If you're seeing this message, it means we're having trouble loading external resources on our website.

Pokud používáš webový filtr, ujisti se, že domény: *.kastatic.org and *.kasandbox.org jsou vyloučeny z filtrování.

Hlavní obsah

Systém doménových jmen (DNS)

Jak jsme se právě dozvěděli, IP adresy jsou způsob, jakým počítače na internetu identifikují jiné počítače. IP adresy však pro nás nejsou příliš čitelné a zapamatovatelné. Kdo by si chtěl zapamatovat adresu jako 74.125.20.113? Nebo ještě těžší IP v6 adresy?
Systém doménových jmen (DNS) nám dává snadný způsob, jak zadat adresu, na kterou chceme na internetu jít.
Jednoduše napíšeme název domény, např. „www.wikipedia.org“ a počítač nás připojí k počítačům, na kterých je Wikipedia:
Screenshot prohlížeče s www.wikipedia.org v adresním řádku.
Název domény je pro nás přívětivá adresa webové stránky, tedy něco, co si snadno zapamatujeme a jednoduše napíšeme do adresní řádky.

Z čeho se skládá jméno domény

Každý název domény se skládá z těchto částí:
doména-třetího-řádu.doména-druhého-řádu.doména-nejvyššího-řádu
Existuje omezený počet domén nejvyššího řádu (TLD) a mnoho webových stránek používá ty nejběžnější TLD, tedy „.com“, „.org“ a „.edu“.
Doména druhého řádu je jedinečná pro určitou společnost nebo organizaci, která si ji zaregistruje, například „wikipedia“ nebo „khanacademy“.
Doména třetího řádu se také nazývá subdoména, protože je ve vlastnictví stejné skupiny a adresa URL vás často nasměruje na podmnožinu webových stránek, jako je „m.wikipedia.org“ (Wikipedia optimalizovaná pro mobily) nebo „es.khanacademy.org“ (Khan Academy ve španělštině).

Domény ↔ IP adresy

Každé doménové jméno je mapováno na IP adresu. Když napíšeme URL adresu do adresního řádku prohlížeče, počítač musí zjistit IP adresu této URL adresy.
Diagram počítače s otevřeným prohlížečem. Prohlížeč zobrazuje „www.wikipedia.org“ v adresním řádku a zároveň má tento počítač myšlenkovou bublinu, která říká „www.wikipedia.org = ?“.
Počítač není schopen ukládat si do paměti více jak 300 milionů doménových jmen, takže si IP adresu zjišťuje pomocí vícestupňového procesu.

Krok 1: Zkontroluje místní mezipaměť

Pokud jsme nějakou webovou stránku navštívili, je docela dobrá šance, že ji navštívíme znovu. Proto si počítač udržuje ve vlastní mezipaměti namapování doménového jména stránky na její IP adresu. Tato mezipaměť nezabírá moc místa, protože automaticky vymazává záznamy doménových jmen, které jsme již dlouho nenavštívili, nebo kterým vypršela platnost.
🔍 V prohlížeči Chrome si sami můžeme prohlédnout databázi namapování uloženou v mezipaměti. Stačí do adresního řádku napsat „chrome://net-internals/#dns“.
Tady je kousek z mezipaměti mého prohlížeče:
Screenshot mezipaměti DNS z Google Chrome, zobrazuje 4 URL namapované na IP adresy

Krok 2: Zkontroluje mezipaměť poskytovatele internetu

Každý poskytovatel internetu provozuje službu pro domény a udržuje si vlastní mezipaměť namapovaných doménových jmen. Takže i když jsme možná nenavštívili určitou webovou stránku, náš soused ji navštívit mohl, takže poskytovatel internetu může vyhledat IP adresu z údajů jeho návštěvy.
Pokud IP adresa není ani v mezipaměti poskytovatele internetu, přejde k dalšímu kroku.

Krok 3: Zeptá se serverů se jmény

Existují doménové servery roztroušené po celém světě, které jsou odpovědné za sledování podmnožiny milionů doménových jmen.
Hierarchie těchto serverů je následující:
Hlavní servery se jmény → TLD servery jmen → Server s hostitelskými jmény.
Poskytovatel internetu se nejprve zeptá hlavního serveru se jmény: „jaký server se jmény obsahuje informace o doménách .org?“ Hlavní server se jmény odpoví pomocí IP adresy TLD serveru jmen, který obsahuje informace o doménách „.org“.
Diagram se dvěma servery, resolver poskytovatele vlevo a hlavní server se jmény vpravo. Šipka od resolveru obsahuje zprávu ".org domény?" a šipka zpět z hlavního serveru se jmény obsahuje IP adresu "199.19.54.1".
Potom se poskytovatel internetu zeptá TLD serveru jmen: „kdo má informace o doménách wikipedia?“ TLD server jmen odpoví IP adresou serveru s hostitelskými jmény, který obsahuje záznamy „wikipedia“.
Diagram se dvěma servery, resolver poskytovatele vlevo a TLD server jmen napravo. Šipka z resolveru obsahuje zprávu "domény wikipedia?" a šipka zpět z TLD serveru jmen obsahuje IP adresu "208.80.154.238".
Nakonec se poskytovatel internetu zeptá serveru s hostitelskými jmény: „takže, kde je ta www.wikipedia.org?“ A tento server odpoví přesnou IP adresou.
Diagram se dvěma servery, resolver poskytovatele vlevo a server s hostitelskými jmény vpravo. Šipka z resolveru obsahuje zprávu "www.wikipedia.org?" a šipka zpět ze serveru s hostitelskými jmény obsahuje IP adresu "91.198.174.192".
Poskytovatel internetu pošle tuto IP adresu zpět počítači, který o ni požádal, a proto se můžeme připojit k počítači s touto doménou.
Diagram s notebookem vlevo a resolverem poskytovatele vpravo. Šipka z notebooku na resolver nese zprávu "www.wikipedia.org = ?". Šipka z resolveru do notebooku obsahuje IP adresu "91.198.174.192".
Pokud to zní jako docela složitý proces, je to tak! Ale většinou se neprovádí celý. Spousta informací je ukládána do mezipaměti, takže jen zřídkakdy probíhá vyhledávání DNS tolika kroky.
Pokud toto vyhledávání musí projít všemi kroky, existuje několik serverů se jmény, které mohou odpovídat na jednotlivé požadavky, takže náš počítač nemusí čekat tak dlouho na odpovědi, nebo se obávat toho, že server bude nedostupný.
Systém doménových jmen funguje od roku 1985 a je působivým způsobem přizpůsoben růstu internetu, a to díky své hierarchii, nadbytku a ukládání informací do mezipaměti.

Otrava mezipaměti DNS (DNS spoofing)

Systém doménových jmen je rozšiřitelný, ale není vždy bezpečný. Hackeři objevili způsob, jak chyby na DNS serverech zneužívat, a to při útoku známém jako DNS spoofing, neboli otrava mezipaměti DNS.
Jak bylo uvedeno výše, doménový resolver se musí ptát serverů se jmény pokaždé, když nezná namapování určité domény na IP adresu.
Pokud se hackerovi podaří zmocnit se serverů se jmény, nebo přesměrovat tyto požadavky na svůj vlastní server, může jako odpověď posílat jakoukoliv IP adresu.
Diagram otravy mezipaměti DNS: Nalevo je server označený „Resolver poskytovatele“, napravo je server označený „Falešný server“. Šipka ukazuje od resolveru poskytovatele na falešný server, nad ní je „www.wikipedia.org = ?“, další šipka ukazuje od falešného serveru na resolver poskytovatele, nad ní je IP adresa.
Doménový resolver si tuto IP adresu uloží do mezipaměti a pošle ji zpět počítači, který o ni žádal. Taková IP adresa pak většinou přesměruje uživatele na stránku, která automaticky stáhne do jeho počítače viry, nebo bude požadovat zadání tajných informací, jako jsou hesla apod.
Diagram otravy mezipaměti DNS: Nalevo je notebook, server napravo je označen „Resolver poskytovatele“. Šipka ukazuje od notebooku na server, nad ní je nápis „www.wikipedia.org = ?“, další šipka ukazuje od serveru na notebook, nad ní je IP adresa. Displej notebooku zobrazuje červenou lebku a zkřížené kosti.
Otrávení mezipaměti DNS se může stát na jakékoli úrovni v hierarchii serverů se jmény. Kdyby nějaký hacker dokázal zachytit všechny požadavky jdoucí na hlavní server se jmény, mohl by přesměrovat všechen provoz jdoucí na .org domény!
Jakmile je mapování doména ↔ IP adresa otráveno na jednom serveru, tato otrava se pak může šířit na další servery, které se na tuto informaci zeptají otráveného serveru.
Existuje však dobrá zpráva: otravě DNS lze zabránit. Protokol DNSSEC rozšiřuje původní protokol DNS a specifikuje nejlepší způsob ověřování informací zaslaných DNS resolverům.
Modernizace starých systémů však chce svůj čas, takže může trvat několik let nebo desetiletí, než budou všechny systémy DNS používat DNSSEC.
Mezitím buďme opatrní, když chceme navštívit nějakou webovou stránku a zobrazí se neočekávaný výsledek. Ne všechny webové stránky jsou tím, za co se vydávají. ☠️

Chceš se zapojit do diskuze?

Zatím žádné příspěvky.
Umíš anglicky? Kliknutím zobrazíš diskuzi anglické verze Khan Academy.