Как работают домены (на русском)

Основы

Домен — это (грубо говоря) имя в интернете. Вы в браузере пишете ag.ru, браузер с помощью механизма DNS (об этом ниже) узнаёт, что этому имени соответствует адрес 194.67.1.14 и дальше работа идёт только с числовым адресом, имя не используется. А нам, людям, удобнее работать с короткими, осмысленными именами. Про доменные имена на википедии.

Домены организованы в дерево. Корень дерева - зона ".", можно сказать, домен нулевого уровня. Его потомки — несколько десятков доменов первого уровня: com, biz, org, ru, info, mobi, tv, ua, так называемые, TLD: Top-Level Domains. Для узла дерева, домена второго уровня example.com, все его непосредственные потомки (www.example.com, mail.example.com, foobar.example.com, ...) образуют зону example.com.

Регистр букв в имени домена не имеет значения. EXAMPLE.COM и exAMple.Com обозначают один и тот же домен. Для удобства, имена доменов всегда пишут в нижнем регистре.

В имени домена разрешены символы a-z, 0-9 и дефис. Дефис не может быть первым и последним символом. Также запрещён частный случай, когда два дефиса стоят на 3 и 4 позиции (ab--cd). Это ограничение однозначно отделяет обычные ASCII домены от пуникода.

Для пользователей существуют юникодные домены, (например, сиськи.su) но технически их нет, браузер преобразует юникодную запись в ASCII при помощи специальной кодировки Punycode  (xn--h1aaf0ab0e.su) и дальше работает старый добрый ASCII.

Реестр и регистраторы

В общем случае есть реестр зоны [первого уровня], регистраторы и продавцы (реселлеры регистраторов). У каждой зоны первого уровня есть реестр, можно ещё сказать, координатор. Это организация, которая хранит, обслуживает и предоставляет доступ для регистраторов к центральной базе данных доменов этой зоны. По понятным причинам, некоторые организации фактически обслуживают несколько зон, это касается, например, зон RU и РФ. Во многих национальных доменах [первого уровня] координатор и является единственным регистратором, то есть отсутствует институт распределённой регистрации доменов.

Реестр продаёт регистраторам право доступа к зоне. Реестр — это сугубо техническая организация, предоставляющая программный интерфейс (API) для регистраторов.

А вот регистраторы уже работают с розничными клиентами, людьми. В зоне RU реестром является РосНИИРОС, а самым крупным регистратором — РуЦентр.

Чтобы стать регистратором, нужно выполнить разные строгие требования реестра. Вот каковы требования к кандидату в регистраторы в России. Список регистраторов растёт, и на 15 ноября 2009 года насчитывает 23 штуки.

Реселлеры регистраторов — это реселлеры, как везде. Покупают подешевле, продают подороже. Чаще всего регистраторы также предоставляют программный интерфейс (API) для реселлеров, что позволяет практически полностью скрыть от пользователя тот факт, что он покупает домен не из первых рук. Хотя известны случаи, когда некоторые реселлеры продавали домены намного дешевле, чем регистратор в розницу. А если нет разницы, зачем платить больше? Здесь нет подвоха, правда.

Регистрация домена

Регистрация состоит из обращения к регистратору (или реселлеру, для пользователя разницы нет); это как придти в магазин и сказать, мол, хочу купить такой-то домен. К слову, в зоне RU на конец 2009 года зарегистрировано порядка 2.5 млн. доменов, а в зоне COM — порядка 80 млн. То есть вероятность, что имя, которое вы хотите зарегистрировать, уже занято сильно варьируется в разных зонах первого уровня.

Если этот домен уже кем-то куплен (возможно, через другого регистратора, реестр-то один), то ...пролёт.

Проверить, был ли домен свободен, можно и без намерений о покупке. Для этого нужно воспользоваться т.н. сервисом WHOIS. Например, здесь swhois.net или здесь nic.ru. Красноглазые друзья могут написать whois имя-домена.зона в консоли. Поскольку, формат ответа не стандартизирован, нельзя описать что конкретно искать в ответе, чтобы понять, что домен свободен, но, в целом, будет ясно. Если домен занят, то выводится куча (или немножко) информации о его владельце. Здесь кто-то может возразить, мол, да проще в браузере ввести адрес и сразу будет ясно. Действительно, в 99% случаев это работает, потому что, чаще всего, домен покупают, чтобы сделать на нём публичный сайт. Но это не всегда так. Некоторые домены куплены и принадлежат конкретным людям, но сайтов на них нет.

Вам продают две вещи:

  1. формальное временное право владения доменом. Самая близкая аналогия — аренда.
  2. доступ к изменению NS-серверов домена

Домен продают именно вам, это, практически, ваша вещь, в реестре хранится информация о владельце. В случае проблем с регистратором, можно перенести домен к другому, при этом, на всех этапах переноса, владельцем домена является только его покупатель.

Нет никаких технических ограничений на этот счёт, но почему-то так сложилось, что все реестры регистрируют домены минимум, на 1 год (в зоне CO.UK на 2). По истечении этого срока регистрацию домена необходимо продлить. Продление, как правило, стоит немного дешевле регистрации. Некоторые реестры позволяют "продлевать домены" на несколько лет вперёд. Право владения доменом в зоне ru можно продлить только на 1 год. Ещё на год можно будет продлить в следующем году. Все регистраторы предоставляют услугу "автопродления", когда с вашего баланса в нужный момент времени списывается сумма необходимая для продления домена.

DNS резолвинг

Полагаю, что читатель знаком с понятием IP адрес и понимает, что домены, в общем-то, нужны только для удобства людей. IP пакеты ходят между компьютерами с числовыми адресами. Например, домену python.org соответствует IPv4 адрес 82.94.164.162. Чтобы выяснить это соответствие, используется DNS: Domain Name System. Это распределённая база данных, её работа довольно сложна, но интересна.

В системе DNS учавствуют серверы и клиенты. При помощи специального протокола DNS клиенты делают запросы, а серверы им отвечают. Обычно, для DNS запросов используется транспортный протокол UDP (иногда, TCP, но этот вариант используется намного реже из-за накладных расходов на создание соединения). Зарезервированный номер UDP и TCP порта для DNS: 53. Протокол бинарный, большинство запросов и ответов помещаются в UDP пакеты с ограничением 512 байт.

DNS не самодостаточна. Чтобы "всё завелось", в конце концов, какой-то клиент должен сделать запрос к какому-то серверу, не зная его имени. Обычно, эту проблему решает DHCP сервер интернет-провайдера, который по специальному протоколу, помимо прочего, сообщает IP адреса своих кеширующих DNS серверов. Кроме того, существуют сервисы DNS серверов, такие как OpenDNS, которые работают благодаря постоянным IP адресам.

DNS запросы бывают "прямые" и рекурсивные. Прямой запрос предназначается конкретному серверу. Клиента интересует только та информация, которую может дать именно этот сервер. Рекурсивный запрос, наоборот, предполагает, что клиенту неважно откуда будет информация, важно получить ответ. Кеширующие DNS серверы при получении рекурсивного запроса сами инициируют новый запрос к вышестоящему (upstream) серверу. Такая цепочка может дойти до сервера регистратора или до корневых серверов (серверы зон первого уровня).

Name-серверы (NS) хранят информацию о зоне. Для NS, зона это набор записей. DNS запись состоит из:

  1. класс. На практике используется один класс: IN (Internet), но предусмотрена поддержка и других классов.
  2. тип, например, A означает, что имя в этой записи является синонимом (alias) к указанному в значении IPv4 адресу. Это самый распространённый тип записей.
  3. имя, например, www. В различных программах редактирования зон, часто используется специальное имя @ как короткая ссылка на имя зоны. Например, запись @ A 1.2.3.4 в зоне example.com означает присвоение указанного адреса для собственно имени example.com. После программы, в базу данных DNS заносится запись example.com IN A 1.2.3.4. То есть в сетевом протоколе DNS такое имя как @ никогда не фигурирует, оно есть только для удобства настройки зоны.
  4. значение, например, IP адрес 1.2.3.4. Или текстовое имя другого домена. Или вообще, просто кусок текста. Всё зависит от типа записи.
  5. TTL (time to live), например, 1440. Время в секундах, в течение которого полученная информация в записи считается действительной. Используется для кеширования.

В DNS используется система делегирования полномочий. Корневые сервера реестра делегируют полномочия выдавать ответы по определённым зонам на NS (name server) этих зон. Когда кто-то спрашивает NS о его зоне, он помечает ответ как авторитетный (authoritative). Другие NS в ответ на ваш запрос, могут сказать я не знаю, но вот он знает. Такая цепочка может быть бесконечной. Предполагается, что в какой-то момент (на практике это первый же сервер после перенаправления) сервер даст вам конкретную информацию: либо я в ответе, вот записи, либо я не знаю и не знаю кто знает.

Специальная запись SOA используется для выяснения кто отвечает за эту зону (какой NS является авторитетным, первичным источником информации зоны). Запись SOA содержит:

  1. адрес (чаще всего имя домена, типа ns1.example.com) т.н. первичного NS
  2. email адрес администратора зоны
  3. и несколько других полей. Версия (serial) зоны и таймауты, в течение которых действительна данная информация.

Существуют специальные, т.н. корневые сервера. Они хранят информацию о том какие зоны обслуживаются какими NS, то есть, SOA записи. Можно спросить корневой сервер об абсолютно любой записи любой зоны и гарантированно никогда не получить авторитетный ответ. :) Но вы получите адрес NS, который, по-мнению корневого сервера обслуживает интересующую вас зону. Нужно повторить запрос к полученному NS. Такие повторы называются рекурсивным резолвингом.

Безопасность

Использование UDP, в частности, означает, что вы могли послать запрос одному компьютеру, а ответил другой. DNS протокол не даёт ровным счётом никаких средств для защиты передаваемой информации. Также нет никакого способа проверить, что ответ не был изменён кем-то по дороге до вашего компьютера. Отправка запроса к DNS серверу и ожидание ответа называется резолвингом (DNS resolving). Строго говоря, это название относится только к A запросам, которые используются для выяснения какой адрес соответствует указанному имени. В более общем смысле, обращение к DNS называется (сюрприз!) запросом (query). Но, в действительности, резолвинг A записей это 99% использования DNS. Оба названия имеют право на жизнь, к тому же нет принципиальной разницы.

DNS — распределённая база данных, к ней применимы стандартные правила доверия в распределённой среде. Доверять нельзя никому. Любой администратор может запустить DNS сервер, настроить у себя зону, к примеру, google.com, но другими адресами, ведущими на его серверы. Браузер не заметит подмены, человека тоже можно обмануть. В чём подвох? В том, что никакой браузер не будет спрашивать ваш левый DNS сервер.

DNS уязвима к т.н. атакам отравления кеша. При различных методиках, суть атаки сводится к тому, что в кеширующие DNS попадает неверная информация, например A записи, указывающие на адреса серверов злых умышленников. Пользователь, при этом не имеет возможности проверить достоверность полученной информации.

Делегирование

Делегирование домена это изменение его SOA записи в родительской зоне. Делегирование домена temoto.ru это изменение записи temoto.ru SOA ... в зоне ru. При покупке домена второго уровня, в зоне первого уровня появится SOA запись о новом домене. Зоны первого уровня обслуживаются DNS серверами реестров.

В общем случае, сразу после регистрации существование домена можно обнаружить только с помощью WHOIS. Для перекупки коротких/интересных имён этого достаточно, но чаще всего люди хотят сделать с доменом что-то полезное. Например, чтобы вводя в адресной строке http://mydomain.tld/ пользователь попадал на ваш сайт. Как правило, эту задачу решает регистратор. Например, Рэгги (и почти все остальные) предоставляет бесплатные DNS сервера при покупке домена. И делегирует ваш домен на свои NS. И в этих NS есть A запись, указывающая на IP адрес специального веб-сервера, который выдаёт страницу "домен зарегистрирован".

Обычно говорят делегировать на такие-то сервера. Это подразумевает создание в корневом реестре не только SOA, но и нескольких NS записей. NS записи указывают на авторитетные NS сервера, которые обслуживают данную зону.

Кеширование

DNS — это, пожалуй, самый большой и успешный пример использования проксирующего кеширования.

Поскольку записи в зонах изменяются относительно редко, нет смысла после каждого клика по ссылке резолвить имя домена в ссылке. Помните, в DNS записи есть TTL? Однажды получив, скажем, IP адрес из записи example.com A 192.0.32.10, с TTL, скажем 120, мы имеем полное право в течение 120 секунд предполагать, что адрес example.com является 192.0.32.10. А вот после 120 секунд, теоретически, нужно сделать новый запрос. Поэтому, на практике, TTL делают довольно большим: 6, 12 часов, иногда больше.

Кроме того, велика вероятность, что многие из клиентов одного интернет-провайдера (ISP) ходят на пересекающееся множество сайтов, следовательно, они резолвят одни и те же имена. Хорошо, после резолвинга браузер запомнит адрес, но клиентов тысячи. Поэтому для экономии трафика и ускорения резолвинга все интернет-провайдеры устанавливают у себя т.н. кеширующий DNS сервер. На любой прямой запрос он ответит неудачей, потому что он не содержит никаких записей. Но получив рекурсивный запрос, кеширующий DNS сервер сделает такой же запрос к вышестоящему серверу и так далее, пока не будет получен авторитетный ответ, который по цепочке обратно будет возвращён клиенту.

Однако, если кеширующий DNS сервер недавно уже делал такой же запрос, получил необходимую запись и информация ещё не устарела (не истёк срок TTL), то он отдаст информацию "сразу", не делая запроса к вышестоящему серверу. В этом весь смысл кеширования. К сожалению, на практике, многие интернет-провайдеры настраивают свои кеширующие DNS сервера таким образом, что они игнорируют TTL в записях и сохраняют их в кеше на более длительный срок. Поэтому, когда вы меняете адрес своего сайта, может пройти несколько дней, прежде чем абсолютно везде, на всей планете этот адрес действительно изменится. Но в основном, конечно, всё проходит намного быстрее. Всё зависит от TTL.

В популярном (и дырявом) DNS пакете BIND нет чёткого разделения между кеширующим и авторитетным DNS серверами. Из-за этого новички-администраторы делают неверные предположения о схеме работы DNS и допускают ошибки.

Итоги

Люди используют осмысленные символьные имена доменов, т.к. оперировать адресами типа 192.0.32.10 неудобно. Домены имеют иерархическую структуру начиная с доменов первого уровня (TLD) и без ограничений по глубине.

Реестр это организация, которая отвечает за техническое функционирование DNS-серверов зоны первого уровня. Регистраторы заключают договора с реестрами и предоставляют услуги по регистрации, продлению, делегированию и переносу доменов для частных лиц и компаний.

DNS это распределённая база данных, которая состоит из зон. Зона — это набор DNS записей. Клиенты делают запросы к серверам посредством DNS протокола. Как правило, запросы отправляются по UDP. DNS уязвим к широкому спектру атак, включая man-in-the-middle.

В DNS очень активно используется кеширование. Это позволяет снизить нагрузку на сеть и часто является причиной непонимания между покупателями доменов и поддержкой регистратора.