Cybersecurity and privacy risk assessment of point-of-care systems in healthcare: A use case approach

Domain Name System (DNS, pol. system nazw domen) – hierarchiczny rozproszony system nazw sieciowych, który odpowiada na zapytania o nazwy domen[1].

Dzięki DNS nazwa mnemoniczna, np. pl.wikipedia.org jest tłumaczona na odpowiadający jej adres IP, czyli 91.198.174.192.

DNS to złożony system komputerowy oraz prawny. Zapewnia z jednej strony rejestrację nazw domen internetowych i ich powiązanie z adresami IP. Z drugiej strony realizuje bieżącą obsługę komputerów odnajdujących adresy IP odpowiadające poszczególnym nazwom. Jest nieodzowny do działania prawie wszystkich usług sieci Internet[2].

Nazwy domen

Rozproszona baza danych DNS jest indeksowana nazwami domen, tworzącymi drzewiastą strukturę hierarchiczną. Węzły drzewa DNS posiadają etykiety tekstowe o długości od 1 do 63 znaków: pusta etykieta o zerowej długości zarezerwowana jest dla węzła głównego. Etykiety węzłów oddzielone kropkami czytane w kierunku od węzła do korzenia drzewa tworzą pełną nazwę domenową[3] (np. „pl.wikipedia.org.”[4]).

Domena jest poddrzewem hierarchii nazw, obejmującym zbiór domen (subdomen) o wspólnym sufiksie, nazwanym tak jak węzeł na szczycie (np. domena funkcjonalna com.pl grupująca nazwy zakończone .com.pl). Nazwy „hostów” są nazwami domen, do których przypisana jest informacja o konkretnych urządzeniach i zazwyczaj występują w liściach drzewa DNS (czyli nie mają swoich poddomen), ale ogólnie jedna nazwa może opisywać zarówno hosta (np. główny serwer WWW organizacji), jak i całą domenę[3].

Przykładowo, wewnątrz domeny najwyższego poziomu .pl utworzono wiele domen:

  • regionalnych jak „opole.pl”, „dzierzoniow.pl” czy „warmia.pl”,
  • funkcjonalnych jak „com.pl”, „gov.pl” czy „org.pl”,
  • należących do firm, organizacji lub osób prywatnych jak „wikipedia.pl”, „zus.pl”.

Dozwolone znaki

Nazwy domen mogą zawierać litery, cyfry i znak „-”. W nazwach niektórych domen można używać znaków narodowych (IDN) takich jak „ą” czy „ż”. Trwają prace nad nowymi standardami odpowiadającymi DNS, które będą obsługiwać kodowanie Unicode, co pozwoli na umieszczanie w nazwach domen dowolnych znaków np. polskich albo chińskich równocześnie. W Polsce domeny zawierające znaki diakrytyzowane praktycznie nie występują[5].

Administracja DNS

DNS, jako system organizacyjny, składa się z dwóch instytucji – IANA i ICANN. Nadzorują one ogólne zasady przyznawania nazw domen i adresów IP. Nie zajmują się jednak one przydzielaniem domen poszczególnym chętnym, jedynie rozdzielają domeny najwyższego poziomu (takie jak „.pl”, „.gov”, „.com”, „.eu”) pomiędzy kraje lub wybrane organizacje i przekazują im prawa do zarządzania tymi domenami. Te mogą dalej przekazywać nadzór nad całością bądź częścią swoich domen, i tak Rząd Polski przekazuje nadzór nad domeną .pl Naukowej i Akademickiej Sieci Komputerowej, która rozdziela poddomeny w obrębie domeny .pl pomiędzy zainteresowanych. Ci z kolei mogą rozdzielać te domeny pomiędzy poszczególne komputery lub dalej swoim klientom.

W wielu krajach domena internetowa przyznana przez system DNS staje się własnością tego, kto pierwszy ją kupi. W Polsce jest ona tylko wynajmowana na określony czas. Jeżeli ktoś zrezygnuje ze swojej domeny i zwróci ją administratorowi DNS, może ona trafić w inne ręce.

Instytucje administrujące DNS na świecie:

  • ICANN-IANA – nadzór ogólny nad nazewnictwem i strukturą domen najwyższego poziomu (TLDang. Top Level Domains), np.: .pl, .gov, .com
  • VeriSign Global Registry Services – rejestracja i nadzór nad domenami: .net, .com
  • Public Interest Registry – rejestracja i nadzór nad domeną .org
  • Rząd USA – rejestracja i nadzór nad domenami .mil i .gov
  • NeuLevel – rejestracja i nadzór nad domeną .biz
  • IEEE – rejestracja i nadzór nad domeną .aero
  • Afilias Limited – rejestracja i nadzór nad domeną .info
  • Global Name Registry – rejestracja i nadzór nad domeną .name
  • EurID – rejestracja i nadzór nad domeną .eu
  • rządy poszczególnych krajów: rejestracja i nadzór nad domenami „krajowymi”, np. .pl (zwykle rządy poszczególnych krajów przekazują ten nadzór wyspecjalizowanym instytucjom)

Instytucje administrujące DNS w Polsce:

  • NASK – nadzór nad domeną .pl jako całością oraz obsługa rejestrowania domen: .gov.pl (od 1 lipca 2013)[6], com.pl, .biz.pl, .org.pl, .net.pl oraz części domen lokalnych, np. .waw.pl.

Techniczna strona DNS

Ogólny zarys

Podstawą technicznego systemu DNS jest ogólnoświatowa sieć serwerów przechowujących informacje na temat adresów domen. Każdy wpis zawiera nazwę oraz odpowiadającą jej wartość, najczęściej adres IP. System DNS jest podstawą dla rozwiązywania nazw hostów w Internecie.

DNS to również protokół komunikacyjny opisujący sposób łączenia się klientów z serwerami DNS. Częścią specyfikacji protokołu jest również zestaw zaleceń, jak aktualizować wpisy w bazach domen internetowych. Na świecie jest wiele serwerów DNS, które odpowiadają za obsługę poszczególnych domen internetowych. Domeny mają strukturę drzewiastą, na szczycie znajduje się 13 głównych serwerów (root servers) obsługujących domeny najwyższego poziomu (TLDtop level domains), których listę z ich adresami IP można pobrać z ftp://ftp.rs.internic.net/domain/named.root

Serwery najwyższego poziomu z reguły posiadają tylko odwołania do odpowiednich serwerów DNS odpowiedzialnych za domeny niższego rzędu, np. serwery główne (obsługujące między innymi TLD.com) wiedzą, które serwery DNS odpowiedzialne są za domenę example.com. Serwery DNS zwracają nazwę serwerów odpowiedzialnych za domeny niższego rzędu. Możliwa jest sytuacja, że serwer główny odpowiada, że dane o domenie example.com posiada serwer dns.example.com. W celu uniknięcia zapętlenia w takiej sytuacji serwer główny do odpowiedzi dołącza specjalny rekord (tak zwany glue record) zawierający także adres IP serwera niższego rzędu (w tym przypadku dns.example.com).

Najważniejsze cechy

System DNS posiada następujące cechy:

  • Nie ma jednej centralnej bazy danych adresów IP i nazw. Najważniejszych jest 13 głównych serwerów (klastrów) rozmieszczonych na wielu kontynentach[7].
  • Serwery DNS przechowują dane tylko wybranych domen.
  • Każda domena powinna mieć co najmniej 2 serwery DNS obsługujące ją, jeśli więc nawet któryś z nich będzie nieczynny, to drugi może przejąć jego zadanie[8].
  • Każda domena posiada jeden główny dla niej serwer DNS (tzw. master), na którym to wprowadza się konfigurację tej domeny, wszystkie inne serwery obsługujące tę domenę są typu slave i dane dotyczące tej domeny pobierają automatycznie z jej serwera głównego po każdej zmianie zawartości domeny.
  • Serwery DNS mogą przechowywać przez pewien czas odpowiedzi z innych serwerów (ang. caching), a więc proces zamiany nazw na adresy IP jest często krótszy niż w podanym przykładzie.
  • Na dany adres IP może wskazywać wiele różnych nazw. Na przykład na adres IP 207.142.131.245 mogą wskazywać nazwy pl.wikipedia.org oraz de.wikipedia.org
  • Czasami pod jedną nazwą może kryć się więcej niż 1 adres IP po to, aby jeśli jeden z nich zawiedzie, inny mógł spełnić jego rolę.
  • Przy zmianie adresu IP komputera pełniącego funkcję serwera WWW nie ma konieczności zmiany adresu internetowego strony, a jedynie poprawy wpisu w serwerze DNS obsługującym domenę.
  • Protokół DNS posługuje się do komunikacji serwer-klient głównie protokołem UDP, serwer pracuje na porcie numer 53, przesyłanie domeny pomiędzy serwerami master i slave odbywa się protokołem TCP na porcie 53.

RFC

Podstawy protokołu DNS zostały opisane w 1982 roku w dokumencie RFC 819 ↓ przez Jona Postela i Zaw-Sing Su. Dokumenty z 1983 r. – RFC 882 ↓ i RFC 883 ↓ były oficjalną specyfikacją DNS aż do roku 1989. Nowa, aktualna specyfikacja DNS jest zawarta w RFC 1034 ↓ i RFC 1035 ↓. W 1996 wydano jeszcze RFC 1918 ↓, które wprowadziło zasady „Internet Best Current Practices” oraz dodało do specyfikacji pulę adresów IP przeznaczoną na tzw. prywatne podsieci.

Główne serwery DNS

DNS opiera się na 13 głównych serwerach, zwanych po angielsku root-servers, posiadającymi nazwy od a.root-servers.net do m.root-servers.net. Nie może być ich więcej, ograniczenie wynika z tego, że pojedynczy pakiet UDP o standardowej wielkości 1500 bajtów mieści właśnie informacje o maksymalnie 13 serwerach. Ponieważ główne serwery DNS są podstawą działania Internetu i otrzymują ogromne ilości zapytań, zostały one skopiowane. Kopie głównych serwerów umieszczone są w różnych częściach świata (posiadają one te same adresy IP co serwery główne). Użytkownicy z reguły łączą się z najbliższym im serwerem. Przykładowo globalne węzły serwera k.root-servers.net zarządzanego przez organizację RIPE NCC umieszczone są w Amsterdamie, Londynie, Tokio, Delhi oraz Miami, podczas gdy jeden z jego polskich węzłów lokalnych znajduje się w Poznańskim Centrum Superkomputerowo-Sieciowym[9], a drugi w centrum przetwarzania danych Aplitt sp. z o.o. w Gdyni[10].

Rodzaje zapytań DNS

  • rekurencyjne
zmusza serwer do znalezienia wymaganej informacji lub zwrócenia wiadomości o błędzie. Ogólną zasadą jest, że zapytania od resolwera (program, który potrafi wysyłać zapytania do serwerów DNS) do serwera są typu rekurencyjnego, czyli resolwer oczekuje podania przez serwer adresu IP poszukiwanego hosta. Wykonywanie zapytań rekurencyjnych pozwala wszystkim uczestniczącym serwerom zapamiętać odwzorowanie (ang. DNS caching), co podnosi efektywność systemu.
  • iteracyjne
wymaga od serwera jedynie podania najlepszej dostępnej mu w danej chwili odpowiedzi, przy czym nie musi on łączyć się jeszcze z innymi serwerami. Zapytania wysyłane pomiędzy serwerami są iteracyjne, przykładowo wiarygodny serwer domeny org nie musi znać adresu IP komputera www.pl.wikipedia.org, podaje więc najlepszą znaną mu w tej chwili odpowiedź, czyli adresy serwerów autorytatywnych dla domeny wikipedia.org

Odpowiedzi na zapytania

  • autorytatywne – dotyczące domeny w strefie, nad którą dany serwer ma zarząd, pochodzą one bezpośrednio z bazy danych serwera; jest to pozytywna odpowiedź zwracana do klienta, która w komunikacie DNS zawiera ustawiony bit uwierzytelniania (AAAuthoritative Answer) wskazujący, że odpowiedź została uzyskana z serwera dokonującego bezpośredniego uwierzytelnienia poszukiwanej nazwy
  • nieautorytatywne – dane, które zwraca serwer, pochodzą spoza zarządzanej przez niego strefy; odpowiedzi nieautorytatywne są buforowane poprzez serwer przez czas TTL wyrażony w sekundach, wyspecyfikowany w odpowiedzi, a następnie po upływie czasu są usuwane.

Protokół DNS

Zapytania i odpowiedzi DNS są najczęściej transportowane w pakietach UDP. Każdy komunikat musi się zawrzeć w jednym pakiecie UDP (standardowo 512 oktetów, ale wielkość tę można zmieniać, pamiętając również o ustawieniu takiej samej wielkości w MTUMaximum Transmission Unit). W innym przypadku przesyłany jest protokołem TCP i poprzedzony dwubajtową wartością określającą długość zapytania i długość odpowiedzi (bez wliczania tych dwóch bajtów). Format komunikatu DNS został zdefiniowany w RFC 1035 ↓.

Format komunikatu DNS:

NAGŁÓWEK – (Header)
ZAPYTANIE – (Question) do serwera nazw
ODPOWIEDŹ – (Answer) zawiera rekordy będące odpowiedzią
ZWIERZCHNOŚĆ – (Authority) wskazuje serwery zwierzchnie dla domeny
DODATKOWA – (Additional) sekcja informacji dodatkowych

Forma nagłówka, który określa rolę całego komunikatu:

Sekcja nagłówka występuje zawsze. W sekcji zapytania zawsze znajduje się jedno zapytanie zawierające nazwę domenową, żądany typ danych i klasę (IN). Sekcja odpowiedzi zawiera rekordy zasobów stanowiące odpowiedź na pytanie.

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
ID
QR OPCODE AA TC RD RA Z RCODE
QDCOUNT
ANCOUNT
NSCOUNT
ARCOUNT
  • ID [16 bitów] – (IDentifier) – identyfikator tworzony przez program wysyłający zapytanie; serwer przepisuje ten identyfikator do swojej odpowiedzi, dzięki czemu możliwe jest jednoznaczne powiązanie zapytania i odpowiedzi
  • QR [1 bit] – (Query or Response) – określa, czy komunikat jest zapytaniem (0) czy odpowiedzią (1)
  • OPCODE [4 bity] – określa rodzaj zapytania wysyłanego od klienta, jest przypisywany przez serwer do odpowiedzi. Wartości:
    • 0 – QUERY – standardowe zapytanie,
    • 1 – IQUERY – zapytanie zwrotne,
    • 2 – STATUS – pytanie o stan serwera,
    • 3-15 – zarezerwowane do przyszłego użytku.
  • AA [1 bit] – (Authoritative Answer) – oznacza, że odpowiedź jest autorytatywna.
  • TC [1 bit] – (TrunCation) – oznacza, że odpowiedź nie zmieściła się w jednym pakiecie UDP i została obcięta.
  • RD [1 bit] – (Recursion Desired) – oznacza, że klient żąda rekurencji – pole to jest kopiowane do odpowiedzi
  • RA [1 bit] – (Recursion Available) – bit oznaczający, że serwer obsługuje zapytania rekurencyjne
  • Z [3 bity] – zarezerwowane do przyszłego wykorzystania. Pole powinno być wyzerowane.
  • RCODE [4 bity] – (Response CODE) kod odpowiedzi. Przyjmuje wartości:
    • 0 – brak błędu,
    • 1 – błąd formatu – serwer nie potrafił zinterpretować zapytania,
    • 2 – błąd serwera – wewnętrzny błąd serwera,
    • 3 – błąd nazwy – nazwa domenowa podana w zapytaniu nie istnieje,
    • 4 – nie zaimplementowano – serwer nie obsługuje typu otrzymanego zapytania,
    • 5 – odrzucono – serwer odmawia wykonania określonej operacji, np. transferu strefy,
    • 6-15 – zarezerwowane do przyszłego użytku.
  • QDCOUNT [16 bitów] – określa liczbę wpisów w sekcji zapytania
  • ANCOUNT [16 bitów] – określa liczbę rekordów zasobów w sekcji odpowiedzi
  • NSCOUNT [16 bitów] – określa liczbę rekordów serwera w sekcji zwierzchności
  • ARCOUNT [16 bitów] – określa liczbę rekordów zasobów w sekcji dodatkowej

Przykład działania systemu DNS

Oto przykład działania systemu DNS. Użytkownik komputera wpisuje w swojej przeglądarce stron WWW adres internetowy pl.wikipedia.org. Przeglądarka musi poznać adres IP komputera będącego serwerem WWW dla tej strony. Cały proces przebiega zgodnie z tabelą.

Pobieranie adresu DNS
Wysyła Odbiera Komunikat Uwagi
Przeglądarka Serwer DNS providera (194.204.152.34) Czy znasz adres IP komputera pl.wikipedia.org? Przeglądarka wysyła pakiet UDP z pytaniem do serwera DNS zdefiniowanego w konfiguracji systemu operacyjnego – najczęściej jest to serwer DNS dostawcy usług internetowych (dla Orange jest to np. 194.204.152.34).
Serwer DNS providera (194.204.152.34) Główny serwer DNS (198.41.0.4) Czy znasz adres IP komputera pl.wikipedia.org? Serwer DNS providera (194.204.152.34) wysyła zapytanie do jednego z 13 serwerów głównych (np. tego o adresie IP 198.41.0.4).
Główny serwer DNS (198.41.0.4) Serwer DNS providera (194.204.152.34) Nie znam, ale dla domeny org serwerami są 204.74.112.1 i 204.74.113.1. Zapytany serwer główny (198.41.0.4) odpowiada na zapytanie serwera providera.
Serwer DNS providera (194.204.152.34) Serwer DNS domeny „org” (204.74.112.1) Czy znasz adres IP komputera pl.wikipedia.org? Serwer DNS wysyła do jednego z tych 2 serwerów (np. tego o adresie IP 204.74.112.1) zapytanie.
Serwer DNS domeny „org” (204.74.112.1) Serwer DNS providera (194.204.152.34) Nie znam, ale dla domeny wikipedia.org serwerami są 216.21.226.87 i 216.21.234.87. Serwer domeny „org” odpowiada.
Serwer DNS providera (194.204.152.34) Serwer domeny „wikipedia.org” (216.21.226.87) Czy znasz adres IP komputera pl.wikipedia.org? Serwer DNS wysyła do jednego z tych 2 serwerów, np. tego o adresie IP 216.21.226.87 zapytanie.
Serwer DNS domeny „wikipedia.org” (216.21.226.87) Serwer DNS providera (194.204.152.34) pl.wikipedia.org ma adres IP 207.142.131.245. Serwer domeny „wikipedia.org” (216.21.226.87) odpowiada.
Serwer DNS providera (194.204.152.34) Przeglądarka pl.wikipedia.org ma adres IP 207.142.131.245. Serwer DNS Orange (194.204.152.34) odpowiada przeglądarce.
Przeglądarka Serwer „pl.wikipedia.org” (207.142.131.245) Transakcja pobrania strony WWW. Przeglądarka łączy się z serwerem „pl.wikipedia.org” (o adresie IP 207.142.131.245) i wyświetla otrzymaną stronę.

Typy rekordów DNS

Najważniejsze typy rekordów DNS oraz ich znaczenie:

  • rekord A lub rekord adresu IPv4 (ang. address record) mapuje nazwę domeny DNS na jej 32-bitowy adres IPv4.
  • rekord AAAA lub rekord adresu IPv6 (ang. IPv6 address record) mapuje nazwę domeny DNS na jej 128-bitowy adres IPv6.
  • rekord CNAME lub rekord nazwy kanonicznej (ang. canonical name record) ustanawia alias nazwy domeny. Wszystkie wpisy DNS oraz subdomeny są poprawne także dla aliasu.
  • rekord MX lub rekord wymiany poczty (ang. mail exchange record) mapuje nazwę domeny DNS na nazwę serwera poczty oraz jego priorytet, który określa kolejność wraz ze wzrostem wartości.
  • rekord PTR lub rekord wskaźnika (ang. pointer record) mapuje adres IPv4 lub IPv6 na nazwę kanoniczną hosta. Określenie rekordu PTR dla nazwy hosta (ang. hostname) w domenie in-addr.arpa (IPv4), bądź ip6.arpa (IPv6), który odpowiada adresowi IP, pozwala na implementację odwrotnej translacji adresów DNS (ang. reverse DNS lookup, revDNS).
  • rekord NS lub rekord serwera nazw (ang. name server record) mapuje nazwę domenową na listę serwerów DNS dla tej domeny.
  • rekord SOA lub rekord adresu startowego uwierzytelnienia (ang. start of authority record) ustala serwer DNS dostarczający autorytatywne informacje o domenie internetowej, łącznie z jej parametrami (np. TTL).
  • rekord SRV lub rekord usługi (ang. service record) pozwala na zawarcie dodatkowych informacji dotyczących lokalizacji danej usługi, którą udostępnia serwer wskazywany przez adres DNS.
  • rekord TXT – rekord ten pozwala dołączyć dowolny tekst do rekordu DNS. Rekord ten może być użyty np. do implementacji specyfikacji Sender Policy Framework (SPF) lub do weryfikacji własności domeny przykładowo w usługach firmy Google.

Inne typy rekordów dostarczają informacje o położeniu hosta (np. rekord LOC) lub o danych eksperymentalnych.

Narzędzia

W systemach operacyjnych zapytania do DNS zwykle są wykonywane w sposób niewidoczny dla użytkownika przez dedykowany podsystem (ang. resolver). Do bezpośredniego odpytywania DNS np. w celach diagnostycznych, można się posłużyć programami nslookup, host(inne języki) lub dig(inne języki) dostępnymi w wielu systemach operacyjnych.

Konfiguracja

Zwykle dane o konfiguracji protokołu DNS w domowym komputerze przekazywane są przez dostawcę Internetu (ISP). Większość operatorów udostępnia w swojej sieci protokół DHCP. Dzięki niemu komputer może automatycznie pobrać konfigurację sieciową sugerowaną przez operatora, w tym adresy serwerów DNS. Adresy te z reguły – ale nie zawsze[11] – wskazują na serwery dobrane relatywnie dogodnie dla użytkowników. Kiedy system automatycznego pobierania adresów serwera DNS nie działa, można je wprowadzić ręcznie. W systemach typu uniksowego służy do tego /etc/resolv.conf, który zawiera listę serwerów DNS.

Jeżeli użytkownik chce w swojej sieci lokalnej uruchomić własny serwer DNS, może posłużyć się programem BIND. Jednak jest on dosyć skomplikowany w użytkowaniu.

Bezpieczeństwo

Należy zdać sobie sprawę, że system DNS został zaprojektowany wiele lat temu przez naukowców. Nie przewidzieli oni „trafienia internetu pod strzechy” i istnienia światowej sieci używanej do prowadzenia poważnych operacji. W Internecie pojawiła się grupa osób wykorzystująca luki w systemie DNS do łamania prawa[12].

Podstawową wadą DNS jest to, iż korzysta on z bezpołączeniowego protokołu UDP i nie zawiera żadnych mechanizmów autoryzujących[13]. Pierwsza cecha może być używana w atakach DDoS – komputer atakujący może wysyłać zapytania DNS do różnych serwerów na świecie ze sfałszowanym adresem źródłowym, przedstawiając się jako komputer ofiara. Serwery te odpowiadają na zapytania, wysyłając odpowiedzi do komputera ofiary, bo tak wskazuje adres źródłowy pakietu. Konstrukcja protokołu DNS powoduje, że jedno małe zapytanie mieszczące się w pakiecie o wielkości poniżej 100 bajtów, może wygenerować odpowiedź o wielkości ponad dziesięciokrotnie większej. Atakujący komputer wysyłając strumień 1 Mbps takich zapytań może spowodować ponad 10 Mbps odpowiedzi przychodzących do komputera ofiary, zakłócając w ten sposób pracę jego łącza.

DNS łatwo też poddaje się atakom typu man in the middle, co pozwala na przysyłanie fałszywych odpowiedzi do komputera ofiary, zmuszając go do połączenia się z innym serwerem, co pozwala na przykład na kradzież haseł. Istnieje wiele innych możliwości ataków na infrastrukturę DNS, łącznie nawet z uruchamianiem fałszywych serwerów głównych[14]. O słabościach protokołu DNS zdano sobie sprawę wcześnie[15] i stworzono jego rozszerzenie oparte na podpisach cyfrowych nazwane DNSSEC, jednakże system ten nie został całkowicie zaakceptowany przez Internet, nie jest wspierany przez wiele narzędzi, w związku z czym w internecie praktycznie nie jest używany[16].

Zobacz też

Przypisy

  1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii CELEX: 32016L1148
  2. Paul Albirz, Cricket Liu: DNS i BIND. Warszawa: Wydawnictwo RM, 1999, s. 9. ISBN 83-87216-88-7.
  3. a b Paul Albirz, Cricket Liu: DNS i BIND. Warszawa: Wydawnictwo RM, 1999, s. 11–16. ISBN 83-87216-88-7.
  4. Pusty ciąg za kropką to „nazwa” domeny głównej, obejmującej całą przestrzeń nazw DNS; końcową kropkę najczęściej się pomija.
  5. Nazwy domen z polskimi znakami diakrytycznymi (IDN) [online], 24 marca 2023 [dostęp 2023-08-01] (pol.).
  6. Rafał Galiński: Domeny gov.pl w NASK. 2013-06-18. [dostęp 2013-07-02]. (pol.).
  7. Why Are There Only 13 DNS Root Name Servers?, „Lifewire” [dostęp 2018-02-23] (ang.).
  8. Co to są serwery DNS? Jak działają? [online], Jak Wybrać Hosting? [dostęp 2023-02-22] (pol.).
  9. K-root Homepage. (ang.).
  10. Created: 16 Feb 2018-Last updated: 12 Mar 2018, K-root [online], RIPE Network Coordination Centre [dostęp 2019-07-22].
  11. Bernhard Ager i inni, Comparing DNS Resolvers in the Wild, „Proceedings of the 10th ACM SIGCOMM Conference on Internet Measurement”, IMC '10, New York, NY, USA: ACM, 2010, s. 15–21, DOI10.1145/1879141.1879144, ISBN 978-1-4503-0483-2 [dostęp 2019-03-25].
  12. Why securing the DNS layer is crucial to fight cyber crime [online], ComputerWeekly.com [dostęp 2021-07-22] (ang.).
  13. Why does DNS use UDP and not TCP? [online], GeeksforGeeks, 11 lipca 2015 [dostęp 2021-07-22] (ang.).
  14. Man-in-the-Middle (MITM) Attacks: Techniques and Prevention [online], Rapid7 [dostęp 2021-07-22] (ang.).
  15. Co to jest DNSSEC? » Pomoc | home.pl [online], Pomoc | home.pl [dostęp 2021-07-22] (pol.).
  16. Why isn't everyone using DNSSEC? [online], APNIC Blog, 28 czerwca 2017 [dostęp 2021-07-22] (ang.).

Linki zewnętrzne