

Работа DNS обеспечивается миллионами иерархически организованных серверов по всему миру, которые совместно преобразуют доменные имена, ежедневно обрабатывая триллионы DNS-запросов. По своей сути DNS представляет собой распределенную базу данных, содержащую различные типы записей, каждая из которых играет свою роль в этом процессе. Именно этим DNS-записям (их также называют ресурсными записями DNS) и посвящен сегодняшний материал — мы разберем основные типы записей и их предназначение в системе.

DNS-записи типа A (от слова Address) — одна из базовых разновидностей ресурсных записей в системе доменных имен. Она указывает, какой IP-адрес в адресном пространстве IPv4 соответствует конкретному доменному имени. Например, когда вы вводите в браузере example.com, запись типа A преобразует его в IPv4-адрес, например 93.184.215.14, чтобы компьютер мог подключиться к нужному веб-серверу.

Записи типа A необходимы для того, чтобы пользователи могли попасть на нужный сайт или сервис при вводе доменного имени. У одного домена может быть одна или несколько A-записей — их количество не ограничено и зависит от числа IP-адресов, с которыми связан домен.

DNS-записи типа AAAA выполняют ту же функцию, что и записи типа A, но используются для сопоставления доменных имен с адресами в пространстве IPv6. Поскольку IPv6-адреса представляют собой 128-битные числовые строки, они обеспечивают значительно больший объем доступных адресов по сравнению с 32-битной системой IPv4.

Однако такие адреса еще менее удобны для восприятия человеком, чем IPv4. Например, запись типа AAAA для домена example.com может указывать на IPv6-адрес вроде 2606:2800:21f:cb07:6820:80da:af6b:8b2c — запомнить такую последовательность практически невозможно. По мере того как интернет постепенно переходит с IPv4 на IPv6, чтобы поддерживать растущее число устройств и пользователей, записи типа AAAA приобретают все более важное значение.

DNS-записи типа CNAME (от слов Canonical Name) используются для сопоставления доменного псевдонима или поддомена с другим доменным именем. В отличие от записей типа A или AAAA, которые указывают на IP-адрес, CNAME-записи связывают одно доменное имя с другим, позволяя нескольким именам вести к одному и тому же ресурсу.

Например, если www.example.com является псевдонимом для example.com, можно создать CNAME-запись, чтобы при вводе www.example.com пользователь автоматически перенаправлялся на example.com. Когда рекурсивный DNS-резолвер обнаруживает CNAME-запись, он повторяет процесс поиска — уже для того домена, на который она указывает.

Следует отметить, что доменное имя, на которое указывает CNAME-запись, может находиться в любой части системы DNS — как в той же зоне, так и в другой, на удаленном сервере. Такая гибкость позволяет использовать записи типа CNAME между зонами и упрощает управление DNS.

DNS-записи типа MX (от Mail Exchange) используются для указания почтовых серверов, отвечающих за прием электронной почты для домена. В отличие от записей, направляющих веб-трафик, MX-записи обеспечивают маршрутизацию писем на нужный почтовый сервер на основе доменного имени в адресе получателя. Например, при отправке письма на адрес user@example.com запись типа MX для домена example.com сообщает серверу-отправителю, куда доставить сообщение.

MX-записи также позволяют задать несколько почтовых серверов для отказоустойчивости и содержат параметр приоритета. Сервер с наименьшим значением приоритета считается основным; если он недоступен, используется следующий по порядку. Такая схема обеспечивает стабильную доставку писем даже при сбое одного из серверов.

DNS-записи типа TXT (от слова Text) изначально предназначались для хранения текстовой информации в системе доменных имен. Однако со временем область их применения значительно расширилась. В частности, сегодня они играют ключевую роль в обеспечении безопасности электронной почты, поскольку используются для внедрения таких механизмов, как SPF, DKIM и DMARC.

• SPF (Sender Policy Framework) помогает предотвратить подделку отправителя, указывая, какие почтовые серверы имеют право отправлять письма от имени домена. Когда письмо поступает на почтовый сервер получателя, тот проверяет SPF-запись домена отправителя, чтобы убедиться, что письмо отправлено с разрешенного сервера. В противном случае сообщение может быть отклонено или помечено как спам.
• DKIM (DomainKeys Identified Mail) добавляет дополнительный уровень защиты с помощью криптографических подписей. Запись DKIM содержит открытый ключ, с помощью которого почтовый сервер получателя проверяет подпись входящего письма. Если подпись совпадает, это означает, что письмо не было изменено в процессе передачи.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) дополняет SPF и DKIM, обеспечивая единую политику аутентификации электронной почты. Запись DMARC позволяет владельцу домена определить, как почтовый сервер получателя должен обрабатывать письма, не прошедшие проверку SPF или DKIM. Также DMARC включает механизм отчетности, который помогает отслеживать и анализировать проблемы с доставкой и аутентификацией.

SPF, DKIM и DMARC не имеют собственных типов записей и публикуются в системе DNS в виде записей типа TXT на авторитетных серверах. В совокупности эти три механизма значительно повышают безопасность электронной почты и помогают защищаться от фишинга, мошенничества, компрометации деловой переписки и других угроз.

DNS-записи типа NS (от Name Server) указывают авторитетные серверы имен, которые хранят ресурсные записи для конкретного домена. Эти записи используются для направления DNS-запросов к серверам, отвечающим за преобразование доменных имен.

Например, если пользователь вводит в браузере адрес example.com, NS-записи этого домена сообщают рекурсивному резолверу, к каким авторитетным серверам следует обратиться, чтобы получить записи типа A или AAAA. Обычно у домена есть несколько NS-записей для обеспечения отказоустойчивости: если один сервер становится недоступен, запросы обрабатывает другой. Такой подход помогает минимизировать последствия сбоев и обеспечивает стабильный доступ к домену.

DNS-записи типа DNSKEY являются важной частью набора расширений безопасности системы доменных имен (Domain Name System Security Extensions, DNSSEC), который добавляет дополнительный уровень защиты, позволяя аутентифицировать ответы DNS. Запись DNSKEY содержит открытый ключ, используемый для проверки цифровых подписей, прикрепленных к DNS-данным, что позволяет убедиться в их целостности и отсутствии изменений в процессе передачи.

Когда рекурсивный резолвер запрашивает данные домена с поддержкой DNSSEC, запись DNSKEY используется для проверки достоверности ответа, полученного от авторитетного сервера. Если подпись и DNSKEY совпадают, это подтверждает подлинность ответа. Механизм DNSSEC и записи DNSKEY, на которых он основан, играют ключевую роль в защите от таких атак, как подмена DNS (DNS hijacking) и отравление кэша (cache poisoning), обеспечивая целостность записей DNS.

Помимо наиболее часто используемых типов — A, AAAA, CNAME, MX и NS — существует множество других ресурсных записей DNS, каждая из которых имеет свою специализированную функцию в управлении доменными именами. Вот некоторые из них:

• SOA (Start of Authority) — содержат ключевую административную информацию о домене: основной авторитетный сервер, адрес электронной почты администратора домена, а также параметры обновления и синхронизации DNS-записей между серверами.
• PTR (Pointer) — записи, обратные к A-записям: они сопоставляют IP-адрес с доменным именем, а не наоборот. Используются при обратном DNS преобразовании, например, для проверки подлинности IP-адреса при фильтрации спама.
• SRV (Service) — определяют расположение конкретных сервисов в домене, таких как SIP (Session Initiation Protocol) для голосовых звонков или XMPP для обмена сообщениями, указывая соответствующий хост и порт.
• CAA (Certification Authority Authorization) — записи, указывающие, каким центрам сертификации разрешено выпускать SSL/TLS-сертификаты для домена. Это повышает безопасность, снижая риск выдачи поддельных сертификатов.

Существуют десятки различных типов DNS-записей. Часть из них уже устарела и более не используется, но основные из них, рассмотренные в этой статье, продолжают играть ключевую роль в управлении и защите доменных имен.

DNS-серверы являются важнейшим элементом цифровой инфраструктуры, и из-за своей значимости они часто становятся целью DDoS-атак. В случае вывода DNS из строя пользователи теряют доступ к сайтам и сервисам — даже если сами веб-серверы продолжают работать. Несмотря на это, многие компании не уделяют должного внимания защите DNS, оставляя критическую уязвимость в своей системе безопасности.

Отказоустойчивый вторичный DNS-сервер CURATOR.SECONDARYDNS обеспечивает надежную защиту от DDoS-атак и сбоев за счет использования глобальной сети Anycast. Данная архитектура позволяет распределить DNS-трафик между множеством серверов по всему миру, снижает задержки и обеспечивает высокую доступность, направляя запросы к ближайшему доступному серверу. Это повышает как производительность, так и устойчивость DNS-инфраструктуры, позволяя сервисам оставаться доступными даже во время масштабных атак.