Система доменных имен

Система доменных имен ( DNS ) - это иерархическая и распределенная служба имен , которая предоставляет систему именования для компьютеров , услуг и других ресурсов в сети Интернета или других интернет -протоколов (IP). Он связывает различную информацию с доменными именами ( идентификационными строками ), присвоенными каждому из связанных объектов. Наиболее заметно, он переводит легко запоминающиеся доменные имена в числовые IP -адреса, необходимые для определения местонахождения и идентификации компьютерных услуг и устройств с помощью базовых сетевых протоколов . ^{[ 1 ]} Система доменных имен является важной компонентом функциональности Интернета с 1985 года.

Система доменных имен делегирует ответственность за назначение доменных имен и сопоставление этих имен в интернет -ресурсы, определяя авторитетные серверы имен для каждого домена. Администраторы сети могут делегировать полномочия по субдоменам их выделенного пространства имен на другие серверы имен. Этот механизм обеспечивает распределенную и устойчивую к неисправности услуги и был разработан, чтобы избежать одной большой центральной базы данных. Кроме того, DNS определяет техническую функциональность службы базы данных , которая находится в его ядре. Он определяет протокол DNS, подробную спецификацию структур данных и обменов передачи данных, используемых в DNS, как часть интернет -набора протоколов .

Интернет поддерживает два основных пространства имен : иерархия доменных имен и пространства IP -адреса . ^{[ 2 ]} Система доменных имен поддерживает иерархию доменных имен и предоставляет услуги перевода между ИТ и адресными пространствами. Серверы имен интернета и протокол связи реализуют систему доменных имен. Сервер имен DNS - это сервер, который хранит записи DNS для домена; Сервер имен DNS отвечает ответами на запросы по своей базе данных.

Наиболее распространенные типы записей, хранящихся в базе данных DNS, предназначены для начала авторитета ( SOA ), IP -адресов ( A и AAAA ), SMTP -почтовых обменов (MX), серверов имен (NS), указатели для обратных DNS (PTR), и доменные псевдонимы (CNAME). Несмотря на то, что DNS не предназначен для базы данных общего назначения, со временем расширился для хранения записей для других типов данных для либо для автоматических поисков, таких как записи DNSSEC , или для человеческих запросов, таких как записи ответственного лица (RP). В качестве базы данных общего назначения DNS также использовалась в борьбе с нежелательной электронной почтой (спам) путем хранения списка черных рук в реальном времени (RBL). База данных DNS традиционно хранится в структурированном текстовом файле, файле зоны , но другие системы баз данных распространены.

Система доменных имен первоначально использовала протокол Datagram пользователя (UDP) в качестве транспорта над IP. Надежность, безопасность и проблемы конфиденциальности породили использование протокола контроля передачи (TCP), а также многочисленные другие разработки протокола.

Функция

Часто используемая аналогия для объяснения DNS состоит в том, что он служит телефонной книгой для Интернета, переводя удобные для человека имена хостов компьютера в IP-адреса. Например, имя хоста www.example.com доменного пример рамках В . имени DNS может быть быстро и прозрачно обновлена, позволяя изменению местоположения службы в сети, не влияя на конечных пользователей, которые продолжают использовать то же имя хоста. Пользователи пользуются этим, когда они используют значимые равномерные локаторы ресурсов ( URL ) и адреса электронной почты, не зная, как компьютер на самом деле определяет услуги.

Важной и вездесущей функцией DNS является его центральная роль в распределенных интернет -сервисах, таких как облачные сервисы и сети доставки контента . ^{[ 3 ]} Когда пользователь обращается к распределенной интернет -службе с помощью URL -адреса, доменное имя URL -адреса переводится на IP -адрес сервера, который является проксимальным для пользователя. Ключевая функциональность DNS, используемых здесь, заключается в том, что разные пользователи могут одновременно получать разные переводы для одного и того же доменного имени, ключевой точки дивергенции от традиционного представления DNS. Этот процесс использования DNS для назначения проксимальных серверов пользователям является ключом к предоставлению более быстрых и надежных ответов в Интернете и широко используется большинством крупных интернет -сервисов. ^{[ 4 ]}

DNS отражает структуру административной ответственности в Интернете. ^{[ 5 ]} Каждый субдомен является зоной административной автономии, делегированной менеджером. Для зон, управляемых реестрами , реестра административная информация часто дополняется услугами RDAP и WHOIS . Эти данные могут быть использованы для получения понимания и отслеживания ответственности за данного хоста в Интернете. ^{[ 6 ]}

История

Использование более простого, более запоминающегося имени вместо численного адреса хозяина восходит к эпохе Arpanet . Исследовательский институт Стэнфорда (в настоящее время SRI International ) сохранил текстовый файл с именем hosts.txt , который сопоставлял имена хостов с числовыми адресами компьютеров на Arpanet. ^{[ 7 ]}^{[ 8 ]} Элизабет Фейнлер разработала и поддерживала первый каталог Arpanet. ^{[ 9 ]}^{[ 10 ]} Поддержание численных адресов, называемых списком назначенных чисел, было обработано Джоном Постелем в Южной Калифорнии Университета Институте информационных наук (ISI), чья команда тесно сотрудничала с SRI. ^{[ 11 ]}

Адреса были назначены вручную. Компьютеры, включая их имена хостов и адреса, были добавлены в основной файл, связавшись с информационным центром SRI Network (NIC), режиссером Feinler по телефону в рабочее время. ^{[ 12 ]} Позже Фейнлер установил каталог WHOIS на сервере в NIC для поиска информации о ресурсах, контактах и объектах. ^{[ 13 ]} Она и ее команда разработали концепцию доменов. ^{[ 13 ]} Фейнлер предположил, что домены должны основываться на местоположении физического адреса компьютера. ^{[ 14 ]} компьютеры в образовательных учреждениях будут иметь домен EDU . Например, ^{[ 15 ]} Она и ее команда управляли реестрами именования ведущего с 1972 по 1989 год. ^{[ 16 ]}

К началу 1980 -х годов поддержание единого централизованного хост -таблицы стало медленным и громоздким, а новая сеть потребовала автоматической системы именования для решения технических и персональных проблем. Postel направил задачу поставить компромисс между пятью конкурирующими предложениями решений Пола Мокапетриса . Mockapetris вместо этого создал систему доменных имен в 1983 году, когда в Университете Южной Калифорнии . ^{[ 12 ]}^{[ 17 ]}

Целевая группа по инженерному интернет -инженерии опубликовала первоначальные спецификации в RFC 882 и RFC 883 в ноябре 1983 года. ^{[ 18 ]}^{[ 19 ]} Они были обновлены в RFC 973 в январе 1986 года.

В 1984 году четыре студента UC Berkeley , Дуглас Терри, Марк Пейнтер, Дэвид Риггл и Сонниан Чжоу, написали первую Unix реализацию сервера имен для домена имени Интернета в Беркли, обычно называемой Bind . ^{[ 20 ]} В 1985 году Кевин Данлэп из DEC существенно пересмотрел реализацию DNS. Майк Карелс , Фил Алмквист и Пол Викси затем взяли на себя обслуживание Bind. Консорциум Internet Systems был основан в 1994 году Риком Адамсом , Полом Викси и Карлом Маламудом , специально для предоставления дома для разработки и технического обслуживания Bind. Версии Bind с 4.9.3 были разработаны и поддерживались ISC, при поддержке спонсоров ISC. Как со-архитекторы/программисты, Боб Галли и Пол Викси выпустили первую, готовую к производству версии Bind версии 8 в мае 1997 года. С 2000 года более 43 различных основных разработчиков работали над Bind. ^{[ 21 ]}

В ноябре 1987 года, RFC 1034 ^{[ 22 ]} и RFC 1035 ^{[ 5 ]} заменил спецификации DNS 1983 года. Несколько дополнительных запросов на комментарии предложили расширения в основные протоколы DNS. ^{[ 23 ]}

Структура

Доменное имя пространство

Пространство доменных имен состоит из структуры данных дерева . Каждый узел или лист в дереве имеет метку и ноль или более записи ресурсов (RR), которые содержат информацию, связанную с доменным именем. Само доменное имя состоит из метки, объединенной с именем его родительского узла справа, разделенной точкой. ^{[ 24 ]}

Дерево субсидирует в зоны, начиная с корневой зоны . Зона DNS может состоять из столько доменов и субдоменов, сколько выбирает менеджер зоны. DNS также можно разделить в соответствии с классом , где отдельные классы можно рассматривать как множество параллельных деревьев имен. ^{[ 25 ]}

Административная ответственность за любую зону может быть разделена путем создания дополнительных зон. Говорят, что власть над новой зоной делегирован на назначенный сервер имен. Родительская зона перестает быть авторитетной для новой зоны. ^{[ 25 ]}

Синтаксис доменных имен, интернационализация

Окончательные описания правил формирования доменных имен появляются в RFC 1035, RFC 1123, RFC 2181 и RFC 5892. Доменное имя состоит из одной или нескольких частей, технически называемых метки , которые обычно объединяются и разграничиваются точки, такими, такими. as example.com.

Самая правая метка передает домен верхнего уровня ; верхнего уровня Например, доменное имя www.example.com принадлежит домену .

Иерархия доменов спускается справа налево; Каждая метка слева указывает подразделение или поддомен домена справа. Например, пример метки указывает поддомен домена Com , а www является поддоменом example.com. Это дерево подразделений может иметь до 127 уровней. ^{[ 26 ]}

Метка может содержать от нуля до 63 символов. Нулевая метка ноль длины зарезервирована для корневой зоны. Полное доменное имя не может превышать длину 253 символов в своем текстовом представлении. ^{[ 22 ]} Во внутреннем двоичном представлении DNS максимальная длина требует 255 октетов хранения, поскольку он также хранит длину имени. ^{[ 5 ]}

Хотя технических ограничений не существует, чтобы предотвратить использование метков доменных имен от использования любого символа, представляющего октет, имена хостов используют предпочтительный формат и набор символов. разрешенные в метках, представляют собой подмножество набора символов ASCII , состоящее из символов A -Z Символы , , A -A -Z , цифр от 0 до 9 и дефиса. Это правило известно как правило LDH (буквы, цифры, дефис). Доменные имена интерпретируются независимым от случая. ^{[ 27 ]} Метки могут не запускать или заканчивать с дефисом. ^{[ 28 ]} Дополнительное правило требует, чтобы доменные имена верхнего уровня не были ячечны. ^{[ 28 ]}

Ограниченный набор символов ASCII, разрешенных в DNS, предотвращал представление имен и слов многих языков в их родных алфавитах или сценариях. Чтобы сделать это возможным, ICANN утвердил систему интернационализирования доменных доменных имен в приложениях (IDNA), с помощью которой пользовательские приложения, такие как веб -браузеры, MAP Unicode Strings в действительный набор символов DNS с использованием Punycode . В 2009 году ICANN утвердил установку интернационализированного доменного имени кода страны кода страны ( CCTLD S) . Кроме того, во многих реестрах существующих доменных имен высшего уровня ( TLD S ) приняли систему IDNA, руководствуясь RFC 5890, RFC 5891, RFC 5892, RFC 5893.

Название серверов

Система доменных имен поддерживается распределенной системой баз данных , которая использует модель клиента -сервер . Узлы этой базы данных - это серверы имен . Каждый домен имеет по крайней мере один авторитетный DNS -сервер, который публикует информацию об этом домене и имени серверов любого домена, подчиненных ему. Верхняя часть иерархии обслуживается серверами имени корня , серверами для запроса при поиске ( разрешение ) TLD .

Авторитетный сервер имен

Авторитетный имен сервер имен - это сервер имен, который дает ответы только на запросы DNS из данных, которые были настроены исходным источником, например, администратором домена или динамическими методами DNS, в отличие от ответов, полученных с помощью запроса на другой сервер Это только поддерживает кэш данных.

Авторитетным сервером имен может быть либо основным сервером, либо вторичным сервером. Исторически термины мастер/раб и первичный/вторичный иногда использовались взаимозаменяемо ^{[ 29 ]} Но текущая практика заключается в том, чтобы использовать последнюю форму. Основной сервер - это сервер, на котором хранится исходные копии всех записей зоны. Вторичный сервер использует специальный механизм автоматического обновления в протоколе DNS в связи с его первичной для поддержания идентичной копии первичных записей.

Каждой зоне DNS должен быть назначен набор авторитетных серверов имен. Этот набор серверов хранится в родительской зоне домена с записями сервера имен (NS).

Авторитетный сервер указывает его статус предоставления окончательных ответов, считающихся авторитетными , установив флаг протокола, называемый « авторитетный ответ » ( AA ) битом в своих ответах. ^{[ 5 ]} Этот флаг обычно воспроизводится на выводе инструментов запросов администрирования DNS, таких как DIG , чтобы указать , что ответный сервер имен является авторитетом для рассматриваемого доменного имени. ^{[ 5 ]}

Когда сервер имен обозначен как авторитетный сервер для доменного имени, для которого он не имеет авторитетных данных, он представляет тип ошибки, называемой «хромой делегации» или «хромого ответа». ^{[ 30 ]}^{[ 31 ]}

Операция

Механизм разрешения адреса

Резолюры доменных имен определяют серверы доменных имен, отвечающие за рассматриваемое доменное имя последовательной последовательности запросов, начиная с доменной метки домена (верхнего уровня).

Для правильной работы своего доменного имени Resolver, сетевой хост настроен с начальным кэшем ( подсказки ) известных адресов серверов имен корня. Подсказки периодически обновляются администратором путем получения набора данных из надежного источника.

Предполагая, что у резольвера нет кэшированных записей для ускорения процесса, процесс разрешения начинается с запроса на один из корневых серверов. В типичной операции корневые серверы не отвечают напрямую, но отвечают направлением на более авторитетные серверы, например, запрос для «www.wikipedia.org» передается на серверы орг . Резольвер теперь запрашивает упомянутые серверы, и итеративно повторяет этот процесс, пока не получит авторитетный ответ. Диаграмма иллюстрирует этот процесс для хоста, который назван полностью квалифицированным доменным именем "www.wikipedia.org".

Этот механизм поместит большую нагрузку на трафик на корневые серверы, если каждое разрешение в Интернете требуется, начиная с корня. На практике кэширование используется на серверах DNS для разгрузки корневых серверов, и в результате серверы корневых имен фактически участвуют только в относительно небольшой доли всех запросов.

Рекурсивный и кэширующий сервер имен

Теоретически авторитетные серверы имен достаточно для работы Интернета. Однако, когда работают только авторитетные серверы имен, каждый запрос DNS должен начинаться с рекурсивных запросов в корневой зоне системы доменных имен, и каждая пользовательская система должна будет реализовать программное обеспечение для резолюции, способное выполнять рекурсивную работу. ^{[ 32 ]}

Чтобы повысить эффективность, уменьшить трафик DNS по всему Интернету и повысить производительность в приложениях конечных пользователей, система доменных имен поддерживает серверы кэша DNS, которые хранят результаты запроса DNS в течение определенного периода времени, определяемого в конфигурации ( время к жизни ) Запись доменного имени. Как правило, такие серверы DNS кэширования также реализуют рекурсивный алгоритм, необходимый для разрешения заданного имени, начиная с корневого DNS до авторитетных серверов имен запрашиваемого домена. С помощью этой функции, реализованной на сервере имен, пользовательские приложения получают эффективность в проектировании и работе.

Комбинация DNS -кэширования и рекурсивных функций на сервере имен не является обязательной; Функции могут быть реализованы независимо на серверах для особых целей.

Интернет -провайдеры обычно предоставляют рекурсивные и кэширующие серверы для своих клиентов. Кроме того, многие домашние сетевые маршрутизаторы внедряют кэши и рекурсию DNS для повышения эффективности в локальной сети.

DNS Resolvers

Клиентская сторона DNS называется DNS Resolver. Резольвер отвечает за инициирование и секвенирование запросов, которые в конечном итоге приводят к полному разрешению (переводу) запрашиваемого ресурса, например, перевода доменного имени в IP -адрес. Резолюры DNS классифицируются по различным методам запросов, такими как рекурсивные , нерекурсивные и итерационные . Процесс разрешения может использовать комбинацию этих методов. ^{[ 22 ]}

В не-рекурсивном запросе DNS-резолювер запросит DNS-сервер, который предоставляет запись, для которой сервер является авторитетным, либо предоставляет частичный результат без запроса других серверов. В случае резолвера DNS кэширующий DNS нерекурсивный запрос его локального кеша DNS дает результат и уменьшает нагрузку на серверы DNS вверх по течению путем кэширования записей ресурсов DNS в течение периода времени после первоначального отклика с серверов DNS вверх по течению.

В рекурсивном запросе DNS Resolver запрашивает один DNS -сервер, который, в свою очередь, может запросить другие серверы DNS от имени запрашивания. Например, простой резолювер, работающий на домашнем маршрутизаторе, пользователя обычно делает рекурсивный запрос на сервер DNS, заполненного интернет -провайдером . Рекурсивный запрос - это тот, для которого сервер DNS полностью отвечает на запрос, запрашивая другие серверы имен по мере необходимости. В типичной операции клиент выдает рекурсивный запрос на рекурсивный DNS-сервер, который впоследствии выдает нерекурсивные запросы, чтобы определить ответ и отправить один ответ клиенту. Резолювер, или другой сервер DNS, действуя рекурсивно от имени резолюра, обсуждает использование рекурсивного сервиса, используя биты в заголовках запросов. DNS -серверы не обязаны поддерживать рекурсивные запросы.

Процедура итеративного запроса - это процесс, в котором DNS решает, запрашивает цепь одного или нескольких серверов DNS. Каждый сервер относится к клиенту на следующий сервер в цепочке, пока текущий сервер не сможет полностью разрешить запрос. Например, возможное разрешение www.example.com запрашивает глобальный корневой сервер, а затем сервер «com» и, наконец, сервер "example.com".

Круглые зависимости и клейкие записи

Серверы имен в делегациях идентифицируются по имени, а не IP -адресом. Это означает, что разрешенный сервер имен должен выдать еще один запрос DNS, чтобы узнать IP -адрес сервера, на который он был направлен. Если имя, приведенное в делегировании, является поддоменом домена, для которого предоставляется делегация, существует круглая зависимость .

В этом случае сервер имен, предоставляющий делегирование, также должен предоставить один или несколько IP -адресов для авторитетного сервера имен, упомянутого в делегировании. Эта информация называется клеем . Сервер делегирования имен предоставляет этот клей в форме записей в дополнительном разделе ответа DNS и предоставляет делегирование в разделе «Органа» ответа. Клейская запись - это комбинация сервера имен и IP -адрес.

Например, если авторитетный сервер имен , например. Поскольку NS1 содержится в example.org, это требует сначала разрешенного примера. Чтобы сломать зависимость, сервер имен для домена верхнего уровня включает в себя клей вместе с делегированием, например. Записи клей - это адресные записи, которые предоставляют IP -адреса для ns1.example.org. Resolver использует один или несколько из этих IP -адресов для запроса одного из авторитетных серверов домена, который позволяет ему заполнять запрос DNS.

Запишите кэширование

Общий подход к снижению бремени на серверах DNS заключается в кэшировании результатов разрешения имени локально или на промежуточных резиновых хозяевах. Каждый результат запроса DNS имеет время для жизни (TTL), что указывает на то, как долго информация остается действительной, прежде чем ее необходимо отказаться или обновлять. Этот TTL определяется администратором авторитетного DNS -сервера и может варьироваться от нескольких секунд до нескольких дней или даже недель. ^{[ 33 ]}

В результате этой распределенной архитектуры кэширования изменения в записях DNS не распространяются по всей сети немедленно, но требуют истечения срока действия всех кэши и обновляться после TTL. RFC 1912 передает основные правила для определения соответствующих значений TTL.

Некоторые резолюры могут переопределять значения TTL, так как протокол поддерживает кэширование в течение до шестидесяти восьми лет или вообще вообще нет. Отрицательное кэширование , т.е. кэширование факта не существующего записи, определяется серверами имен, авторитетными для зоны, которая должна включать в себя начало авторитета (SOA) при сообщении данных об отсутствии данных о запрошенном типе. Значение минимального поля записи SOA и TTL самого SOA используется для установления TTL для отрицательного ответа.

Обратный поиск

Обратный поиск DNS - это запрос DNS для доменных имен, когда IP -адрес известен. Несколько доменных имен могут быть связаны с IP -адресом. DNS хранит IP-адреса в форме доменных имен в качестве специально отформатированных имен в записях указателя (PTR) в домене верхнего уровня инфраструктуры ARPA . Для IPv4 домен-inddr.arpa. Для IPv6 домен обратного поиска IP6.ARPA. IP-адрес представлен как имя в репрезентации октета обратного порядка для IPv4, а также представление с обратным порядком для IPv6.

При выполнении обратного поиска клиент DNS преобразует адрес в эти форматы, прежде чем запросить имя для записи PTR после цепочки делегирования, как и для любого запроса DNS. Например, предполагая, что адрес IPv4 208.80.152.2 присваивается Wikimedia, он представлен в качестве имени DNS в обратном порядке: 2.152.80.208.in-addr.arpa. Когда решатель DNS получает запрос указателя (PTR), он начинается с запроса корневых серверов, которые указывают на серверы американского реестра для чисел интернета (ARIN) для зоны 208.in-addr.arpa. Серверы Арин Серверы 152.80.208.in-addr.arpa в Wikimedia, на который резольвер отправляет еще один запрос для 2.152.80.208.in-addr.arpa, что приводит к авторитетному ответу.

Поиск клиента

Пользователи, как правило, не общаются напрямую с разрешением DNS. Вместо этого разрешение DNS происходит прозрачно в таких приложениях, как веб-браузеры , клиенты электронной почты и другие интернет-приложения. Когда приложение делает запрос, который требует поиска доменных имен, такие программы отправляют запрос разрешения в резолювер DNS в локальной операционной системе, которая, в свою очередь, обрабатывает необходимые сообщения.

У Resolver DNS почти всегда будет кеш (см. Выше), содержащий недавние поиски. Если кэш может дать ответ на запрос, Resolver вернет значение в кэше в программу, которая сделала запрос. Если кэш не содержит ответа, резольвер отправит запрос на один или несколько назначенных серверов DNS. В случае большинства домашних пользователей, интернет -поставщик услуг, к которым подключает машину, обычно поставляет этот сервер DNS: такой пользователь либо настроил адрес этого сервера вручную, либо позволил DHCP установить его; Однако, когда системные администраторы настроили системы для использования своих собственных серверов DNS, их резолюры DNS указывают на отдельно поддерживаемые имен серверы организации. В любом случае, запрашиваемый сервер именений будет следовать процессу, изложенному выше , пока он либо успешно не найдет результат, либо нет. Затем он возвращает свои результаты в DNS Resolver; Предполагая, что он нашел результат, резокрист, должным образом кэши, которые результаты для будущего использования и передают результат обратно программному обеспечению, которое инициировало запрос.

Разбитые резолюры

Некоторые крупные интернет -провайдеры настроили свои серверы DNS для нарушения правил, например, не подчиняющимися TTL или указав, что доменное имя не существует только потому, что один из его серверов имен не отвечает. ^{[ 34 ]}

Некоторые приложения, такие как веб -браузеры, поддерживают внутренний кэш DNS, чтобы избежать повторных поисков через сеть. Эта практика может добавить дополнительные трудности при отладке вопросов DNS, поскольку она скрывает историю таких данных. Эти кеши обычно используют очень короткое время кэширования в порядке одной минуты. ^{[ 35 ]}

Internet Explorer представляет собой заметное исключение: версии в соответствии с IE 3.x Cache Records DNS в течение 24 часов по умолчанию. Internet Explorer 4.x и более поздние версии (до IE 8) уменьшают значение тайм -аута по умолчанию до получаса, что может быть изменено путем изменения конфигурации по умолчанию. ^{[ 36 ]}

Когда Google Chrome обнаруживает проблемы с DNS -сервером, он отображает конкретное сообщение об ошибке.

Другие приложения

Система доменных имен включает в себя несколько других функций и функций.

Имена хоста и IP-адреса не требуются для соответствия в отношениях один к одному. Несколько имен хоста могут соответствовать одному IP -адресу, который полезен в виртуальном хостинге , в котором многие веб -сайты обслуживаются с одного хоста. В качестве альтернативы, одно имя хоста может решить ко многим IP -адресам, чтобы способствовать устойчивости к неисправности и распределения загрузки на несколько экземпляров сервера по всему предприятию или глобальному Интернету.

DNS служит другим целям в дополнение к переводу имен на IP -адреса. Например, агенты по передаче почты используют DNS для поиска лучшего почтового сервера для доставки электронной почты : запись MX обеспечивает отображение между доменом и почтовым обменником; Это может обеспечить дополнительный слой устойчивости к неисправности и распределения нагрузки.

DNS используется для эффективного хранения и распределения IP -адресов черно списковых хостов электронной почты. Общим методом является размещение IP-адреса хоста субъекта в поддомен имени доменного имени более высокого уровня и разрешить это имя на запись, которая указывает на положительное или отрицательное указание.

Например:

Адрес 203.0.113.5 включен в черный список. Это указывает на 5.113.0.203.blacklist.example , который решается до 127.0.0.1 .
Адрес 203.0.113.6 не внесен в черный список и указывает на 6.113.0.203.blacklist.example . Это имя хоста либо не настроено, либо разрешается до 127.0.0.2 .

Серверы электронной почты могут запросить Blacklist.example, чтобы выяснить, находится ли конкретный хост, подключенный к ним, находится в черном списке. Многие из таких черных списков, либо на основе подписки, так и бесплатных затрат, доступны для использования администраторами электронной почты и анти-спам-программным обеспечением.

Чтобы обеспечить устойчивость в случае сбоя компьютера или сети, для охвата каждого домена обычно предоставляются несколько серверов DNS. На высшем уровне глобальных DNS существуют тринадцать групп серверов именных имен , причем дополнительные «копии» из них распределены по всему миру по адресу AnyCast .

Dynamic DNS (DDNS) обновляет сервер DNS с клиентским IP-адресом на лету, например, при перемещении между интернет-провайдерами или мобильными горячими точками или при изменении IP-адреса административно.

Формат сообщений DNS

Протокол DNS использует два типа сообщений DNS, запросы и ответы; Оба имеют одинаковый формат. Каждое сообщение состоит из заголовка и четырех разделов: вопрос, ответ, авторитет и дополнительное пространство. Поле заголовка ( флаги ) управляет содержанием этих четырех раздела. ^{[ 22 ]}

Раздел заголовка состоит из следующих полей: идентификация , флаги , количество вопросов , количество ответов , количество записей ресурсов власти (RR) и количество дополнительных RR . Каждое поле длиной 16 бит и появляется в данном порядке. Поле идентификации используется для сопоставления ответов с запросами. Поле флага состоит из суб-полей следующим образом:

Заголовок Flags Format
Поле	Описание	Длина ( биты )
QR	Указывает, является ли сообщение запросом (0) или ответом (1)	1
ОПОД	Тип может быть запросом (стандартный запрос, 0), iQuery (обратный запрос, 1) или статус (запрос состояния сервера, 2)	4
Аа	Авторитетный ответ в ответ указывает, является ли DNS -сервер авторитетным для запроса hostName	1
ТК	Усечение, указывает на то, что это сообщение было усечено из -за чрезмерной длины	1
Rd.	Рекурсия требует, указывает, означает ли клиент рекурсивный запрос	1
Солнце	Рекурсия доступна в ответе, указывает, поддерживает ли ответ DNS -сервер рекурсив	1
С	Ноль, зарезервирован для будущего использования	3
RCODE	Код ответа, может быть noerror (0), formerr (1, ошибка формата), Servfail (2), nxdomain (3, не существующий домен) и т. Д. ^{[ 37 ]}	4

После слова флажков заголовок заканчивается четырьмя 16-битными целыми числами, которые содержат количество записей в каждом из следующих раздела, в том же порядке.

Header DNS
Смещения		0								1								2								3
Октет	Кусочек	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7
0	0	Идентификатор транзакции																Флаги
0	0	Идентификатор транзакции																QR	ОПОД				Аа	ТК	Rd.	Солнце	С			RCODE
4	32	Количество вопросов																Количество ответов
8	64	Количество полномочий RRS																Количество дополнительных RR

Раздел вопросов

В разделе вопросов есть более простой формат, чем формат записи ресурсов, используемый в других разделах. Каждая запись вопроса (обычно есть только одна в разделе) содержит следующие поля:

Поля записи ресурсов (RR)
Поле	Описание	Длина ( октеты )
ИМЯ	Название запрошенного ресурса	Переменная
ТИП	Тип RR (A, AAAA, MX, TXT и т. Д.)	2
СОРТ	Код класса	2

Доменное имя разбито на дискретные метки, которые объединяются; Каждая этикетка префикс по длине этой метки. ^{[ 38 ]}

Ресурсные записи

Система доменных имен определяет базу данных информационных элементов для сетевых ресурсов. Типы информационных элементов классифицируются и организованы с помощью списка типов записей DNS , записей ресурсов (RRS). Каждая запись имеет тип (имя и номер), время истечения срока действия ( время для жизни ), класс и данные, специфичные для типа. Записи ресурсов того же типа описаны как набор записей ресурсов (RRSet), не имеющий специального упорядочения. Резолюры DNS возвращают весь набор по запросу, но серверы могут реализовать заказ круглого робина для достижения балансировки нагрузки . В отличие от этого, доменные имен системы расширений безопасности (DNSSEC) работают над полным набором записи ресурсов в каноническом порядке.

При отправке через сеть интернет -протоколов все записи (ответ, авторитет и дополнительные разделы) используют общий формат, указанный в RFC 1035: ^{[ 39 ]}

Поля записи ресурсов (RR)
Поле	Описание	Длина ( октеты )
ИМЯ	Название узла, к которому относится эта запись	Переменная
ТИП	Тип RR в числовой форме (например, 15 для MX RR)	2
СОРТ	Код класса	2
Ттл	Подсчет секунды, что RR остается действительным (максимум 2 раза 2 ³¹−1, который составляет около 68 лет)	4
Rdlength	Длина поля RDATA (указано в октете)	2
Rdata	Дополнительные RR-специфические данные	Переменная, согласно

Имя является полностью квалифицированным доменным именем узла в дереве. ^{[ нужно разъяснения ]} На проводе имя может быть сокращено с помощью сжатия метки, где концы доменных имен, упомянутых ранее в пакете, могут быть заменены на конец текущего доменного имени.

Тип - это тип записи. Это указывает на формат данных и дает намек на предполагаемое использование. Например, запись A используется для перевода с доменного имени на адрес IPv4 , записи NS перечисляют, какие серверы имен могут отвечать на поиск в зоне DNS , а в записи MX указывается почтовый сервер, используемый для обработки почты для указанного домена. в адресе электронной почты.

RDATA -это данные о типовой релевантности, такие как IP-адрес для адресов адресов или приоритет и имя хоста для записей MX. Хорошо известные типы записей могут использовать сжатие метки в поле RDATA, но «неизвестные» типы записей не должны (RFC 3597).

Класс ) для общих записей DNS , записи установлен в (для Интернета включающих в себя имена хостов, серверы или IP -адреса Интернета. Кроме того, существуют классы хаоса (CH) и Hesiod (HS). ^{[ 40 ]} Каждый класс является независимым пространством имени с потенциально различными делегациями зон DNS.

В дополнение к записям ресурсов, определенным в файле зоны , система доменных имен также определяет несколько типов запросов, которые используются только в связи с другими узлами DNS ( на проводе ), например, при выполнении передачи зоны (AXFR/IXFR) или для EDNS (OPT).

Wildcard Records

Система доменных имен поддерживает записи DNS с подстановочными знаками , которые указывают имена, которые начинаются с метки Asterisk , *Например, *.example. ^{[ 22 ]}^{[ 41 ]} Записи DNS, принадлежащие к именам доменов подстановочного знака, указывают правила генерации записей ресурсов в одной зоне DNS, заменяя целые метки соответствующими компонентами имени запроса, включая любых указанных потомков. Например, в следующей конфигурации зона DNS X.Example указывает, что все субдомены, включая субдомены субдоменов, X.Example почвного обменника (MX) Используйте оси . Запись для Axexample необходима для указания IP -адреса почтового обменника. Поскольку это имеет результат исключения этого доменного имени и его субдоменов из подстановочных значений, дополнительная запись MX для оси субдомена , а также рекорд MX с подчинением для всех его поддоменов также должна быть определена в зоне DNS.

x.example.       MX   10 a.x.example.
*.x.example.     MX   10 a.x.example.
*.a.x.example.   MX   10 a.x.example.
a.x.example.     MX   10 a.x.example.
a.x.example.     AAAA 2001:db8::1

Роль рекордов с подстановочными знаками была уточнена в RFC 4592 , потому что исходное определение в RFC 1034 был неполным и привел к неправильной интерпретации исполнителями. ^{[ 41 ]}

Расширения протокола

Первоначальный протокол DNS имел ограниченные положения для расширения с новыми функциями. В 1999 году Пол Викси опубликовал в RFC 2671 (заменен RFC 6891) механизм расширения, называемый механизмом расширения для DNS (EDN), который ввел дополнительные элементы протокола без увеличения накладных расходов, когда они не используются. Это было достигнуто с помощью записей псевдо-ресурса OPT, которая существует только в проволочной передаче протокола, но не в каких-либо зонах. Также были предложены первоначальные расширения (EDNS0), такие как увеличение размера сообщения DNS в DADP Datagrams.

Обновления динамической зоны

Динамические обновления DNS Используйте Update DNS OpCode для динамического добавления или удаления записей ресурсов из базы данных зоны, поддерживаемой на авторитетном DNS -сервере. ^{[ 42 ]} Этот объект полезен для регистрации клиентов сети в DNS, когда они загружаются или становятся иным образом доступны в сети. Поскольку клиенту загрузки может быть назначен другой IP -адрес каждый раз с сервера DHCP , невозможно предоставить статические задания DNS для таких клиентов.

Транспортные протоколы

Со времени его происхождения в 1983 году DNS использовал пользовательский протокол Datagram (UDP) для транспортировки через IP. Его ограничения мотивировали многочисленные разработки протоколов для надежности, безопасности, конфиденциальности и других критериев в следующие десятилетия.

DNS над UDP/TCP/53 (DO53)

UDP резервирует порт номер 53 для серверов, слушающих запросы. ^{[ 5 ]} Такие запросы состоят из прозрачного текстового запроса, отправленного в одном пакете UDP от клиента, ответил с помощью обратного текста, отправленного в один пакет UDP с сервера. Когда длина ответа превышает 512 байт, а также механизмы расширения поддержки клиента и сервера для DNS (EDN) могут использоваться большие пакеты UDP. ^{[ 43 ]} Использование DNS над UDP ограничено, среди прочего, отсутствием шифрования транспортного слоя, аутентификации, надежной доставки и длины сообщений. В 1989 году RFC 1123 указал необязательный протокол контроля передачи (TCP) для запросов DNS, ответов и, в частности, передачи зон . С помощью фрагментации длинных ответов TCP позволяет более длительные ответы, надежную доставку и повторное использование долгоживущих соединений между клиентами и серверами. Для более крупных ответов сервер относится к клиенту к TCP Transport.

DNS над TLS (DOT)

В 2016 году DNS над TLS стал стандартом IETF для зашифрованных DNS, используя безопасность транспортного уровня (TLS) для защиты всего соединения, а не только полезной нагрузки DNS. Dot Servers слушают на порту TCP 853. RFC 7858 указывает, что оппортунистическое шифрование и аутентифицированное шифрование могут быть поддержаны, но не сделали ни сервера, ни аутентификации, ни клиента обязательной.

DNS над HTTPS (DOH)

DNS Over HTTPS был разработан в качестве конкурирующего стандарта для транспортировки запросов DNS в 2018 году, данные запросов DNS Tunneling DNS по HTTPS, который транспортирует HTTP через TLS. DOH был продвинут в качестве более удобной для веб-сайтов альтернативы DNS, поскольку, как и DNSCRYPT, он использует TCP-порт 443 и, таким образом, выглядит похоже на веб-трафик, хотя они легко дифференцируют на практике без надлежащей заполнения. ^{[ 44 ]}

DNS Over Whate (Doq)

RFC 9250, опубликованный в 2022 году Целевой группой Internet Engineering , описывает DNS над QUIC . Он обладает «свойствами конфиденциальности, похожими на DNS по сравнению с TLS (DOT) [...], и задержки, аналогичные классическим DNS по UDP». Этот метод не совпадает с DNS, а не HTTP/3 . ^{[ 45 ]}

Не обращая внимания на DOH (ODOH) и предшественник, не обращая внимания на DNS (ODNS)

Не обращая внимания на DNS (ODNS) был изобретен и реализован исследователями из Принстонского университета и Чикагского университета в качестве расширения на незашифрованные DNS, ^{[ 46 ]} До того, как DOH был стандартизирован и широко развернут. Apple и Cloudflare впоследствии развернули технологию в контексте DOH, как не обращая внимания на DOH (ODOH). ^{[ 47 ]} Odoh объединяет разделение Ingress/Egress (изобретено в ODN) с туннелированием HTTPS DOH и шифрованием транспортного слоя TLS в одном протоколе. ^{[ 48 ]}

DNS над Tor

DNS может быть запущен по виртуальным частным сетям (VPNS) и протоколам туннелирования . Использование, которое стало обычным явлением с 2019 года, чтобы гарантировать его собственную часто используемую аббревиатуру, является DNS над TOR . Повышение конфиденциальности не обращающих внимания DNS может быть получено с помощью ранее существовавшей сети TOR входа и выходных узлов, в сочетании с шифрованием транспортного слоя, предоставленным TLS. ^{[ 49 ]}

Dnscrypt

Протокол DNScrypt , который был разработан в 2011 году за пределами структуры стандартов IETF , введенный шифрование DNS на нижней стороне рекурсивных разрешений, в которых клиенты шифровали запросы, используя общественные ключи серверов, которые опубликованы в DNS (а не полагаются на треть. Сертификат Сертификата) и которые, в свою очередь, могут быть защищены подписями DNSSEC. ^{[ 50 ]} DNSCRYPT использует либо TCP, либо UDP -порт 443, тот же порт, что и HTTPS зашифрованный веб -трафик. Это ввело не только конфиденциальность в отношении содержания запроса, но и значительную меру возможности брандмауэра. В 2019 году DNScrypt был дополнительно расширен для поддержки «анонимного» режима, аналогичного предлагаемому «не обращающим внимания DN Сервер, который действует как выходной узел, выполняя рекурсивное разрешение. ^{[ 51 ]} Создается конфиденциальность паров пользователей/запросов, поскольку узел Ingress не знает содержания запроса, в то время как эмические узлы не знают идентификации клиента. DNSCRYPT был впервые реализован в производстве OpenDNS в декабре 2011 года. Существует несколько бесплатных реализаций программного обеспечения с открытым исходным кодом, которые дополнительно интегрируют ODOH. ^{[ 52 ]} Он доступен для различных операционных систем, включая UNIX, Apple IOS, Linux, Android и Windows.

Проблемы безопасности

Первоначально, проблемы безопасности не были основными проектными соображениями для программного обеспечения DNS или какого -либо программного обеспечения для развертывания в раннем Интернете, поскольку сеть не была открыта для участия широкой публики. Тем не менее, расширение Интернета в коммерческий сектор в 1990 -х годах изменило требования к меры безопасности для защиты целостности данных и аутентификации пользователей .

Несколько проблем уязвимости были обнаружены и эксплуатированы вредоносными пользователями. Одним из таких проблем является отравление кэшем DNS , в котором данные распределяются на кэширование резолюров под предлогом быть авторитетным сервером происхождения, тем самым загрязняя хранилище данных потенциально ложной информацией и длительным временем истечения срока действия (время к жизни). Впоследствии, законные запросы на применение могут быть перенаправлены на сетевые хосты, работающие со злонамеренными намерениями.

Ответы DNS традиционно не имеют криптографической подписи , что приводит ко многим возможностям атаки; Доменные имены System Security расширения (DNSSEC) изменяют DNS, чтобы добавить поддержку криптографически подписанных ответов. ^{[ 53 ]} DNSCURVE был предложен в качестве альтернативы DNSSEC. Другие расширения, такие как TSIG , добавляют поддержку криптографической аутентификации между доверенными коллегами и обычно используются для авторизации передачи зоны или динамических операций обновления.

Некоторые доменные имена могут использоваться для достижения эффектов подготовки. Например, paypal.com и PAYPA1.com - это разные имена, однако пользователи могут быть не в состоянии различить их в графическом пользовательском интерфейсе в зависимости от выбранного пользователя . Во многих шрифтах буква L и цифра 1 выглядят очень похожими или даже идентичны. Эта проблема, известная как атака гомографии IDN , острая в системах, которые поддерживают интернационализированные доменные имена , так как многие коды символов в ISO 10646 могут показаться идентичными на типичных компьютерных экранах. Эта уязвимость иногда эксплуатируется в фишинге . ^{[ 54 ]}

Такие методы, как обратные DNS, также могут использоваться для проверки результатов DNS.

DNS также может «протекать» из -за безопасных или частных соединений, если внимание не уделяется их конфигурации, а иногда DNS использовался для обхода брандмауэров злоумышленными лицами и данных о экстрафильтрате , поскольку они часто рассматриваются как безобидные.

Проблемы конфиденциальности и отслеживания

Первоначально разработанный как публичная, иерархическая, распределенная и сильно кэшированная база данных, протокол DNS не имеет контроля конфиденциальности. Пользовательские запросы и ответы имен-сервер отправляются незашифрованными, что позволяет обнюхивать сетевые пакеты , угон DNS , отравление кэшем DNS и атаки человека в среднем уровне . Этот недостаток обычно используется киберпреступниками и сетевыми операторами для маркетинговых целей, аутентификации пользователей на порталах и цензуре . ^{[ 55 ]}

Конфиденциальность пользователей дополнительно раскрывается предложениями по повышению уровня информации IP -клиента в запросах DNS (RFC 7871) в пользу сетей доставки контента .

Основные подходы, которые используются для противодействия вопросам конфиденциальности с DNS:

VPNS , которые перемещают разрешение DNS в оператор VPN и скрывают трафик пользователя от локального интернет -провайдера,
TOR , который заменяет традиционное разрешение DNS с помощью анонимных .onion доменов маршрутизации лука , , скрывая как разрешение имен, так и трафик пользователя за противоречием
Прокси и общедоступные DNS-серверы, которые перемещают фактическое разрешение DNS к стороннему поставщику, который обычно обещает мало или вообще не регистрирует регистрацию запросов и дополнительные добавленные функции, такие как реклама DNS или блокировка порнографии.
- Общественные серверы DNS могут быть запрошены с использованием традиционного протокола DNS, и в этом случае они не обеспечивают защиты от локального наблюдения или DNS по HTTPS , DNS над TLS и DNSCRYPT , которые обеспечивают такую защиту

Решения, предотвращающие проверку DNS с помощью местного сетевого оператора, подвергаются критике за то, что они помешали политикам безопасности корпоративной сети и цензуре в Интернете. Они также подвергаются критике с точки зрения конфиденциальности, поскольку раздают разрешение DNS в руки небольшого числа компаний, известных своими монетизациями пользовательского трафика и централизации разрешения имен DNS, что, как правило, воспринимается как вредная для Интернета. ^{[ 55 ]}

Google является доминирующим поставщиком платформы в Android , браузере в Chrome и DNS Resolver в сервисе 8.8.8.8. Будет ли этот сценарий стать случаем того, что единая корпоративная организация находится в положении всеобъемлющего контроля всего пространства имен Интернета? Netflix уже создал приложение, в котором использовался свой собственный механизм разрешения DNS, независимый от платформы, на которой работало приложение. Что если приложение Facebook включено DOH? если Apple iOS Что , использовал механизм разрешения DOH, чтобы обойти локальное разрешение DNS и направить все запросы DNS с платформ Apple к набору Apple, управляемых имени,?
- Конфиденциальность DNS и IETF

Регистрация доменного имени

Право на использование доменного имени делегируется регистраторами доменных имен, которые аккредитованы Интернет -корпорацией для назначенных имен и номеров (ICANN) или других организаций, таких как OpenNIC , которые взимаются за наблюдение за именованными системами интернета. В дополнение к ICANN каждый домен верхнего уровня (TLD) поддерживается и обслуживается административной организацией, управляющей реестром. Реестр . отвечает за использование базы данных имен в ее авторитетной зоне, хотя этот термин чаще всего используется для TLDS Регистрант - это лицо или организация , который попросил регистрацию домена. ^{[ 23 ]} Реестр получает информацию о регистрации от каждого регистратора имени домена , который уполномочен (аккредитован) назначать имена в соответствующей зоне и публикует информацию с использованием протокола WHOIS . использование RDAP . По состоянию на 2015 год рассматривается ^{[ 56 ]}

ICANN публикует полный список регистраторов TLDS, TLD и доменных имен. Информация -регистрант, связанная с доменными именами, поддерживается в онлайн -базе данных, доступной с службой WHOIS. Для большинства из более чем 290 доменов кода страны (CCTLDS) реестры доменов сохраняют информацию WHOIS (регистратор, серверы имен, даты истечения срока действия и т. Д.). Например, DENIC , Германия, содержит данные DE Domain. Примерно с 2001 года большинство общих реестров домена верхнего уровня (GTLD) приняли этот так называемый толстый реестр, т. Е. Удерживая данные WHOIS в центральных регистрах вместо баз данных регистраторов.

Для доменов верхнего уровня в Com и Net тонкая используется модель реестра. Реестр доменов (например, GoDaddy , Bigrock и PDR , VeriSign и т. Д. И т. Д.) Содержит основные данные WHOIS (то есть серверы регистратора и имен и т. Д.). Организации или регистраторы, использующие организацию, с другой стороны, находятся в реестре общественных интересов исключительно.

Некоторые реестры доменных имен, часто называемые сетевыми информационными центрами (NIC), также функционируют в качестве регистраторов для конечных пользователей, в дополнение к предоставлению доступа к наборам данных WHOIS. Реестры доменов верхнего уровня, такие как для доменов Com, Net и Org, используют модель реестра-регистратора, состоящую из многих регистраторов доменных имен. ^{[ 57 ]} В этом методе управления реестр управляет только базой данных доменных имен и отношения с регистраторами. Регистранты ( пользователи доменного имени) являются клиентами регистратора, в некоторых случаях посредством дополнительного субподряда реселлеров.

Смотрите также

Ссылки

^ Ву, Хао; Данг, Xianglei; Ван, Лидонг; Он, Лонгтао (2016). «Метод, основанный на слиянии информации, для распределенного доменного идентификационного идентификации идентификации атаки и идентификации атаки кэша» . IET Информационная безопасность . 10 (1): 37–44. doi : 10.1049/iet-ifs.2014.0386 . ISSN 1751-8717 . S2CID 45091791 .
^ RFC 781, Интернет -протокол - спецификация протокола интернет -программы DARPA , Институт информационных наук, J. Postel (ред.), Интернет -общество (сентябрь 1981 г.)
^ J. Dilley, B. Maggs, J. Parikh, H. Prokop, R. Sitaraman и B. Weihl. «Глобально распределенная доставка контента, IEEE Internet Computing, сентябрь/октябрь 2002 г., с. 50–58» (PDF) . Архивировано (PDF) из оригинала 2015-04-17.
^ Nygren., E.; Ситараман Р.К.; Sun, J. (2010). «Сеть Akamai: платформа для высокопроизводительных интернет-приложений» (PDF) . ACM Sigops Операционные системы обзор . 44 (3): 2–19. doi : 10.1145/1842733.1842736 . S2CID 207181702 . Архивировано (PDF) из оригинала 2010-12-02 . Получено 19 ноября 2012 года .
^ Jump up to: ^а ^{беременный} ^в ^{дюймовый} ^и ^фон Mockapetris, Пол (ноябрь 1987 г.). Доменные имена - реализация и спецификация . IETF . doi : 10.17487/rfc1035 . RFC 1035 .
^ Champika Wiajayatunga (февраль 2015 г.). «Обработка злоупотреблений DNS» (PDF ) Апник Архивированный (PDF) из оригинала 2015-12-2 Получено 18 декабря
^ Дж. Кленсин (февраль 2003 г.). Роль системы доменных имен (DNS) . Сетевая рабочая группа. doi : 10.17487/rfc3467 . RFC 3467 . Информационный.
^ Лю, крикет; Альбиц, Пол (2006). DNS и Bind (5 -е изд.). О'Рейли СМИ. п. 3. ISBN 978-0-596-10057-5 .
^ Эванс 2018 , с. 112.
^ Эванс 2018 , с. 113.
^ IEEE ANNALS [3B2-9] MAN2011030074.3d 29/7/011 11:54 Page 74
^ Jump up to: ^а ^{беременный} «Почему сеть все еще работает на Рождество? Пол Мокапетрис - Зал славы Интернета» . Internethalloffame.org . 23 июля 2012 года.
^ Jump up to: ^а ^{беременный} Эванс 2018 , с. 119
^ Эванс 2018 , с. 120.
^ Эванс 2018 , с. 120–121.
^ «Элизабет Фейнлер» . Зал славы Интернета . Архивировано из оригинала 14 сентября 2018 года . Получено 2018-11-25 .
^ «Пол Мокапетрис | Зал славы Интернета» . Internethalloffame.org . Получено 2020-02-12 .
^ Андрей Робачевский (26 ноября 2013 г.). "С 30 -летием, ДНС!" Полем Интернет -общество . Получено 18 декабря 2015 года .
^ Элизабет Фейнлер, IEEE Annals, 3B2-9 MAN2011030074.3d 29/7/011 11:54 Page 74
^ Терри, Дуглас Б.; и др. (12–15 июня 1984 г.). «Беркли интернет -сервер доменного домена» . Летняя конференция, Солт -Лейк -Сити, 1984: Труды . Usenix Association Software Tools Group. С. 23–31.
^ Консорциум интернет -систем. «История привязки» . История привязки. Архивировано с оригинала 2019-06-30 . Получено 4 апреля 2022 года .
^ Jump up to: ^а ^{беременный} ^в ^{дюймовый} ^и Mockapetris, Пол (ноябрь 1987 г.). Доменные имена - доменные концепции и объекты . IETF . doi : 10.17487/rfc1034 . RFC 1034 .
^ Jump up to: ^а ^{беременный} Пол Хоффман; Эндрю Салливан; Казунори Фудзивара (декабрь 2015 г.). DNS -терминология . IETF . doi : 10.17487/rfc7719 . RFC 7719 . Получено 18 декабря 2015 года .
^ Пол Мокапетрис (ноябрь 1987). «Спецификации пространства имени и терминология» . Доменные имена - доменные концепции и объекты . IETF . раздел 3.1. doi : 10.17487/rfc1034 . RFC 1034 . Получено 17 декабря 2015 года .
^ Jump up to: ^а ^{беременный} Пол Мокапетрис (ноябрь 1987). «Как база данных разделена на зоны» . Доменные имена - доменные концепции и объекты . IETF . раздел 4.2. doi : 10.17487/rfc1034 . RFC 1034 . Получено 17 декабря 2015 года .
^ Линдсей, Дэвид (2007). Закон между международным доменным именем: ICANN и UDRP . Bloomsbury Publishing. п. 8. ISBN 978-1-84113-584-7 .
^ D. Eastlake 3 -й (январь 2006 г.). Доменная система системы (DNS). Разъяснение случая нечувствительности . Сетевая рабочая группа. doi : 10.17487/rfc4343 . RFC 4343 . {{citation}}: CS1 maint: numeric names: authors list (link) Proposed Standard. Updated by RFC 5890. Updates RFC 1034 , 1035 и 2181 .
^ Jump up to: ^а ^{беременный} Дж. Кленсин (февраль 2004 г.). Методы применения для проверки и преобразования имен . Сетевая рабочая группа. doi : 10.17487/rfc3696 . RFC 3696 . Информационный.
^ Фудзивара, Казунори; Салливан, Эндрю; Хоффман, Пол (2024). «DNS -терминология» . Tools.ietf.org . doi : 10.17487/rfc9499 . Получено 2024-07-01 .
^ Немет, evi; Снайдер, Гарт; Хейн, Трент Р. (2006-10-30). Руководство по администрированию Linux . Аддисон-Уэсли Профессионал. ISBN 978-0-13-700275-7 .
^ Bisyade, Tegavoy F.; Sie, Oumarou (2017-10-09). Электронные инфраструктурные и электронные услуги для развивающихся стран: 8-я Международная конференция, Afformomm 2016, Уаго Ф. Ф., 6-7 декабря 2016 г., Процедура . Спрингер. ISBN 978-3-319-66742-3 .
^ "DNS Zone" . Ionos DigitalGuide . 27 января 2022 года . Получено 2022-03-31 .
^ "Что такое распространение DNS?" Полем Ionos DigitalGuide . Получено 2022-04-22 .
^ "Провайдеры, игнорирующие DNS TTL?" Полем Слшдот . 2005 . Получено 2012-04-07 .
^ Бен Андерсон (7 сентября 2011 г.). «Бен Андерсон: Почему кэширование веб -браузера DNS может быть плохой вещью» . Получено 20 октября 2014 года .
^ «Как Internet Explorer использует кэш для записей хоста DNS» . Microsoft Corporation . 2004 . Получено 2010-07-25 .
^ «Параметры доменных имен (DNS)» . Яна . DNS RCODES . Получено 14 июня 2019 года .
^ Джеймс Ф. Куроз и Кейт В. Росс, Компьютерная сеть: сверху вниз, 6-е изд. Эссекс, Англия: Pearson Educ. Limited, 2012
^ Rfc 5395, Система доменных имен (DNS) IANA Commorgations , D. Eastlake 3 -й (ноябрь 2008 г.), раздел 3
^ RFC 5395, System Domain Name (DNS) IANA Comportions , D. Eastlake 3 -й (ноябрь 2008 г.), с. 11
^ Jump up to: ^а ^{беременный} RFC 4592 , Роль подстановки в системе доменных имен , Э. Льюис (июль 2006 г.)
^ С. Томсон; Y. Rekhter; J. Bound (апрель 1997 г.). П. Викси (ред.). Динамические обновления в системе доменных имен (обновление DNS) . Сетевая рабочая группа. doi : 10.17487/rfc2136 . RFC 2136 . Предложенный стандарт. Обновления RFC 1035. Updated by RFC 3007 , 4033 , 4034 и 4035 .
^ RFC 2671 , Механизмы расширения для DNS (EDNS0) , P. Vixie (август 1999 г.)
^ Csikor, Levente; Дивакаран, Динил Мон (февраль 2021 г.). "Конфиденциальность DNS над HTTPS: Requiem для мечты?" (PDF) . Национальный университет Сингапура. Мы исследуем, отличается ли трафик DOH от зашифрованного веб -трафика. С этой целью мы обучаем модель машинного обучения для классификации HTTPS Traffer как Web или DOH. Благодаря нашей модели идентификации DOH мы показываем, что авторитарный провайдер может правильно идентифицировать ≈97,4% пакетов DOH, в то же время неправильно классифицируя 1 из 10000 веб -пакетов.
^ Хайутема, христианин; Дикинсон, Сара; Манкин, Эллисон (май 2022). DNS над выделенными соединениями Quic . Целевая группа по интернет -инженерии. doi : 10.17487/rfc9250 . RFC 9250 .
^ Шмитт, Пол; Эдмундсон, Энн; Feamster, Nick (2019). «Не обращая внимания на DNS: практическая конфиденциальность для запросов DNS» (PDF) . Технологии повышения конфиденциальности . 2019 (2): 228–244. Arxiv : 1806.00276 . doi : 10.2478/popets-2019-0028 . S2CID 44126163 . Архивировано (PDF) из оригинала на 2022-01-21.
^ «Не обращая внимания на DNS, развернутые Cloudflare и Apple» . 9 декабря 2020 года . Получено 27 июля 2022 года .
^ Поли, Томми (2 сентября 2021 г.). «Не обращая внимания на HTTPS» . IETF.
^ Muffett, Alec (февраль 2021 г.). « Нет порта 53, кто Дис?» Год DNS над HTTPS над TOR » (PDF) . Симпозиум безопасности сети и распределенной системы. Архивировано (PDF) из оригинала на 2021-03-21. DNS над HTTPS (DOH) устраняет многие, но не все риски, а его транспортный протокол (то есть https) вызывает опасения по поводу конфиденциальности из -за (например, (например,) «куки». Сеть TOR существует, чтобы предоставить TCP схемы с некоторой свободой от отслеживания, наблюдения и блокировки. Таким образом: в сочетании с TOR, DOH и принципом «Не делайте этого, затем» (DDTT), чтобы смягчить снятие отпечатков пальцев, я описываю DNS над HTTPS над Tor (Dohot).
^ Улевич, Дэвид (6 декабря 2011 г.). «Dnscrypt - критический, фундаментальный и время» . Cisco Umbrella . Архивировано из оригинала 1 июля 2020 года.
^ «Анонимная спецификация DNScrypt» . GitHub . Dnscrypt. Архивировано с оригинала 25 октября 2019 года.
^ «Не обращая внимания на Donscrypt/dnscrypt-proxy wiki» . GitHub . DNSCRYPT Project . Получено 28 июля 2022 года .
^ Герцберг, Амир; Шульман, Хая (2014-01-01). «Модернизация безопасности в сетевые протоколы: случай DNSSEC» . IEEE Internet Computing . 18 (1): 66–71. doi : 10.1109/mic.2014.14 . ISSN 1089-7801 . S2CID 12230888 .
^ Apwg. «Глобальное фишинговое обследование: использование доменных имен и тенденции в 1H2010». 15.10.2010 APWG.ORG Архивировал 2012-10-03 на The Wayback Machine
^ Jump up to: ^а ^{беременный} Хьюстон, Джефф (июль 2019). «Конфиденциальность DNS и IETF» (PDF) . Интернет -протокол журнал . Архивировано (PDF) из оригинала 2019-09-30.
^ «Операционный профиль протокола доступа к данным регистрации (RDAP) для реестров и регистраторов GTLD» . Icann . 3 декабря 2015 года. Архивировано с оригинала 22 декабря 2015 года . Получено 18 декабря 2015 года .
^ «Найдите регистратора» . Verisign, Inc. Получено 18 декабря 2015 года .

Источники

Эванс, Клэр Л. (2018). Широкая группа: невыразимая история женщин, которые сделали Интернет . Нью -Йорк: портфель/пингвин. ISBN 9780735211759 .

Дальнейшее чтение

Стандарты трек

RFC 1034 , доменные имена - концепции и объекты
RFC 1035 , доменные имена - реализация и спецификация
RFC 1123 , Требования к интернет -хостам - применение и поддержка
RFC 1995 , инкрементная зона переноса в DNS
RFC 1996 , механизм для быстрого уведомления об изменениях зоны (DNS уведомление)
RFC 2136 , Динамические обновления в системе доменных имен (обновление DNS)
RFC 2181 , разъяснения спецификации DNS
RFC 2308 , Отрицательное кэширование запросов DNS (DNS NCACHE)
RFC 3225 , что указывает на поддержку резолюции DNSSEC
RFC 3226 , DNSSEC и IPv6 A6 SERVER/SERVER SERVER/RESOLVER Размер сообщений Требования
RFC 3596 , DNS расширения для поддержки IP версии 6
RFC 3597 , Обработка неизвестных типов ресурсов DNS (RR)
RFC 4343 , Доменная система имен (DNS).
RFC 4592 , роль подстановочных знаков в системе доменных имен
RFC 4635 , HMAC SHA TSIG Идентификаторы алгоритма
RFC 5001 , DNS имен имен идентификатор идентификатора (NSID)
RFC 5011 , Автоматизированные обновления DNS Security Security (DNSSEC)
RFC 5452 , Меры по обеспечению DNS более устойчивости против кованых ответов
RFC 5890 , Интернационализированные доменные имена для приложений (IDNA): определения и структура документов
RFC 5891 , Интернационализированные доменные имена в приложениях (IDNA): протокол
RFC 5892 , точки кода Unicode и интернационализированные доменные имена для приложений (IDNA)
RFC 5893 , Сценарии справа налево для интернационализированных доменных имен для приложений (IDNA)
RFC 6672 , перенаправление имени DNS без терминала DNS
RFC 6891 , Механизмы расширения для DNS (EDNS0)
RFC 7766 , DNS Transport Over TCP - требования к реализации
RFC 8945 , Аутентификация Transaction Transaction Secret Key для DNS (TSIG)

Предлагаемые стандарты безопасности

RFC 4033 , DNS Security Введение и требования
RFC 4034 , Записи ресурсов для расширений безопасности DNS
RFC 4035 , Модификации протокола для расширений безопасности DNS
RFC 4509 , Использование SHA-256 в DNSSEC DELEGTION SIGNER (DS) Records
RFC 4470 , минимально охватывая записи NSEC и онлайн-подпись DNSSEC
RFC 5155 , DNS Security Security (DNSSEC) Хэшированный аутентифицированный отказ в существовании
RFC 5702 , Использование алгоритмов SHA-2 с RSA в DNSKEY и RRSIG Resource Records для DNSSEC
RFC 5910 , Система доменных имен (DNS) Сопоставление расширений для расширяемого протокола обеспечения (EPP)
RFC 5933 , Использование алгоритмов подписи GOST в DNSKEY и RRSIG Resource Records для DNSSEC
RFC 7830 , опция заполнения EDNS (0)
RFC 7858 , Спецификация для DNS по безопасности транспортного уровня (TLS)
RFC 8310 , профили использования DNS над TLS и DNS над DTLS
RFC 8484 , DNS -запросы на HTTPS (DOH)

Экспериментальные RFC

RFC 1183 , новые определения DNS RR

Лучшие текущие практики

RFC 2182 , Выбор и работа вторичных серверов DNS (BCP 16)
RFC 2317 , бесклассовая делегация In-ADDR.ARPA (BCP 20)
RFC 5625 , DNS -рекомендации по реализации прокси (BCP 152)
RFC 6895 , Соображения IANA System (DNS) (DNS) (BCP 42)
RFC 7720 , протокол службы и развертывания DNS -имени (BCP 40)

Информационные RFCS

Эти RFC носят консультативный характер, но могут предоставить полезную информацию, несмотря на определение ни стандарта, ни BCP. (RFC 1796)

RFC 1178 , выбор имени для вашего компьютера (к вашему сведению 5)
RFC 1591 , Структура системы и делегирование доменных имен
RFC 1912 , общие ошибки в эксплуатации и конфигурации DNS
RFC 2100 , именование хозяев
RFC 3696 , Методы применения для проверки и преобразования имен
RFC 3833 . Анализ угроз системы доменных имен (DNS)
RFC 4892 , Требования к механизму, идентифицирующий экземпляр сервера имен
RFC 5894 , Интернационализированные доменные имена для приложений (IDNA): фон, объяснение и обоснование
RFC 5895 , отображение символов для интернационализированных доменных имен в приложениях (IDNA) 2008
RFC 8806 , запустив корневой сервер, локальный для разрешения
RFC 9076 , соображения конфиденциальности DNS
RFC 9156 , DNS -запрос минимизации имени для повышения конфиденциальности
RFC 9499 , DNS -терминология

Неизвестный

Эти RFC имеют официальный статус неизвестного , но из -за их возраста не четко обозначены как таковые.

RFC 920 , Требования к домену -указанные оригинальные домены верхнего уровня
RFC 1032 , Руководство по администрированию домена
RFC 1033 , Руководство по эксплуатации администрирования доменов
RFC 1101 , DNS -кодировки имен сети и других типов

Внешние ссылки

Викси, Пол (4 мая 2007 г.). «Сложность DNS» . Acm queue . Архивировано из оригинала 29 марта 2023 года.
Болл, Джеймс (28 февраля 2014 г.). «Познакомьтесь с семью людьми, которые держат ключи от всемирной интернет -безопасности» . Хранитель . Guardian News & Media Limited . Получено 28 февраля 2014 года .
Крюгер, Леннард Г. (18 ноября 2016 г.). «Управление интернетом и система доменных имен: проблемы для Конгресса» (PDF) . Исследовательская служба Конгресса . Получено 27 июля 2024 года .
Zytrax.com , Руководство с открытым исходным кодом - DNS для ученых -ракетологи.
Старайтесь с DNS - сайтом, где вы можете провести эксперименты с DNS.

[1] Ву, Хао; Данг, Xianglei; Ван, Лидонг; Он, Лонгтао (2016). «Метод, основанный на слиянии информации, для распределенного доменного идентификационного идентификации идентификации атаки и идентификации атаки кэша» . IET Информационная безопасность . 10 (1): 37–44. doi : 10.1049/iet-ifs.2014.0386 . ISSN 1751-8717 . S2CID 45091791 .

[rfc781-2] RFC 781, Интернет -протокол - спецификация протокола интернет -программы DARPA , Институт информационных наук, J. Postel (ред.), Интернет -общество (сентябрь 1981 г.)

[3] J. Dilley, B. Maggs, J. Parikh, H. Prokop, R. Sitaraman и B. Weihl. «Глобально распределенная доставка контента, IEEE Internet Computing, сентябрь/октябрь 2002 г., с. 50–58» (PDF) . Архивировано (PDF) из оригинала 2015-04-17.

[4] Nygren., E.; Ситараман Р.К.; Sun, J. (2010). «Сеть Akamai: платформа для высокопроизводительных интернет-приложений» (PDF) . ACM Sigops Операционные системы обзор . 44 (3): 2–19. doi : 10.1145/1842733.1842736 . S2CID 207181702 . Архивировано (PDF) из оригинала 2010-12-02 . Получено 19 ноября 2012 года .

[rfc1035-5] Jump up to: ^а ^{беременный} ^в ^{дюймовый} ^и ^фон Mockapetris, Пол (ноябрь 1987 г.). Доменные имена - реализация и спецификация . IETF . doi : 10.17487/rfc1035 . RFC 1035 .

[6] Champika Wiajayatunga (февраль 2015 г.). «Обработка злоупотреблений DNS» (PDF ) Апник Архивированный (PDF) из оригинала 2015-12-2 Получено 18 декабря

[rfc3467-7] Дж. Кленсин (февраль 2003 г.). Роль системы доменных имен (DNS) . Сетевая рабочая группа. doi : 10.17487/rfc3467 . RFC 3467 . Информационный.

[8] Лю, крикет; Альбиц, Пол (2006). DNS и Bind (5 -е изд.). О'Рейли СМИ. п. 3. ISBN 978-0-596-10057-5 .

[FOOTNOTEEvans2018112-9] Эванс 2018 , с. 112.

[FOOTNOTEEvans2018113-10] Эванс 2018 , с. 113.

[11] IEEE ANNALS [3B2-9] MAN2011030074.3d 29/7/011 11:54 Page 74

[internethalloffame.org-12] Jump up to: ^а ^{беременный} «Почему сеть все еще работает на Рождество? Пол Мокапетрис - Зал славы Интернета» . Internethalloffame.org . 23 июля 2012 года.

[FOOTNOTEEvans2018119-13] Jump up to: ^а ^{беременный} Эванс 2018 , с. 119

[FOOTNOTEEvans2018120-14] Эванс 2018 , с. 120.

[FOOTNOTEEvans2018120–121-15] Эванс 2018 , с. 120–121.

[16] «Элизабет Фейнлер» . Зал славы Интернета . Архивировано из оригинала 14 сентября 2018 года . Получено 2018-11-25 .

[17] «Пол Мокапетрис | Зал славы Интернета» . Internethalloffame.org . Получено 2020-02-12 .

[18] Андрей Робачевский (26 ноября 2013 г.). "С 30 -летием, ДНС!" Полем Интернет -общество . Получено 18 декабря 2015 года .

[19] Элизабет Фейнлер, IEEE Annals, 3B2-9 MAN2011030074.3d 29/7/011 11:54 Page 74

[Terry_USENIX_2004-20] Терри, Дуглас Б.; и др. (12–15 июня 1984 г.). «Беркли интернет -сервер доменного домена» . Летняя конференция, Солт -Лейк -Сити, 1984: Труды . Usenix Association Software Tools Group. С. 23–31.

[BIND_Home_Page-21] Консорциум интернет -систем. «История привязки» . История привязки. Архивировано с оригинала 2019-06-30 . Получено 4 апреля 2022 года .

[rfc1034-22] Jump up to: ^а ^{беременный} ^в ^{дюймовый} ^и Mockapetris, Пол (ноябрь 1987 г.). Доменные имена - доменные концепции и объекты . IETF . doi : 10.17487/rfc1034 . RFC 1034 .

[rfc7719-23] Jump up to: ^а ^{беременный} Пол Хоффман; Эндрю Салливан; Казунори Фудзивара (декабрь 2015 г.). DNS -терминология . IETF . doi : 10.17487/rfc7719 . RFC 7719 . Получено 18 декабря 2015 года .

[dnsterms-24] Пол Мокапетрис (ноябрь 1987). «Спецификации пространства имени и терминология» . Доменные имена - доменные концепции и объекты . IETF . раздел 3.1. doi : 10.17487/rfc1034 . RFC 1034 . Получено 17 декабря 2015 года .

[dnsparts-25] Jump up to: ^а ^{беременный} Пол Мокапетрис (ноябрь 1987). «Как база данных разделена на зоны» . Доменные имена - доменные концепции и объекты . IETF . раздел 4.2. doi : 10.17487/rfc1034 . RFC 1034 . Получено 17 декабря 2015 года .

[26] Линдсей, Дэвид (2007). Закон между международным доменным именем: ICANN и UDRP . Bloomsbury Publishing. п. 8. ISBN 978-1-84113-584-7 .

[rfc4343-27] D. Eastlake 3 -й (январь 2006 г.). Доменная система системы (DNS). Разъяснение случая нечувствительности . Сетевая рабочая группа. doi : 10.17487/rfc4343 . RFC 4343 . {{citation}}: CS1 maint: numeric names: authors list (link) Proposed Standard. Updated by RFC 5890. Updates RFC 1034 , 1035 и 2181 .

[rfc3696-28] Jump up to: ^а ^{беременный} Дж. Кленсин (февраль 2004 г.). Методы применения для проверки и преобразования имен . Сетевая рабочая группа. doi : 10.17487/rfc3696 . RFC 3696 . Информационный.

[29] Фудзивара, Казунори; Салливан, Эндрю; Хоффман, Пол (2024). «DNS -терминология» . Tools.ietf.org . doi : 10.17487/rfc9499 . Получено 2024-07-01 .

[30] Немет, evi; Снайдер, Гарт; Хейн, Трент Р. (2006-10-30). Руководство по администрированию Linux . Аддисон-Уэсли Профессионал. ISBN 978-0-13-700275-7 .

[31] Bisyade, Tegavoy F.; Sie, Oumarou (2017-10-09). Электронные инфраструктурные и электронные услуги для развивающихся стран: 8-я Международная конференция, Afformomm 2016, Уаго Ф. Ф., 6-7 декабря 2016 г., Процедура . Спрингер. ISBN 978-3-319-66742-3 .

[32] "DNS Zone" . Ionos DigitalGuide . 27 января 2022 года . Получено 2022-03-31 .

[33] "Что такое распространение DNS?" Полем Ionos DigitalGuide . Получено 2022-04-22 .

[34] "Провайдеры, игнорирующие DNS TTL?" Полем Слшдот . 2005 . Получено 2012-04-07 .

[35] Бен Андерсон (7 сентября 2011 г.). «Бен Андерсон: Почему кэширование веб -браузера DNS может быть плохой вещью» . Получено 20 октября 2014 года .

[36] «Как Internet Explorer использует кэш для записей хоста DNS» . Microsoft Corporation . 2004 . Получено 2010-07-25 .

[37] «Параметры доменных имен (DNS)» . Яна . DNS RCODES . Получено 14 июня 2019 года .

[38] Джеймс Ф. Куроз и Кейт В. Росс, Компьютерная сеть: сверху вниз, 6-е изд. Эссекс, Англия: Pearson Educ. Limited, 2012

[39] Rfc 5395, Система доменных имен (DNS) IANA Commorgations , D. Eastlake 3 -й (ноябрь 2008 г.), раздел 3

[40] RFC 5395, System Domain Name (DNS) IANA Comportions , D. Eastlake 3 -й (ноябрь 2008 г.), с. 11

[rfc4592-41] Jump up to: ^а ^{беременный} RFC 4592 , Роль подстановки в системе доменных имен , Э. Льюис (июль 2006 г.)

[rfc2136-42] С. Томсон; Y. Rekhter; J. Bound (апрель 1997 г.). П. Викси (ред.). Динамические обновления в системе доменных имен (обновление DNS) . Сетевая рабочая группа. doi : 10.17487/rfc2136 . RFC 2136 . Предложенный стандарт. Обновления RFC 1035. Updated by RFC 3007 , 4033 , 4034 и 4035 .

[43] RFC 2671 , Механизмы расширения для DNS (EDNS0) , P. Vixie (август 1999 г.)

[44] Csikor, Levente; Дивакаран, Динил Мон (февраль 2021 г.). "Конфиденциальность DNS над HTTPS: Requiem для мечты?" (PDF) . Национальный университет Сингапура. Мы исследуем, отличается ли трафик DOH от зашифрованного веб -трафика. С этой целью мы обучаем модель машинного обучения для классификации HTTPS Traffer как Web или DOH. Благодаря нашей модели идентификации DOH мы показываем, что авторитарный провайдер может правильно идентифицировать ≈97,4% пакетов DOH, в то же время неправильно классифицируя 1 из 10000 веб -пакетов.

[45] Хайутема, христианин; Дикинсон, Сара; Манкин, Эллисон (май 2022). DNS над выделенными соединениями Quic . Целевая группа по интернет -инженерии. doi : 10.17487/rfc9250 . RFC 9250 .

[46] Шмитт, Пол; Эдмундсон, Энн; Feamster, Nick (2019). «Не обращая внимания на DNS: практическая конфиденциальность для запросов DNS» (PDF) . Технологии повышения конфиденциальности . 2019 (2): 228–244. Arxiv : 1806.00276 . doi : 10.2478/popets-2019-0028 . S2CID 44126163 . Архивировано (PDF) из оригинала на 2022-01-21.

[47] «Не обращая внимания на DNS, развернутые Cloudflare и Apple» . 9 декабря 2020 года . Получено 27 июля 2022 года .

[48] Поли, Томми (2 сентября 2021 г.). «Не обращая внимания на HTTPS» . IETF.

[49] Muffett, Alec (февраль 2021 г.). « Нет порта 53, кто Дис?» Год DNS над HTTPS над TOR » (PDF) . Симпозиум безопасности сети и распределенной системы. Архивировано (PDF) из оригинала на 2021-03-21. DNS над HTTPS (DOH) устраняет многие, но не все риски, а его транспортный протокол (то есть https) вызывает опасения по поводу конфиденциальности из -за (например, (например,) «куки». Сеть TOR существует, чтобы предоставить TCP схемы с некоторой свободой от отслеживания, наблюдения и блокировки. Таким образом: в сочетании с TOR, DOH и принципом «Не делайте этого, затем» (DDTT), чтобы смягчить снятие отпечатков пальцев, я описываю DNS над HTTPS над Tor (Dohot).

[50] Улевич, Дэвид (6 декабря 2011 г.). «Dnscrypt - критический, фундаментальный и время» . Cisco Umbrella . Архивировано из оригинала 1 июля 2020 года.

[Anonymized_DNSCrypt_specification-51] «Анонимная спецификация DNScrypt» . GitHub . Dnscrypt. Архивировано с оригинала 25 октября 2019 года.

[ODoH_(2022)-52] «Не обращая внимания на Donscrypt/dnscrypt-proxy wiki» . GitHub . DNSCRYPT Project . Получено 28 июля 2022 года .

[53] Герцберг, Амир; Шульман, Хая (2014-01-01). «Модернизация безопасности в сетевые протоколы: случай DNSSEC» . IEEE Internet Computing . 18 (1): 66–71. doi : 10.1109/mic.2014.14 . ISSN 1089-7801 . S2CID 12230888 .

[54] Apwg. «Глобальное фишинговое обследование: использование доменных имен и тенденции в 1H2010». 15.10.2010 APWG.ORG Архивировал 2012-10-03 на The Wayback Machine

[Huston-2019-55] Jump up to: ^а ^{беременный} Хьюстон, Джефф (июль 2019). «Конфиденциальность DNS и IETF» (PDF) . Интернет -протокол журнал . Архивировано (PDF) из оригинала 2019-09-30.

[56] «Операционный профиль протокола доступа к данным регистрации (RDAP) для реестров и регистраторов GTLD» . Icann . 3 декабря 2015 года. Архивировано с оригинала 22 декабря 2015 года . Получено 18 декабря 2015 года .

[57] «Найдите регистратора» . Verisign, Inc. Получено 18 декабря 2015 года .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]