Kas yra DNS serveris ir kaip jį išsirinkti?

DNS serveriai – tai domeną aptarnaujantys vardų serveriai. Juose nustatoma, kokie serveriai aptarnauja jūsų el. paštą, interneto svetainę ir kt. DNS serveriui susidūrus su problemomis, šių paslaugų serverių adresai tampa nežinomi ir jos tampa nepasiekiamos. Kad viskas veiktų sklandžiai, būtinas patikimas DNS serveris.

Kaip veikia DNS serveriai?

Kiekvieno lankytojo kompiuteris, norėdamas rasti jūsų interneto svetainę, kreipiasi į domenų registre nurodytus domeną aptarnaujančius DNS serverius. Jis paprašo jūsų tinklalapį turinčio serverio IP adreso (Kas yra IP adresas?). Lygiai taip pat kiekvienas kitas serveris, kuris nori jums pristatyti el. laišką, turi gauti jūsų el. pašto serverio IP adresą.

Kaip veikia DNS zonos išsprendimas vaizdžiai paaiškina šis vaizdo klipas:

Kodėl DNS serverio pasirinkimas yra svarbus?

Kiekvieno paslaugų teikėjo DNS serverių tinklas yra unikalus. Kokybiniai DNS serverių parametrai praktiškai nulemia tris visų jūsų naudojamų interneto sistemų aspektus: veikimo greitį, patikimumą ir saugumą. Rinkdamiesi DNS paslaugos teikėją, išsiaiškinkite, ar šie aspektai atitinka jūsų poreikius.

DNS serverio greitis

Kuo greičiau naršytojo kompiuteris gaus atsakymą iš DNS serverio, tuo greičiau jis pradės krauti interneto svetainę. Kiekviena lankytojo laukimo sekundė jums reiškia prarastas pajamas. Straipsnių šia tema gausu ir lietuviškoje spaudoje. Ateityje naujų tyrimų duomenis aprašysiu ir savo tinklaraštyje.

DNS serverio atsakymo greitis dažniausiai proporcingas fiziniam atstumui iki serverio. Kiekvienas 100KM prideda iki 5ms laukimo. Tad jei turėsime po DNS serverį Prancūzijoje, Rumunijoje ir Lietuvoje, dauguma Europos lankytojų DNS atsakymą gaus greičiau nei per 50ms. Bet lankytojas, atėjęs iš vakarinio JAV kranto, jo gali laukti ir pusę sekundės, o iš Naujosios Zelandijos – ir visą sekundę.

Lyginant, kad optimizuota interneto svetainė kraunasi 1–2 sekundes, 50ms DNS serverio atsakymo greitis yra pakankamas. Tačiau viršijantis 100ms jau pastebimai stabdo svetainės krovimąsi ir tampa problema.

Būtų idealu turėti po vieną DNS serverį kiekvienoje šalyje, tačiau to pasaulyje dar niekas nesiūlo. Norėdami turėti pakankamai didelį DNS atsakymo greitį savo lankytojams, rinkitės tą paslaugų teikėją, kuris turi bent po vieną serverį kiekviename žemyne, iš kurių ateina jūsų lankytojai.

DNS serverio patikimumas

DNS serverių tinklą pagal reikalavimus turi sudaryti bent 2 fiziškai atskiri serveriai. Dauguma paslaugų teikėjų turi bent 4 DNS serverius, juos laiko ne viename duomenų centre ir pasirūpina pakankamai galinga aparatine įranga. Todėl praktiškai visi DNS serverių tinklai veikia patikimai, kol jų niekas nepuola.

Didžiausia DNS serverių problema – DDoS atakos. Jų metu šimtai tūkstančių virusais užkrėstų kompiuterių nesustodami siunčia užklausas DNS serveriui, kuris negali aptarnauti tokio didelio momentinio srauto ir tampa nepasiekiamas.

DDoS atakos naudojamos įvairių serverių puolimui, tačiau DNS dalis jose nuo 2013 metų pradžios iki tų pačių metų pabaigos pakilo nuo 13,1% iki 50,1%1. Daugiau kaip pusė DDoS atakų nukreipta prie DNS serverius, nes sutrikdžius jų darbą nebeveikia absoliučiai viskas, kam reikalingi domenai.

Kiekvieną valandą fiksuojama po 28 naujas DDoS atakas pasaulyje1, o didžiausių DDoS atakų duomenų srautas nuo 2014 metų viršija 400Gbps2. Palyginimui, paprastas hostingo serveris būna prijungtas prie 0,1Gbps interneto kanalo. Didžiausias interneto paslaugų teikėjas Lietuvoje TEO parduoda iki 10Gbps interneto kanalus, o iš viso patys yra nusipirkę 100Gbps tarptautinių interneto kanalų. Tai reiškia, kad jei bet kuris lietuviškas interneto paslaugų teikėjas būtų puolamas didelio masto DDoS ataka, jo turimi tarptautiniai kanalai „užsikimštų“ ir paslaugos iš karto taptų nepasiekiamos už Lietuvos ribų.

Realybėje Lietuvos paslaugų teikėjai kol kas sulaukia tik kur kas mažesnių atakų. Bet menkai pasiruošusius ir į reikalingą įrangą neinvestavusius duomenų centrus sutrikdo ir 6Gbps atakos (straipsnis Verslo žiniose). Todėl turėti bent 1 DNS serverį didelio pasaulinio interneto paslaugų teikėjo tinkle yra privalu.

Dauguma pasaulinių DNS paslaugų teikėjų apsaugo savo serverius nuo 50–100Gbps atakų. Norėdami stabilaus paslaugų veikimo, įsitikinkite, kad jūsų DNS serverių savininkas yra pajėgus atlaikyti bent tokio masto atakas.

DNS serverio saugumas

Jei DNS serveris lankytojui grąžins neteisingą atsakymą, lankytojas nueis į ne tą serverį. Praktikoje tai nenutinka netyčia. Pavyzdžiui, jei kas nors įsilaužtų į banko DNS serverį ir pakeistų DNS zonos nustatymus, galėtų nukreipti visus banko klientus į savo serverį su suklastota svetaine ir pavogti jų prisijungimo duomenis.

Kiekvienas paslaugų teikėjas DNS serverių saugumą užtikrina savo kompetencijos ribose, kaip ir visų kitų tipų serverių. Dažniausiai lengviau yra įsilaužti į vartotojo maršrutizatorių arba jo kompiuterį ir pakeisti jų nustatymus. Tuomet konkretaus lankytojo kompiuteris DNS informaciją ims ne iš tikrojo DNS serverio, o iš suklastoto, vedančio į kenkėjišką svetainę. Efektas lygiai toks pat kaip nulaužus tikrąjį DNS serverį, tik šiuo atveju įtakojame tik konkrečius lankytojus, o svetainės savininkas apie tai nesužino.

Domenų sistema tam turi DNSSEC apsaugą, kuri leidžia patikrinti DNS duomenų autentiškumą ir užkirsti kelią DNS informacijos klastojimui. Norėdami išnaudoti šią funkciją, turite naudotis DNS serveriu, kuris palaiko DNSSEC standartą. Kol kas DNSSEC palaiko tik maža dalis DNS serverių teikėjų.

Kuo skiriasi DNS paslaugos?

Šiuo metu rinkoje siūlomos 3-ų tipų DNS serverių paslaugos: nemokami hostingo DNS serveriai, mokami išoriniai Unicast DNS serveriai ir mokami Anycast DNS serveriai. Ką rinktis, priklauso nuo kitų jūsų naudojamų paslaugų. Jei esate užsisakę aukšto patikimumo svetainės talpinimą ir el. paštą, pasirinkę žemos kokybės DNS serverį vis vien susidursite su problemomis, nors tų paslaugų serveriai ir veiks patikimai.

Nemokami hostingo DNS serveriai

Jie dažniausiai veikia pačiuose hostingo serveriuose. Neveikiant hostingo serveriui, nustoja veikti ir DNS serveriai. Geografiškai jie būna viename regione, dažnai tame pačiame duomenų centre, todėl yra visiškai priklausomi nuo duomenų centro pasiekiamumo ir lankytojams iš kitų regionų veikia lėtai.

Jei visos jūsų el. paslaugos (interneto svetainė, el. paštas ir t.t.) veikia viename hostingo serveryje, galite naudoti su juo nemokamai suteiktus DNS serverius. Kadangi visos paslaugos vis tiek priklausomos nuo vieno fizinio serverio, DNS serveris veiks ar neveiks tuo pat metu kaip ir visos kitos paslaugos.

Išoriniai Unicast DNS serveriai

Nuo pirmo varianto jie skiriasi tuo, kad yra įkurti fiziškai nutolusiuose duomenų centruose ir nenaudojami jokioms kitoms užduotims. Dažniausiai kuo patikimesnis paslaugų teikėjas ir kuo brangesnė jo DNS paslauga, tuo didesnę apsaugą nuo DDoS jis yra įdiegęs ir tuo platesnį geografinį regioną apima visas DNS serverių tinklas. Tai suteikia didesnį patikimumą ir greitį.

Išorinį Unicast DNS serverių tinklą rekomenduoju tuomet, kai jūsų el. paslaugas aptarnauja bent 2 atskiri serveriai. Pvz.: el. paštui naudojate Google Apps for Business, o svetainę talpinate ContentAir serveriuose. Šios paslaugos užtikrina aukštą patikimumą ir garantijas, bet pasirinkę prastą DNS serverį rizikuojate jų nepasiekti.

Anycast DNS serveriai

Anycast DNS serverių tinklai panaudodami debesų kompiuterijos technologijas suteikia aukščiausią patikimumą ir greitį. Jie veikia keliasdešimtyje fiziškai atskirų duomenų centrų, bent po vieną kiekviename žemyne. Dėl ypatingai didelio nepriklausomų serverių skaičiaus praktiškai neįmanoma, kad Anycast DNS serverių tinklas neaptarnautų domeno ir šis iš viso neveiktų.

Anycast DNS serverių tinklo privalumus pajusite tik tuomet, jei turite geografiškai plačiai pasklidusių lankytojų srautą arba reikalaujate 100% patikimumo. Kita vertus, kai kainos skirtumas tarp Unicast DNS ir Anycast DNS yra tik keliasdešimt eurų per metus ir vis mažėja, vis daugiau įmonių renkasi Anycast DNS ir vietinėms svetainėms.

Lietuvos teikėjų DNS serverių greičio palyginimas

Norėdamas iliustruoti skirtingų DNS tinklų greičio skirtumus, atlikau Dyn.com DNS greičio testą su 4 domenais. Domenai.lt naudoja nemokamą vietinio DNS serverio variantą. Serveriai.lt ir Link.lt naudoja skirtingų teikėjų išorinius Unicast DNS serverių tinklus, kuriuos sudaro po 4 Europoje ir JAV įkurtus serverius. Tera.lt naudoja brangiausią iš šių visų Anycast DNS serverių tinklą – Amazon Web Services DNS. Kaip galite matyti iš grafiko ir žemiau pateiktos lentelės, kai kuriuose regionuose laukimo laikai skiriasi daugiau kaip 100 kartų.

Testo metu vietoj vartotojų kompiuterių buvo naudoti kokybišką interneto kanalą turintys serveriai. Todėl realiose situacijose, kai jungiamasi su namų lygio interneto prieiga, laukimo laikai būtų didesni. Tačiau jų santykiniai skirtumai išliktų panašūs.

Sužinokite savo DNS serverių greitį čia.

Šaltiniai:

  1. NSFOCUS DDoS Threat Report 2013
  2. ‘Biggest ever’? Massive DDoS-attack hits EU, US

Autoriaus interesų atskleidimas

Mano vadovaujama UAB „Virtuali erdvė“ teikia verslo klasės Unicast DNS ir Anycast DNS serverių tinklų paslaugas. Kad užtikrintume aukščiausią kokybę mažoje Lietuvos rinkoje, mes nevaldome savo DNS serverių tinklų, o nuomojame didžiausių pasaulyje DNS paslaugų teikėjų resursus.

Autorių teisės

Creative Commons licencija Straipsnis „Kas yra DNS serveris ir kaip jį išsirinkti?“, kurio autorius Pakamore pasilieka ir saugo visas savo autoriaus teises, yra licencijuotas publikavimui pagal Creative Commons Priskyrimas + Jokių išvestinių darbų (BY-ND) 4.0 tarptautinę licenciją.