Домены. Все, что нужно знать о ключевом элементе Интернета

Венедюхин Александр

Без доменов современный Интернет невозможен. Читатель найдет сведения о том, как домены появились, как устроена система доменов и как ими эффективно управлять, как домены связаны с информационной безопасностью, какие административные, технические и правовые коллизии возникают вокруг них и что ждет доменные имена в будущем.

 

От автора

Эта книга является третьей в серии, которую начинали «Доменные войны» (2007–2008 гг.) и «Доменные войны II» (2010–2011 гг.). За те несколько лет, которые прошли с 2011 года, доменный рынок изменился. Самым заметным нововведением стала программа New gTLD, в рамках которой уже началось внедрение массы новых доменов верхнего уровня. Собственно, во втором издании и был дан прогноз о развитии «плоской» системы адресации. Этот прогноз во многом сбылся: развитие «в ширину» мы наблюдаем сейчас. Третья книга дополнена, и исправлена, но основную часть текста унаследовала от второй версии «Доменных войн» – в серии есть преемственность. Впрочем, изменения, актуализирующие представленные данные, присутствуют по всему тексту.

В этой книге вы найдете доступное описание одной из основ современного Интернета – доменной системы имен, истории ее развития и современного состояния. Здесь рассказано о том, как появились домены, как устроена система адресации Интернета, кто и как ею управляет. Книга, впрочем, не является техническим описанием, которому посвящена отдельная специальная литература.

Эта серия книг не появилась бы без всемерной и многолетней поддержки компании RU-CENTER Group – ведущего российского регистратора доменов и крупного хостинг-провайдера. Автор признателен А. В. Панову, генеральному директору RU-CENTER Group, за продолжение поддержки проекта. Автор выражает признательность А. Д. Лесникову, в 2000–2011 директору RU-CENTER, – этой серии книг не появилось бы без интереса, проявленного им к проекту.

Автор также благодарит А. А. Воробьёва, директора по связям с общественностью RU-CENTER Group,

П. Б. Храмцова, директора по информационной политике RU-CENTER Group, П. Н. Ильичева, ведущего разработчика RU-CENTER Group, А. Ю. Ломова, известного веб-технолога и исследователя Интернета, за ценные замечания по содержанию книги, за интересные исторические экскурсы и за те плодотворные «кухонные дискуссии» из которых и появилась эта серия книг.

Москва, март 2014.

 

Предисловие

Домены древности и наших дней

В стародавние времена, когда люди не знали еще даже текстового Интернета, сети связи были другими: к ним относились, например, дороги, по которым гонцы разносили грамоты с сообщениями и приказами. Доменами тогда называли огромные королевские владения. Плодородные пахотные земли, реки, полные рыбы, деревни с работящими крестьянами, леса с тучными круторогими оленями – все это несметное богатство составляло королевский домен, переходивший по наследству.

Домен приносил доход, позволяя существовать королевскому двору. И именно из домена монарх жаловал земли и ресурсы своим вассалам, поддерживавшим его власть на территории государства силой оружия и убеждения. За домены шли кровопролитнейшие многолетние войны между королевствами и аристократическими домами. Эти войны и составили всемирную историю.

С тех пор прошли столетия. Появился Интернет. Времена изменились, и королей в реальном мире почти не осталось. Зато о доменах теперь можно услышать гораздо чаще, чем о королях.

В XXI веке доменом именуют владения в адресном пространстве Интернета. Реальные земли сменились виртуальными. Но домены Интернета, как и прежние, приносят доход своим хозяевам. «Короли» выделяют из доменов наделы «вассалам». «Вассалы» утверждают в домене свою власть и поддерживают власть «короля». За домены идут многолетние судебные споры. За контроль над доменами борются государства и транснациональные корпорации. Домены отбирают силой, уводят хитростью, покупают за астрономические суммы. Передел виртуального пространства идет активно, и не первый год.

Домен в Интернете, с одной стороны, предстает несложной строкой из алфавитно-цифровых символов, обозначающей некоторый участок адресного пространства всемирной Сети. Например, .net, nic.ru, www.example. com, whois.ripn.net – это домены или, как тоже часто говорят, доменные имена. С другой стороны, за символами доменов скрывается хитроумный клубок технологий, делающий использование доменов возможным для всего Интернета. А обе стороны создают новый объект, объединяющий виртуальный и реальный миры, – объект, ставший первопричиной изменений в законах больших государств и перевернувший жизнь многих и многих людей. Эта книга повествует о жизни доменов и о жизни вокруг них.

 

Глава 1

Числа и Сеть сетей

Традиционная популярная история связывает создание Интернета с ядерной войной, а точнее, с приготовлениями к ней. Действительно, появившаяся в 70-х годах прошлого века вычислительная сеть, ставшая прообразом Интернета, финансировалась в рамках проекта, рассматривавшего случай глобальной ядерной войны. Сценаристы Пентагона предполагали очень неприятный расклад: после массированного ядерного удара по территории США инфраструктура систем связи будет разрушена, и уцелеет лишь несколько командных центров-бункеров, разбросанных по огромной территории. Этим центрам нужно будет попытаться установить связь между своими компьютерными сетями, используя остатки инфраструктуры. Не представлялось возможным заранее предсказать, какие кабельные и радиорелейные линии связи сохранят работоспособность и какие пути окажутся доступными для доставки данных из одного командного пункта в другой. Более того, нельзя было предвидеть, какие командные центры уцелеют после ядерного удара. Все это усложняло задачу, решение которой в итоге дало миру Интернет.

Ключевую поддержку проекту оказывало Агентство перспективных исследований Минобороны США – ARPA (ныне DARPA). Следы его деятельности и сейчас в изобилии находятся в разных системах Интернета. Например, существует специальный технический домен. ARPA. Весьма интересен тот факт, что DARPA, вполне официально, ведет отсчет своей истории с момента запуска первого искусственного спутника Земли. Как известно, Cпутник-1 был запущен 4 октября 1957 года СССР. И именно в качестве ответа на советский технологический прорыв правительство США оперативно создало специальное агентство перспективных научных разработок, деятельность которого должна была помочь сократить возникшее технологическое отставание. Да, сейчас этот момент может показаться неочевидным, но в середине XX века успешный запуск первого спутника однозначно указывал на критическое отставание важнейших для военного дела направлений прикладной науки и техники США от СССР.

«Ядерная тема» красной нитью бежит сквозь канву ключевых технологий Сети. Например, веб придуман в одном из ведущих мировых центров ядерной физики – CERN. Не многие знают, что в Россию Интернет пришел благодаря ряду проектов Курчатовского института, связанных с Чернобыльской аварией и международным сотрудничеством по анализу ее последствий.

Теперь, спустя десятилетия, глядя на «ядерную составляющую» глобальной Сети, можно сказать, что Интернет – это апокалиптическая технология, не дождавшаяся своего часа. Впрочем, тот факт, что Апокалипсис еще не наступил, не помешал Интернету развиться в нечто гораздо большее, чем первоначально планировали его главные разработчики.

Итак, разработки DARPA позволили построить Интернет. А само DARPA появилось в результате запуска советского спутника. Можно сказать, что Интернет некоторым образом обязан своим рождением успехам советских программ освоения космического пространства. Вот так переплетены пути истории технологий.

Конечно, военная составляющая технологий вычислительных сетей была лишь одним аспектом. Для военной программы исследователям удалось получить финансирование и ресурсы, которые позволили ковать фундаментальные научные достижения в области телекоммуникаций. При этом у той же программы была и более старая, чисто гражданская составляющая: ученым требовались механизмы разделения вычислительных ресурсов больших компьютеров, установленных в разных университетах, между пользователями, также разбросанными по всей стране. В общем, как это всегда бывает с успешными глобальными технологиями, полезное решение рождалось на стыке интересов нескольких научных дисциплин и ведомств, на государственные деньги и перед лицом военной угрозы (возможно, мнимой).

Первые успешные эксперименты по построению сетей связи между вычислительными машинами проводились в США еще в конце 1960-х годов. Интересно, что эти первые «сети» были беспроводными – сигнал передавался по радиоэфиру.

Так что окутывающий нынешние мегаполисы электромагнитный смог из сигналов станций Wi-Fi и аппаратуры мобильных сетей GSM имеет корни подревнее, чем сам Интернет и, тем более, веб.

Веб – это группа технологий, позволяющих публиковать гипертекстовые документы, связанные между собой. Логически обособленный набор таких документов, вместе с сопутствующими данными, сейчас называют веб-сайтом. Веб, разработанный в 1989–90 годах, в наши дни стал настолько популярным, что для многих пользователей превратился в синоним Интернета. Однако веб – лишь один из сервисов, работающих на базе Интернета, пусть и весьма популярный. Хорошим примером другой технологии, популярной и работающей на базе Интернета, является IP-телефония. Доменные имена являются фундаментом и для веба, и для IP-телефонии, и для массы других сервисов, транспорт для которых обеспечивает Интернет.

Интернет придумали как саморегулирующуюся сеть компьютерных сетей – и в итоге эту сумму телекоммуникационных технологий использовали для обеспечения надежности межсетевого взаимодействия в масштабе стран и огромных территорий.

Древний Интернет… Да, именно древний – ведь это вполне допустимый термин: по меркам сверхскоростного прогресса в сфере информационных технологий Интернет действительно весьма давнее явление. Итак, древний Интернет в плане адресации был числовым, потому что его придумали специалисты в области компьютерных технологий, а как известно, компьютеры очень любят самые разнообразные числа и не любят слова и естественные языки. Более того, именно использование правильного числового представления позволило решить сложную задачу создания саморегулирующейся сети передачи данных. Числами обозначались адреса подключенных к Интернету компьютеров. С помощью преобразований чисел компьютеры находили пути доставки данных внутри Сети друг другу.

В основе функционирования современного Интернета, конечно, также лежат числа. Однако современному массовому пользователю они не видны и, скорее, напоминают некий тайный реликт, артефакт, направляющий глубинные процессы внутри глобальной Сети.

Важно понимать, что абсолютно все межкомпьютерные процедуры по обмену данными реализуются в исключительно числовом виде и могут быть полностью сведены к математическим операциям по «превращению» одних чисел в другие и по установлению сравнительных отношений между ними (больше, меньше, равно). Когда речь идет о компьютерной технике, то буквенные обозначения всегда появляются лишь для удобства работающих с компьютерами людей. Но эти буквенные обозначения рано или поздно появляются обязательно .

Каждый компьютер, подключенный к Интернету, идентифицируется специальным адресом – так называемым IP-адресом. Грубо говоря, IP-адрес позволяет отличить один узел от другого. По этой причине редкая книга об Интернете обходится без рассказа о группе протоколов TCP/IP. Прежде чем приступить к краткому рассказу о них, я поясню важный момент: сама по себе передача данных в глобальной Сети организована довольно-таки сложным образом. Если подвергнуть эту организацию детальному строгому разбору, то быстро выяснится, что первоочередное значение имеют вовсе не сами IP-адреса, а такие непривычные для неспециалиста объекты, как автономные системы (AS), представляющие собой группы компьютеров; политики маршрутизации, определяющие в конечном итоге доступность отдельных узлов сети для остального Интернета (да, вовсе не сам IP-адрес позволяет обмениваться данными с другими компьютерами на земном шаре); точки обмена трафиком, реализующие физическую коммутацию между крупными сегментами Интернета, и т. д. Однако эта книга о доменах, а не об IP-сетях. Потому IP я уделю лишь несколько слов, изложив упрощенно некоторые важные особенности фундаментального транспортного протокола.

В настоящее время (то есть на начало 2014 года) наибольшее распространение в Интернете имеет версия протокола IPv4. Довольно давно разработана новая версия, имеющая ряд весьма существенных отличий, – IPv6. Предполагается, что IPv6 полностью вытеснит IPv4 в ближайшие годы, хотя прогресс здесь пока движется небыстро.

Предыдущий абзац, оценивающий ход внедрения IPv6 как не самый быстрый, появился еще в 2007 году, в самой первой версии книги. Прошедшие годы подтвердили: этот процесс медленный даже по меркам спящей улитки. Несмотря на все предпринимаемые усилия, IPv6 в Сети до сих пор почти не виден.

Итак, в наиболее распространенной версии, IPv4, адреса состоят из 32 бит. Такой IP-адрес можно записать с помощью нескольких чисел в десятичной системе счисления – например, 192.168.35.101 или 10.10.101.123.

Наверное, самым часто озвучиваемым отличием новой версии протокола – IPv6 – является длина записи адреса: в IPv6 для представления полного адреса используется 128 бит против 32 в IPv4. Это очень серьезное увеличение «пространства адресации». Так, с помощью IPv6 можно выделить уникальный IP-адрес всем когда-либо произведенным человечеством электронным устройствам. При этом останется еще предостаточно адресов для использования, скажем, в целях нумерации всех автомобилей, холодильников или даже всех рубашек, проданных на территории Китая. Нумерация рубашек IP-адресами, возможно, окажется полезна в том случае, если они будут оснащены микрочипами и попадут в автоматическую химчистку, центральный компьютер которой захочет выяснить, какие на конкретной рубашке присутствуют пятна.

Строго говоря, максимальное число узлов, которые можно пронумеровать, используя 128 бит, равняется 2 128 , или приблизительно 3,4*10 38 . Это действительно большое число, значительно превышающее массу нашей родной планеты Земля, выраженную в граммах. Однако из-за особенностей протокола адреса IPv6 будут распределяться блоками (то есть не просто по порядку), а все пространство адресов с помощью особых префиксов окажется разбито на подмножества, выделенные каждое для определенных целей. Тем не менее даже с учетом этого адресов будет более чем достаточно для обозначения всех мыслимых устройств, которые можно подключить к Интернету – хотя бы в течение ближайших нескольких десятков лет, пока к Сети не захотят присоединиться марсианские колонии.

Нехватка свободных адресов IPv4 – проблема давно известная, причина ее в бурном росте Интернета. Все те миллиарды устройств, подключенных к Глобальной сети, уже давно не вписываются простым способом в 32 бита старого протокола, который позволяет перечислить лишь чуть более 4 миллиардов узлов. Впрочем, за время эксплуатации IPv4 инженеры и ученые придумали разные способы преодоления нехватки адресов, что явилось одним из эффективных факторов, замедляющих внедрение IPv6.

IPv6 может предложить новые механизмы обеспечения надежности и безопасности передачи данных в Интернете. Однако для перехода на этот протокол интернет-провайдерам требуется совершить довольно затратные в ресурсном плане шаги, так что, несмотря на давление координирующих адресацию в Интернете организаций, внедрение IPv6 пока что буксует, а число узлов Сети, поддерживающих новый протокол, по самым оптимистичным оценкам, измеряется единицами процентов (на 2014 год).

Чтобы подвести итог этому небольшому экскурсу в систему IP-адресации, давайте взглянем на примеры записи адресов IPv6. Используется несколько рекомендованных нотаций, позволяющих компактно записывать IPv6-адреса текстом, все они базируются на шестнадцатеричной системе счисления и поэтому выглядят, например, вот так: 1080:0:0:0:8:800:20 °C:417A или так:

1080::8:800:20 °C:417A. Это один и тот же адрес, взятый к тому же из RFC 3513 (можно сказать, из описания стандарта), определяющего IPv6. Отличия в записи вызваны тем, что второй вариант использует «сокращение нулей».

Ну вот, наверняка теперь даже не искушенный в тонкостях системного администрирования читатель сделал вывод, что IPv6 сложнее IPv4 в плане использования. Поэтому я не стану дальше вдаваться в подробности систем счисления и фундаментальных для IP стандартов RFC, а плавно перейду к связи чисел и имен.

Для начала давайте вспомним, что протоколы обмена данными – это некоторые стандарты, определяющие, каким образом компьютеры должны воспринимать и преобразовывать числа, представляющие собой передаваемые данные. Например, в определении протокола описано, какие части принятого (или переданного) пакета данных являются служебной информацией, а какие собственно полезными данными. Для успешного обмена информацией между собой компьютеры должны использовать совместимые протоколы, если сильно упростить ситуацию, то можно сказать, что компьютеры должны использовать один и тот же протокол.

Уместна аналогия с языками общения людей. Два человека лучше понимают друг друга в разговоре если используют язык, известный им обоим. Занятно, что это не обязательно один язык. Протоколы обмена данными имеют некоторые заметные отличия от живых языков, например, в них не всегда встречаются глаголы, но представление о протоколе передачи данных как о языке вполне информативно.

Протокол IP, входящий в состав группы TCP/IP, определяет адресацию сетевых узлов в Интернете и задает правила доставки пакетов данных от узла к узлу. Часть, обозначаемая TCP, отвечает за установление и работу сеанса связи, то есть некоторого «разговора», в рамках которого может быть передано и, что важно, получено большое количество пакетов. Числа, составляющие IP-адрес, определяют не только узел Интернета, но и сеть, к которой тот принадлежит (ведь Интернет – это сеть сетей).

По мере роста количества пользователей компьютерных сетей выяснилось, что числа вообще привычны лишь небольшой части этих пользователей. Поэтому неудивительно, что чисто человеческие трудности с практическим использованием чисел, определяющих адреса в Интернете, возникли довольно давно – еще в начале 80-х годов XX века.

Числа весьма отличаются от привычных нам слов того или иного языка. Разница особенно заметна в случае представления и обработки данных компьютером. Конечно, и числа могут быть записаны словами, и слова – числами. Однако слова человеческого языка обозначают многогранные понятия, существующие в памяти человека. Именно из-за связи с речью словесные обозначения лучше запоминаются.

Первопричиной прихода буквенных, точнее, алфавитно-цифровых обозначений в систему адресации Интернета стала электронная почта. Оказалось, что для людей гораздо удобнее представлять адреса электронной почты в формате, сходном с адресами для почты обычной. Понятно, что удобство записи и запоминания адресов человеком способствует росту эффективности использования электронной почты. Поэтому вместо сложных комбинаций чисел сейчас применяются адреса вида [email protected]

Конечно, системы, преобразующие числовые адреса в символьные строки, в компьютерных сетях были известны и ранее, до появления электронной почты. Более того, некоторые из таких систем использовались задолго до появления TCP/IP. Тем не менее именно межсетевое распространение электронной почты подтолкнуло инженеров к идее введения общей системы «символьной адресации» в Интернете. Так в 1983 году появилась – сперва в качестве научного лабораторного проекта – система доменных имен Интернета. Сокращенное название DNS обозначает одновременно и Domain Name System (систему имен), и Domain Name Service (сервис по преобразованию адресов). Эквивалентное русскоязычное название – доменная система имен.

DNS представляет собой сложный распределенный технологический механизм, позволяющий, помимо прочего, сопоставить символьному имени домена (строке символов) один или несколько числовых IP-адресов, определяющих соответствующий узел Интернета. Например, доменному имени test.ru соответствует адрес 192.168.17.101.

Заметьте, что это далеко не единственная задача, которую решает DNS. Система гораздо гибче и универсальнее. DNS – распределенная база данных, ориентированная на хранение и поиск записей, представляющих собой пары значений. Пара «домен – IP-адрес» – только одна из возможных. При помощи DNS выполняют и обратное преобразование, позволяющее найти символьное имя, соответствующее IP-адресу. В этой книге основное внимание уделено функциям DNS, используемым для работы с IP-адресами применительно к символьным адресам ресурсов. Это один из самых востребованных классов функций DNS.

Домены для Интернета придумал Пол Мокапетрис (Paul Mockapetris), ученый из США. Именно он разработал основополагающие для DNS документы – RFC 882 и RFC 883.

Аббревиатура RFC уже не первый раз встречается в тексте. Что она обозначает? RFC (Request for Comments) – это достаточно свободная форма определения тех или иных стандартов и протоколов работы Глобальной сети, сложившаяся в результате исторического развития интернет-сообщества. Можно сказать, что б о льшая часть документов RFC, касающихся Интернета, – это описания новых технологий, добровольно принимаемые ко вниманию и исполнению всеми заинтересованными разработчиками.

В современном Интернете документы RFC 882 и RFC 883 (их тексты опубликованы на специальном сайте по адресам http://tools.ietf.org/html/rfc882 и http://tools.ietf. org/html/rfc883) не действуют – сейчас их заменили более новые версии. Однако по фундаментальным принципам работы нынешняя система DNS Сети не отличается от системы, предложенной более четверти века назад.

Современный Интернет все больше ассоциируется с вебом и веб-сайтами. Большинство новых пользователей вообще не слышали о других технологиях Интернета, для них понятия «веб» и «Интернет» эквивалентны. Но если старые технологии типа Gopher давно умерщвлены всемогущим вебом, то DNS только окрепла, ведь именно символьные имена позволяют вебу виртуализировать понятия реального мира, отражая их в именах доменов.

Современные пользователи Интернета давно привыкли к символьным именам. Подавляющему их большинству даже не придет в голову набирать в адресной строке браузера загадочную цепочку чисел вместо привычного www.nic.ru. Текстовые имена проще воспринимаются в рекламе. Адреса, заданные в виде доменных имен, могут быть привязаны не только к названию бренда (что необходимо для корпоративных сайтов), но и к той отрасли, к тому сектору рынка, с которым относится сайт. Примером подобного «говорящего» имени могут быть auto.ru и gramota.ru.

То есть без символьного именования сайтов никакого интернет-бума быть не могло – ни первого, ни второго. Скорее всего, после очередного «схлопывания инвестиционного пузыря» (а оно неминуемо наступит) в выигрыше опять останутся держатели доменного пространства как единственной технологии, позволяющей через языковые конструкции мертвым узлом привязать виртуальный мир к реальному.

 

Глава 2

Обнаружение адреса

DNS преобразует строки символов в IP-адреса. Часто неспециалистам, оперирующим «банальной эрудицией», этот процесс кажется тривиальным. Действительно, возьмите простую таблицу соответствий «домен – адрес» и работайте по ней – так они предлагают. Первые системы прото-DNS были устроены подобным образом. Но в масштабах глобальной сети это простое решение вполне предсказуемо оказывается неверным.

Например, соответствие IP-адресов и имен доменов изменяется. Для этого есть целый ряд причин: скажем, домен может сменить владельца, и новый администратор захочет настроить соответствие имен и адресов таким образом, чтобы домен указывал на его сетевой узел, а не на узел прежнего владельца домена. В маленькой локальной сети из десяти машин, содержащей два собственных домена, наверное, нет никаких проблем с тем, чтобы разослать измененную «таблицу соответствия» всем компьютерам. Но когда речь идет о сотнях миллионов доменов, помноженных на сотни миллионов компьютеров, разбросанных по всему земному шару, идея с рассылкой общей таблицы имен доменов оказывается, мягко говоря, абсурдной. А ведь нужно учитывать постоянный бурный рост Интернета. Так что реально работающая система DNS устроена не так просто.

Можно сказать, что IP-адресация формирует из множества узлов Интернета одноуровневую структуру. Узлы в ней соединяют разным образом проложенные линии связи.

По-научному только что упомянутая «плоская структура» Интернета со связями между узлами называется графом. Сами методы успешной и эффективной передачи данных между узлами глобальной Сети помогает разработать в том числе и такая математическая дисциплина, как теория графов. Графы как математическое понятие придумали задолго до появления Интернета – они служили удобным инструментом для исследования сетей электроснабжения.

DNS представляет собой иерархическую древовидную структуру, разбивающую одноуровневое множество узлов (или серверов) Интернета на отдельные районы – кластеры. Каждый такой кластер может состоять из многих тысяч серверов или включать в себя только один сервер. Кластеры способны пересекаться, то есть один и тот же узел-сервер может входить в несколько кластеров.

Как несложно догадаться, с каждым доменом связан единственный узел древовидной структуры DNS. В свою очередь, те серверы Интернета, которые попали в соответствующий узлу кластер, оказываются внутри данного домена. То есть в древовидной структуре DNS каждому узлу дерева соответствует один кластер узлов Интернета – это так называемая зона DNS. Можно сказать, что дерево DNS как бы добавляет адресной системе Интернета еще одно измерение. Ведь в иерархии доменных имен кластеры вкладываются друг в друга, образуя несколько уровней.

Деление дерева DNS по уровням (первый, второй, третий и т. д.) – важнейшая особенность всех отношений, возникающих вокруг доменов. Система доменных имен, как и всякое дерево, начинается с единственного корневого домена (это нулевой уровень). Правда, современная реализация работы с DNS на компьютерах пользователей позволяет не указывать корневой домен в адресной строке.

Благодаря этому про существование корневого домена сейчас помнят только специалисты. Адреса сайтов с использованием DNS записываются в виде последовательности, отражающей данную иерархию имен. Чем выше уровень домена, тем правее он записывается в строке адреса. Разделяются домены точками. Разберем, например, строку www.info.nic.ru. Здесь домен www – это домен четвертого уровня, а другие упомянутые в адресной строке домены расположены в домене первого уровня RU. Например, info.nic.ru – это домен третьего уровня. Очень важно понимать, что привычный адрес сайта, скажем, www.test.ru, обозначает домен третьего уровня (www), расположенный внутри домена второго уровня test.ru.

Адресная строка с указанием корневого домена выглядит, например, так: site.test.ru. – здесь корневой домен (он не обозначен никакими буквами) отделен последней, крайней справа точкой.

Работу DNS в масштабах всего Интернета обеспечивает распределенная система из многих серверов, образующих собственную иерархию. Каждый такой сервер имеет свою зону ответственности, то есть за ним закреплен некоторый участок адресного пространства DNS, где он определяет соответствие IP-адресов и доменных имен, а также другие параметры систем адресации и работы сервисов, находящихся в этой доменной зоне. Например, ответственный сервер (специалисты называют его авторитативным) определяет, на какой сервер приходит электронная почта, предназначенная для адресов в домене.

Основываясь на специальных правилах «доверия» и используя особые протоколы, серверы глобальной DNS обмениваются между собой информацией об изменениях в адресации. При этом изменения, конечно, не отражаются на всех участвующих в процессе серверах моментально – напротив, для распространения информации об изменениях в адресации для того или иного домена по всему Интернету может потребоваться несколько суток. Это одна из ключевых особенностей системы, которую постоянно приходится учитывать инженерам, обеспечивающим работу информационных ресурсов в Глобальной сети. Так, если настройки адресации в доменной зоне изменились, это не означает, что все пользователи сразу станут работать с новыми настройками. Напротив, некоторое время в глобальной системе будут действовать и новые, и старые настройки. Если изменился IP-адрес сайта, то пользователи будут некоторое время попадать на узел, размещенный под старым адресом.

Среди всех разнообразных серверов DNS есть самые важные – это корневые серверы системы, обеспечивающие работу DNS в целом. Таких серверов 13, данные адресации на этих серверах контролируются техническим центром, входящим в структуру корпорации ICANN, управляющей адресным пространством Интернета (подробнее об ICANN и о ее регулирующей роли рассказано в отдельной главе книги).

Работа корневых серверов имен DNS – ключевой аспект современного Интернета. Если вдруг корневые серверы разом остановятся, то через некоторое время для рядового пользователя весь Интернет просто «погаснет»: ведь обыватель не умеет работать с ресурсами Сети без использования доменных имен. Не станет привычного веба, не будет электронной почты – то есть случится катастрофа.

Как нетрудно догадаться, корневые серверы распространяют сведения об адресации, заданной для корневой доменной зоны (корневого домена). Благодаря древовидной структуре доменной системы имен сведения из корневой зоны определяют вид всего дерева. То есть в конечном итоге от этой зоны зависит доступность любого домена глобальной DNS.

Итак, корневых серверов 13. Существует весьма неплохое объяснение тому, почему выбрано именно это популярное и многозначительное число. Дело в том, что некоторые технические ограничения протокола, используемого для передачи ответов системы доменных имен, требуют, чтобы пакет данных с информацией об адресах всех корневых серверов умещался в 512 байтов (ремарка для тех, кто хочет изучить вопрос подробнее: речь идет об одном UDP-пакете). В эти байты удается поместить данные лишь о 13 серверах.

Когда говорят о 13 серверах, то имеют в виду логические серверы c именами следующего вида: a.root-servers.net,

b. root-servers.net и т. д. вплоть до m.root-servers.net (и, например, такие IPv4-адреса: 198.41.0.4, 192.228.79.201, 202.12.27.33 и др.). На деле за каждым из этих имен и адресов скрывается довольно сложная компьютерная система, включающая в себя не один физический компьютер. Более того, используя специальную технологию, люди научились распределять по всему миру узлы корневых серверов, оптимизируя таким образом работу с ними для пользователей из самых разных уголков Земли.

Таблица 1. Корневые серверы, административная и технологическая структуры по состоянию на 18 января 2014 года (http://root-servers.org/)

Примечание. Изучая таблицу, обратите внимание на то, что серверы имеют один или два адреса (при этом второй адрес – IPv6), а еще на то, что некоторые из них включают в себя несколько десятков узлов. Как же так? Ответ кроется в технологии Anycast, которая позволяет распределять трафик, адресованный конкретному IP-адресу, по многим физическим компьютерам, находящимся в разных сетях. Использование Anycast требует специальных настроек на уровне интернет-провайдеров и точек обмена трафиком, поэтому применяется только в особых случаях. Рис. 1. Скриншот карты Google с отмеченными корневыми серверами DNS

Рис. 1. На карте показано географическое размещение корневых серверов. Источник:

Таким образом, технически корневая зона глобальной DNS обслуживается децентрализованной системой из множества физических серверов, расположенных в различных странах мира и физически управляемых различными организациями. Такая система сложилась исторически в результате заключения соглашений между многими заинтересованными сторонами. Очевидно, тут есть масса преимуществ: децентрализованная (в плане компьютерного обеспечения), распределенная по земному шару система надежнее и гибче, она масштабируется с меньшими сложностями, она лучше реагирует на изменения нагрузки. Кроме того, считается, что децентрализованный подход делает Интернет более демократичным.

Однако не стоит спешить с выводами о том, что корневая зона DNS – это децентрализованная система, не имеющая центрального управления. На первый взгляд такое замечание кажется парадоксальным: ведь только что мы выяснили, что корневых серверов множество и они не только принадлежат разным компаниями, но и находятся в разных странах мира. Вся хитрость в том, что одно дело – серверы, физические компьютеры, и совсем другое – данные, которые на этих компьютерах находятся.

Для сохранения целостности системы имен корневые серверы должны содержать одинаковую информацию о корневой зоне. Это очень важный момент, политическая составляющая которого никак не меньше технической. Поэтому вся распределенная система корневых серверов DNS получает сведения о корневой зоне из единственного источника. Этим источником является специальный защищенный скрытый сервер, находящийся под управлением компании из США VeriSign. Все корневые серверы по расписанию копируют сведения об адресации со скрытого сервера-источника и без изменений (это строго оговорено) передают данную информацию ее потребителям в Интернете.

Другими словами, корневые серверы являются распределенной и децентрализованной компьютерной системой, но это лишь транспорт, механизм доставки. Корневая зона DNS ими ретранслируется из единого центрального источника. Поэтому расхожее мнение о децентрализованной и никем в одиночку не управляемой DNS, которое часто можно встретить в интернетовских форумах, в корне неверно.

Ключевую роль в системе имен Интернета играют также серверы доменов первого уровня (например, RU), обеспечивающие распространение по всей Сети DNS– информации о домене, находящемся в их зоне ответственности.

Все хитрые технологические решения в построении практически работающей DNS направлены на то, чтобы каждый из сотен миллионов разбросанных по всему миру компьютеров, подключенных к Интернету, имел возможность корректного преобразования адресов.

Важно понимать, что все серверы DNS делятся на два типа согласно основной роли, которую они играют. Одни отвечают за хранение и распространение информации о вверенном им домене в глобальной Сети, другие – за поиск информации о том или ином адресе DNS. Иногда обе роли могут быть объединены в одном физическом сервере, но использовать такую конфигурацию не рекомендуется.

Серверы, выполняющие поиск информации в DNS, призваны отвечать на запросы своих клиентов о тех или иных адресах. Ответы они ищут, опрашивая другие серверы DNS. То есть в рамках обеспечения работы сервиса доменных имен различные DNS-серверы обмениваются между собой информацией.

Серверы, опрашивающие DNS в поисках нужных адресов, называются рекурсивными резолверами (от англ. resolve – решать, решение, резолюция), или просто резолверами (также иногда используются термины «сопоставитель» и «рекурсор»).

С точки зрения пользователя и в сильно упрощенном виде алгоритм работы DNS-резолвера по поиску адресов сайтов можно описать следующим образом. Когда пользователь вводит в адресной строке браузера адрес сайта, например hat.nic.ru, компьютер выполняет запрос к тому или иному известному ему DNS-резолверу, спрашивая этот сервер о том, какой IP-адрес связан с «доменным адресом», указанным пользователем. В ответ сервер-резолвер DNS, проверив соответствие по своим внутренним таблицам или выполнив запрос к другим серверам, присылает искомый IP-адрес. Далее браузер устанавливает соединение с сайтом уже по IP-адресу.

По отношению к другим серверам DNS-резолвер выступает клиентом, так как отправляет запросы, на которые они отвечают с теми или иными данными. У резолвера есть и свои клиенты, для них он – сервер. Это операционные системы на компьютерах, обслуживаемых данным резолвером. Например, в сети интернет-провайдера обязательно существует резолвер, обслуживающий его клиентов. Традиционно им является сервер, доступный изнутри сети по известному IP-адресу.

В ряде случаев работа DNS-резолвера, пытающегося выяснить IP-адрес, соответствующий заданному имени домена, начинается с запроса к одному из корневых серверов. Корневой сервер, конечно, не знает ответа для каждого из имен, существующих в Интернете, однако он может сообщить клиенту адреса тех серверов, которые располагают информацией об искомом имени, – и клиент обратится к следующим серверам с тем же запросом. В этом и состоит рекурсия. Ниже мы разберем процесс подробно.

Попробуем проследить за запросами на простом примере. Предположим, что требуется определить IP-адрес, соответствующий домену www.nic.ru.

Сразу нужно обговорить пару важных моментов. Во– первых, резолвер, занимающийся поиском имен, – это обычно специальная программа, работающая на том или ином компьютере. Как мы разобрались, резолвер обрабатывает запросы вида «А какой адрес у www.nic. ru?», поступающие от других программ и компьютеров. Резолвер может быть и локальным, то есть работающим на том же компьютере, где, например, запущен браузер. Во-вторых, наиболее важные из резолверов (кэширующие DNS-серверы) обслуживают множество разных запросов и имеют собственный кэш адресов (особую память), в котором в течение определенного времени сохраняются ранее полученные из DNS сведения об адресации внутри доменов. Наличие такого кэширования – важнейшая особенность DNS, делающая эту систему распределенной и устойчивой к большим нагрузкам.

Вернемся к нашему примеру: получив запрос о www. nic.ru резолвер прежде всего проверит свой кэш; если там не удастся найти ответа на вопрос об адресе узла с именем www.nic.ru, то рекурсивный резолвер начнет опрос глобальной DNS с запроса к одному из корневых серверов. Конечно, корневой сервер не знает ответа на вопрос о www.nic.ru, но он сообщит резолверу адреса тех серверов, которые отвечают за доменную зону .ru, благо они содержатся в корневой доменной зоне. Серверы .ru в свою очередь отправят резолвер к серверам, отвечающим за .nic.ru, и те наконец ответят о www.nic.ru, то есть об адресе узла, соответствующего домену третьего уровня www.nic.ru. Вот так рекурсивно работает DNS.

Надо заметить, что сейчас на подавляющем большинстве пользовательских компьютеров используются так называемые глупые (dumb или stub в англоязычной литературе) или, если выразиться более корректно, «простые» резолверы, которые не умеют выполнять сложные рекурсивные DNS-запросы, требующие обхода множества серверов имен. Они целиком полагаются на тот или иной известный им «умный» резолвер – кэширующий сервер DNS, – просто передавая свои запросы ему. Традиционно это сервер интернет-провайдера, обеспечивающего доступ к Сети. В такой конфигурации запросы к корневым серверам, а равно и к серверам, отвечающим за другие доменные зоны, выполняет сервер провайдера, делая за «глупого» всю сложную работу.

Беглое ознакомление с устройством глобальной DNS наводит на следующий вопрос: откуда только что подключенный к Интернету компьютер может узнать адреса корневых серверов? Обычно они задаются в специальных файлах, распространяемых в составе дистрибутивов операционных систем. А компьютер, программное обеспечение которого использует простой, «глупый» ре-золвер, может начать работать с глобальной DNS после того, как получит IP-адрес того или иного DNS-сервера. Этот IP-адрес указывается при начальной настройке операционной системы или при настройке сетевого соединения.

Здесь важно запомнить следующее: адреса корневых серверов требуются для работы полноценного рекурсивного резолвера, такой резолвер предоставляет интернет-провайдер (или другой сервис-провайдер); «глупый» резолвер, являющийся стандартным для большинства пользовательских компьютеров, нуждается в адресе хотя бы одного полноценного рекурсивного резолвера, которому он будет переправлять поступающие запросы.

Существуют автоматические методы настройки адресов DNS для пользовательских компьютеров, подключенных к локальной сети. Их подробное рассмотрение выходит за рамки книги. Ключевой момент тут простой: базовые адреса для работы DNS жестко задаются извне, но при этом никто не может помешать сделать нестандартные настройки, то есть, например, использовать какие-то другие корневые серверы. Именно здесь и коренится основа доменных войн (или так называемых войн DNS, приведших в конце 1990-х годов к серьезным изменениям в политике управления Сетью). Подробнее об этой основе и ее историческом значении рассказывается в главе 3.

Другой особенностью корневых серверов глобальной DNS является то, что изменение их IP-адресов (напомню, что именно по этим адресам компьютеры в Сети находят друг друга) – очень большая проблема. Действительно, использовать DNS для первичного поиска адресов корневых серверов не получится, так как именно с обращения к ним начинается работа с самой DNS. Сохраненные в исходных настройках той или иной операционной системы компьютера IP-адреса корневых серверов очень сложно будет поддерживать в актуальном состоянии, если они начнут часто изменяться.

Посудите сами: разнообразных классов/типов/линеек/ версий операционных систем в лучшем случае насчитываются как минимум сотни. Дистрибутивы (наборы файлов, служащие для установки операционной системы на компьютер) также бывают самыми разными и сохраняются в неизменном состоянии годами. Что уж говорить про уже настроенное программное обеспечение – оно также не всегда обновляется, а если и обновляется, то далеко не оперативно. В итоге получается, что изменить IP-адрес корневого сервера не так трудно, но вот отследить и скорректировать все директивные упоминания старого адреса – задача чрезвычайной сложности. Если такое произойдет, многие компьютеры продолжат обращаться по старому адресу корневого сервера и не смогут получить ответ. Впрочем, так как серверов несколько, возможна постепенная «миграция» адресов: не сумев установить соединение с одним из корневых серверов, компьютер, пытающийся работать с DNS, соединится с другим корневым сервером, адрес которого не изменялся, и получит возможность определить актуальные адреса всех 13, уже задействовав DNS.

На практике, однако, после изменения IP-адресов некоторых корневых серверов запросы по старым адресам продолжали фиксироваться еще долгие годы после «переезда». Эта особенность только подтверждает факт, что DNS в глобальном плане требует очень непростого управления и весьма чувствительна к изменениям. Одно неловкое движение – и случится неприятность: Интернет для всех рядовых пользователей «погаснет».

С DNS связано множество проблем безопасности, актуальных как для клиентских компьютеров, так и для всей Глобальной сети в целом. Например, особо продвинутые хакеры могут проводить атаки на серверы DNS с целью их перегрузки, вызывающей отказы в обслуживании. Подмена адресов в DNS может приводить к тому, что пользователи, набирающие в адресной строке привычное имя домена, ранее привязанного к одному сайту, будут соединяться с совсем другим сервером, например с сервером злоумышленников, представляющим собой поддельный интернет-магазин, собирающий данные о кредитных картах посетителей.

Проблемы безопасности в DNS в основном связаны с тем, что, когда эта система создавалась в 1980-х годах, Интернет был другим – в нем все друг друга знали. Так что во время становления Глобальной сети не задумывались об атаках, оказавшихся возможными теперь. Важную роль сыграл и тот факт, что на базе вычислительных мощностей, типичных для компьютерного коммуникационного оборудования конца 70-х годов прошлого века, просто невозможно было реализовать DNS, защищенную от недобросовестных участников, – такая система обошлась бы слишком дорого.

Система DNS активно развивается и, очевидно, продолжит оставаться ключевым элементом Интернета еще долгие годы. Несомненно, сохранится и ее определяющая роль в привычных механизмах адресации.

Сейчас в результате исторического развития к услугам рядового пользователя Глобальной сети имеются три механизма перехода к сетевому ресурсу: можно набрать адрес сайта в адресной строке браузера; можно перейти на тот или иной сайт с помощью поисковой машины, кликнув по ссылке на странице результатов поиска документов в Интернете; можно перейти по ссылке с одного сайта на другой.

На практике в современном Интернете все эти три механизма базируются на DNS и доменных именах.

Меняются технологии публикации информации в Сети, развивается веб, появляются новые средства разработки, позволяющие создавать все более оригинальные сайты. Но пока ни одна из технологий не смогла предложить каких-то новых механизмов адресации, столь же удобных пользователю, как система доменных имен, и способных ее потеснить.

 

Глава 3

Администраторы и реестры

 

Права и уровни доменов

Доменов в Интернете очень много. Особое значение имеют домены первого уровня, среди которых принято особо выделять домены общего назначения (или, как их иногда называли раньше, домены общего пользования) и национальные. Например, к доменам общего назначения принадлежит самая популярная (по количеству зарегистрированных имен) зона .com с практически ничем не ограниченной регистрацией. В качестве примера национального домена можно назвать RU, выделенный России. Впрочем, в такой сложной и многогранной глобальной виртуальной среде, как Интернет, не следует ожидать жесткого деления доменов по классам. Напротив, это деление временами – очень условное.

Итак, домен – это кусочек виртуального интернет– пространства. Любой подобный кусочек ценен, он дорожает вместе с интернет-пространством и может быть в той или иной мере полезен своему хозяину. Важно только правильно понимать, кто в домене хозяин.

Любая хозяйственная деятельность для верного исполнения требует записей и отчетов. Домены – не исключение. Автомобиль, дом или быстроходный катер, как объекты вполне материальные, учитываются с помощью присвоения им номеров и регистрации в соответствующих государственных структурах. С доменами несколько иная ситуация, хотя момент регистрации также играет важную роль.

Так, среди доменов «общего» назначения есть такие, регистрация в которых фактически ограничена по государственной принадлежности регистрирующего доменное имя лица: например, домен первого уровня MIL, который на эксклюзивной основе «оккупировали» государственные военные структуры США.А среди необычных национальных доменов широко известен домен первого уровня SU. В свое время этот домен выделили Советскому Союзу. И вот государства не существует уже более двух десятков лет, а домен остается в строю, иногда даже демонстрируя всплески числа регистраций – настолько мощным оказалось международное правовое наследие СССР.

Прежде всего нужно разобраться, чем предстает домен с точки зрения компьютеров, обеспечивающих работу Интернета. А он для них – лишь запись в специальной базе данных, не более. Каких-либо других форм существования у домена нет. Это не компакт-диск, не кусок микросхемы. Домены не перевозят трехтонными грузовичками, как персидские ковры. Наверное, максимум физического воплощения домена, которое мог бы придумать лирик, – это какое-то множество электромагнитных импульсов, размазанных по кабелям и электронике глобальной Сети.

Тем не менее внесение записи о домене в базу данных приводит к тому, что некоторый кусочек Интернета начинает функционировать по-другому, главное – правильно выбрать базу данных.

Мы уже выяснили, что параметры функционирования домена как единицы системы адресации Интернета задаются соответствующими ему серверами DNS (авторитативными серверами имен, name servers – NS). А сами эти серверы, в свою очередь, определяет администратор домена.

Заметьте, что тот, кто способен установить какие-либо серверы имен для домена, полностью контролирует этот домен в техническом смысле. Так, обладающее подобными полномочиями лицо может поменять содержимое сайта, адресуемого доменом (это делается при помощи замены одного сервера, хранящего сайт, на другой), и получить любую электронную почту, поступающую на адреса в этом домене (достаточно заменить почтовые сервера на свои). Такими полномочиями обладает администратор домена.

Администратор домена – главное лицо в домене. Именно он обладает правами по управлению доменом и определяет, какой сайт или ресурс будет доступен под данным доменом.

Конечно, на практике администратор не обязан владеть техническими навыками управления доменом, ведь он может поручить фактическое выполнение процедур квалифицированным техническим службам. Точно так же владельцу грузового судна не обязательно быть капитаном дальнего плавания: капитана и команду можно нанять. (Главное – не ошибиться при выборе капитана, иначе он может увести судно к пиратам. Иногда, впрочем, передать судно пиратам способен и кок, если он является их главарем, но это несколько более редкая история, тем более в доменном бизнесе.)

Как мы рассказывали в предыдущей главе, доменное пространство Интернета обладает иерархической структурой. Соответственно, иерархическую структуру имеет и делегирование полномочий администраторам доменов.

В настоящий момент (на 2014 год) во главе иерархии находится корпорация ICANN. ICANN – это аббревиатура от Internet Corporation for Assigned Names and Numbers, что означает буквально «Интернет-корпорация по распределяемым именам и числам».

Несколько корявое название ICANN для англоязычного человека не выглядит такой уж нелепицей.

А вот с переводом названия на русский язык часто возникали сложности. В итоге сейчас принято переводить ICANN как «Интернет-корпорация по распределяемым именам и числам» (что более близко к англоязычному оригиналу) или как «Организация по присвоению имен и адресов» (что несколько лучше отражает суть деятельности ICANN).

ICANN управляет распределением абсолютно всех адресных ресурсов Интернета. То есть в ведении этой организации находятся не только домены, но и другой вид адресов: IP-адреса, а также разные специальные номера и числа, определяющие использование большого числа протоколов и стандартов в Интернете. Конечно, ICANN не работает с отдельными пользователями Интернета, а задает только генеральную политику развития систем адресации. Например, специальные комиссии ICANN определяют, какие новые домены первого уровня вводить в глобальной Сети. Как мы упоминали ранее, в ведении ICANN находятся «общемировые» корневые серверы DNS, определяющие успешную работу всего Интернета в целом.

ICANN в рамках своей деятельности по распределению адресного пространства действует в интересах, определяемых Минторгом США, – это обстоятельство закреплено в соответствующем соглашении, подписанном в 2009 году. То есть корпорация не является, как можно подумать, каким-то официальным международным органом управления типа ООН. Такая ситуация сложилась исторически, так как Интернет придумали в США, и задолго до появления ICANN управление адресным пространством Сети осуществляли правительственные организации США (в том числе подразделение военного ведомства), поручавшие технические процедуры различным компаниям и учреждениям.

От ICANN, как от структуры, унаследовавшей касающиеся Интернета функции от правительства США, ожидают действий в интересах Соединенных Штатов. Это неудивительно: Интернет был создан правительственными исследовательскими лабораториям, которые работали на средства американских налогоплательщиков. На основании этого простого юридического факта правительство США, учреждая ICANN, подразумевало, что дальнейшее

развитие Интернета будет приносить прибыль прежде всего коммерческим компаниям в США, таким образом возвращая гражданам «инвестированные» средства.

Впрочем, уже на момент учреждения корпорации ICANN в 1998 году Интернет представлял собой вполне сложившееся глобальное явление, так что вопросы о том, почему общемировую Сеть должно контролировать одно государство, возникли еще задолго до появления корпорации. Однако вопросы вопросами, на практике же пока в руках североамериканских телекоммуникационных компаний находились все технические возможности по управлению адресным пространством Интернета, спорить с США не было даже технической возможности.

Конечно, ICANN не может оказывать юридическое давление на ситуацию с развитием интернет-технологий в других государствах, а решения, выносимые самой ICANN, не имеют силы международных договоров или законов в других государствах, пользующихся Интернетом. Другими словами, решения и требования ICANN могут просто игнорироваться интернет-провайдерами за пределами США. Да, собственно говоря, и американских провайдеров ICANN не может принудить к каким-либо действиям. Но именно в этом заключается сила корпо рации.

ICANN возникла не просто так, а в результате первого в истории конфликта систем глобальной компьютерной адресации. «Большая война DNS», приведшая к возникновению ICANN, продолжалась с 1994 по 1999 год с разной степенью интенсивности. Начало ей положило следующее событие: в 1994 году управление регистрацией доменов и DNS передали коммерческой компании Network Solutions, Inc. (далее NSI), которая, по сути, оказалась единственным хозяином глобальной системы адресации.

Надо сказать, что в 1994 году число доменов в зоне .com измерялось тысячами. То есть доменов существовало очень мало, особенно если сравнивать с современным их количеством. Тем не менее уже наметился рост в геометрической прогрессии. Популярность доменных имен подстегнуло развитие веба. Группа технологий публикации гипертекстовых документов, известная теперь как веб (или www), появилась в 1990 году. А уже в 1994 году число сайтов в Интернете измерялось многими тысячами. Веб постепенно отъедал долю от общего числа зарегистрированных доменов. Если до 1990 года по очевидным причинам домены .com для размещения сайтов не использовались вовсе, то, например, уже в 1996 году около половины доменов были связаны с сайтами.

На волне популярности веба, который быстро приспособили для коммерческих приложений, начался и рост числа зарегистрированных доменов, которые представляли собой средство индивидуализации коммерческих начинаний в Интернете. Именно в 1995–1996 годах зародился первый интернет-пузырь, который позже схлопнулся с большим шумом.

Процесс изменения управления Интернетом уже тогда называли «приватизацией». В результате приватизации появилась монополия NSI. Такое положение NSI возникло в 1993–1994 годах после того, как компания стала единственным исполнителем контракта National Science Foundation в рамках поддержки сервисов регистрации доменов в организации InterNIC, чуть ранее созданной специально для распределения адресных ресурсов в гражданском сегменте Интернета. National Science Foundation (NSF – Национальный научный фонд) – это государственная организация США, которой еще в начале 1980-х годов была передана поддержка DNS из структур Минобороны США.

Прогрессивной части интернет-сообщества такой расклад не очень нравился. Тем более что следующим шагом NSI, после обретения монополии, вполне ожидаемо стало введение платы за регистрацию доменных имен .com. Это произошло уже в сентябре 1995 года, то есть на следующий год после получения NSI управления DNS. До этого знаменательного для истории Сети момента регистрация доменов второго уровня в зоне .com была бесплатной (как и в .net, org).

В условиях новой экономической политики предлагалось платить 100 USD за первичную регистрацию имени (на один год) и 50 USD за ежегодное продление регистрации. Деньги поступали в пользу Network Solutions, которая, в свою очередь, должна была отчислять 30 % в специальный правительственный фонд, учрежденный при участии NSF. Естественно, желание подзаработать на средствах индивидуализации виртуального пространства появлялось у самых разных коммерческих компаний и ранее, наравне с желанием это пространство перекроить на свой фасон.

Оглушительный успех NSI только подогрел желания других игроков рынка. В результате появились судебные иски, требовавшие разобраться с монополистами, захватившими «общественное достояние» в виде доменной системы имен. Уместно еще раз напомнить, что исходная система-то в существенной части разрабатывалась в рамках государственных программ США, то есть на деньги налогоплательщиков.

Ситуацию усугубляло то, что в конце 80-х – начале 90-х годов прошлого века в США среди части IT-сообщества бытовало мнение, что Интернет и все связанные с ним технологии – это в чистом виде национальное благо, способное изменить весь окружающий мир. Поэтому распределение адресных ресурсов и вообще контроль над Сетью могут осуществляться при непосредственном участии общественных организаций, государства (в лице Конгресса, например), известных деятелей из интернет– сообщества, но лишь в последнюю очередь – монопольно отдаваться на откуп одной коммерческой компании.

Первым итогом передела DNS стали попытки других компаний добиться контроля над корневой доменной зоной, в том числе и с помощью изменения перечня используемых корневых серверов. Появились проекты по введению новых доменов верхнего уровня в обход NSI, на конкурирующих сервисах DNS. (Нет технических препятствий для того, чтобы использовать произвольный набор серверов в качестве корня DNS. Просто глобальной становится та система, которую признает большинство участников Сети.)

Естественно, началось движение к созданию новых административных механизмов. Для изменения ситуации участники конфликта организовали несколько независимых друг от друга рабочих групп, а также пару «конкурирующих» союзов, объединивших интернет-провайдеров (основные – из США) и заинтересованные в преобразовании международного виртуального пространства IT-компании.

Таким образом, сложилась ситуация, которая едва не привела к возникновению нескольких «параллельных» DNS. Это не случилось незамедлительно лишь потому, что в товарищах не было согласия: не все рабочие группы реально работали, а союзы – кого-то объединяли. Все недовольные хотели править, и возле штурвала собралась уже даже не очередь, а шумная толпа, размахивающая судебными решениями.

Наметившийся хаос привел к тому, что Министерство торговли США как регулятор коммерческой деятельности в основной юрисдикции Интернета 1990-х годов решило возглавить восстание. На первом шаге в Минторге организовали прием предложений по изменению управления Сетью, на втором объявили, что для развития Сети необходим плавный переход к свободным механизмам саморегулирования, а на третьем сообщили о создании ICANN, некоммерческой организации, действующей в интересах всего интернет-сообщества, которой предстояло запустить контролируемый процесс эволюции структуры управления Сетью. Для контроля процесса ICANN наделили полномочиями по распределению адресного пространства и целым рядом других, чуть менее важных, административных функций.

Итак, ICANN осуществляет административное управление Интернетом. С момента создания этой корпорации она действовала в рамках официальных соглашений с Министерством торговли США, а если точнее, то под контролем со стороны специального управления этого министерства, ведающего телекоммуникациями (NTIA – National Telecommunications and Information Administration).

В 2012 году в корпорацию пришел новый президент и исполнительный директор (эти две должности совмещаются) – Фади Шэха`ди (Fadi Chehade), сменивший на этом посту Рода Бекстрома (Rod Beckstrom). Фади Шэха`ди – представитель менеджмента крупных ИТ-компаний, за плечами у него университет Нью-Йорка и Стэнфорд, должности в руководящем составе ряда ИТ-компаний, в том числе IBM. Шэха`ди достался непростой этап в работе корпорации – введение большого количества новых доменов верхнего уровня в рамках программы New gTLD.

Президенты ICANN приходят из самых разных сообществ. Так, предыдущий президент Род Бекстром, занимавший этот пост с 2009 по 2012 год, до прихода в ICANN работал в Министерстве национальной безопасности США (DHS), где возглавлял Центр по противодействию киберугрозам. При Бекстроме ICANN удалось ввести в Интернете ряд новых технологий обеспечения безопасности, самая заметная из которых – DNSSEC, расширение протоколов DNS (об этой технологии мы подробно поговорим в разделе, посвященном безопасности доменной системы имен). Несомненно, это замечательное достижение, потому что основная проблема Интернета в конце первого десятилетия XXI века – недостаточная безопасность самых фундаментальных основ.

В 2009 году правовой статус отношений ICANN с Минторгом США заметно изменился. Ранее подписанное сторонами соглашение, регламентирующее деятельность ICANN, закончило свое действие. О том, что сроки истекают, конечно, было известно заранее. Среди специалистов, следящих за развитием административных систем Интернета, шли споры, продлят ли действующее соглашение между ICANN и Минторгом или на смену ему придет новый документ, с иным содержанием. Вновь обрели широкую популярность различные акции и информационные кампании, понятийная суть которых сводилась к давно известной идее: отобрать у США рычаги управления и передать контроль над Интернетом мировому сообществу.

Кто-то предлагал совсем ликвидировать ICANN и либо создать новую специальную управляющую организацию, либо передать все функции ICANN той или иной уже существующей (например, Международному союзу электросвязи, а возможно, еще какому-нибудь подходящему учреждению из структуры ООН, тем более что разнообразных учреждений в этой структуре много). Менее радикальные предложения сводились не к ликвидации ICANN, а к передаче полного прямого контроля над самой этой организацией международному сообществу.

Надо заметить, что ICANN дипломатично хранила информационное молчание едва ли не до самого последнего дня действия соглашения и не делала громких публичных заявлений, как-то описывающих перспективы. Такое поведение вполне укладывается в общий стиль работы ICANN: этой организации далеко не всегда требуется громкая публичность, а тем более какие бы то ни было скандалы.

Несмотря на то что ICANN является «верховным» органом, управляющим развитием Интернета и всеми адресными ресурсами глобальной Сети, мало кто из обычных пользователей вообще знает о существовании и роли этой корпорации. Сравните положение дел с, например, ООН – об этой организации, напротив, слышали очень многие. Конечно, ICANN ни в коей мере не является «засекреченной». Просто здесь исповедуют аккуратный подход к публичности. В общем-то ситуация схожа с другими регуляторами крупных мировых рынков, о работе которых нечасто пишут в широкой прессе. За примерами можно опять обратиться к структуре ООН: если о самой Организации Объединенных Наций слышали едва ли не все, кто читает газеты и смотрит мировое ТВ, то подробности, о входящих в ее состав регулирующих комиссиях, которые и ведут оперативную деятельность, знают только специалисты.

За стеной внешнего молчания вся необходимая работа по изменению правового статуса корпорацией ICANN и Минторгом США была проведена успешно. Результатом этой работы и стало изменение статуса ICANN. Изменение не радикальное, скорее – эволюционное, но оно очень хорошо иллюстрирует вектор развития административных механизмов управления Интернетом.

Надо заметить, что документальная часть отношений между ICANN и правительственными структурами США хоть и является в существенной мере публичной, тем не менее стала довольно запутанной за годы деятельности корпорации.

Итак, в сентябре 2009 года на смену старому «Соглашению о партнерстве» (оригинальное название: JPA – Joint Project Agreement – соглашение о совместном проекте) между Минторгом США и ICANN, входившему в «Меморандум о взаимопонимании» (Memorandum of understanding), пришло «Соглашение о подтверждении обязательств» (Affirmation of Commitments). В терминологии ICANN новое соглашение является подтверждением завершения действия старого «Соглашения о партнерстве» (JPA). Именно поэтому выбрано такое название – документ подтверждает главные обязательства, взятые ICANN в рамках «Меморандума».

Нельзя говорить о том, что «самоопределение» ICANN осенью 2009 года, после завершения действия JPA, изменилось кардинальным образом. Это не так. Напротив, даже в официальных сообщениях ICANN прямо писали: корпорация завершила очередной этап по развитию управления Интернетом, и это завершение зафиксировано новым соглашением с правительством США. Другими словами, «Соглашение о подтверждении обязательств» – это такой в меру дипломатичный вариант хорошо знакомого многим стандартного документа – Акта сдачи/приемки выполненных работ.

Что изменилось в реальности? Ключевые моменты прямо отражены в новом соглашении (http://icann.org/en/ documents/affirmation-of-commitments-30sep09-en. htm). Так, в пункте 5 говорится о том, что Минторг поддерживает скорейшее внедрение многоязычных национальных доменов верхнего уровня (при условии сохранения безопасности DNS и Интернета) и что при этом Минторг в рамках соглашения не выражает поддержки новым доменам верхнего уровня общего назначения (речь идет о расширении «чисто коммерческого» доменного пространства, которое описано в главе 7 книги). Как показало дальнейшее развитие, «не выраженная» поддержка не помешала ICANN запустить в большом количестве новые домены верхнего уровня общего назначения, радикально перекроив DNS.

Пункт 8, в частности, отмечает, что ICANN берет на себя обязательство остаться некоммерческой организацией, со штаб-квартирой на территории США. Это довольно важное, как бы «техническое», обстоятельство, касающееся юрисдикции, в которой продолжит работать «независимая» ICANN.

В новом соглашении часто упоминается Комитет правительственных советников (GAC – Government Advisory Committee) – консультативный орган, довольно давно существующий в структуре ICANN, в состав которого входят представители правительств различных стран мира. По состоянию на начало 2014 года в состав GAC включено более 100 представителей государств и международных организаций. Тем не менее активное участие на постоянной основе в работе GAC принимает лишь несколько десятков представителей.

Комитет в лице своего председателя принимает участие в контроле за деятельностью ICANN, в процедурах разработки новых политик. Собственно, как раз некоторые изменения в статусе GAC и привели к возникновению в прессе рассуждений о том, что «ICANN вышла из-под контроля США». Действительно, новое соглашение подразумевает представление вниманию GAC итоговых отчетов о работе подразделений ICANN. Но вот с изменением степени подконтрольности ICANN США это связывать нельзя. Судите сами. Никаких существенных изменений в структуре самой ICANN за минувшие с момента принятия нового соглашения годы не произошло. GAC много лет является составной частью ICANN, где давно играет роль консультативного органа; разнообразные отчеты комитет рассматривал и раньше, до принятия нового соглашения – многие из этих отчетов вообще публичны. Так что описанные изменения внутренних процедур не свидетельствуют ни об усилении контроля США над ICANN, ни об ослаблении этого контроля – они попросту с контролем не связаны.

В Интернете существует еще один важный технический рычаг управления. Этот рычаг называется IANA (Internet Assigned Numbers Authority). Организация IANA (www.iana.org) осуществляет техническое управление корневой зоной DNS и, кроме того, технически управляет распределением всех других ключевых адресных ресурсов: IP-адресов и числовых индексов во множестве специальных протоколов, обеспечивающих обмен данными в Интернете. (Нужно еще раз отметить, что для сохранения физической связности Интернета важны не столько службы DNS и сама эта система, сколько IP-адреса и связанные с ними протоколы обмена пакетами данных.)

IANA существовала задолго до ICANN и вообще стоит в ряду древнейших регулирующих организаций Интернета: корни IANA ведут в начало 70-х годов прошлого века, в то время, когда Интернета в современном понимании вообще не существовало, а действовали лишь некие компьютерные «протосети». Но IANA была уже тогда и под управлением одного из отцов Интернета – Джона Постела (Jonathan Postel) распределяла сетевые адресные ресурсы. Многие ли современные пользователи Сети знают о IANA и слышали о Джонотане Постеле? Скорее всего, число таких пользователей менее одного процента, что только подчеркивает, насколько Интернет стал массовым явлением и пророс в «поп-культуру».

Интернет уходит корнями в военные разработки 1970-х годов, как сказано в самом начале книги.

Интересно, однако, посмотреть на историю возникновения глобальной Сети более детально. Так, если говорить об Интернете в современном понимании этого термина, то окажется, что Сеть несколько моложе и возникла в самом начале 1980-х годов. Дело в том, что именно тогда появились первые функционально полезные сети, работающие по протоколам TCP/IP. Основная и первая среди них – это CSNET, сеть, созданная в 1981–1984 годах при поддержке Национального научного фонда США и направленная на то, чтобы исследователи из разных университетов и научных центров могли совместно использовать вычислительные ресурсы суперкомпьютеров. В 1980-х же ввели в строй глобальную DNS, первый стандарт для этой системы был опубликован в 1983 году, а первые «общедоступные» домены верхнего уровня появились в 1985 году.

Группа протоколов TCP/IP разработана в 1970-х, и тогда же началось тестирование новых алгоритмов организации обмена данными. До TCP/IP в качестве основного коммуникационного протокола в ARPANET (прообразе Интернета) использовался NCP (Network Control Program или Network Control Protocol). «Принудительный» перевод узлов «древнего» Интернета на TCP/IP начался в 1981 году (RFC-801) и благополучно завершился 1 января 1983 года, когда поддержку NCP полностью отключили. В современном Интернете, впрочем, используются протоколы-реликты, которые старше IP. Например, среди них FTP – протокол обмена файлами, и TELNET – протокол взаимодействия с удаленными текстовыми терминалами.

В настоящее время (2014 год) IANA контролируется ICANN. В более точной формулировке: «ICANN выполняет IANA-функцию». И эта функция выполняется в рамках отдельных соглашений с Минторгом США. В рамках взаимодействия с IANA комиссия Минторга США, например, утверждает все изменения в корневой доменной зоне DNS.

То есть в Интернете, с точки зрения управления Сетью, можно выделить два класса административных рычагов: организационно-представительские (к которым относится бо́льшая часть деятельности ICANN) и технические (это IANA, обслуживающие вычислительные мощности компании и крупные операторы связи).

Тенденции 2010-х годов показывают, что, с одной стороны, ICANN становится все более «представительской» организацией, подтверждением этому служит и новое соглашение с Минторгом, в котором, как мы видели выше, специально отмечены «общественные» нововведения (новые домены на национальных языках, деятельность GAC).

С другой стороны, фактическое техническое управление (IANA) пока сохраняется в руках Минторга. В том числе вводятся новые криптографические механизмы обеспечения контроля над этим управлением (например, среди этих механизмов – DNSSEC, технология, в подробностях описанная в главе 11).

Как же осуществляется управление Интернетом сейчас? А осуществляется оно, на первый взгляд, достаточно «просто»: ICANN, формально говоря, рекомендует другим участникам интернет-сообщества придерживаться некоторых Правил и Стандартов в своей работе с глобальной Сетью, а другие участники соглашаются придерживаться правил. Это чем-то напоминает «общественный договор». Тех же, кто не соглашается с правилами, от глобального Интернета просто могут отключить, ведь «главный рубильник» находится в руках ICANN.

Впрочем, ICANN зарекомендовала себя как очень и очень осторожная организация, всячески избегающая каких бы то ни было конфликтных ситуаций и умеющая лавировать по самым сложным фарватерам. При разрешении проблем, даже минимально угрожающих конфликтом, ICANN демонстрирует грамотное владение всем широким набором дипломатических приемов, на зависть многим мировым министерствам иностранных дел. Например, в ход идет качественная работа с общественным мнением: ICANN всегда демонстрировала, что открытость для интернет-сообщества – одна из ключевых характеристик корпорации. Конечно, используются и обтекаемые по формулировкам официальные заявления о позиции ICANN по тому или иному вопросу, и многие другие методы международной дипломатии.

Такой подход ICANN к управлению можно понять, ведь обеспечение связности глобальной Сети, объединившей многие десятки государств мира, каждое из которых имеет свои исторические особенности, – дело далеко не простое, особенно если учесть, что Сеть нужно развивать. Именно по причине сложности «объекта управления» все стратегические решения (а тактикой ICANN, собственно, и не занимается) принимаются корпорацией после многолетних консультаций и размышлений.

Подведем промежуточный итог: верхний уровень иерархии управления доменными именами сейчас занимает ICANN (роль аудитора выполняет специальная комиссия Минторга США). Полномочия по управлению распределением имен внутри созданных доменов первого уровня ICANN делегирует другим организациям. При этом используются различные процедуры, зависящие от типа домена и других факторов. Так, управлять доменом может одна организация или несколько, и взаимоотношения между этими организациями и лицами, которым они предоставляют права регистрации доменов, регулируются самым разным образом. Хотя, конечно, сложились определенные традиции.

ICANN назначает ответственных по доменам первого уровня, а ответственные уже сами устанавливают правила игры внутри выделенных им доменов и обеспечивают исполнение этих правил. При этом ICANN сохраняет стратегическое управление в своих руках.

Важно понимать, что у каждого домена первого уровня есть администратор – обычно это юридическое лицо, – который обеспечивает взаимодействие с ICANN и задает те самые правила игры внутри домена. И есть еще такое понятие, как регистратор доменов. Регистратор доменов – это тот, кто, собственно, предоставляет услуги по регистрации доменных имен во «вверенном домене» другим лицам (юридическим и физическим). Администратор и регистратор могут быть одним лицом. Но возможна и ситуация, когда администратор у домена один, а регистраторов – много, и они конкурируют между собой. Так, например, в домене RU в конце 2013 года действовало 26 компаний – регистраторов доменов.

В популярных доменах общего пользования, например в COM, ситуация несколько сложнее: там больше регистраторов и отношения между регистраторами выстроены иначе.

Что такое регистрация доменного имени? Это внесение информации в связанный с данным доменом электронный реестр, определяющий распределение адресного пространства в домене. В реестр, по крайней мере, записывается само доменное имя и данные его владельца. То есть запись свидетельствует о том, что такой-то домен находится в управлении у такого-то лица, – это лицо и является администратором домена. Данные о доменах в глобальной системе DNS формируются с учетом информации из реестров.

Информация о регистрации домена может быть внесена в реестр, но сам домен при этом не будет доступен для системы DNS. Дело в том, что регистрация домена и размещение его в DNS – это две различные процедуры. Размещение домена в DNS называют делегированием домена. Если домен делегирован, то размещенные под ним сетевые ресурсы могут быть доступны для пользователей Интернета. Регистрация домена не обязательно подразумевает немедленное его делегирование в систему DNS.

Например, если Петр Иванов сумел зарегистрировать домен test.ru, то в реестре регистраций домена RU будет содержаться информация о том, что правом на управление доменным именем test.ru наделен Петр Иванов (паспорт номер такой-то; проживает по адресу такому-то). А «право на управление» в случае с доменом подразумевает как минимум возможность привязывать домен к тем или иным серверам системы DNS (делегирование домена). И только уже с помощью правильно сконфигурированных серверов DNS домен может быть привязан к сайту. Если у Петра Иванова есть нужные пароли, то Петр Иванов может разместить под доменом test.ru произвольный сайт.

Тут надо заметить, что домен и веб-сайт – это разные вещи, только связываемые друг с другом посредством настройки DNS. Например, один и тот же сайт можно разместить под несколькими совершенно разными доменами.

Администратор, получив в управление домен второго уровня, может не только привязать его к сайту, но и самостоятельно распределять доменные имена внутри своего домена. Скажем, только что упомянутый Петр Иванов, реализуя свое право по управлению доменом test.ru, может независимо от администратора домена RU зарегистрировать домены третьего уровня www.test.ru, petrowich.test.ru. Таким образом, мы проиллюстрировали иерархию администрирования доменов: ICANN – > администратор домена первого уровня – > администратор домена второго уровня. Конечно, иерархия продолжается и дальше. Например, тот же самый Петр Иванов может назначить администратором домена petrov.test.ru Ивана Петрова и установить с этим достопочтенным господином договорные отношения по управлению доменом petrov.test.ru. Понятно, что можно было бы продолжить построение иерархии и на четвертом, пятом, шестом уровне. Есть ли предел такому росту вглубь?

Оказывается, есть. Пределы ставит сложившаяся практика. Обычно строгие и формальные отношения с администратором, закрепляемые тем или иным договором, устанавливаются для доменов первого (это особенно важные домены, здесь одной из сторон договора выступает ICANN), второго и, реже, третьего уровня. Последний момент в основном касается тех доменов верхнего уровня, в которых на регистрацию имен накладываются дополнительные упорядочивающие условия.

Примером домена, где юридические строгости уровня регистратора касаются доменов третьего уровня, может служить национальный домен Великобритании – UK. В этом домене регистрация имен возможна (2014 год) только в специально выделенных доменах второго уровня: например, co.uk – для коммерческих структур, me.uk – для персональных страничек, а org.uk – для некоммерческих и общественных организаций. Хотя активно обсуждается возможность перехода к регистрации и произвольных имен второго уровня.

Администратор домена более высокого уровня при желании всегда может отобрать домен уровнем ниже, зарегистрированный в его «зоне ответственности». Технические рычаги для осуществления этой операции дает система DNS, позволяющая администратору переопределить адресацию в своей зоне произвольным образом. На практике «отбирание» домена может быть реализовано в виде удаления записей о нем из системы DNS – в этом случае все ресурсы, размещенные под этим доменом, просто перестанут быть доступны в Интернете. Можно «отобрать» домен, перенастроив DNS так, что домен будет указывать на совершенно другой сайт. Можно отобрать и домен первого уровня. Обсуждение механизмов подобного действия приведет нас к понятию «той самой большой красной кнопки», поэтому такому обсуждению – свое время.

С юридической точки зрения процедура лишения права администрирования домена должна регулироваться договором между сторонами, вовлеченными в использование домена, и правилами регистрации доменных имен. И если с технической стороной дела все более-менее понятно, то с юридической стороной иногда возникает целый ряд очень сложных коллизий.

Итак, для рядовых участников доменной системы Интернета обычно наиболее важны процедуры, касающиеся управления доменами второго уровня (и иногда – третьего). А бо́льшая часть доменных войн и конфликтов связана с доменами второго уровня – так исторически сложилось. Администратор домена – это тот, кто определяет порядок использования домена.

Интересно, что администрирование домена – это право (да, может быть, почетное). Это весьма важное уточнение: заплатив регистратору, нельзя думать, что домен теперь куплен. Ведь мы уже разобрались, что домен – это не кольцо с бриллиантом, не холодильник и даже не дизайнерские валенки. Домен нельзя купить, но можно приобрести у уполномоченной компании в обмен на денежный взнос право на управление доменом, став тем самым администратором этого домена. При этом право приобретается на какой-то определенный срок, например, на один год.

За честно приобретенное кольцо с бриллиантом не нужно платить второй раз. Право администрирования домена обычно требует регулярного продления, и за это продление придется заплатить – иначе право может быть передано другим желающим поуправлять.

Таковы правила игры.

 

Рассказы о владельце

Реестр владельцев доменных имен в доменах первого уровня, который ведут уполномоченные организации (среди которых – и регистраторы), предоставляет

информацию для весьма важного сервиса, носящего название WHOIS (произносится как «хуиз»).

С технической точки зрения WHOIS – это набор баз данных и протокол доступа к ним. С практической точки зрения сервис WHOIS – весьма полезный инструмент, позволяющий пользователям Интернета получить данные о регистрации того или иного домена.

Сделав запрос с именем интересующего домена к WHOIS, можно узнать, свободен ли этот домен. В случае, если домен уже кем-то зарегистрирован, WHOIS может сообщить дополнительную информацию о настройках домена и о том, кем, через какого регистратора и когда домен зарегистрирован. Через WHOIS можно получить ту или иную контактную информацию владельцев домена или службы технической поддержки, обеспечивающей работу домена.

Впрочем, борьба за сохранность персональных данных приводит к тому, что точные и сколько-нибудь полные данные о владельце домена можно получить далеко не во всех случаях. В зависимости от действующего в той или иной стране законодательства, в зависимости от предпочтений конкретного владельца домена на публикуемую в WHOIS информацию накладываются различные ограничения. Например, вместо данных владельца может быть указано просто Private Person (частное лицо). Кроме того, информация в WHOIS может оказаться просто недостоверной, потому что далеко не всегда регистраторы тщательно следят за соответствием действительности публикуемых владельцами доменов данных.

Другие ограничения на использование WHOIS связаны с тем, что за различные домены первого уровня отвечают различные регистраторы и администраторы, которые могут вести свои собственные базы данных для WHOIS.

Более того, в ICANN разработаны новые правила и новая концепция сервиса WHOIS, которая должна привести к радикальному преображению этого сервиса: не исключено, что в ближайшие годы доступ к информации об администраторах доменов вообще окажется доступен только весьма ограниченному кругу лиц.

Но пока что использовать WHOIS для получения информации о доменах весьма просто. Большинство крупных регистраторов предоставляют доступ к WHOIS на своих сайтах: на странице запроса к WHOIS достаточно ввести имя домена, в ответ сервер вернет информацию о состоянии этого домена. Кроме запросов через веб, использовать WHOIS можно и с помощью специальных программ-клиентов.

Попробуем исследовать домен test.ru с помощью сервиса WHOIS на сайте регистратора доменов RU-CENTER. Форма отправки запроса находится по адресу http:// www.nic.ru/whois/ и на момент написания книги выглядела примерно так, как на иллюстрации.

В ответ на запрос test.ru, введенный в форму, сервер возвращает страницу с довольно подробной информацией:

По данным WHOIS.NIC.RU:

domain: TEST.RU

nserver: ns3.nic.ru

nserver: ns4.nic.ru

state: REGISTERED, NOT DELEGATED

admin-contact: https://www.nic.ru/cgi/whois_

webmail.cgi?domain=TEST.RU

org: JSC Regional Network Information Center

descr: test domain!

registrar: RU-CENTER-REG-RIPN

created: 2005.08.16

paid-till: 2014.12.15

source: RU-CENTER

[…]

По данным WHOIS.TCINET.RU:

% By submitting a query to RIPN's Whois Service

% you agree to abide by the following terms of use:

% http://www.ripn.net/about/servpol.

html#3.2 (in Russian)

% http://www.ripn.net/about/en/servpol.

html#3.2 (in English).

domain: TEST.RU

nserver: ns3.nic.ru.

nserver: ns4.nic.ru.

state: REGISTERED, NOT DELEGATED, VERIFIED

org: JSC Regional Network Information Center

registrar: RU-CENTER-REG-RIPN

admin-contact: https://www.nic.ru/whois

created: 1997.05.23

paid-till: 2014.12.15

free-date: 2015.01.15

source: TCI

Что же означают все эти буквы и цифры, разбитые на поля, напоминающие анкету, и какие выводы о test.ru можно сделать?

Главный вывод такой: домен test.ru занят, и зарегистрировать его нельзя. Об этом говорит уже наличие самой записи о домене в базе данных WHOIS. Если бы домен test.ru был свободен для регистрации, то в ответ на запрос WHOIS сообщил бы что-то вроде «Данных о домене не найдено!». Это важная особенность использования WHOIS: каковы бы ни были требования по охране персональных данных, запись о зарегистрированном домене нельзя полностью изъять из публично доступной базы данных регистраций (как, например, это можно сделать с телефонным номером и публичным телефонным справочником). Это, впрочем, не касается заблокированных в реестре имен доменов – они могут отсутствовать в ответах WHOIS, но при этом будут недоступны для регистрации.

Кроме того что домен занят, WHOIS рассказывает нам о владельце домена: в поле org: указано, что администратором домена является организация JSC Regional Network Information Center. Поле admin-contact содержит ссылку на форму обратной связи с администратором домена. Раньше через WHOIS домена RU можно было получить также контактные данные вроде номера телефона и адреса e-mail, однако борьба за «приватность» привела к тому, что сейчас (2014) таких данных в WHOIS зоны. RU найти нельзя. (В некоторых других доменных зонах они вполне до ступны.)

Также из ответа WHOIS видно, что домен test.ru не делегирован (поле state), но при этом (!) «привязан» к двум серверам DNS (поля nserver – ns3.nic.ru, ns4.nic.ru). Это нетипичная ситуация, но, впрочем, допустимая для тестового домена. А нам такое положение дел послужит неплохой иллюстрацией того, что WHOIS – это лишь интерфейс к некоторым базам данных, и ответы этого сервиса не обязательно строго определяют реальное положение дел в DNS.

Существуют специальные сервисы, позволяющие просмотреть историю изменений информации WHOIS заданного домена. Для российских доменов (RU, SU, РФ) можно рекомендовать удобный сервис, доступный по адресу who.ru.

Несложно заметить, что в приведенном ответе сервиса WHOIS информация частично продублирована. Почему? Дело в том, что информацию об одном и том же домене можно взять из нескольких источников. В нашем случае информацию о test.ru возможно получить из базы данных WHOIS регистратора RU-CENTER и из базы данных WHOIS технического центра домена RU (ТЦИ – технический центр интернет). Сервис, обрабатывающий запросы о доменах на сайте RU-CENTER, просто вернул информацию из обоих источников. Кстати, информация о домене у регистратора и у технического центра вполне может различаться, что мы и видим в нашем примере. Возникает вопрос – кому верить? На практике больший вес имеют данные, полученные от реестра домена верхнего уровня (в нашем случае ТЦИ), но для сведения можно использовать все доступные данные. Ну а главный вывод совпадает с цитатой из известного советского сериала: «верить нельзя никому», в том смысле что нельзя верить до конца никакому WHOIS. Установление действительного администратора домена – задача иногда очень непростая, требующая опыта и умелого использования специальных технических и административных средств.

Мы не будем сейчас подробно разбирать все возможные поля в ответе WHOIS-сервиса, тем более что они могут изменяться, ограничимся лишь примерной таблицей, описывающей их в краткой форме.