Сети и протоколы
Обход резолвера: перенаправления, типы записей и glue
Резолвер, спрашивающий про cdn.example.co.uk, не получает ответ от корневого сервера. Он получает перенаправление — «спроси TLD .uk». Потом ещё одно — «спроси авторитативный сервер example.co.uk». Только на третьем запросе он получает реальный IP-адрес. Понять, что передаётся в этих ответах-перенаправлениях, — значит уметь отлаживать DNS, а не просто запускать dig и надеяться.
Итеративные vs рекурсивные запросы
Запросы резолвера к root, TLD и авторитативным серверам — итеративные: бит RD (Recursion Desired) очищен. Эти серверы возвращают только то, что знают, плюс перенаправление — они никогда не обходят дерево за клиента. Только исходный запрос клиента к резолверу имеет RD=1, прося резолвер сделать полный обход.
Это различие важно для безопасности. Авторитативный сервер, принимающий RD=1 от внешних клиентов — открытый резолвер — может быть использован как DNS-reflection-усилитель: атакующий отправляет запросы со spoof-адресом источника, и сервер шлёт большие ответы жертве. Продакшен-авторитативы (Route 53, Cloudflare DNS) никогда не рекурсируют для внешних клиентов.
Секции DNS-сообщения
DNS-сообщение имеет четыре секции:
| Секция | Назначение |
|---|---|
| Question | Имя запроса, тип (A, MX, …), класс (IN) |
| Answer | Записи, прямо отвечающие на вопрос |
| Authority | NS-записи, указывающие на следующий nameserver |
| Additional | Заранее собранные A/AAAA для имён из Authority |
Перенаправление не содержит ничего в Answer, зато содержит Authority + Additional. Бит AA (Authoritative Answer) устанавливается только когда отвечающий сервер владеет зоной — перенаправление от TLD-сервера имеет AA=0.
Цепочка перенаправлений для cdn.example.co.uk
- Резолвер → root: спрашивает
cdn.example.co.uk. Root не знает ответа. Возвращает Authority:ns.nic.uk(NS-запись для.uk) + Additional:ns.nic.uk A 193.0.0.1(glue). Секция Answer пуста. - Резолвер → TLD
.uk: спрашивает то же QNAME. TLD возвращает Authority:ns1.example.co.uk(NS дляexample.co.uk) + Additional:ns1.example.co.uk A 198.51.100.4(glue). Answer по-прежнему пуст. - Резолвер → авторитативный: спрашивает то же QNAME. Авторитативный возвращает Answer:
cdn.example.co.uk A 203.0.113.10 TTL=300. Бит AA установлен.
Трассируйте холодный DNS-lookup для cdn.example.co.uk из чистого кеша.
Glue-записи и циклическая зависимость
Когда зона делегирует управление nameserver-у внутри своей же зоны (NS для example.com — это ns1.example.com), родительская зона обязана включить A-запись для ns1.example.com как glue в ответ-перенаправление. Без glue резолвер не может найти nameserver, не разрешив сначала example.com — порочный круг.
Отсутствие glue вызывает нерегулярные SERVFAIL или циклы перенаправлений. NS-записи вне зоны (например, ns1.somednsprovider.org) не требуют glue — резолвер запросит их IP у другой зоны.
- A
- IPv4-адрес
- AAAA
- IPv6-адрес
- CNAME
- псевдоним → другое имя (не IP)
- MX
- hostname почтового сервера + приоритет
- TXT
- свободный текст — SPF, DKIM, верификация
- NS
- делегирование — nameserver зоны
- SOA
- авторитет зоны: serial, refresh, мин. TTL
- CAA
- кому из CA разрешено выдавать сертификаты
- HTTPS/SVCB
- ALPN + ECH-ключи (RFC 9460)
CNAME и правило apex
CNAME-запись указывает имя на другое имя: www CNAME example.com. Резолвер затем разрешает цель. CNAME запрещён на вершине зоны (bare domain, например example.com) согласно RFC 1034, потому что SOA и NS тоже должны находиться на вершине, а CNAME заменил бы все другие типы записей для этого имени. CDN-специфичные ALIAS/ANAME и новая запись HTTPS (RFC 9460) обходят это ограничение.
Откуда рекурсивный резолвер берёт информацию о следующем шаге при получении перенаправления от TLD-сервера?
Почему CNAME запрещён на вершине зоны (example.com) согласно RFC 1034?
UDP, TCP и EDNS0
DNS по умолчанию использует UDP, порт 53. Если ответ превышает размер UDP-буфера, сервер устанавливает флаг TC (truncation) и резолвер повторяет запрос через TCP, порт 53. TCP также обязателен для зонных трансферов (AXFR/IXFR). Файервол, блокирующий TCP/53 при разрешённом UDP/53, молча ломает DNSSEC-ответы и зонную репликацию.
EDNS0 (RFC 6891) добавляет псевдозапись OPT для согласования больших UDP-буферов (обычно 1232 или 4096 байт) и передачи расширений: бит DNSSEC OK (DO), ECS (подсеть клиента), EDNS Cookies. Каждый современный резолвер рекламирует EDNS0; без него DNSSEC-ответы будут усечены.
Расставьте шаги при открытии https://shop.example.com из чистого кеша:
- 1 Браузер спрашивает OS-резолвер про shop.example.com
- 2 OS-резолвер перенаправляет запрос к настроенному upstream (ISP или 1.1.1.1)
- 3 Резолвер проходит root → .com → авторитативный example.com
- 4 Резолвер возвращает A-запись (IP) браузеру
- 5 Браузер выполняет TCP-рукопожатие к этому IP
- 6 Браузер выполняет TLS-рукопожатие поверх TCP
- 7 Браузер отправляет HTTPS-запрос и получает страницу
Почему это работает
Stub-резолвер vs полный рекурсивный резолвер. Операционная система запускает stub-резолвер — тонкий клиент, который перенаправляет запросы к настроенному upstream и кеширует ненадолго. Linux использует systemd-resolved или nscd; macOS — mDNSResponder; Windows — DNS Client service. Stub почти ничего не делает сам. Полный рекурсивный резолвер — тот, что обходит root→TLD→авторитативный — находится upstream (ваш роутер, ISP или публичный резолвер 1.1.1.1). Браузеры часто обходят OS-stub напрямую: Chrome’s Async DNS Resolver и Firefox’s TRR запрашивают DoH напрямую. Сброс кеша OS-stub (sudo systemd-resolve --flush-caches) не сбрасывает кеш upstream-резолвера.
- 01В чём операционное различие между авторитативным сервером и рекурсивным резолвером?
- 02Почему glue-записи обязательны для in-bailiwick nameserver-ов?
- 03Почему DNS переходит с UDP на TCP для некоторых запросов?
Рекурсивный резолвер обходит DNS-дерево итеративно, собирая перенаправления на каждом уровне. Каждое перенаправление несёт NS-записи в секции Authority плюс glue A/AAAA в Additional — вместе они разрывают любую циклическую зависимость для in-bailiwick nameserver-ов. Бит AA (Authoritative Answer) устанавливается только когда отвечающий сервер владеет зоной. Типы DNS-записей выходят далеко за рамки A-записей: CNAME создаёт псевдонимы, MX направляет почту, TXT несёт SPF/DKIM, NS делегирует зоны, SOA определяет авторитет зоны. CNAME запрещён на apex зоны, поскольку там должны сосуществовать SOA и NS. DNS по умолчанию использует UDP; большие ответы (DNSSEC, зонные трансферы) переходят на TCP. EDNS0 расширяет UDP-буферы и передаёт DNSSEC-флаги.
встречается в152
- Почему GraphQL получает N+1junior
- Механика DataLoader: батчинг на границе тикаmiddle
- Контракты batch-функции: порядок, формы, ошибкиmiddle
- Federation и lookahead: батчинг за пределами DataLoadermiddle
- Защита сложности запросов: depth, cost, persisted queriesmiddle
- Senior GraphQL API: scheduling-контракт, изоляция арендаторов, наблюдаемостьsenior
- Зачем идемпотентность: безопасные retryjunior
- Серверный state machine: четыре состояния idempotency keymiddle
- Outbox и inbox: effectively-once через dual-write границуmiddle
- Конкурентность и архитектура кеша для идемпотентности на масштабеsenior
- Наблюдаемость, production-инциденты и дизайн для глобального масштабаsenior
- Event loop: один поток, три очередиjunior
- Задачи, микрозадачи и scheduler.yield()middle
- Голодание микрозадач, длинные задачи и LoAFsenior
- Event loop Node.js: фазы, nextTick и задержка циклаsenior
- React, Vue и наблюдаемость INP в продакшенеsenior
- Render pipeline: шесть стадий от байтов до пикселейjunior
- Цена стадий и модель процесса рендерераmiddle
- Инвалидация, dirty-биты и containmiddle
- Слои композитора: продвижение, перекрытие и память GPUmiddle
- Флейм-стрип DevTools и жизненный цикл кадраmiddle
- Layout thrash: форсированная синхронная компоновкаsenior
- BeginMainFrame, анимации на потоке compositor и память GPUsenior
- Observability в проде: LoAF, INP и полная поверхность атакиsenior
- Что такое V8 и почему производительность различается в 100 разjunior
- Четырёхуровневый JIT-конвейер V8 и профилированная тиеризацияmiddle
- Hidden classes, деревья переходов и расположение в памятиmiddle
- Inline caches, состояния IC и деоптимизацияmiddle
- Orinoco GC: параллельный scavenger, конкурентная разметка и барьеры записиmiddle
- Спекулятивный движок TurboFan и ловушка deopt-loopsenior
- V8 в production: Isolates, сжатие указателей и реальные аварииsenior
- Жизненный цикл service worker и стратегии кешированияmiddle
- Граничные случаи service worker: version skew, долговременность и ловушка навигацииsenior
- Что делает реконсилер: render vs commitjunior
- Объект fiber и дерево с двойной буферизациейmiddle
- Чистота фазы render и подшаги фазы commitmiddle
- Реконсиляция: эвристики диффа и ловушка ключейmiddle
- Приоритетные lanes, time-slicing и useTransitionmiddle
- Bailout, мемоизация и tearingsenior
- React Profiler, компилятор и продакшн-наблюдаемостьsenior
- Стратегии рендеринга: SSG, SSR, ISR, streaming и гидратацияjunior
- SSG, SSR, ISR, streaming и RSC — как работает каждая стратегияmiddle
- Цена гидратации: selective, progressive, острова, resumabilitymiddle
- Hydration mismatch: причины, обнаружение и правило детерминизмаsenior
- RSC, стратегия на маршрут и production-наблюдаемостьsenior
- Core Web Vitals: что измеряют LCP, INP и CLSjunior
- CLS: почему происходят сдвиги лейаута и как их остановитьmiddle
- Трейдоффы метрик, RUM-атрибуция и цикл CI+полеsenior
- Общая картина: от URL до LCP до INP как эстафетаjunior
- Восемь слоёв трассировки: от service worker до второй навигацииmiddle
- Пять канонических поломок: где производство стабильно ломаетсяsenior
- Метод трёх треков: чтение трасс и построение системы мониторингаsenior
- Что такое cache stampede и почему он делает всё хужеjunior
- Лок и single-flight: ограничение параллельных rebuildmiddle
- XFetch: вероятностное раннее истечение без координацииmiddle
- Stale-while-revalidate и CDN request coalescingmiddle
- Детектирование stampede и дизайн TTL для продакшенаmiddle
- Метастабильный сбой, fencing-токены и production-постмортемыsenior
- Что такое отношение: таблицы, строки, ключи и ограниченияjunior
- Ограничения, ключи и типы данных Postgresmiddle
- Нормальные формы, денормализация и почему схемы «прилипают»middle
- JSONB, массивы и когда side table побеждаетmiddle
- Heap-хранилище, TOAST и выравнивание колонокsenior
- Целостность схемы: deferral, версионирование и сбои в продакшнеsenior
- Реляционная модель vs документные, wide-column, граф и key-valuesenior
- Index-only scan, Visibility Map и INCLUDEsenior
- Типичные сбои в продакшне и аудит индексовsenior
- pg_statistic, ANALYZE и производственная наблюдаемостьmiddle
- Производственные режимы отказа и стабильность плановsenior
- MVCC: как Postgres раздаёт согласованные снимкиjunior
- Заголовок tuple и механика снимковmiddle
- HOT-обновления и уровни изоляцииmiddle
- VACUUM, bloat и autovacuummiddle
- CLOG, XID wraparound и MultiXactsenior
- SSI и production-тюнинг autovacuumsenior
- Реальные провалы MVCC, deployment-паттерны и распределённые снимкиsenior
- Connection pool: зачем амортизировать стоимость backend Postgresjunior
- Режимы PgBouncer: session, transaction и statementmiddle
- Размер пула: формула (ядра × 2) + шпинделей и двухуровневый стекmiddle
- Исчерпание пула и idle-in-transaction: сценарий отказа в 3 ночиmiddle
- Миграция на transaction mode: план развёртывания и prepared statements в PgBouncer 1.21middle
- Процессная модель Postgres и почему увеличение max_connections снижает производительностьsenior
- Ландшафт пулеров 2026, serverless connection storms и полная таксономия отказовsenior
- Что такое миграция схемы и почему она заменяет ad-hoc DDLjunior
- ADD COLUMN: мгновенно в PG 11+ против перезаписи в старом Postgresjunior
- Режим отказа очереди блокировок: почему мгновенный DDL может заморозить базуmiddle
- Безопасные DDL-паттерны: NOT VALID, CONCURRENTLY и исправления небезопасных операцийmiddle
- Expand-contract: нулевой простой для ломающих изменений схемыmiddle
- Advisory-блокировки, инструменты миграций и координация деплояsenior
- Таксономия сбоев миграций и дисциплина продакшнаsenior
- Зачем нужно шардирование: потолок одного Postgresjunior
- Выбор ключа шарда: стратегии hash, range, list и directorymiddle
- Партиционирование против шардирования: одно слово, два разных понятияmiddle
- Ко-локация и Citus: инвариант, делающий шардирование пригодным к использованиюmiddle
- Режим отказа hot shard: обнаружение, изоляция и долгосрочная политикаmiddle
- Schema-based шардирование и альтернативы мультиарендностиsenior
- Онлайн-решардинг, 2PC и операционная стоимость шардированияsenior
- Семь актов: от CREATE TABLE до Citusjunior
- Акты 1–3 в глубину: схема, индексы и статистика планировщикаmiddle
- Акты 4–6 в глубину: MVCC bloat, connection pooling и безопасные миграцииmiddle
- Акт 7 в глубину: шардинг, co-location и семиуровневый каскад трейдоффовmiddle
- Наблюдаемость, антипаттерны и производственный триажsenior
- Роли Raft, term и почему majority-кворум предотвращает split brainjunior
- Как Raft реплицирует log entry и решает, что его безопасно коммититьmiddle
- Выборы лидера в Raft: таймауты, правила голосования и четыре свойства безопасностиmiddle
- Raft в реальном мире: partition, медленный диск и клиентская маршрутизацияmiddle
- Расширения Raft: pre-vote, learner, snapshot и линеаризуемые чтенияsenior
- Raft в production: membership change, Multi-Raft и observabilitysenior
- Где происходит data fetching — и почему это решает LCPjunior
- Fetch waterfall''''ы — диагностика и лечение через Promise.allmiddle
- React Server Components и Suspense streamingmiddle
- Клиентский кэш: TanStack Query, SWR и stale-while-revalidatemiddle
- LCP, prefetch и race conditions в интерактивном fetchingmiddle
- Senior internals: RSC payload, слои кэша и production паденияsenior
- Что такое три сигнала: метрики, логи, трейсыjunior
- Зачем нужны структурные логи: дневник против таблицыjunior
- Схема продакшн-лога: поля, которые несёт каждая строкаmiddle
- PII-редакция и log injectionsenior
- OTel Logs Data Model и audit-логи как подсистемаsenior
- SLI, SLO и error budget: надёжность в числахjunior
- Error budget policy, latency SLO и составные journeysmiddle
- Продакшн-отказы SLO, самонаблюдаемость, безопасность и общая картинаsenior
- Петля инцидента: от пейджера до постмортема до предотвращенияmiddle
- Cache lines и false sharing: когда параллелизм замедляет кодmiddle
- SIMD и data layout: AoS vs SoA и разница в 4–8xmiddle
- Cache-oblivious алгоритмы, PGO и production failuressenior
- GC в production: наблюдаемость, безопасность, edge cases и управление флотомsenior
- Batching: амортизируй фиксированную цену каждой операцииjunior
- Окно батчинга: размер и время ожиданияmiddle
- Batching в Kafka и Postgresmiddle
- io_uring и наблюдаемость пакетированияmiddle
- От Nagle до io_uring: эволюция пакетированияmiddle
- Backpressure, изоляция сбоев и безопасность батчей в продакшенеsenior
- CI enforcement и RUM: делаем бюджеты рабочимиmiddle
- V8 JIT-пайплайн, HTTP-приоритеты и безопасность bundlesenior
- Цикл performance: дисциплина, а не проектjunior
- Классификация и исправление: сопоставление family bottleneck с методамиmiddle
- Observability-стек и CI gates: ловить регрессии до выпускаmiddle
- От инцидента к enforcement: SLO burn до верифицированного исправления за 35 минутmiddle
- Культура, экономика и масштаб performancesenior
- At-most-once, at-least-once, exactly-once: три контракта доставкиjunior
- Три ножки сбоя — где реально происходят дубликаты и потериmiddle
- Consumer-side dedup: самый дешёвый путь к exactly-once processingmiddle
- Kafka exactly-once semantics: idempotent producer и транзакцииmiddle
- SQS visibility timeout, DLQ и outbox patternmiddle
- Exactly-once в production: impossibility-доказательство, гибридные паттерны и реальные инцидентыsenior
- Что такое OAuth и почему пароли — не ответjunior
- Authorization code flow с PKCEmiddle
- Валидация ID-токена и управление JWKS-кешемmiddle
- Ротация refresh-токенов и scope-based least privilegemiddle
- Sender-constrained токены: DPoP и mTLSsenior
- OAuth в production: audience атаки, observability и реальные провалыsenior