Разбиране на ролята на DNS записите за функционалността и сигурността на уебсайта

Въведение

DNS е съкращение от Domain Name System (Система за имена на домейни). Това е основна технология, благодарение на която интернет функционира по начина, по който функционира. Нейното най-основно определение е: "DNS отговаря за преобразуването на IP адресите на уебсайтовете в техните имена на домейни."

В действителност DNS може да постигне много повече от това. Функциите на DNS се изпълняват с помощта на DNS записи. Записите на DNS са текстови файлове, които съдържат основна информация, необходима за функционирането на DNS.

В тази статия се подчертава значението на DNS записите за функционирането и сигурността на уебсайта. За тази цел ще разгледаме различни видове DNS записи и ще обясним какво правят те по отношение на функционирането или сигурността на уебсайта.

В края на тази статия ще имате по-добра представа за системата за имена на домейни.

Как работи DNS?

За да разберете DNS записите и тяхната роля за функционирането и сигурността на уебсайтовете, е необходимо да имате известни познания за системата за имена на домейни (DNS).

Всичко започва от вашия компютър. Компютърът ви, който търси уебсайт, се нарича клиент. Клиентът се обръща към сървър, известен като DNS резолвер, със своята заявка. DNS резолверът е сървър, назначен от вашия доставчик на интернет услуги, или можете да зададете свой собствен в настройките на операционната система. Функцията на резолвера е да обработва всички DNS заявки, зададени от клиента.

И така. Клиентът пита резолвера: "Хей, искам да намеря това име на домейн (xyz.com). Знаете ли неговия IP адрес?" Резолверът проверява кеша си, за да види дали има запазено името на домейна и неговия IP адрес. Ако няма, той се свързва с редица сървъри в йерархията на DNS, за да провери дали те разполагат с IP адреса.

Изображение на йерархията на DNS

Източник на изображения: https://www.menandmice.com/glossary/dns-server-types

Обикновено IP адресът се открива сравнително бързо. Понякога обаче резолверът трябва да стигне до върха на йерархията и да се допита до сървъри, известни като коренови сървъри за имена (NS).

В света има 13 основни сървъра за имена, които съдържат IP адресите на всички уебсайтове в мрежата. Ако IP адресът на даден домейн не съществува в сървърите за имена, това означава, че DNS заявката за този домейн е "неразрешима".

Така или иначе, след като IP адресът е намерен, резолверът го изпраща обратно на клиента. След това клиентът подава заявка към сървъра на дадения IP адрес и сървърът отговаря с необходимия уебсайт.

Ето как работи една проста заявка и всичко това се случва за секунди. Къде влизат DNS записите? Информацията, съхранявана на всички сървъри в йерархията на DNS, се съхранява под формата на DNS записи.

DNS записите могат да се управляват от уебмастъра с помощта на популярни инструменти като cPanel, Cloudflare, GoDaddy и др. За да научите как можете да управлявате уебсайта си с такива инструменти, прочетете нашата статия за cPanel. Създаването на подробна документация за управлението на DNS записи може да отнеме много време. Генератор на параграфи с изкуствен интелект може да ви помогне да създадете висококачествено, информативно съдържание ефективно, като улесни ясното обяснение на сложни концепции.

Сега нека да проверим как DNS записите подпомагат и допринасят за функционалността на уебсайта.

Различни DNS записи и как те допринасят за функционалността на уебсайта

Ще започнем с проверка на записите, които имат роля във функцията на уебсайта. Те са по-многобройни в сравнение със записите за сигурност.

Всички DNS записи използват един и същ шаблон. Отляво надясно са разположени името на домейна, времето на живот, класът на записа, името на записа и стойността на записа. Повечето записи се различават само по име и стойност. По-долу е дадено изображение на запис A.

Източник на изображения: dnschecker

Изображението показва четири записа A за Microsoft.com. Името на домейна е "microsoft.com". TTL е 1290 секунди, IN (интернет) е класът, A е името на записа, а числата са IPv4 адресът, т.е. стойността.

След като вече знаем как изглежда един типичен DNS запис, нека разберем какво правят те и как допринасят за функционалността на уебсайта.

1. Записи А/ААА

Записите A и AAAA означават съответно IPv4 и IPv6 адреси. Тяхната единствена цел е да съпоставят IP адреси с имена на домейни. Това е най-основната функция на DNS и благодарение на нея интернет работи.

Както може би знаете, IP адресът представлява цифрово (IPv4) или шестнадесетично (IPv6) представяне на местоположението на сървъра.

Цялото съдържание в мрежата се съхранява на множество сървъри по света. Когато търсите име на домейн, DNS резолверът проверява кеша си за всички записи A или AAAA за домейна.

Ако не ги открие, той се обръща към други сървъри в йерархията, за да провери дали те ги имат или не. Когато съответните записи A/AAAA бъдат намерени, резолверът ги записва в кеша си, за да не се налага да ги търси по-късно.

Вече трябва да сте разбрали каква е ролята на записите A/AAAA за функцията на уебсайта. Без тези записи би било невъзможно да се открие уебсайт. Така че конфигурирането на A/AAAA записите на даден уебсайт е от решаващо значение за неговата функция.

2. Запис CNAME

Записите CNAME не са толкова важни, колкото записите A/AAAA, но имат своите уникални приложения. Записът CNAME препраща един домейн към друг. С по-прости думи, можете да направите така, че всички DNS заявки за един домейн автоматично да се изпращат към друг домейн.

Например, ако имате домейн, наречен "cars.com", и друг домейн, наречен "vehicles.com", можете да използвате запис CNAME, за да преименувате "cars.com" на "vehicles.com".

Така всеки път, когато някой напише "cars.com" в адресната лента на браузъра си, вместо това автоматично ще се озове в "vehicles.com". Това е така, защото DNS заявката за "cars.com" ще бъде посрещната със CNAME запис, който препраща към A/AAAA записа на "vehicles.com".

Това е полезно за уебсайтове, които имат няколко подобни домейна. Със записите CNAME крайният потребител винаги ще бъде насочван към правилния сайт. Така че, ако домейнът ви се нарича "xyz.org", можете да създадете CNAME записи за "www.xyz.org", които сочат към "xyz.org".

3. Запис MX

MX означава записи за обмен на поща. Записите MX са от решаващо значение за функциите на електронната поща на уебсайта. По принцип тяхната роля е да определят кои пощенски сървъри да работят с имейлите на домейна.

Да кажем, че имате онлайн магазин. Очевидно е, че ще имате имейл адрес, на който клиентите да се свързват с вас. Може да имате и отделен имейл адрес за потенциални бизнес партньори.

Ако записите MX са конфигурирани правилно, няма да имате проблеми с получаването на имейли. Всеки имейл, насочен към имейл адреса на вашия домейн, ще бъде изпратен до правилния пощенски сървър, определен в записа.

Без запис MX тези имейли ще бъдат изгубени. Няма да ги получите, защото няма да бъдат изпратени до нито един пощенски сървър. Когато не получавате имейли, не можете да отговаряте на тях. Това създава впечатление, че не сте комуникативни и оставя лошо впечатление у потребителите на вашия уебсайт.

4. TXT запис

Записите TXT са нестандартни записи, които могат да се използват за различни функции. Те могат да се използват за проверка на уебсайта от доставчици на услуги от трети страни, като например търсачки, пощенски сървъри, доставчици на API и др.

Записът TXT няма зададена стойност като другите записи. Стойността му може да бъде каквато пожелаете. Докато се придържате към ограничението на символите, можете да въведете всяка стойност.

За проверката на уебсайта гореспоменатите доставчици на услуги от трети страни предоставят на уебмастъра определена стойност, която той да добави към своя TXT запис. Ако стойността е същата като тази, която е дал доставчикът на услуги от трета страна, това означава, че се работи с правилния уебсайт, а не с измамник.

Съществуват и други начини за използване на TXT записи за сигурност, които ще разгледаме в раздела "Сигурност".

5. Запис на NS

Досега най-важният тип запис е NS записът. NS означава сървър за имена. Сървърите за имена са на върха на йерархията на DNS. Те съдържат всички записи на домейни.

Записите NS дават подробна информация за това кои сървъри за имена съдържат записите на даден домейн. Без NS запис резолверите и DNS сървърите, разположени по-ниско в йерархията, няма да знаят към кой сървър да отправят запитване, за да получат информация за даден домейн.

Така че, ако NS записите ви липсват, сайтът ви на практика не може да бъде намерен, което го прави безполезен. Ето защо се уверете, че NS записите ви са във форма.

6. SRV запис

SRV означава услуга. Тези записи определят кои интернет услуги, като VoIP, имейли и съобщения, използват кои портове.

Без SRV запис специфичният трафик за определени портове ще бъде отхвърлен. Обикновено това не е проблем за повечето уебсайтове. Въпреки това, ако използвате интернет услуги, които използват VoIP, имейли или незабавни съобщения, SRV записите трябва да се настроят правилно.

7. PTR запис

PTR записите се използват за обратни DNS търсения. PTR означава указател и този тип записи съпоставя IP адрес с име на домейн. Той е противоположен на запис A/AAAA.

PTR записите са необходими за функционирането на уебсайта, тъй като се използват за проверка. Понякога уебсайтовете могат да фалшифицират името на домейна си и да изпращат заявки към сървър за друг домейн. Сървърът може да използва PTR записите, за да провери дали IP адресът на измамника съвпада с този на истинския домейн.

Ако има несъответствие, заявката се отхвърля.

DNS записи, които допринасят за сигурността

Сигурността на уебсайта е изключително важна. Можете да научите повече за нея от някоя от другите ни статии.

По-долу са дадени записи, които помагат да защитите уебсайта си и да предотвратите различни рискове за сигурността, като например подмяна на имената и отравяне на кеша.

1. Записи DNSSEC

DNSSEC е съкращение за защита на DNS. Това е протокол за сигурност, който има за цел да ограничи недостатъците в DNS. Виждате, че DNS не е проектиран с оглед на сигурността. Затова беше изключително лесно да се използва като вектор за атаки.

С DNSSEC бяха въведени два вида нови записи. Тези записи помагат за защита на съдържанието на други записи и за проверка на източника, от който произхождат.

DNSSEC работи на базата на криптография с публичен ключ. По принцип DNS записите се подписват с криптографски ключове, за да се гарантира, че данните в тях не могат да бъдат подправени.

Подобни ключове се използват, за да се гарантира, че записите също произхождат от правилния източник.

Това спомага за сигурността на уебсайта, като ви помага да се защитите от атаки за отравяне на кеша. Злонамерени участници могат да променят DNS записите в кеша на резолвера и безпроблемно да пренасочат трафика от един уебсайт към друг.

С DNSSEC можете да защитите посетителите, които се опитват да достигнат до вашия уебсайт, от злонамерено пренасочване и да запазите репутацията си.

Нека разгледаме как записите DS и DNSKEY изпълняват това.

2. Запис DNSKEY

Записът DNSKEY съдържа публичен ключ. Този публичен ключ е двойката с частния ключ на зоната. Всички DNS записи на дадена зона се подписват с частния ключ, а публичният ключ от записа DNSKEY се използва за проверка на този подпис.

Ако подписът не може да бъде проверен, това означава, че данните в записа са били променени и този запис е невалиден.

Все пак остава въпросът: как можете да проверите дали самият публичен ключ не е бил компрометиран? Тук се появяват записите DS.

3. DS Record

DS Record е съкращение от Delegation Signer (подписващ делегация). Това е запис, който делегира правомощия на даден домейн. В йерархията на DNS има административни подразделения, известни като зони. Зоните могат да имат родители и деца. Родителските зони се считат за авторитетни, т.е. те са надеждни и информацията в тях е достоверна.

Родителските зони могат да делегират правомощията си на своите дъщерни зони. Те правят това с помощта на DS записи. DS записите съдържат хеш на ключа, съхранен в записа DNSKEY.

Докато хешът на стойността на записа DNSKEY съвпада с хеша в записа DS, това означава, че ключът е валиден. Тази проверка се извършва на всяко ниво, т.е. родител на зоната, родител на нейния родител и т.н.

4. Записи SPF, DKIM и DMARC

TXT записите играят много важна роля в областта на сигурността. TXT записите, свързани със сигурността, се наричат SPF, DKIM и DMARC. Те са свързани със сигурността на имейлите, свързани с вашия домейн. Като ги настроите, можете да защитите репутацията на изпращача на имейли и да подобрите възможността за доставка на имейли на вашия уебсайт.

Ролите на тези записи са свързани. Нека да започнем със записите SPF.

5. SPF записи

SPF е съкращение от Sender Policy Framework (Рамка на политиката на изпращача). SPF записите показват кои пощенски сървъри са оторизирани да изпращат имейли от името на даден домейн. Преди появата на SPF записите всеки можеше да изпрати имейл и да твърди, че е от определен домейн. Това създаваше проблем с измамниците, които използваха такива имейли за фишинг, злонамерено пренасочване и дори за социално инженерство.

6. DKIM записи

DKIM означава Domain Keys Identified Mail (Идентифицирана поща с ключове на домейни). Това също е вид текстов запис. Записите DKIM покриват една уязвимост, оставена от записите SPF. Това е възможността за подправяне на имейл адрес.

Записите DKIM също използват криптография, за да гарантират, че имейлът произхожда от правилния източник. DKIM се състои от две части: публичен ключ, наличен в DNS записите, и DKIM заглавие в електронното писмо, подписано с частния ключ. Клиентите, получаващи имейли, трябва да проверяват дали ключът на DKIM заглавието и ключовете на записите са част от една и съща двойка или не. Ако са, значи имейлът е от правилния източник, ако не са, имейлът се отхвърля.

7. DMARC записи

DKIM и SPF се използват за потвърждаване на източника на имейл и за намаляване на фалшифицирането. DMARC се използва, за да укаже на получателя на електронна поща какво да прави, когато получи имейли, които не отговарят на гореспоменатите проверки.

DMARC е съкращение от Domain-Based Message Authentication Reporting and Conformance (докладване и съответствие на съобщения, базирани на домейни).

По принцип записите DMARC указват на получателя на електронна поща да предприеме едно или повече от следните действия, ако дадена електронна поща не успее да премине проверките SPF и DKIM.

• Маркирайте имейла като спам.
• Позволете на спам пощата да премине
• Отхвърляне на спам

Освен това те съобщават и за домейна, чиито имейли не отговарят на проверките SPF и DKIM. Това помага на собствениците на домейни да проверят дали техният домейн има някакви проблеми и бързо да предприемат действия за поддържане на репутацията на изпращача.

Без записи DMARC доставчиците на услуги за електронна поща сами преценяват дали да отхвърлят или приемат имейли. Това може да има странни последици за репутацията на вашия домейн (а оттам и за репутацията на вашия уебсайт). Затова е по-добре да имате контрол върху това.

Заключение

Сега виждате, че DNS записите са жизненоважни за функционирането и сигурността на уебсайта. Без DNS записи е невъзможно да се открият уебсайтове. DNS отговаря и за определянето на портовете за отделните услуги на уебсайта (като електронна поща и VoIP).

С помощта на записите за сигурност на DNS предотвратявате злоупотребата с образа на вашия уебсайт с цел нанасяне на вреда на други лица. Освен това гарантирате, че репутацията на изпращача на имейли на вашия уебсайт е запазена, което води до това, че повече имейли намират път към пощенските кутии на потребителите.