DNS (Domain Name System) este unul din cele mai folosite și mai puțin înțelese servicii ale internetului. Fiecare accesare de site web, fiecare email trimis, fiecare aplicație conectată la cloud trece prin DNS. Și totuși, cele mai multe persoane nu știu ce resolver DNS folosesc sau dacă traficul lor DNS este criptat.
Problema pe care o rezolvă DNS
Calculatoarele comunică prin adrese IP numerice: 185.199.108.153, 142.250.185.78, 2606:4700::6811:d209. Oamenii nu pot memora mii de astfel de adrese. DNS funcționează ca o bază de date distribuită care traduce numele pe care le știm (github.com, google.ro) în adresele IP pe care le înțeleg calculatoarele.
Simplu în teorie. Excepțional de complex în practică — trebuie să fie distribuit global, rezistent la eșecuri, actualizat în timp real și rapid sub orice volum de cereri.
Cum funcționează rezoluția DNS
Când scrii viitorultau.ro în browser, se declanșează o cascadă de interogări:
- Cache local — browserul și sistemul de operare verifică mai întâi ce au memorat recent. Dacă ai vizitat site-ul în ultimele ore, răspunsul vine de aici.
- DNS Resolver — dacă nu e în cache, cererea ajunge la resolverul configurat în rețeaua ta (de obicei cel al ISP-ului, sau 8.8.8.8 dacă ai configurat manual Google DNS).
- Root Nameserver — resolverul întreabă unul din cele 13 grupuri de root nameservere (identificate A–M): cine știe despre domenii .ro?
- TLD Nameserver — root-ul trimite resolverul la serverul pentru .ro (administrat de ROTLD), care știe unde e nameserverul autoritar pentru viitorultau.ro.
- Nameserver autoritar — serverul care deține efectiv înregistrările domeniului răspunde cu IP-ul real. Resolverul îl memorează în cache (conform TTL) și îl returnează browserului.
Toate acestea în mai puțin de 50 de milisecunde, de sute de milioane de ori pe secundă la nivel global.
Tipuri de înregistrări DNS
| Tip | Funcție | Exemplu |
|---|---|---|
| A | Domeniu → IPv4 | viitorultau.ro → 185.x.x.x |
| AAAA | Domeniu → IPv6 | viitorultau.ro → 2001:... |
| MX | Serverul de email | mail.viitorultau.ro |
| CNAME | Alias pentru alt domeniu | www → viitorultau.ro |
| TXT | Text arbitrar (SPF, DKIM) | verificare domeniu |
Vulnerabilitățile DNS clasic
DNS a fost proiectat în 1983, când securitatea nu era o prioritate. Traficul DNS clasic este în text clar, pe portul UDP 53 — oricine poate vedea ce site-uri accesezi:
- DNS Hijacking — ISP-ul sau routerul tău redirecționează interogările DNS spre servere proprii, injectând reclame sau blocând site-uri.
- DNS Poisoning — un atacator coruptă cache-ul unui resolver, astfel că banca-ta.ro rezolvă la un IP fals.
- DNS Surveillance — un adversar pasiv poate monitoriza toate site-urile pe care le vizitezi doar urmărind traficul DNS.
DNS over HTTPS și DNSSEC
DNS over HTTPS (DoH) rezolvă problema supravegherii: interogările DNS sunt trimise criptat, prin HTTPS, pe portul 443 — indistinct de traficul web normal. Firefox și Chrome îl activează implicit. Dezavantaj: ISP-ul nu mai poate filtra domenii malițioase pe baza DNS.
DNSSEC adaugă semnături criptografice la răspunsurile DNS, prevenind poisoning-ul. Nu criptează conținutul, dar garantează autenticitatea: răspunsul chiar vine de la nameserverul autoritar.
Ce resolver DNS să folosești
Dacă nu configurezi altceva, folosești resolverul ISP-ului tău — care poate fi lent, poate injecta reclame sau poate ține log-uri. Alternative mai bune:
- 1.1.1.1 (Cloudflare) — cel mai rapid global, politică de confidențialitate clară, suportă DoH și DoT
- 8.8.8.8 (Google) — fiabil, rapid, dar Google are acces la query-urile tale
- 9.9.9.9 (Quad9) — blochează domenii malițioase cunoscute, politică de privacy strictă
Poți testa viteza resolverelor cu instrumentul DNS Benchmark (GRC) sau dnsperftest. Diferența dintre un resolver bun și unul slab poate fi 50–200ms per accesare de pagină.
Fii primul care comentează acest articol!