Kaj je DNS? Preprost in tehnično natančen pregled...

Ko v brskalnik vtipkate naslov spletne strani, npr. www.pcpodpora.si , se zdi, da se stran preprosto prikaže. V ozadju pa se zgodi veliko več. Eden ključnih mehanizmov, brez katerega internet praktično ne bi deloval, je DNS – Domain Name System.

DNS je pogosto opisan kot “telefonski imenik interneta”. To je sicer poenostavitev, vendar dobro ponazori osnovno idejo: DNS prevaja imena domen v IP naslove, ki jih računalniki dejansko uporabljajo za komunikacijo med seboj.

Zakaj sploh potrebujemo DNS?

Računalniki ne razumejo besedilnih naslovov.. tako da "facebook, youtube.." in podobni naslovi računalniku ne pomenijo nič..
Namesto tega komunicirajo preko IP naslovov, kot sta:

• IPv4: 192.168.1.5

• IPv6: 2001:db8:85a3::8a2e:370:7334

Zapomniti si deset ali več številk ni ravno priročno. (od tu primerjava s telefonskim imenikom)

DNS zato omogoča, da:

➡️ Uporabnik vpiše domeno, npr. facebook.com.
➡️ DNS najde ustrezen IP naslov.
➡️ Brskalnik vzpostavi povezavo s pravilnim strežnikom.

Z vidika uporabnika se vse skupaj zgodi v nekaj milisekundah.

Kako deluje DNS po korakih

Ko obiščete neko spletno stran, vaš računalnik izvede naslednje:

1. Preverjanje lokalnega cache-a (začasnega spomina)

Ko v prskalniku odprete neko stran in še preden se vklopi iskanje v zunanjem DNSu se najprej preveri serija hitrih začasnih pomnilnikov - CACHEjev..

najprej: brskalnik... če spletne strani ni ➡️ operacijski sisitem (ima svoj spomin) ➡️ lokalni router (ki ima svoj spomin) ➡️ ponudnik kjer imamo internet (npr Telekom) ➡️ Svetovni DNS zapisi... vse po verigi navzgor do top level zapisov.

Brskalnik in operacijski sistem imata torej svoj DNS predpomnilnik. Če ste stran obiskali pred kratkim, je tam (morda) že shranjen njen IP naslov.

2. Poizvedba pri lokalnem DNS strežniku

To je navadno strežnik vašega ponudnika interneta (Telekom, A1 …) ali javni DNS (Google 8.8.8.8, Cloudflare 1.1.1.1).

3. Rekurzivno iskanje

Če lokalni DNS nima odgovora, začne iskanje po internetu:

• Root DNS strežniki – vrhnja plast DNS-a

• TLD strežniki – npr. za .si, .com, .net

• Avtoritativni DNS strežnik domene – vsebuje dejanski zapis (A, AAAA, MX …)

Ko rekurzivni strežnik dobi IP naslov, ga posreduje brskalniku in shrani v cache za naslednje poizvedbe.

DNS zapisi – kaj pomenijo?

Kaj posamezni zapisi v DNS-u sploh pomenijo... No čeprav sem zgoraj omenjal "brskalnik" ni brskanje edina stvar, ki lahko potrebuje podatke iz DNS strežnika.. Tu so na primer email odjemalci,  različne nastavitve, podatki za avtentikacijo in podobno.

v DNSu imamo torej različne tipe zapisov. Glavni so:

A zapis

Poveže domeno z IPv4 naslovom.
Primer:
nekaStran.com → 203.0.113.10

AAAA zapis

Enako kot A, vendar za IPv6.
nekaStran.com → 2001:db8::10

CNAME

Alias. Določa, da je domena samo vzdevek za drugo domeno.
Uporabno pri CDN-ih, poddomenah, preusmeritvah.

primer.. čeprav mi ni ime "Seba" je to moj vzdevek in če me kdo pokliče s tem vzdevkom se obrnem in pogledam kaj želi.

MX (Mail Exchange)

Določa strežnike za sprejemanje e-pošte.
Brez ustreznih MX zapisov e-maili ne bodo delovali.

TXT

Poljubno besedilo, največkrat za varnostne zapise:

• SPF (dovoljeni pošiljatelji e-pošte)

• DKIM (podpisovanje e-pošte)

• DMARC (politika preverjanja e-pošte)

NS

Določa, kateri strežniki so avtoritativni DNS za domeno.

Ali lahko kdo vidi kaj brskamo preko DNS zapisov?

S strani uporabnika se pojavi vprašanje: čeprav uporabljam varno povezavo HTTPS, ali lahko kdo vidi kaj brskam po internetu?

Odgovor je.. Da, v določenih primerih lahko. Če uporabljate DNS strežnike svojega ponudnika interneta (Telekom, A1 …), lahko ta vidi, katere domene obiskujete, saj vsak brskalni zahtevek najprej pošlje DNS poizvedbo. Vidijo domeno (npr. youtube.com), ne pa točno katere strani znotraj nje (video URL, vsebine, iskalni pojmi).

Če želite več zasebnosti, uporabite DNS resolverje z DNS-over-HTTPS (DoH) ali DNS-over-TLS (DoT), npr. 👍 Cloudflare (1.1.1.1)    ali Google DNS. Vprašanje je torej.. ali zaupate Googlu bolj kot svojemu internet ponudniku. 😂

primer nastavitve v brskalniku Brave

Kaj se (lahko) zgodi, če DNS ni pravilno nastavljen?

DNS je občutljiva točka. Dovolj je ena napačna številka ali napačen zapis in posledice so lahko precej očitne:

• spletna stran ne deluje ali kaže napačno vsebino

• e-pošta ne prihaja

• strežnik postane nedosegljiv

• varnostne preverbe pri pošti (SPF/DKIM/DMARC) padejo, pošta konča v spam-u

• certifikati se ne morejo obnoviti (npr. Let’s Encrypt)

Sistemi, kot so CDN (Cloudflare), reverse proxy strežniki ali lastne e-mail rešitve, potrebujejo izjemno natančno DNS konfiguracijo.

Zakaj je pomemben DNS cache in zakaj lahko spremembe trajajo?

DNS zapisi imajo parameter TTL (Time To Live). Ta določa, koliko časa se lahko zapis hrani v cache-u. Če je TTL npr. 1 ura, bo večina strežnikov šele po eni uri poiskala nove zapise. Zato premiki strežnikov, spremembe IP naslovov ali preklop na nove e-poštne storitve nikoli niso takoj vidne. 

zakaj je torej cache tako pomemben?

1. Hitrejše odpiranje spletnih strani

Če brskalnik že pozna IP naslov za neko domeno, se stran odpre praktično takoj, ker ni treba izvajati nove DNS poizvedbe.

• brez cache: brskalnik mora poslati DNS poizvedbo → čakati 20–120 ms

• s cache: brskalnik že ima IP → 0 ms

Na milijone uporabnikov × milijone poizvedb = ogromna razlika v hitrosti in obremenitvi interneta.

2. Manj obremenitve DNS strežnikov

DNS strežniki bi brez cachea morali odgovarjati na vsako poizvedbo posebej.

Primer:

Če je domena obiskana milijonkrat na dan in TTL = 1 sekunda, bi resolverji morali opraviti milijon DNS poizvedb dnevno.

Z višjim TTL (npr. 3600 sekund = 1 ura) strežniki prejmejo 1 poizvedbo na uro in jo predpomnijo — ogromno razbremenitev.

3. Manjša latenca (ping)

Vsaka DNS poizvedba poveča čas nalaganja strani.
DNS cache ta korak eliminira.

4. Večja zanesljivost interneta

Če avtoritativni DNS strežnik začasno pade, se do izteka TTL strani še vedno normalno odpirajo, ker resolverji uporabljajo svoj cache.

Če cache ne bi obstajal:

• vsaka manjša težava na DNS strežniku → trenutna smrt za domeno ki je na tem DNS strežniku

Cache deluje kot varnostna mreža proti izpadom.

Ali lahko DNS deluje hitreje?

Da. Uporabite lahko hitrejše in varnejše mednarodne resolverje:

• 1.1.1.1 (Cloudflare) – zelo hiter, poudarek na zasebnosti (predlagam da v nastavitve svojega routerja vpišete tega!)

• 8.8.8.8 (Google DNS) – najbolj razširjen

• 9.9.9.9 (Quad9) – filtrira zlonamerne domene

Pravilna konfiguracija na strežnikih (predvsem nizki TTL med selitvami) prav tako pomaga.

Varnost: DNSSEC

DNS sam po sebi ni bil zasnovan z mislijo na napredne kibernetske grožnje.
Zato je danes vedno pomembnejša implementacija DNSSEC:

• zaščita pred “DNS spoofing”

• preverjanje digitalnih podpisov DNS zapisov

• večja zanesljivost pri e-pošti in strežnikih

V Sloveniji ga podpirajo vse večje registrarske hiše, tudi ARNES pri domenah .si.

Zaključek

DNS je hrbtenica interneta. Brez njega ne bi mogli normalno do spletnih strani, e-pošte ali strežnikov. Čeprav je za uporabnika skoraj neviden, zanj velja isto kot za elektriko:

opaziš ga šele, ko ne deluje.

Za podjetja je pravilno nastavljen DNS ključen — od delovanja spletnih storitev, varnosti e-pošte, do dostopa do aplikacij.

V PCpodpora.si se zato konfiguracijam DNS strežnikov posvečamo z veliko natančnostjo, saj napake na tem nivoju neposredno vplivajo na delovanje celotne IT infrastrukture.

za PCPodpora.si,

Sebastjan Dobnik.

#DNS, #cache, #internet A_zapis, #AAAA_zapis, #CNAME_zapis, #MX_zapis.

---

Oglejte si tudi:

#DNS #cache #internet #AAAA_zapis #CNAME_zapis #MX_zapis