DNS

DNS (Domain Name System)

1. Co je DNS?

DNS (Domain Name System) je systém, který převádí doménová jména (např. www.google.com) na IP adresy (např. 142.250.186.68), které počítače používají k nalezení a komunikaci mezi sebou v síti.

  • Lidé používají domény – snadno zapamatovatelné názvy.
  • Počítače potřebují IP adresy – číselné identifikátory (IPv4/IPv6).
  • DNS funguje jako telefonní seznam internetu – najde IP adresu ke jménu, které uživatel zadá do prohlížeče.

2. Jak DNS funguje – krok za krokem

  1. Uživatel zadá adresu do prohlížeče: www.example.com
  2. Počítač se zeptá svého DNS resolveru (většinou u poskytovatele internetu).
  3. Resolver se ptá kořenového DNS serveru (root server), který odkáže na:
  4. TLD server (Top-Level Domain) – např. .com, .cz
  5. TLD server odkáže na autoritativní DNS server, který ví, jaká IP adresa patří k example.com.
  6. Resolver si výsledek uloží do cache a předá IP adresu prohlížeči.
  7. Prohlížeč naváže spojení se serverem a načte stránku.

3. Typy DNS serverů

Typ serveruPopis
Resolver (rekurzivní)Hledá odpověď jménem klienta, prochází strom DNS.
Root serverNejvyšší úroveň DNS stromu, odkazuje na TLD servery.
TLD serverObsahuje domény pro určitou koncovku (.cz, .com…).
Autoritativní serverObsahuje přesné informace o doméně a její IP.

4. Záznamy v DNS (DNS records)

Typ záznamuVýznam
AMapuje doménu na IPv4 adresu.
AAAAMapuje doménu na IPv6 adresu.
CNAMEAlias pro jinou doménu (např. www → hlavní doména).
MXUrčuje mail server pro doménu.
NSUrčuje jmenné servery pro doménu.
TXTLibovolný text, např. pro SPF (ochrana e-mailu).
SOAStart of Authority – základní údaje o zóně.

5. Caching (Ukládání do mezipaměti)

  • DNS odpovědi se ukládají do cache, aby se zrychlilo načítání.
  • TTL (Time To Live) – určuje, jak dlouho zůstane odpověď platná.

6. Bezpečnost DNS

  • DNS Spoofing / Cache Poisoning: podvržení falešné IP adresy.
  • DNSSEC (Security Extensions): ověřuje autenticitu DNS záznamů pomocí digitálních podpisů.

7. Praktické příkazy

Windows (CMD):

nslookup www.google.com
ipconfig /displaydns

Linux:

dig example.com
host example.com
systemd-resolve --status

8. Příklady z praxe

Doména seznam.cz může mít záznamy:

  • A: 77.75.77.39
  • MX: smtp.seznam.cz
  • NS: ns.seznam.cz, ns2.seznam.cz

9. Shrnutí

  • DNS je základní služba internetu.
  • Převádí doménová jména na IP adresy.
  • Funguje jako hierarchický systém s různými typy serverů.
  • Obsahuje různé typy záznamů (A, MX, CNAME…).
  • Je možné ho zneužít, ale existují způsoby ochrany (DNSSEC).

DNS – Pokročilejší informace

1. Detailní hierarchie DNS

DNS je hierarchický distribuovaný systém:

          .
         / \
      com  cz
       |     \
   google  seznam
      |
    www
  • Kořenová zóna (Root zone): označována jako tečka . – nejvyšší úroveň.
  • TLD (Top-Level Domains): např. .com, .cz, .org
  • Second-Level Domains: např. google.com, seznam.cz
  • Subdomény: www.google.com, mail.google.com

2. Rozdíl mezi rekurzivním a iterativním dotazem

  • Rekurzivní dotaz: DNS resolver hledá odpověď až do konce, bez další pomoci od klienta.
  • Iterativní dotaz: Resolver pouze odkáže na další server, klient pokračuje sám.

Např. prohlížeče běžně používají rekurzivní dotazy přes DNS resolver poskytovatele.

3. Reverzní DNS (rDNS)

Slouží k převodu IP adresy na doménu. Používá se hlavně pro:

  • Ověřování serverů (např. e-mailových)
  • Diagnostiku (např. ping -a, tracert)

Příklad:

  • IP: 192.0.2.1
  • Reverzní záznam: 1.2.0.192.in-addr.arpa

4. Konfigurace DNS serveru – BIND (Linux)

Ukázka záznamu v souboru zóny:

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2024041001 ; serial
        3600       ; refresh
        1800       ; retry
        1209600    ; expire
        86400 )    ; minimum

    IN  NS   ns1.example.com.
    IN  NS   ns2.example.com.

www IN  A    192.0.2.10
mail IN  A   192.0.2.20
     IN  MX  10 mail.example.com.

5. Delegace DNS

Doména může delegovat správu subdomény jinému DNS serveru, např. univerzita.cz může delegovat mail.univerzita.cz.

Děje se pomocí NS záznamů.

6. Load Balancing pomocí DNS

DNS může obsahovat více A záznamů pro jednu doménu (tzv. Round-Robin):

www.example.com IN A 192.0.2.1  
www.example.com IN A 192.0.2.2

Klient dostane jednu IP, další klient jinou – základní load balancing. Funguje ale bez znalosti zatížení serverů.

7. DNS over HTTPS (DoH) a DNS over TLS (DoT)

  • DoH: DNS dotazy jdou přes HTTPS port (443), šifrování + maskování DNS provozu.
  • DoT: Používá port 853, šifrovaný a oddělitelný.

Obojí zvyšuje soukromí a bezpečnost oproti nešifrovanému DNS.

8. DNS z pohledu ladění a výkonu

  • Zkrácení časů TTL u měnících se záznamů (např. při přechodu na nový server).
  • Použití reverzních záznamů u serverů – zlepší e-mail reputaci.
  • Monitorování autoritativních DNS serverů – dostupnost, odezva.
  • GeoDNS – směrování uživatelů na nejbližší server podle IP.

9. Nástroje pro testování a diagnostiku

NástrojÚčel
digDetailní dotazy, ladění zón
nslookupJednoduchý dotaz na DNS záznam
whoisInfo o registraci domény
hostPřeklad jmen/IP
dnsperf, resperfVýkonové testy
webové nástrojednschecker.org, mxtoolbox.com

10. Provoz vlastní DNS infrastruktury – doporučení

  • Redundance: minimálně 2 autoritativní servery (geograficky oddělené).
  • Zabezpečení:
    • DNSSEC
    • Přístupové limity (rate limiting)
    • Logging
    • Monitoring a alerting
    • Zálohování konfigurace a zón

tisk | prohlášení o přístupnosti | mapa webu

Eucitel.cz - Elektronický učitel - výukové programy pro učitele a žáky
© 2021 Jan Vejmola | Všechna práva vyhrazena.