În acest articol, discutăm despre căutările DNS — ce sunt acestea, cum funcționează și cum afectează confidențialitatea în mediul conectat și cenzura.
O căutare DNS se referă la procesul de potrivire a URL-ului pe care îl introduceți în bara de adrese a browserului dvs. (numele de domeniu lizibil) cu adresa IP corespunzătoare.
Toate dispozitivele care se conectează direct la internet sunt identificate printr-o etichetă numerică cunoscută sub numele de adresă IP. Pentru a le ușura viața oamenilor, această adresă poate fi identificată și prin utilizarea unor nume de domenii mai ușor de citit și de reținut. Domain Name System (DNS) asociază aceste nume de domenii cu adresele IP corespunzătoare.
Aflați mai multe despre adresele IP
De exemplu, site-ul web Proton VPN utilizează numele de domeniu protonvpn.com, care corespunde adresei IP 185.159.159.140. Când introduceți www.protonvpn.com în bara de URL a browserului dvs., numele de domeniu trebuie să fie convertit în adresa IP corespunzătoare pentru ca computerele să îl poată înțelege.
Această conversie se realizează cu ajutorul DNS. Astfel, când tastați protonvpn.com, DNS convertește numele de domeniu în adresa IP: 185.159.159.140. Acest lucru permite browserului dvs. să găsească și să se conecteze la site-ul web corect.
Numele de domenii există doar pentru confortul oamenilor și nu sunt necesare pentru funcționarea internetului. Dacă ați putea reține adresele IP, le-ați putea introduce direct. Pentru a vedea acest lucru în acțiune, introduceți pur și simplu 185.159.159.140 în bara de URL a browserului dvs. și veți fi direcționat către site-ul web Proton VPN.
- Cum funcționează o căutare DNS
- DNS, cenzura și supravegherea guvernamentală
- Servicii DNS de la terți
- DNS și VPN-urile
- NetShield Ad-blocker
- Divulgări DNS
- Tipuri comune de înregistrări DNS
- Comenzi pentru căutarea DNS
- Instrumente pentru căutarea DNS
Cum funcționează o căutare DNS
DNS este adesea comparat cu o agendă telefonică ce face trimiteri încrucișate între numele de domenii și adresele IP corespunzătoare. Aceasta este o analogie utilă pentru a înțelege ce face DNS, dar realitatea modului în care funcționează este mai complexă.
Resolver DNS
Când introduceți un nume de domeniu în bara de URL a browserului dvs., o interogare DNS este trimisă către un server special numit resolver DNS (cunoscut și ca recursor DNS sau pur și simplu server DNS).
După cum sugerează și numele său, resolverul DNS „rezolvă” interogarea DNS prin preluarea adresei IP corespunzătoare a domeniului și trimiterea acesteia înapoi către browserul dvs. Acum că știe adresa IP a site-ului web pe care doriți să îl vizitați, browserul dvs. se poate conecta la acesta.
Până aici, totul este simplu. Dar cum preia resolverul DNS adresa DNS corectă pentru un domeniu (un proces complicat de faptul că în permanență sunt create noi domenii, iar adresele IP sunt adesea alocate dinamic domeniilor și, prin urmare, se schimbă în mod regulat)?
Cum se rezolvă un domeniu folosind DNS
O căutare DNS pentru un domeniu de nivel superior(fereastră nouă) (TLD) implică, de regulă, următorii pași:
1. Tastați protonvpn.com în bara de URL a browserului dvs. Browserul dvs. trimite această interogare prin internet către un resolver DNS.
2. Resolverul DNS trimite o interogare către un server de nume rădăcină DNS. Acesta este un server care stochează informații despre TLD-uri (cum ar fi .com sau .net, sau TLD-uri cu cod de țară, cum ar fi .ch sau .uk). Pentru că interogarea noastră a fost (protonvpn.com), serverul de nume rădăcină DNS ar indica spre resolverul DNS pentru TLD-urile „.com”.
3. Având aceste informații, resolverul DNS va interoga acum serverul de nume TLD .com, care menține o listă cu toate domeniile .com. Serverul de nume TLD răspunde cu adresa IP a serverului de nume autoritar al domeniului.
4. Resolverul DNS poate interoga acum serverul de nume autoritar al domeniului. Acesta este administrat de obicei de un registru de nume de domenii(fereastră nouă) — o companie care închiriază și gestionează nume de domenii (cum ar fi GoDaddy sau Namecheap). Serverul de nume autoritar este sursa finală de adevăr despre domeniu și poate returna adresa sa IP către resolverul DNS (în cazul nostru, aceasta va fi 185.159.159.140).
5. Resolverul DNS trimite adresa IP corectă către browserul dvs., care se poate conecta acum la 185.159.159.140.

În realitate, situația este puțin mai complicată. De exemplu, multe domenii sunt asociate cu mai multe adrese IP (inclusiv atât adrese IPv4, cât și IPv6), și vor exista pași suplimentari dacă vizitați un subdomeniu (cum ar fi blog.protonvpn.com).
De asemenea, informațiile sunt stocate în mod regulat în memoria cache (stocate local) în toate etapele procesului — de către browserul dvs., de către resolverul DNS și de către diversele servere de nume. Dacă informațiile necesare sunt găsite într-o memorie cache, atunci o cerere nu mai este trimisă, ceea ce face ca unii pași să fie omiși.
Cu toate acestea, în esență, acesta este modul în care funcționează DNS pentru o vizită destul de standard pe un site web.
DNS, cenzura și supravegherea guvernamentală
În mod implicit, browserul dvs. trimite interogările DNS către un resolver DNS administrat de furnizorul dvs. de servicii internet (ISP). Furnizorul dvs. de servicii internet (ISP) poate folosi diverse metode pentru a vedea ce faceți pe internet, dar de departe cea mai simplă (și mai ieftină) modalitate este pur și simplu să vă monitorizeze interogările DNS.
Cele mai multe programe guvernamentale de spionaj în masă se bazează pe obligarea furnizorilor de servicii internet (ISP) de a păstra jurnale cu istoricul de navigare al clienților lor. Și, deoarece este simplu și ieftin, majoritatea furnizorilor de servicii internet (ISP) își îndeplinesc aceste obligații legale doar prin păstrarea jurnalelor DNS.
În mod similar, atunci când guvernele doresc să cenzureze conținutul de pe internet din motive sociale, religioase, politice sau „morale”, solicită furnizorilor locali de servicii internet (ISP) să aplice aceste blocări. Iar cea mai simplă modalitate de a face acest lucru este blocarea interogărilor DNS către anumite site-uri web și aplicații.
Servicii DNS de la terți
O modalitate de a evita cel puțin o parte din această cenzură și supraveghere este utilizarea unui resolver DNS de la terți, cum ar fi Cloudflare 1.1.1.1 sau OpenNIC.
Unele dintre aceste servicii pot avea politici bune de confidențialitate, dar dacă conexiunile la serverele resolverului DNS nu sunt criptate folosind DNS prin TLS (DoT) sau DNS prin HTTPS (DoH), furnizorul dvs. de servicii internet (ISP) poate vedea solicitările în text neformatat, în cazul în care decide să le verifice.
Criptarea interogărilor DNS face mai dificilă (și, prin urmare, mai costisitoare) monitorizarea istoricului de navigare de către un furnizor de servicii internet (ISP), dar acesta poate urmări destul de ușor site-urile web și aplicațiile la care vă conectați, dacă dorește.
DNS și VPN-urile
Când utilizați un VPN (cum ar fi Proton VPN), conexiunea dvs. la serverul VPN este criptată. Cu un anumit efort, furnizorul dvs. de servicii internet (ISP) poate vedea că v-ați conectat la o adresă IP care aparține serverului VPN, dar atât.
Interogările DNS sunt trimise prin tunelul VPN și rezolvate de furnizorul VPN, care își poate rula propriul resolver DNS sau poate folosi un resolver VPN de la terți. Acest lucru nu are implicații asupra confidențialității, deoarece interogările DNS par să vină de la serverul VPN, nu de la utilizatorul VPN.
Aflați cum funcționează un VPN
Merită menționat că nu este nevoie de un DNS criptat atunci când utilizați un VPN, deoarece toate interogările DNS sunt trimise oricum prin tunelul VPN criptat.
De asemenea, nu este recomandat să utilizați un resolver DNS de la terți împreună cu un VPN. Configurarea sistemului dvs. în acest mod poate duce la trimiterea interogărilor DNS în afara tunelului VPN, către resolverul DNS de la terți.
Aflați mai multe despre divulgările DNS
NetShield Ad-blocker
Proton VPN oferă NetShield Ad-blocker în toate aplicațiile noastre. Aceasta este o caracteristică de filtrare DNS care blochează interogările DNS către domenii cunoscute ca aparținând companiilor de publicitate, urmăritorilor conectați și programelor malware. Aceasta (precum și alte servicii similare de filtrare DNS) funcționează la nivelul resolverului DNS, pur și simplu nereușind să rezolve interogările DNS către domeniile incluse în lista de blocare.
Aflați mai multe despre NetShield Ad-blocker
Din punct de vedere tehnic, aceasta constituie o divulgare DNS (a se vedea mai jos). Acest lucru poate să nu fie o problemă majoră dacă interogarea DNS este criptată și aveți încredere în rezolvitorul DNS, dar introduce o terță parte inutilă (și, prin urmare, un potențial punct sensibil) în ecuație.
Divulgări DNS
Când utilizați un VPN, toate interogările DNS ar trebui trimise prin tunelul VPN pentru a fi rezolvate de furnizorul VPN. Dacă, din orice motiv, interogarea DNS este trimisă în afara tunelului VPN către un rezolvitor DNS terț, s-a produs o divulgare DNS. Imposibilitatea de a direcționa corect solicitările DNS IPv6 prin tunelul VPN este o cauză comună a divulgărilor DNS.
Deoarece această terță parte ar fi cel mai probabil furnizorul dvs. de servicii internet (ISP), divulgările DNS reprezintă o problemă gravă de confidențialitate. Inutil să mai spunem că toate aplicațiile Proton VPN au o protecție puternică integrată împotriva divulgării DNS.
Tipuri comune de înregistrări DNS
Iată câteva dintre principalele tipuri de înregistrări DNS care pot fi căutate:
- Înregistrare A (Address): Asociază un nume de domeniu cu o adresă IPv4. Exemplu: example.com → 192.0.2.1
- Înregistrare AAAA (Quad A): Asociază un nume de domeniu cu o adresă IPv6. Exemplu: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
- Înregistrare CNAME (Canonical Name): Asociază un nume de domeniu cu un alt nume de domeniu, oferind practic un alias pentru un nume către altul. Exemplu: www.example.com → example.com
- Înregistrare MX (Mail Exchange): Specifică serverele de e-mail responsabile pentru primirea e-mailurilor în numele unui domeniu. Exemplu: example.com → mail.example.com (prioritate 10 — numărul priorității indică preferința, solicitările cu prioritate mai mică fiind preferate).
- Înregistrare PTR (Pointer): Asociază o adresă IP cu un nume de domeniu, fiind utilizată în principal pentru căutări DNS inverse. Exemplu: 192.0.2.1 → example.com
- Înregistrare NS (Name Server): Specifică serverele de nume autoritare pentru un domeniu. Exemplu: example.com → ns1.example.com, ns2.example.com
- Înregistrare SOA (Start of Authority): Oferă informații importante despre domeniu, inclusiv serverul de nume principal, e-mailul administratorului domeniului, numărul de serie al domeniului (care ajută la gestionarea și sincronizarea datelor DNS pe mai multe servere DNS) și cronometrele pentru reîmprospătare, reîncercare și expirare (Exemplu: example.com → ns1.example.com, admin.example.com, 2024041501)
- Înregistrare TXT (Text): Conține date text arbitrare, utilizate adesea pentru validarea e-mailurilor (cum ar fi SPF sau DKIM) și alte scopuri de verificare. Exemplu: example.com → “v=spf1 include:example.com ~all”
- Înregistrare SRV (Service): Specifică locul serverelor pentru servicii specifice, cum ar fi protocolul de telefonie pe internet SIP(fereastră nouă), protocolul de mesagerie XMPP(fereastră nouă) etc. Exemplu: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
- Înregistrare CAA (Certification Authority Authorization): Specifică care autorități de certificare (CA) au permisiunea de a emite certificate pentru un domeniu. Exemplu: example.com → 0 issue “letsencrypt.org”
- Înregistrare NAPTR (Naming Authority Pointer): Utilizată pentru rezolvarea URL-urilor și definirea regulilor de rescriere pentru diverse servicii precum VoIP. Exemplu: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
- DNSKEY: Conține cheia publică de semnare utilizată în DNSSEC (suită de specificații concepută pentru a adăuga un strat suplimentar de securitate pentru DNS).
- . Exemplu: example.com → 256 3 13 …
- Înregistrare DS (Delegation Signer): Conține hash-ul unei înregistrări DNSKEY pentru a securiza delegările în DNSSEC. Exemplu: example.com → 12345 13 2 …
- Înregistrare SPF (Sender Policy Framework): Utilizată pentru a defini care adrese IP sunt autorizate să trimită e-mailuri în numele unui domeniu. Exemplu: example.com → “v=spf1 ip4:192.0.2.0/24 -all”
Comenzi de căutare DNS
Comenzile DNS sunt utilizate pentru a interoga, testa și depana serverele și înregistrările DNS. Aceste comenzi sunt esențiale pentru administratorii de rețea pentru a se asigura că serviciile DNS funcționează corect, deoarece DNS este crucial pentru rezolvarea numelor de domeniu în adrese IP.
Mai jos sunt prezentate câteva comenzi DNS utilizate în mod obișnuit. Puteți rula aceste comenzi într-o fereastră de terminal (Linux), Terminal (macOS), Command Prompt (cmd) sau PowerShell (Windows) sau chiar într-o aplicație de emulator de terminal de pe dispozitivul dvs. mobil. Esște posibil ca nu toate aceste comenzi să fie disponibile imediat pe platforma dvs., dar în aproape toate cazurile sunt ușor de instalat.
nslookup
Comanda nslookup este un instrument pentru interogarea DNS în vederea obținerii asocierii numelui de domeniu sau a adresei IP. De asemenea, puteți specifica un anumit server DNS de utilizat și puteți efectua o căutare DNS inversă.

dig
Comanda dig (Domain Information Groper) este un instrument de căutare a IP-urilor DNS mai puternic și mai flexibil decât nslookup. Administratorii de rețea o preferă adesea pentru rezultatele sale detaliate și opțiunile avansate.

Cu ajutorul dig, puteți, de asemenea, să interogați un anumit tip de înregistrare DNS, să interogați un anumit server DNS și să efectuați o căutare DNS inversă.
host
Comanda host este un alt instrument pentru efectuarea de căutări DNS. Este mai simplă decât dig, dar oferă informații suficiente pentru sarcini de bază, inclusiv interogarea unui anumit server DNS și efectuarea de căutări DNS inverse.

ping
Comanda ping este utilizată în principal pentru a verifica accesibilitatea unui gazdă într-o rețea IP, dar efectuează și rezoluția DNS ca parte a funcționării sale.

traceroute / tracert
Comenzile traceroute (pe Linux și macOS) și tracert (pe Windows) sunt utilizate pentru a urmări calea unui pachet, de la sursă la destinație. Acestea rezolvă numele de domeniu într-o adresă IP și afișează fiecare salt pe drumul spre destinație.

ipconfig / ifconfig
Comenzile ifconfig (pe Linux și macOS) și ipconfig (pe Windows) pot fi utilizate pentru a afișa configurarea rețelei, inclusiv serverele DNS pe care le utilizează sistemul. Când sunt utilizate singure, acestea afișează doar interfețele active. Pentru a vedea toate interfețele pe Windows, utilizați ipconfig /all.

Instrumente de căutare DNS
Pe lângă instrumentele în linie de comandă precum cele discutate mai sus, există multe instrumente online de căutare DNS care oferă o modalitate prin interfață grafică (GUI) de a interoga DNS. Un bun exemplu este scanerul nostru gratuit și securizat de IP-uri, care vă permite să efectuați căutări DNS obișnuite, căutări MX, căutări NS, căutări CNAME și căutări TXT.

De asemenea, poate efectua căutări DNS inverse (căutare IP).

Gânduri finale
În esență, DNS este doar o carte de telefon complicată și automatizată. Acesta face internetul utilizabil pentru oameni, dar poate fi (și este) abuzat de guverne pentru a-și spiona cetățenii și pentru a cenzura ceea ce văd aceștia. Cea mai bună modalitate de a ocoli aceste abuzuri ale DNS este utilizarea unui serviciu VPN precum Proton VPN.
Un serviciu VPN vă rezolvă în siguranță interogările DNS în locul furnizorului dvs. de servicii internet (ISP), iar majoritatea serviciilor VPN de renume își fac o prioritate din a vă proteja confidențialitatea.
Desigur, un VPN oferă și multe alte avantaje, cum ar fi ascunderea adresei dvs. IP reale de site-urile web pe care le vizitați, oferirea unei protecții sporite împotriva capacității ISP-urilor de a vă monitoriza sau cenzura activitatea pe internet, posibilitatea de a viziona în flux conținutul preferat atunci când călătoriți și multe altele.







