Bilet deschis 
+373 79 600002 
Telegramă Chat live 
F.A.Q 
Română
English 
Русский 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
DNSCe Este DNS și Ierarhia DNS? Un Ghid Tehnic Complet
DNS (Domain Name System) este un sistem de denumire ierarhic și distribuit care traduce numele de domenii lizibile de către oameni — cum ar fi `www.example.com` — în adrese IP lizibile de mașini, precum `192.0.2.1`. Fără DNS, fiecare utilizator de internet ar trebui să memoreze adrese numerice pentru fiecare site web, endpoint API sau server de mail cu care interacționează. DNS este protocolul care face internetul modern navigabil la scară largă.
La baza sa, DNS funcționează ca o bază de date distribuită global. Interogările sunt rezolvate printr-un lanț structurat de delegare — de la serverele root din vârf, prin serverele de domenii de nivel superior (TLD), până la serverele de nume autoritare care dețin înregistrările efective pentru un domeniu dat. Această arhitectură este cea care face DNS simultan rapid, rezistent și extensibil.
De ce DNS este mai mult decât o simplă „carte de telefon”
Analogia cu „cartea de telefon” este un punct de plecare util, dar subestimează dramatic ceea ce face DNS în realitate în mediile de producție. DNS stă la baza:
- Rezoluției de nume — conversia FQDN-urilor (Fully Qualified Domain Names) în adrese IPv4 și IPv6
- Rutării e-mailurilor — înregistrările MX direcționează traficul SMTP către infrastructura de mail corectă
- Descoperirii serviciilor — înregistrările SRV permit aplicațiilor să localizeze servicii în mod dinamic (utilizate intens în SIP, XMPP și Kubernetes)
- Ingineriei traficului — înregistrările Geo-DNS și de rutare ponderată permit echilibrarea globală a încărcăturii și failover bazat pe latență
- Aplicării securității — înregistrările TXT transportă politicile SPF, DKIM și DMARC; DNSSEC adaugă validare criptografică
- Orchestrării CDN — aplatizarea CNAME și rutarea Anycast permit CDN-urilor să servească cel mai apropiat nod edge în mod transparent
Pentru oricine gestionează un mediu de VPS Hosting sau un Server Dedicat, înțelegerea DNS la acest nivel nu este opțională — DNS-ul configurat greșit este una dintre cele mai frecvente cauze principale ale întreruperilor aplicațiilor, eșecurilor de livrare a e-mailurilor și erorilor de provizionare SSL.
Procesul de rezoluție DNS: Pas cu pas
Când un utilizator tastează `www.example.com` într-un browser, are loc următoarea secvență. Înțelegerea fiecărui pas este esențială pentru diagnosticarea eșecurilor de rezoluție și optimizarea strategiilor TTL.
Pasul 1: Verificarea cache-ului local
Sistemul de operare verifică mai întâi cache-ul său DNS local (populat din căutările anterioare). Pe Linux, aceasta poate implica `systemd-resolved` sau `nscd`. Pe Windows, serviciul DNS Client menține acest cache. Dacă există o înregistrare validă în cache în cadrul TTL-ului său, rezoluția se oprește aici.
Pasul 2: De la stub resolver la resolver recursiv
Dacă nu există nicio potrivire în cache-ul local, stub resolver-ul OS transmite interogarea unui resolver DNS recursiv — de obicei resolver-ul ISP-ului dvs. sau un resolver public configurat, cum ar fi:
- Google Public DNS: `8.8.8.8` / `8.8.4.4`
- Cloudflare: `1.1.1.1` / `1.0.0.1`
- Quad9: `9.9.9.9`
Resolver-ul recursiv face munca grea de parcurgere a ierarhiei DNS în numele clientului.
Pasul 3: Interogarea serverului root
Dacă resolver-ul recursiv nu are un răspuns în cache, interoghează unul dintre cele 13 clustere de servere root (adresate ca `a.root-servers.net` până la `m.root-servers.net`). Acestea nu sunt 13 mașini individuale — sunt 13 grupuri de adrese Anycast operate de organizații precum ICANN, Verisign, NASA și RIPE NCC, cu peste 1.500 de instanțe fizice distribuite global.
Serverul root nu returnează o adresă IP. Returnează o referință — adresa serverului TLD autoritar pentru sufixul interogat (de ex., `.com`).
Pasul 4: Interogarea serverului TLD
Resolver-ul recursiv interoghează serverul de nume TLD corespunzător. Pentru `.com`, acesta este operat de Verisign. Serverul TLD returnează o altă referință — serverele de nume autoritare pentru domeniul de nivel secundar specific (de ex., `ns1.example.com`).
Pasul 5: Interogarea serverului de nume autoritar
Resolver-ul recursiv interoghează serverul de nume autoritar, care deține fișierul de zonă pentru `example.com`. Acest server returnează înregistrarea DNS efectivă — de exemplu, o înregistrare A care mapează `www.example.com` la `93.184.216.34`.
Pasul 6: Stocarea în cache a răspunsului și livrarea
Resolver-ul recursiv stochează răspunsul în cache conform valorii TTL (Time to Live) a înregistrării, apoi returnează adresa IP stub resolver-ului clientului, care o transmite browser-ului. Browser-ul deschide apoi o conexiune TCP (sau QUIC pentru HTTP/3) la acea adresă IP.
Nuanță critică: Valorile TTL sunt setate de proprietarul domeniului pe serverul autoritar. Un TTL de 300 de secunde înseamnă că înregistrarea poate fi stocată în cache timp de 5 minute înainte de re-interogare. În timpul unei migrări sau al unui răspuns la un incident, reducerea TTL-urilor în avans (la 60–300 de secunde) este o practică operațională standard pentru a minimiza întârzierile de propagare.
Ierarhia DNS: Arhitectură și componente
Spațiul de nume DNS este structurat ca un arbore inversat. Fiecare nod din arbore este o etichetă, iar o cale completă de la frunză la rădăcină formează un nume de domeniu. Punctul final din `www.example.com.` reprezintă rădăcina.
Nivelul 1: Zona root
Zona root este vârful ierarhiei DNS, reprezentată printr-o etichetă goală (`.`). Conține înregistrări NS care indică serverele TLD pentru fiecare domeniu de nivel superior existent. Fișierul zonei root este menținut de IANA (Internet Assigned Numbers Authority) și conține în prezent delegări pentru peste 1.500 de TLD-uri.
Serverele root funcționează sub un model de ancoră de încredere — lanțurile de validare DNSSEC se termină în cele din urmă la Cheia de Semnare a Cheilor (KSK) a zonei root, care este gestionată printr-un proces de ceremonie cu audit riguros.
Nivelul 2: Domenii de nivel superior (TLD-uri)
Serverele TLD sunt autoritare pentru toate domeniile înregistrate sub sufixul lor. Există mai multe categorii:
| Tip TLD | Exemple | Tip operator |
|---|
| — | — | — |
|---|
| TLD generic (gTLD) | `.com`, `.net`, `.org`, `.edu` | Registre acreditate ICANN |
|---|
| TLD sponsorizat (sTLD) | `.gov`, `.mil`, `.edu` | Organizații sponsorizate cu acces restricționat |
|---|
| TLD cod de țară (ccTLD) | `.uk`, `.de`, `.jp`, `.io` | Registre naționale |
|---|
| Nou gTLD | `.app`, `.tech`, `.cloud`, `.shop` | Operatori privați de registre |
|---|
| Infrastructură | `.arpa` | IANA (utilizat pentru DNS invers) |
|---|
Nivelul 3: Domenii de nivel secundar (SLD-uri) și subdomenii
Domeniul de nivel secundar este eticheta imediat la stânga TLD-ului — `example` în `example.com`. Acesta este unitatea pe care registranții de domenii o achiziționează și o gestionează. Când înregistrați un domeniu printr-un serviciu precum Înregistrare Domenii, dobândiți dreptul de a controla delegarea DNS pentru acel SLD.
Subdomeniile sunt etichete adăugate înaintea SLD-ului (`www`, `mail`, `api`, `blog`). Acestea sunt configurate în întregime în fișierul de zonă al serverului de nume autoritar — nu este necesară nicio înregistrare suplimentară. Adâncimea subdomeniului este teoretic nelimitată, deși există limite practice (lungimea totală a FQDN nu trebuie să depășească 253 de caractere; fiecare etichetă nu trebuie să depășească 63 de caractere).
Nivelul 4: Servere de nume autoritare și fișiere de zonă
Serverele de nume autoritare sunt sursa de adevăr pentru înregistrările DNS ale unui domeniu. Acestea răspund la interogări cu indicatorul AA (Authoritative Answer) setat. Un fișier de zonă este o bază de date în text simplu care conține toate înregistrările de resurse pentru un domeniu.
Tipuri cheie de înregistrări DNS pe care orice administrator trebuie să le cunoască:
| Tip înregistrare | Scop | Exemplu |
|---|
| — | — | — |
|---|
| A | Mapează numele de gazdă la adresa IPv4 | `www 300 IN A 93.184.216.34` |
|---|
| AAAA | Mapează numele de gazdă la adresa IPv6 | `www 300 IN AAAA 2606:2800:220:1:248:1893:25c8:1946` |
|---|
| CNAME | Alias care indică spre un alt nume de gazdă | `blog CNAME www.example.com.` |
|---|
| MX | Server de mail cu prioritate | `@ 3600 IN MX 10 mail.example.com.` |
|---|
| NS | Delegă zona către serverul de nume | `@ IN NS ns1.example.com.` |
|---|
| TXT | Text arbitrar; utilizat pentru SPF, DKIM, DMARC | `@ IN TXT "v=spf1 include:_spf.google.com ~all"` |
|---|
| SOA | Start of Authority; metadate zonă | Serial, refresh, retry, expire, TTL minim |
|---|
| SRV | Localizarea serviciului cu port și pondere | `_sip._tcp IN SRV 10 20 5060 sip.example.com.` |
|---|
| PTR | DNS invers (IP la nume de gazdă) | Utilizat în zonele `in-addr.arpa` |
|---|
| CAA | Restricționează care CA-uri pot emite certificate SSL | `@ IN CAA 0 issue "letsencrypt.org"` |
|---|
Înregistrările CAA merită o atenție specială: sunt un control de securitate adesea neglijat care împiedică autoritățile de certificare neautorizate să emită Certificate SSL pentru domeniul dvs. Dacă înregistrarea dvs. CAA nu listează CA-ul pe care îl utilizați, emiterea certificatului va eșua.
Resolver-e recursive vs. servere autoritare: O distincție critică
Aceste două componente sunt distincte din punct de vedere arhitectural și sunt adesea confundate de cei noi în domeniu.
| Atribut | Resolver recursiv | Server de nume autoritar |
|---|
| — | — | — |
|---|
| Rol | Interoghează în numele clienților | Răspunde la interogări despre propriile zone |
|---|
| Sursă de date | Cache + interogări upstream | Fișier de zonă (bază de date locală) |
|---|
| Indicatorul AA în răspuns | Nesetat | Setat |
|---|
| Exemple | Resolver-e ISP, 8.8.8.8, 1.1.1.1 | BIND, PowerDNS, NSD, Route 53 |
|---|
| Stochează răspunsurile în cache | Da (respectă TTL) | Nu (servește date autoritare) |
|---|
| Implementat de | ISP-uri, întreprinderi, furnizori publici | Proprietari de domenii, furnizori de hosting |
|---|
Un singur server poate rula tehnic ambele roluri, dar acest lucru este puternic descurajat în producție din cauza implicațiilor de securitate și performanță (resolver-ele deschise sunt un vector pentru atacuri DDoS de amplificare DNS).
DNSSEC: Integritate criptografică pentru lanțul DNS
DNS-ul standard nu are autentificare încorporată — răspunsurile pot fi falsificate prin atacuri de otrăvire a cache-ului (atacul Kaminsky fiind cel mai faimos). DNSSEC (DNS Security Extensions) abordează această problemă prin adăugarea de semnături digitale la înregistrările DNS.
Lanțul de încredere DNSSEC funcționează după cum urmează:
- Fiecare zonă își semnează înregistrările cu o Cheie de Semnare a Zonei (ZSK)
- Cheia publică a ZSK este publicată ca înregistrare DNSKEY
- Zona părinte semnează un hash al DNSKEY-ului copilului, creând o înregistrare DS (Delegation Signer)
- Acest lanț se extinde de la zona root (ancora finală de încredere) până la înregistrările individuale
Validarea DNSSEC are loc la nivelul resolver-ului recursiv. Validatorii verifică semnăturile față de cheile publicate; dacă validarea eșuează, resolver-ul returnează `SERVFAIL` în loc de un răspuns potențial otrăvit.
Avertisment operațional: DNSSEC crește semnificativ complexitatea gestionării zonei. Rotațiile cheilor, expirarea semnăturilor și sincronizarea înregistrărilor DS cu zona părinte sunt surse frecvente de întreruperi. Testați întotdeauna configurația DNSSEC cu instrumente precum `dnsviz.net` înainte de a o activa în producție.
DNS în mediile de hosting: Considerații practice
Propagare vs. TTL
„Propagarea DNS” este un termen utilizat greșit pe scară largă. Ceea ce se întâmplă de fapt este expirarea TTL-ului în cache-uri. Când modificați o înregistrare A, resolver-ele care au stocat în cache valoarea veche vor continua să o servească până când TTL-ul expiră. Nu există niciun mecanism activ de „push” în DNS-ul standard.
Pentru a minimiza timpii de nefuncționare în timpul migrărilor:
- Reduceți TTL-ul înregistrărilor afectate la 300 de secunde cu cel puțin 24–48 de ore înainte de modificare (permițând cache-urilor existente să expire)
- Efectuați modificarea DNS
- După confirmarea că noua configurație este stabilă, restaurați TTL-ul la o valoare de producție (3600–86400 de secunde)
DNS split-horizon
În mediile cu segmente de rețea atât publice, cât și private — frecvente pe VPS Hosting sau Servere Dedicate — DNS-ul split-horizon (numit și DNS split-brain) servește răspunsuri diferite în funcție de sursa interogării. Clienții interni rezolvă `db.example.com` la o adresă privată RFC 1918; clienții externi primesc IP-ul public sau adresa unui load balancer. Aceasta este implementată în BIND folosind directive `view` sau în PowerDNS prin scripting Lua.
DNS invers (înregistrări PTR)
DNS-ul invers mapează adresele IP înapoi la nume de gazdă folosind zonele `in-addr.arpa` (IPv4) sau `ip6.arpa` (IPv6). Înregistrările PTR sunt esențiale pentru:
- Livrabilitatea e-mailurilor — multe servere de mail receptoare resping sau penalizează puternic e-mailurile de la IP-uri fără înregistrări PTR corespunzătoare
- Jurnalizarea securității — îmbogățirea jurnalelor de firewall și acces cu nume de gazdă
- Conformitate — unele cadre de reglementare necesită DNS invers pentru pistele de audit
Dacă rulați o configurație de Email Hosting sau un server de mail auto-gestionat, asigurați-vă că furnizorul dvs. de hosting a configurat o înregistrare PTR pentru adresa IP a serverului dvs.
DNS și provizionarea certificatelor SSL
Provocările DNS-01 ACME (utilizate de Let’s Encrypt și alte CA-uri) necesită scrierea unei înregistrări TXT specifice în zona domeniului dvs. pentru a dovedi controlul domeniului. Această metodă este necesară pentru emiterea certificatelor wildcard. Gestionarea automată a certificatelor (prin `certbot` sau `acme.sh`) necesită acces API la furnizorul dvs. DNS pentru a crea și elimina programatic aceste înregistrări TXT.
Moduri frecvente de eșec DNS și diagnosticare
Înțelegerea modurilor de eșec este ceea ce separă un administrator competent de cineva care urmează pur și simplu tutoriale.
NXDOMAIN — Numele interogat nu există în zonă. Cauze frecvente: greșeală de scriere în numele înregistrării, zona nu este încărcată sau delegarea indică spre serverele de nume greșite.
SERVFAIL — Serverul nu a putut finaliza interogarea. Cauze frecvente: eșec de validare DNSSEC, servere autoritare inaccesibile sau un fișier de zonă corupt (eroare de sintaxă în înregistrările SOA sau NS).
Cache expirat — Resolver-ul servește o înregistrare expirată sau depășită. Utilizați `dig +nocache` sau interogați direct serverul autoritar pentru a ocoli cache-urile resolver-ului.
Delegare defectuoasă — Înregistrările NS ale zonei părinte indică spre servere de nume care nu sunt de fapt autoritare pentru zonă (nu au zona încărcată). Acesta este un mod de eșec silențios care cauzează eșecuri intermitente de rezoluție.
Comenzi esențiale de diagnosticare:
“`bash
Query a specific resolver for an A record
dig @8.8.8.8 www.example.com A
Trace the full resolution path from root
dig +trace www.example.com
Check authoritative answer directly
dig @ns1.example.com www.example.com A +norec
Verify reverse DNS
dig -x 93.184.216.34
Check DNSSEC chain
dig www.example.com A +dnssec
Inspect SOA record (useful for checking serial after zone update)
dig example.com SOA
“`
Optimizarea performanței DNS
- Implementare Anycast — Serverele autoritare implementate prin Anycast răspund de la nodul geografic cel mai apropiat, reducând latența interogărilor
- Ajustarea TTL — TTL-urile mai mari (3600–86400s) reduc încărcarea resolver-ului și îmbunătățesc ratele de potrivire în cache pentru înregistrările stabile; TTL-urile mai mici (60–300s) permit un failover mai rapid pentru infrastructura dinamică
- Stocarea negativă în cache — Răspunsurile NXDOMAIN sunt stocate în cache pentru durata specificată în câmpul TTL minim al SOA; TTL-urile negative excesiv de lungi întârzie recuperarea după o configurare greșită
- EDNS Client Subnet (ECS) — Permite resolver-elor recursive să transmită o porțiune din IP-ul clientului către serverele autoritare, permițând decizii de geo-rutare mai precise (cu costul unei oarecare confidențialități)
- DNS over HTTPS (DoH) / DNS over TLS (DoT) — Criptează interogările DNS în tranzit, prevenind interceptarea și manipularea la nivel de ISP; din ce în ce mai important pentru implementările sensibile la confidențialitate
Matrice de decizie: Alegerea configurației DNS corecte
| Scenariu | Abordare recomandată |
|---|
| — | — |
|---|
| Site web simplu, server unic | Înregistrare A care indică spre IP-ul serverului; complexitate redusă |
|---|
| Aplicație web multi-regiune | Geo-DNS sau CNAME ponderat prin furnizor DNS gestionat |
|---|
| Server de mail auto-găzduit | Înregistrările A + MX + PTR + TXT SPF/DKIM/DMARC obligatorii |
|---|
| Certificat SSL wildcard | Provocare ACME DNS-01; necesită acces API DNS |
|---|
| Servicii interne (rețea privată) | DNS split-horizon cu zonă internă |
|---|
| Domeniu cu securitate ridicată | DNSSEC + înregistrări CAA + politică DMARC |
|---|
| Cerință de failover rapid | TTL <= 300s pe înregistrările critice; rutare bazată pe verificarea stării |
|---|
| Prevenirea preluării subdomeniului | Auditați periodic înregistrările CNAME suspendate |
|---|
Concluzii tehnice cheie
- Rezoluția DNS este un lanț de delegare în mai mulți pași: stub resolver > resolver recursiv > root > TLD > server autoritar
- Cele 13 clustere de servere root (nu mașini individuale) utilizează Anycast pentru a servi peste 1.500 de instanțe fizice la nivel global
- TTL controlează durata cache-ului — „propagarea” înseamnă pur și simplu așteptarea expirării cache-urilor, nu un push activ
- Serverele autoritare dețin fișiere de zonă; resolver-ele recursive stochează în cache și transmit — nu confundați niciodată cele două roluri
- DNSSEC adaugă validare criptografică, dar introduce complexitate operațională; rotațiile cheilor și sincronizarea DS sunt puncte frecvente de eșec
- Înregistrările PTR sunt indispensabile pentru implementările serverelor de mail și jurnalizarea securității
- Înregistrările CAA restricționează care autorități de certificare pot emite certificate SSL pentru domeniul dvs.
- Delegările defectuoase și cache-urile negative expirate sunt printre cele mai insidioase moduri de eșec DNS
- Utilizați întotdeauna `dig +trace` pentru a diagnostica problemele de rezoluție de la root în jos, în loc să vă bazați pe outputul la nivel de resolver
Întrebări frecvente
Care este diferența dintre un resolver recursiv și un server DNS autoritar?
Un resolver recursiv interoghează ierarhia DNS în numele unui client și stochează răspunsurile în cache. Un server DNS autoritar deține fișierul de zonă efectiv pentru un domeniu și returnează răspunsuri definitive cu indicatorul AA setat. Acestea sunt roluri arhitectural separate, deși tehnic un singur daemon poate îndeplini ambele.
De ce propagarea DNS durează atât de mult după ce modific o înregistrare?
DNS nu „se propagă” în sens activ. Resolver-ele stochează înregistrările în cache pentru durata TTL-ului setat pe înregistrare. Dacă înregistrarea dvs. A are un TTL de 86400 de secunde (24 de ore), resolver-ele care au stocat în cache valoarea veche vor continua să o servească timp de până la 24 de ore. Pentru a minimiza acest lucru, reduceți TTL-ul la 300 de secunde cu cel puțin 24 de ore înainte de a efectua o modificare.
Ce cauzează un răspuns SERVFAIL și cum îl remediez?
SERVFAIL rezultă cel mai frecvent dintr-un eșec de validare DNSSEC, servere de nume autoritare inaccesibile sau un fișier de zonă corupt/malformat. Utilizați `dig +dnssec` pentru a verifica problemele DNSSEC, verificați că serverele dvs. autoritare sunt accesibile și răspund, și validați sintaxa fișierului de zonă cu `named-checkzone`.
Am nevoie de DNSSEC pentru domeniul meu?
DNSSEC este puternic recomandat pentru domeniile care gestionează tranzacții sensibile, infrastructură de e-mail sau servicii financiare. Previne atacurile de otrăvire a cache-ului. Cu toate acestea, adaugă suprasarcină operațională — rotațiile cheilor și gestionarea înregistrărilor DS necesită automatizare atentă. Pentru majoritatea domeniilor de producție, beneficiul de securitate depășește complexitatea.
Ce înregistrări DNS sunt necesare pentru un server de mail funcțional?
Cel puțin: o înregistrare MX care indică spre numele de gazdă al serverului dvs. de mail, o înregistrare A care rezolvă acel nume de gazdă, o înregistrare PTR pe IP-ul serverului (configurată de furnizorul dvs. de hosting) și înregistrări TXT pentru SPF, DKIM și DMARC. Lipsa oricăreia dintre acestea va duce la eșecuri de livrabilitate sau respingere directă de către serverele de mail receptoare.