Типы DNS серверов: рекурсивные, авторитативные, root

Типы DNS серверов: рекурсивные, авторитативные, root

DNS — это иерархическая распределённая система. За каждым успешным dig-запросом стоит работа нескольких типов серверов: корневых (root), TLD, авторитативных и рекурсивных. В статье — как они взаимодействуют, кто за что отвечает, и почему понимание этой схемы критично для диагностики проблем с доменами.

Иерархия DNS

Домены имеют древовидную структуру с пустым корнем (.) наверху:

           .  (root)
           |
       com / org / ru  (TLD)
           |
     example.com  (SLD / 2nd level)
           |
  www.example.com  (subdomain)

Root-серверы

13 логических root-серверов (a.root-servers.net до m.root-servers.net), за которыми стоят сотни физических anycast-узлов по миру. Они знают только адреса TLD-серверов (.com, .org, .ru и т. д.) и обслуживают первый запрос в цепочке рекурсии.

Управление

12 организаций (ICANN / VeriSign / NASA и др.) под координацией IANA.

Трафик

около 1 триллиона запросов в день.

Технология

BGP anycast — один IP обслуживается тысячами серверов во всех регионах.

TLD-серверы

Отвечают за конкретный Top-Level Domain: .com, .org, .ru, .io. Они знают NS-записи для всех доменов 2-го уровня внутри своего TLD.

• gTLD (.com, .org) — общие.
• ccTLD (.ru, .de) — для стран.
• new gTLD (.io, .app, .dev) — расширенные.

Авторитативные DNS

Хранят оригинальные записи зоны. Когда вы регистрируете домен и указываете в панели регистратора ns1.cloudflare.com и ns2.cloudflare.com — это ваши авторитативные серверы.

Типы авторитативных:

Primary (Master)

Хранит оригинал зоны. Все изменения делаются здесь.

Secondary (Slave)

Копирует зону с primary через AXFR/IXFR transfer. Обеспечивает избыточность.

Hidden primary

Primary недоступен для публики — только secondary принимают запросы.

Рекурсивные DNS-резолверы

Тот сервис, к которому обращается клиент. Не хранит данные домена — рекурсивно опрашивает цепочку root, TLD, авторитативный, собирает ответ и кэширует его.

Примеры публичных рекурсивных:

• Cloudflare — 1.1.1.1 / 1.0.0.1
• Google — 8.8.8.8 / 8.8.4.4
• Quad9 — 9.9.9.9 (блокирует вредоносные домены)
• OpenDNS — 208.67.222.222
• Yandex — 77.88.8.8

Кэширующие DNS

Подвид рекурсивного. Основная задача — кэшировать ответы, минимизируя запросы к авторитативным. Технически все рекурсивные являются кэширующими, если не отключено.

На устройстве тоже работает кэширующий DNS:

• Windows — DNS Client service.
• macOS — mDNSResponder.
• Linux — systemd-resolved, nscd, dnsmasq.

Forwarder / Stub resolver

Stub resolver — простая библиотека в ОС, которая просто отправляет запрос на настроенный резолвер (resolv.conf). Сам не рекурсирует.

Forwarder — DNS-сервер, который пересылает запросы другому рекурсивному вместо самостоятельной рекурсии. Используется в корпоративных сетях для централизации DNS-трафика.

Полный путь запроса

1. Браузер спрашивает ОС о www.example.com.
2. ОС смотрит кэш. Нет записи — отправляет запрос на рекурсивный резолвер (ISP или 1.1.1.1).
3. Резолвер смотрит свой кэш. Нет — обращается к root.
4. Root отвечает «ищи в TLD .com», указывает IP TLD-сервера.
5. Резолвер спрашивает TLD .com: «где example.com?» TLD отвечает NS-записями (ns1.cloudflare.com).
6. Резолвер спрашивает авторитативный: «дай A для www.example.com».
7. Авторитативный возвращает запись.
8. Резолвер кэширует и передаёт клиенту.

Проверить всю цепочку можно командой:

dig +trace www.example.com

Как это работает на практике

Проверьте разницу между рекурсивным и авторитативным запросом:

# Через рекурсивный резолвер (с кэшем)
dig A example.com @8.8.8.8

# Прямо с авторитативного — без кэша
dig NS example.com +short
dig A example.com @ns1.example.com

Или используйте Enterno.io DNS Lookup — он показывает путь резолюции и источник ответа.

DNS и безопасность

• DNSSEC — подпись ответов авторитативного сервера, валидируется рекурсивным.
• DoH / DoT — шифрование трафика между клиентом и рекурсивным резолвером.
• Rate limiting — ограничение QPS на авторитативных защищает от DDoS.
• Anycast — распределение нагрузки root и TLD по географии.

FAQ

Почему именно 13 root-серверов?

Из-за ограничения размера DNS-ответа в UDP-пакете (512 байт по RFC 1035). 13 серверов — максимум, помещающийся в ответ NS.

Хранит ли рекурсивный резолвер данные моего домена?

Нет, он только кэширует ответы авторитативных. При изменении записи кэш истекает через TTL.

Чем primary отличается от secondary?

Primary — источник данных. Secondary копирует зону через transfer и обычно используется для избыточности.

Что выбрать для домена — primary и secondary у одного провайдера, или у разных?

Разные провайдеры — лучшая устойчивость (защита от DDoS на одного провайдера).

Заключение

Понимание ролей root, TLD, авторитативный, рекурсивный позволяет быстро локализовать проблему при любом DNS-сбое. Используйте DNS Lookup и Propagation Checker для проверки каждого уровня, и настраивайте мониторинг NS чтобы следить за доступностью авторитативных серверов.