Как быстро обновляется DNS после изменения записи?

Зависит от TTL записи. При TTL 3600 секунд старые кеши могут жить до часа. При TTL 60 секунд изменение видно почти сразу. Не все провайдеры уважают TTL: иногда кеши держатся дольше заявленного.

Что такое DNSSEC и нужен ли он мне?

DNSSEC — набор расширений DNS, добавляющих криптографическую подпись записей. Защищает от подмены DNS-ответов. Рекомендуется для всех публичных доменов. Поддерживается большинством крупных регистраторов и DNS-провайдеров.

Что такое wildcard DNS-запись?

Wildcard-запись вида *.example.com покрывает любые поддомены: sub1.example.com, sub2.example.com и т.д. Используется для multi-tenant SaaS, когда каждый клиент получает собственный поддомен.

Что такое dns?

DNS (Domain Name System — система доменных имён) — это иерархическая распределённая база данных и протокол, преобразующий человекочитаемые доменные имена (например, example.com) в IP-адреса, понятные сетевому оборудованию. DNS — «телефонная книга интернета»: без неё каждый пользователь должен был бы запоминать числовые адреса серверов.

Как работает разрешение DNS-запроса

Когда браузер открывает www.example.com, происходит следующая цепочка:

Локальный кеш: браузер проверяет, не помнит ли он IP для этого домена.
Системный резолвер: запрос уходит к DNS-серверу, настроенному в ОС (обычно от провайдера или 8.8.8.8).
Рекурсивный резолвер: если в его кеше нет ответа — он начинает рекурсивный обход.
Корневые серверы (Root): резолвер спрашивает один из 13 корневых серверов, кто отвечает за зону .com.
TLD-сервер: сервер .com возвращает адрес авторитативных серверов example.com.
Авторитативный сервер: финальный ответ — IP-адрес www.example.com.

Результат кешируется на каждом этапе на время TTL (Time To Live). Весь процесс занимает от нескольких миллисекунд до секунды при первом обращении.

Основные типы DNS-записей

A — IPv4-адрес (example.com → 93.184.216.34).
AAAA — IPv6-адрес.
CNAME — псевдоним домена (www.example.com → example.com). Нельзя на apex-домене.
MX — почтовый сервер для домена, с приоритетом.
TXT — произвольный текст. Используется для верификации домена, SPF, DKIM, DMARC.
NS — авторитативные name servers для зоны.
SOA — Start of Authority, метаданные зоны.
SRV — сервисные записи: хост и порт для конкретного сервиса.
PTR — обратный DNS (IP → домен).
CAA — разрешённые центры сертификации для домена.

TTL и управление кешем

TTL (Time To Live) — время в секундах, в течение которого запись может кешироваться. Низкий TTL (60–300 сек) позволяет быстро сменить IP — удобно при миграциях. Высокий TTL (86400 сек = сутки) снижает нагрузку на DNS-серверы. Правило: перед важными изменениями заблаговременно снижают TTL до 300 секунд, после — возвращают.

DNS Security: атаки и защита

DNS Spoofing / Cache Poisoning — атаки, подменяющие DNS-ответы вредоносными IP. Защита: DNSSEC — цифровые подписи на DNS-записях, позволяющие резолверу проверить подлинность ответа.

DNS over HTTPS (DoH) и DNS over TLS (DoT) шифруют DNS-запросы, защищая от перехвата и слежки ISP. Поддерживаются современными браузерами и ОС.

DDoS на DNS — атаки объёмом трафика на DNS-инфраструктуру. Защита: Anycast-распределение (Cloudflare обрабатывает атаки мощностью >1 Тбит/с).

Внутренний DNS в организации

Корпоративные сети используют внутренний DNS для разрешения имён сервисов: postgres.internal, redis.internal. В Kubernetes встроен CoreDNS — он разрешает имена сервисов (my-service.my-namespace.svc.cluster.local) внутри кластера.

dns