DNS

DNS (जिसे डोमेन नेम सिस्टम भी कहा जाता है) इंटरनेट की वितरित, पदानुक्रमिक नामकरण प्रणाली है जो मानव-पठनीय डोमेन नामों — जैसे example.com — को उन IP पतों में अनुवादित करती है जिनका उपयोग नेटवर्किंग उपकरण इंटरनेट पर पैकेट रूट करने के लिए करते हैं। DNS के बिना, प्रत्येक उपयोगकर्ता को उन हर साइट का संख्यात्मक पता याद रखना होता जिसे वे देखना चाहते हैं। RFC 1034 और RFC 1035 (IETF द्वारा 1987 में प्रकाशित और आज भी मौलिक) में परिभाषित, DNS इंटरनेट के मुख्य प्रोटोकॉल में से एक बना हुआ है।

DNS क्या करता है

DNS नेम रिज़ॉल्यूशन करता है: दिए गए डोमेन नाम पर, यह उस नाम से जुड़े रिसोर्स रिकॉर्ड लौटाता है — सबसे आम रूप से एक IP पता ताकि ब्राउज़र या अनुप्रयोग जान सके कि अपना कनेक्शन अनुरोध कहाँ भेजना है। इस प्रणाली का उपयोग ईमेल रूट करने (MX रिकॉर्ड), डोमेन स्वामित्व सत्यापित करने (TXT रिकॉर्ड), और किसी विशेष सर्वर के सेट को ज़ोन पर प्राधिकरण सौंपने (NS रिकॉर्ड) के लिए भी किया जाता है।

चूँकि DNS अपडेट होने की तुलना में बहुत अधिक बार पढ़ा जाता है, इसलिए प्रोटोकॉल तत्काल सुसंगति के बजाय दुनिया भर के लाखों सर्वरों में वितरित तेज़, कैश्ड रीड के लिए अनुकूलित है।

DNS लुकअप कैसे काम करता है

जब आप ब्राउज़र में example.com टाइप करते हैं, तो एक बहु-चरणीय रिज़ॉल्यूशन प्रक्रिया शुरू होती है:

स्थानीय कैश जाँच। ऑपरेटिंग सिस्टम पहले अपना DNS कैश जाँचता है। यदि कोई हालिया, अभी-भी-वैध उत्तर वहाँ संग्रहीत है, तो लुकअप तुरंत समाप्त हो जाता है।
रिकर्सिव रिज़ॉल्वर। यदि कोई कैश्ड उत्तर नहीं है, तो क्वेरी एक DNS रिज़ॉल्वर को अग्रेषित की जाती है — आपके ISP, किसी कंपनी (जैसे Cloudflare का 1.1.1.1 या Google का 8.8.8.8), या आपके संगठन द्वारा संचालित सर्वर। यह रिज़ॉल्वर आपकी ओर से उत्तर खोजने का काम करता है; इस ऑपरेशन के इस मोड को रिकर्सिव रिज़ॉल्यूशन कहा जाता है।
रूट नेमसर्वर। यदि रिज़ॉल्वर के पास कोई कैश्ड उत्तर नहीं है, तो वह 13 तार्किक रूट ज़ोन नेमसर्वर क्लस्टर में से एक से संपर्क करता है (जिन्हें a से m तक अक्षरांकित किया गया है)। रूट सर्वर अंतिम उत्तर नहीं जानता, लेकिन प्रासंगिक टॉप-लेवल डोमेन (TLD), जैसे .com या .org, के लिए जिम्मेदार नेमसर्वरों के रेफरल के साथ प्रतिक्रिया करता है। IANA रूट ज़ोन डेटाबेस प्रकाशित और रखरखाव करता है।
TLD नेमसर्वर। रिज़ॉल्वर TLD नेमसर्वरों को क्वेरी करता है। वे विशिष्ट डोमेन (example.com) के प्राधिकृत नेमसर्वरों के रेफरल के साथ प्रतिक्रिया करते हैं।
प्राधिकृत नेमसर्वर। रिज़ॉल्वर डोमेन के प्राधिकृत नेमसर्वर को क्वेरी करता है, जो वास्तविक DNS रिकॉर्ड रखता है। प्राधिकृत सर्वर रिसोर्स रिकॉर्ड लौटाता है — उदाहरण के लिए, IPv4 पता युक्त एक A रिकॉर्ड।
प्रतिक्रिया और कैशिंग। रिज़ॉल्वर क्लाइंट को उत्तर लौटाता है और इसे रिकॉर्ड के TTL (Time to Live) द्वारा निर्दिष्ट अवधि के लिए कैश करता है। TTL विंडो के भीतर उसी नाम के लिए बाद की क्वेरी कैश से दी जाती हैं, जिससे विलंबता और अपस्ट्रीम सर्वर पर लोड कम होता है।

यह पैटर्न — जहाँ रिज़ॉल्वर पुनरावृत्त कार्य करता है और क्लाइंट केवल एक सर्वर से बात करता है — रिकर्सिव रिज़ॉल्यूशन कहलाता है। इसके विपरीत, पुनरावृत्त रिज़ॉल्यूशन वह है जब क्लाइंट स्वयं पदानुक्रम के प्रत्येक स्तर को क्रम में क्वेरी करता है; यह व्यवहार में दुर्लभ है लेकिन रिज़ॉल्वर आंतरिक रूप से पदानुक्रम को कैसे पार करते हैं (RFC 1034 §5.3)।

DNS पदानुक्रम और मुख्य रिकॉर्ड प्रकार

DNS एक उलटे पेड़ के रूप में व्यवस्थित है। रूट (.) शीर्ष पर है; इसके नीचे TLD (.com, .net, .io, देश कोड जैसे .de) हैं; प्रत्येक TLD के नीचे सेकंड-लेवल डोमेन (example.com) हैं; और इनके मनमाने गहरे सबडोमेन हो सकते हैं (mail.example.com)।

इस पेड़ में प्रत्येक नोड को ज़ोन कहा जाता है, और एक ज़ोन का प्राधिकृत नेमसर्वर उस ज़ोन के रिसोर्स रिकॉर्ड रखता है। सबसे अधिक सामना किए जाने वाले DNS रिकॉर्ड प्रकार हैं:

रिकॉर्ड	उद्देश्य	उदाहरण मान
A	किसी नाम को IPv4 पते से मैप करता है	`93.184.216.34`
AAAA	किसी नाम को IPv6 पते से मैप करता है	`2606:2800:21f:cb07::1`
CNAME	एक नाम को दूसरे कैनोनिकल नाम का उपनाम बनाता है	`www → example.com`
MX	प्राथमिकता के साथ डोमेन के मेल सर्वर निर्दिष्ट करता है	`10 mail.example.com`
NS	किसी ज़ोन को नेमसर्वर के एक सेट को सौंपता है	`ns1.example.com`
TXT	मनमाना टेक्स्ट संग्रहीत करता है; SPF, DKIM, डोमेन सत्यापन के लिए उपयोग किया जाता है	`"v=spf1 include:…"`
SOA	Start of Authority — ज़ोन के बारे में मेटाडेटा	serial, refresh, retry timings

CNAME रिकॉर्ड को ज़ोन एपेक्स (बेयर डोमेन example.com) पर नहीं रखा जा सकता क्योंकि CNAME किसी नाम पर एकमात्र रिकॉर्ड होना चाहिए, लेकिन एपेक्स को NS और SOA रिकॉर्ड की भी आवश्यकता होती है। कई DNS प्रदाता मालिकाना "CNAME फ्लैटनिंग" या ALIAS/ANAME छद्म-रिकॉर्ड प्रकारों के साथ इस समस्या का समाधान करते हैं।

DNS कौन चलाता है

DNS शासन और संचालन कई स्तरों के कार्यकर्ताओं में वितरित है:

ICANN / IANA। Internet Corporation for Assigned Names and Numbers रूट ज़ोन की निगरानी करता है और वैश्विक DNS नेमस्पेस का समन्वय करता है। IANA, ICANN का एक कार्य, रूट ज़ोन डेटाबेस रखरखाव करता है जो सभी TLD और उनके प्राधिकृत नेमसर्वर सूचीबद्ध करता है।
रजिस्ट्रियाँ। एक रजिस्ट्री किसी विशिष्ट TLD के लिए प्राधिकृत डेटाबेस संचालित करती है। उदाहरण के लिए, Verisign .com और .net संचालित करता है; Public Interest Registry .org संचालित करती है। रजिस्ट्रियाँ NS रिकॉर्ड प्रकाशित और रखरखाव करती हैं जो प्रत्येक डोमेन के नेमसर्वर की ओर संकेत करते हैं।
रजिस्ट्रार। एक रजिस्ट्रार एक ऐसा संगठन है जो ICANN (या संबंधित रजिस्ट्री) द्वारा जनता को डोमेन नाम बेचने और ग्राहकों की ओर से रजिस्ट्री को पंजीकरण डेटा सबमिट करने के लिए मान्यता प्राप्त है।
रिकर्सिव रिज़ॉल्वर। DNS रिज़ॉल्वर ISP, सार्वजनिक DNS सेवाओं (Cloudflare, Google, Quad9), उद्यमों और होम राउटर द्वारा संचालित होते हैं। वे ऊपर वर्णित पुनरावृत्त लुकअप संभालते हैं और क्वेरी विलंबता कम करने के लिए परिणाम कैश करते हैं (Cloudflare Learning — What is DNS?)।
प्राधिकृत नेमसर्वर। डोमेन स्वामियों या उनके DNS प्रदाताओं द्वारा होस्ट किए गए, ये सर्वर वास्तविक ज़ोन फाइलें रखते हैं और रिज़ॉल्वर क्वेरी का निश्चित उत्तर देते हैं।

सुरक्षा

मूल DNS विनिर्देश सुरक्षा के लिए नहीं, विश्वसनीयता और पैमाने के लिए डिज़ाइन किए गए थे। समय के साथ कई कमजोरियाँ और सुरक्षात्मक तंत्र उभरे हैं:

कैश पॉइज़निंग। एक हमलावर जो रिज़ॉल्वर के कैश में एक जाली DNS प्रतिक्रिया इंजेक्ट कर सकता है, वह उपयोगकर्ताओं को उनकी जानकारी के बिना वैध साइटों से दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित कर सकता है। Kaminsky अटैक (2008) ने इसे बड़े पैमाने पर प्रदर्शित किया, जिससे पोर्ट रैंडमाइज़ेशन और DNSSEC के व्यापक अपनाने की ओर ले गया।

DNSSEC। DNS Security Extensions, RFC 4033–4035 में परिभाषित, DNS रिकॉर्ड में क्रिप्टोग्राफिक हस्ताक्षर जोड़ता है। एक रिज़ॉल्वर जो DNSSEC हस्ताक्षर सत्यापित करता है, वह छेड़छाड़ की गई प्रतिक्रियाओं का पता लगा सकता है। अपनाना बढ़ रहा है लेकिन असमान है: 2024 तक, रूट ज़ोन और प्रमुख TLD का लगभग 90% हस्ताक्षरित है, लेकिन एंड-टू-एंड सत्यापन श्रृंखला में सभी ज़ोन के हस्ताक्षरित होने और रिज़ॉल्वर द्वारा हस्ताक्षर जाँचने पर निर्भर करता है।

DNS हाइजैकिंग। हमलावर जो किसी रजिस्ट्रार खाते, रजिस्ट्री सिस्टम, या किसी ISP के रिज़ॉल्वर से समझौता कर लेते हैं, बड़े पैमाने पर DNS प्रतिक्रियाओं को पुनर्निर्देशित कर सकते हैं। बचाव में रजिस्ट्रार-स्तरीय बहु-कारक प्रमाणीकरण, रजिस्ट्री लॉक (EPP serverTransferProhibited), और अप्रत्याशित NS या A रिकॉर्ड परिवर्तनों की निगरानी शामिल हैं।

DNS over HTTPS / DNS over TLS (DoH / DoT)। ये प्रोटोकॉल क्लाइंट और रिज़ॉल्वर के बीच DNS क्वेरी एन्क्रिप्ट करते हैं, ट्रांजिट में क्वेरी की जासूसी और ऑन-पाथ संशोधन को रोकते हैं — DNSSEC की पूरक सुरक्षा, जो गोपनीयता के बजाय डेटा अखंडता को संबोधित करती है।

DNS और टोकनाइज़्ड डोमेन

कुछ ब्लॉकचेन-आधारित डोमेन सिस्टम (जैसे Ethereum Name Service) पारंपरिक DNS पदानुक्रम से स्वतंत्र, पूरी तरह ऑन-चेन अपने स्वयं के नाम→पता मैपिंग बनाए रखते हैं। अन्य ऑन-चेन टोकन जारी करते हैं जो पारंपरिक रूप से पंजीकृत डोमेन के स्वामित्व का प्रतिनिधित्व करते हैं, जहाँ अंतर्निहित DNS ज़ोन फाइल मानक नेमसर्वर पर होस्ट होती रहती है। बाद के मामले में, DNS रिज़ॉल्यूशन ऊपर वर्णित सामान्य लुकअप प्रवाह के माध्यम से काम करता है; ब्लॉकचेन रिकॉर्ड स्वामित्व की पुष्टि करता है लेकिन रिज़ॉल्यूशन पथ का हिस्सा नहीं है। दोनों प्रणालियाँ — ऑन-चेन स्वामित्व रिकॉर्ड और वैश्विक DNS — अलग परतें हैं जो सह-अस्तित्व में रह सकती हैं या गेटवे रिज़ॉल्वर के माध्यम से जोड़ी जा सकती हैं।

स्रोत: RFC 1034, RFC 1035, IANA Root Zone Database, Cloudflare Learning — What is DNS?, ICANN — What is DNS?

DNS