Все способы настройки DNS серверов

Что мониторить?

Это типичная картинка с прода. Мы здесь видим, что

количество запросов

достигло 300 000 запросов, и это не в минуту и не в секунду, у меня статистика снимается каждые 5 минут, т. е. на самом деле мелочь.

Таким образом, мониторить количество запросов обязательно нужно, т. к. если вы не можете их измерять, вы не можете их контролировать. Еще нужно мониторить виды запросов. В примере ниже хорошо видно: бирюзовая полоска — это PTR-запросы, и надо разбираться, почему их так много и откуда они берутся.

Чаще всего их причиной является криво сконфигурированный софт, либо какой-то роутер считает, что ему нужно срочно сделать PTR-запросик пару тысяч раз.

Это делается достаточно просто — вы по cron дергаете статистику unbound, а потом оттуда (мы в Zabbix юзер-параметром) забираете то, что нужно.

Виды ответов тоже обязательно надо мониторить. На картинке выше типичный пример DNS Water Torture, т. е. ботнет внутри вашей сети запрашивает несуществующие адреса поддомены атакуемого домена. В результате он получает ответ Nodata (красный цвет), в примере доходило до 25 000 таких запросов в пике.

Что получим

Несмотря на это, оно работает очень быстро и весь процесс засасывания нового дампа на 700 доменах занимает еле-еле 15 секунд. Да, время не растет пропорционально. То есть, если завтра у вас будет 1400 доменов, то это будет занимать 18 секунд, окей.

А про понятие master/slave забудьте, в данном контексте оно маловажно.

Что дальше

Дождитесь обновления зоны домена. Оно занимает от 15 минут до 1 часа. Если вы предварительно изменили DNS-серверы домена, обновление информации займет до 24 часов. После того как зона обновится, изменения вступят в силу (например, будет инициирован выпуск SSL-сертификата или домен будет привязан к хостингу и т.д.)

Что такое днс (dns)?

Интернет — это совокупность локальных сетей компьютеров, расположенных по всему миру,
которые связываются между собой по единым правилам, называемым протоколами.

Что должно быть в резольвере?

5 вещей, которые нужно сделать в своем резольвере.

1. Никаких форвардов к Яндексу или Google

Это довольно очевидно, поэтому, пожалуйста, перестаньте так делать. Перенаправлять запросы к Google плохо по двум причинам. Во-первых, вас рано или поздно ограничат по количеству запросов, о чем они заранее предупреждают. Но самое неприятное в том, что связность неидеальная.

Иногда бывает, что даже заветные 4 восьмерки недоступны, соответственно, у вас тоже будут проблемы. Абсолютно то же самое касается и Яндекса.

Нет, это не проблема Google или Яндекс, их недоступность обычно связана с тем, что у Вас (или Вашего аплинка) упал до них канал.

2. SO_REUSEPORT

Эта опция реально ускоряет жизнь, но требует, чтобы у вас было ядро, как минимум, версии 3.9. Если среди вас есть любители ядер 2.6. (моябабушкаизRedHat), закопайте его, пожалуйста. Опция SO_REUSEPORT позволяет нескольким процессам одновременно биндить один порт (у них должен быть одинаковый UID, чтобы порт не «угнать»), но ее приятственность в другом — нагрузка распределяется на эти потоки равномерно. Для DNS это подходит идеально, и вы на самом деле увидите прирост производительности, просто перейдя на современное ядро.

SO_REUSEPORT есть и в bind, и в unbound. В bind он включен из коробки, в unbound его надо отдельно включать, потому что unbound пытается быть максимально совместимым, иногда в ущерб производительности.

3. Prefetch

Это странная опция. Она действительно помогает в том смысле, что она немножко не уважает TTL. Когда мы идем к авторитетному серверу и спрашиваем у него какую-то запись, у нее есть TTL — это то время, в течение которого к нему можно за обновлением не ходить. Unbound и bind идут за обновленным содержимым этой записи раньше, чем TTL реально истек.

Но есть две особенности. Вы получите прирост в исходящем трафике процентов на 10. Хотя на самом деле в целом резольверы с трудом могут генерировать вообще много трафика, поэтому вряд ли это вас будет волновать. Второй момент — с короткими TTL (например, в минуту)

4. Expired

Этой опции в bind я не нашел, но в unbound она есть и позволяет возвращать просроченную запись с нулевым TTL, а в фоне пытается получить свежую у авторитетных серверов. Это хорошо помогает от крупных падений, например, пользователи могли бы даже и не заметить недавнего падения Dyn, если эта опция была бы массово включена. Но ее не все знают, не все любят и не все включают.

5. DNSSEC

DNSSEC есть в 2 разных ипостасях — в простой и в сложной:

В простом варианте оно работает автоматически. Просто, если есть DNSSEC, надо его проверять, и при нарушениях не отдавать результат запроса. На сегодня это важно, потому что TTL записей стремятся к 0, т. е. существует определенная вероятность попытки отравления кэша DNS.

Как вы понимаете, если мы отравим кэш резольвера, все его клиенты получат отравленную запись, и можно будет сделать много интересных вещей. Поэтому, пожалуйста, всегда проверяйте DNSSEC, если он есть у домена, в этом нет ничего сложного и это делается автоматически и хорошо.

Зарубежные домены обзавелись DNSSEC уже неплохо, хотя процент там тоже небольшой. При этом многие провайдеры принципиально DNSSEC не проверяют, например, Ростелеком.

За полтора года этой валидации я все ожидал, что кто-нибудь из наших крупных компаний накосячит с DNSSEС, тем самым порвав на британский флаг нашу техподержку, но пока все единичные срабатывания были на зарубежные сайты с небольшим трафиком — все нормально.

Centos

Чтобы сменить DNS-серверы:

Ubuntu 18.04

Изменить DNS-серверы поможет служба netplan. С её помощью нужно отредактировать её конфигурационный файл 01-netcfg.yaml.

Чтобы внести изменения:

Ubuntu 20.04/debian

Чтобы сменить DNS-серверы:

Архитектура

Архитектура здесь до боли проста — это просто смесь 2 компонентов, о которых мы только что говорили. То есть в свет смотрит PowerDNS, принимает запрос, смотрит в базу, к config-файле которой есть опция отправить запрос дальше вот этому серверу (стоящему на той же машине unbound), если чего-то нет в самой базе.

Ваш лучший друг — dnstop

Это очень удобная команда, чтобы понять, кто и что запрашивает, если случилась атака и что-то пошло не так. Обычно, её запускают без параметров, но это неправильно.

dnstop <интерфейс> -i <наш ip>Нажимаем на клавиатуре с, а потом цифру 2Я специально пишу, что нужно указывать наш IP адрес, чтобы не учитывать в статистике запросы самого резольвера, которых будет много.

Так можно легко смотреть, кто и куда ходит, и какая атака идет сейчас.

Взболтать, но не смешивать

Увы иногда приходится использовать связку

PowerDNS unbound.

К примеру, у вас есть локальный домен с хитрой структурой, которую неудобно настраивать в unbound. Кстати, так работает один из механизмов блокировки сайтов в России. Резольвер вашего провайдера может возвращать для «плохого» домена заглушку, для хорошего — нормальную запись. В корпоративной среде такое применяется, например, для блокировки социальных сетей или защиты от вирусов.

Видеосправка

Возможные проблемы

Если вы добавили необходимую ресурсную запись в зоне домена, но не произошло изменений, воспользуйтесь статьёй: Прописал DNS-серверы, но сайт недоступен.

Выбор софта

Главный момент: не надо думать, что вы здесь выбираете софт. Это ключевая ошибка в головах многих. DNS — это база данных, не пихайте ее в текстовый файл. Очень и очень плохо, если вы при помощи Ansible или chef генерируете текстовый файл, который потом засовываете в bind. Но я знаю — вы это делаете, а потом рассказываете о том, что оно плохо работает.

Поэтому ответ: PowerDNS

Вы знаете, что к bind есть патч, чтобы работать с MySQL, да? А вы его пробовали? Многие еще не знают про PowerDNS. Большая часть свято считает, что этот патч можно как-то использовать на старых версиях, но оно будет работать ужасно в плане производительности, потому что это просто набор костылей.

Выбор софта для резольвера

По большому счету, здесь всего 2 варианта:

1. Вы можете использовать bind;
2. Вы можете использовать unbound.

На самом деле, это почти все, что можно использовать реально для серьезного прода и больших нагрузок. Другие варианты я намеренно не называю, потому что далеко не все сервера отвечают требованиям. Если вы делаете резольвер, то автоматически считайте, что нагрузка у вас будет большая, иначе вы бы его не делали.

В отношении резольвера я не пытаюсь вас склонить к выбору какого-то конкретного софта, потому что на сегодня

резольвер — это в первую очередь некие реализуемые фичи

, а не конкретный софт. Вы можете использовать bind или unbound, или что угодно еще, если оно будет отвечать тем вещам, про которые я сейчас расскажу.

Выделенный сервер в качестве первичного dns-сервера

Если вы не заказывали панель управления ISPmanager и хотите, чтобы ваш выделенный сервер выступал в качестве первичного DNS-сервера, для вас предусмотрен интерфейс управления вторичными серверами имён:

Грабли (делюсь своими)

Их много. Как только вы поднимете резольвер, вы столкнетесь с криво настроенными роутерами или софтом. Можете получить тонны PTR запросов. Такое бывает достаточно часто, и вы это будете видеть, сможете исправлять, разбираться и делать вашу сеть лучше. Отдельный момент — это прекрасные

китайские видеорегистраторы

. К ним у меня особая любовь, как и у многих, наверное.

В вашей сети главная проблема в том, что вашим пользователям на ваши проблемы глубоко наплевать чаще всего. То есть то, что от пользователя идет паразитный трафик с DNS Water Torture его волнует мало, пока World of Tanks работают.

Сейчас говорили про простейшую вещь — про резольвер, теперь давайте усложним задачку.

Делаем резольвер

Резольвер нужен тем

организациям

, у которых либо нет провайдерского резольвера, либо которым он уже начинает мешать (от вас льется столько запросов, что резольвер не успевает отвечать или же лимитирует вас). От

ЦОД

или

провайдера

в принципе ждут наличия своего производительного резольвера.

Интересный вопрос к размышлению состоит в том, почему в стандартной поставке почти любой операционной системы нет резольвера, который умеет самостоятельно выполнять DNS запросы от корневых серверов. Совершенно непонятно, почему всегда моя машина должна идти к кому-то и просить его выполнить DNS запрос.

Держим зоны

Итак, мы доросли до того, что у нас есть домены, мы хотим их у себя держать, быть авторитетным за них сервером, отдавать ответы.

Как правило у себя держат зоны либо организации с особыми амбициями: «Мы крутые! Мы зоны лучше держим, чем какой-нибудь Dyn!», либо ЦОДы или провайдеры, от которых этого опять же этого ждут по умолчанию.

Добавление mx-записи

Откройте вашу панель управления и следуйте соответствующей инструкции.

Добавление домена

1. В разделе «Товары/Услуги» надо выбрать «DNS-хостинг» и нажать «Перейти».

2. Откроется панель управления DNS-хостингом. В ней нужно нажать «Новый домен», чтобы добавить домен для управления его DNS-записями.

3. Во вкладке «Новый домен» можно привязать домен к IP-адресу, с помощью заполнения ряда полей с информацией.

Есть 2 стула варианта:

1. Клиент хочет, чтобы мы держали у себя slave. То есть у клиента где-то будет держать master, а мы должны забирать у него данные. Это как раз сложный вариант, который потребует телодвижений.
2. Клиент хочет, чтобы мы держали у себя master, а он будет slave, т. е. будет забирать у нас копию. Это простой вариант, мы просто разрешаем трансфер зоны клиенту.

Заказ услуги

1. Для подключения DNS-хостинга нужно перейти в биллинг-панель.
2. В разделе «Товары/Услуги» выбираем «DNS-хостинг».
3. В открывшейся вкладке нажимаем «Заказать».
   
4. Откроется окно заказа, в первом шаге нужно нажать «Заказать».
   
5. Выполняя «Шаг 2», выбираем необходимый лимит доменов и нажимаем «В корзину». Бесплатный DNS-хостинг предоставляется для 10 доменов. За каждые дополнительные 10 доменов будет взиматься помесячная оплата 50 рублей.
   
6. Откроется корзина, в ней нажимаем «Активировать».
   
7. Теперь актированный DNS-хостинг должен появиться в разделе «Товары/Услуги».
   

Зачем нужны сервера dns

Система доменных имён или Domain Name System (DNS) создана как распознавательная система, при помощи которой по доменному имени ищется ресурс в Интернет. Вернее, по домену ищется IP адрес ресурса, а по нему ищется и открывается нужный интернет-ресурс.

Поддерживается система DNS разветвленной иерархической структурой DNS-серверов. Поисковую связку можно продемонстрировать следующей цепочкой запросов:

Интерфейс управления первичным сервером имён

Если вы не хотите, чтобы ваш выделенный сервер выступал в качестве первичного DNS-сервера, для вас предусмотрен интерфейс управления первичным сервером имен:

Как долго происходит изменение dns?

Сами изменения в DNS вносятся моментально. Но в связи с тем, что провайдеры кэшируют DNS, то процесс изменения DNS по всему миру может занять время от нескольких минут до 72 часов.

Как прикрепить домен к ip адресу?

Для того, чтобы прикрепить домен к IP адресу, Вам необходимо:

1. зайти в настроку dns-записей и внести в зону DNS три записи:
   • Для первой в качестве поддомена укажите www, выберите тип записи А, в качестве данных укажите IP адрес, к которому нужно прикрепить домен.
   • Для второй записи укажите знак @ (собака) в качестве поддомена и так же выберите тип А и укажите тот же IP.
   • Для третьей записи в качестве поддомена укажите знак * (звёздочку) и так же выберите тип А и укажите тот же IP.
2. Нажмите «Добавить/Сохранить»

Теперь Вам нужно подождать, пока изменения вступят в силу и Ваш сайт будет открываться с этого IP адреса.
Это может занять до 72 часов.

Как создать новую ресурсную запись?

Как указать (изменить) dns-сервера для домена?

Для указания/изменения DNS-сервера у домена, то Вам необходимо:

1. зарегистрироваться у регистратора домменых имен;
2. Найти нужный домен и выбрать там «Управление DNS-серверами / Делегирование»
3. В открывшейся форме укажите нужные DNS-сервера (IP можно не указывать).
   или установите галочку «Использовать DNS-сервера регистратора».
4. Нажмите на кнопку «Сохранить».

Информация о Ваших изменениях будет доступна за период от нескольких минут до 72 часов.
Поэтому в первое время возможно, что DNS-сервера будут старые.
Это не зависит не от регистратора не от хостиг-провайдера. Вам остается только ждать.

Как добавить домен на выделенный сервер (dedicated)

Управление зоной домена происходит на DNS-серверах, указанных для него. Вы можете посмотреть DNS-серверы вашего домена, воспользовавшись инструкцией Как узнать, какие DNS-серверы прописаны для домена.

Как добавить новую ресурсную запись

Выберите тип ресурсной записи, которую хотите добавить, и следуйте нужной инструкции:

Как изменить или удалить ресурсную запись

Откройте вашу панель управления и следуйте соответствующей инструкции:

Какие dns сервера можно использовать для доступа в интернет?

Для получения IP адреса по имени домена можно использовать следующие DNS сервера:

Google:

    8.8.8.8
    4.4.4.4

Yandex:

    77.88.8.8
    77.88.8.1

Контакты

» Код репозитория —

Массовое изменение ресурсных записей

Готово, ресурсные записи изменятся на нескольких доменах.

Мелочи жизни

1. Перестаньте отвечать на ANY

Если вы делаете резольвер, перестаньте отвечать на запросы ANY потому, что это вид запроса, который на самом деле толком не стандартизован и используется на 99% всякими замечательными вирусами.

Чтобы не опускаться до программного уровня, можно использовать iptables, который работает достаточно быстро: если он видит, что запрос ANY, он его просто дропает.

iptables -A INPUT -p udp —dport 53 -m string —hex-string «|0000ff0001|» —algo bm -j DROP2. Rate-limit

Используйте ограничение на количество запросов в секунду, если Вы не закрыты извне. Мой резольвер по целому ряду причин пришлось открыть всему миру, поэтому практически первое, что я сделал — это ограничил количество запросов в секунду извне. Если вы не можете закрыть ваш резольвер для клиентов снаружи, то хотя бы лимитируйте их. Лимит поставьте по вкусу, например, у меня 70 запросов в секунду.

[здесь -j ACCEPT для всех тех, от кого закрываться не надо]iptables -A INPUT -p udp —dport 53 -m state —state NEW -m recent …—set —name DNSQF —rsource—update —seconds 1 —hitcount 70 —name DNSQF —rsource -j DROP3. Для unbound хорошо interface-automatic: yes

Третья приятная мелочь. Обычно, в сети делается не один резольвер, и иногда хочется делать между ними failover, но, естественно, не при помощи самого резольвера. Надо failover делать методами маршрутизации и у unbound есть отличная опция interface-automatic: yes. Она говорит:

Настройка dns-записей.

Для внесения/изменения записей на DNS сервере Вам необходимо сделать следующее:

1. Авторизуйтесь в панели управления Вашего хостинга DNS
   Найдите нужный домен и выберите там «Управление зоной DNS»
2. В открывшейся форме Вы можете вносить записи типа A, CNAME и другие в зоны DNS.
3. После внесения записей нажмите на кнопку «Сохранить/Добавить».

Не надо совмещать

Первая задача — не надо совмещать. Пожалуйста, не делайте этого никогда! Хотя мы найдем исключение из этого правила.

Совмещать на одной машине резольвер и авторитетный сервер — это плохо

. В чем проблема, я думаю, вы понимаете. Если клиент «увел» домен от вас (т. е. сменил ns-сервера у регистратора) или домен протух (т. е. истек его оплаченный период), Вы об этом вообще не узнаете никак. Потому, что вы можете не внести изменения локально.

У нас были клиенты, которые настолько верили в то, что если сайт открывается изнутри нашей сети, то им и домен продлевать не надо. У них дома наш интернет и на работе наш интернет — везде же открывается, все нормально.

Опять привет убунтуводам

Если вы используете Ubuntu, то в стандартных репозиториях 16.04 лежит alpha-версия PowerDNS 4.х. Я не знаю, кому сказать спасибо за это. Она действительно работает, но с проблемками. Уже год, как я открыл к версии 4.х issue #3824. Я спрашиваю у разработчиков PowerDNS:

– Ребят, а ничего, что я MySQL перезапускаю, а у вас PowerDNS не подхватывает его обратно?
– Ух ты, прикольно!

Запомните этот баг, они уже 3 раза закрывали и 3 раза открывали в 4-й ветке. Поэтому — есть 3-я стабильная, у нее этих проблем нет, но на Debian / Ubuntu вам понадобится ее ставить из deb-файла. И на сегодня, на март 2022 года она уже небезопасна. Поэтому выход один — переходить на ppa от разработчиков для Вашей версии Ubuntu.

Предотвращение ошибок конфигурации dns

Во-первых, чтобы избежать ошибок, убедитесь, что у вас есть общее представление о том, что делают записи A , CNAME , NS , TXT и MX .

Подобные вещи удобны при запуске нескольких сервисов с одного IP-адреса. Записи CNAME работают только для поддоменов и всегда должны указывать на другой домен или поддомен, а не напрямую на IP-адрес.

Привет убунтоводам!

Если вы любите Ubuntu, как мы, и используете ее в продакшне, вам придется немножко повелосипедить. Как известно, unbound должен стартовать вместе с системой. В 16.04 перешли на systemd, но, естественно, юнит написать забыли. И когда генератор пытается его сгенерировать автоматически из SysV-скрипта, получается полное безобразие.

Пишите юнит! Или возьмите у меня, в конце будет адрес репозитория. Это касается только тех, кто с Ubuntu, но, например, в Debian что-то близкое должно быть.

Привязка домена к ip адресу, без dns серверов

Если у вас есть свой выделенный IP адрес, а это возможно на сервере VDS/VPS или при покупке вами IP адреса на хостинге, то можно привязать домен непосредственно к IP адресу ресурса. Для этого у регистратора имен, есть специальная форма. В этой форме вам нужно создать три записи. : [www], [@] и [*], типа А с указанием в каждой записи своего выделенного IP адреса.

Привязка домена к сторонним dns серверам

Завершаю способы настройки DNS серверов, привязкой домена к сторонним DNS серверам. В Интернет существуют DNS серверы, которые принято называть независимые. На них бесплатно или за арендную плату, вы можете привязать свой домен к их DNS адресам. Зачем это делается?

Создание своих dns серверов на vds/vps серверах

Если вы арендуете не хостинг, а виртуальный выделенный сервер (VDS/VPS), то вы сами можете создать свои DNS сервера. Для этого купите второй выделенный IP адрес для сервера. На каждом IP адресе создается свой DNS сервер.

Далее понадобиться зарегистрированный домен, который нужно разместить на сервере.

При наличии двух выделенных IP адресов и домена на сервере VDS/VPS можно создать два сервера доменных имен (DNS). Покажу, как это сделать на примере панели управления сервером ISP manager.

Откройте вкладку «Доменные имена»;

Выберете домен, который вы выделили для создания DNS серверов. Нажмите на домен два раза или нажмите кнопку «Записи»;

В отрывшейся вкладке «Записи» нужно последовательно создать четыре новые записи домена:

1.Создать первый поддомен для первого NS сервера с указанием первого IP адреса;

• Имя записи: ns1;
• Тип записи: A;
• Адрес записи: IP 1.

2.Создать второй поддомен для второго NS сервера с указанием второго IP адреса;

• Имя записи: ns2;
• Тип записи: A;
• Адрес записи: IP 2.

3.Создать запись с первым адресом NS сервера;

4.Создать запись со вторым адресом NS сервера.

5.Сохранить.

Все. Вы создали свои NS (DNS) сервера, которые можно привязывать к любому домену вашего выделенного сервера VDS/VPS.

Еще одно. Для того домена, который вы использовали при создании своих DNS серверов, у регистратора имен вы прописываете созданные DNS сервера, одновременно указывая IP адреса вашего сервера. Смотри фото.

Создать свои собственные dns-серверы на базе домена:

а) необходимо иметь основной IP вашего выделенного сервера и дополнительный, полученный при подключении услуги «Дополнительный IP адрес на ваш выбор»;

b) необходимо настроить свои DNS-серверы в ISPManager:

Удаление и редактирование ресурсных записей

Помимо добавления новых ресурсных записей, вы можете редактировать или удалять существующие записи:

Хьюстон, у нас проблема

Все бы здорово и замечательно, но у нас есть одна проблема. Этот классный подход работает, только если мы для домена, в котором мы это делаем, и master, и slave. Если же это не так, начинаются сложности, которые мы сейчас будем побеждать.

Давайте переосознаем роль master/slave еще раз. Master шлет уведомления, как только у него изменилась зона, slave эти уведомления получает и что-то делает, при этом оба они отвечают на запросы.