Domain Name System (בראשי תיבות:DNS, בעברית:מערכת שמות תחום אומערכת שמות מתחם) הואפרוטוקול המאפשר גישה למסד נתונים מבוזר, על מנת שיחידות קצה ברשת האינטרנט יוכלו לתרגםשמות תחום (Domain name) הנוחים יותר לשימוש אנושי טבעי (כתובת האתר) לכתובות הנומריות האמיתיות (כתובות IP) אליהן הן יפנו בזמן ההתקשרות. באמצעות ה-DNS ניתן להציע שירותים מבוססי שם נוספים, כגון רישום של שרתי דואר.
פרוטוקול ה-DNS הומצא על מנת להקל את השימוש של אנשים ברשתות תקשורת. בני אדם זוכרים בקלות שמות, אך לא כתובות מספריות דוגמת כתובות IP. ה-DNS מגשר על הפער הזה על ידי ביצוע המרה בין הכתובת המילולית, אותה זוכר המשתמש, לבין כתובת ה-IP בה למעשה משתמש המחשב על-מנת לתקשר עם היעד.
DNS הוא פרוטוקול המאפשר תרגוםשמות תחום (Domains) לכתובות IP. שירות זה מאפשר למשתמשי האינטרנט האנושיים לפנות לכתובות אינטרנט בקלות, לדוגמה בזמן גלישה בדפדפן האינטרנט אל אתר מסוים, בלי שיידרשו לזכור כתובת מספרית. לרוב, מתארים שירות זה בפשטות כספר טלפונים המתרגם בין שם תחום לבין כתובתו המספרית, אולם שירותי ה־DNS מורכבים יותר, כיוון שמאגר הכתובות מבוזר. ביזור זה ממומש על ידי כך שחלקים קטנים יחסית של מאגר הכתובות העולמי מפוזרים במחשבים רבים, המכונים שרתי DNS, בצורה היררכית. כך ניתן להבטיח כי הגישה אליהם ותגובתם תהיה מהירה.
DNS היא שיטת רישום שמות היררכית. לכל שרת יש רשומות משאבים (resource records) שמאפשרות לו לטפל בבקשות לגבי תחום שמות מסוים. רשומות אלה מחלקות לאזורים (zones) את התחום עליו אחראי השרת. השרת יודע להפנות את הפונים אליו לשרתים האחראיים על אזורים אלו.
תהליך הבירור לגבי שם תחום מסוים נעשה על ידי פנייה לשרת וקבלת הפנייה לשרת אשר ככל הנראה יוכל לספק את התשובה, או לפחות לקרב אותנו לשרת אשר ידע להשיב ובו התהליך יחזור על עצמו. התהליך מסתיים כאשר מתקבלת תשובה מדויקת משרת אשר אחראי לשם התחום המבוקש, או משרת אשר אינו אחראי אבלזיכרון המטמון שלו מכיל את התשובה. תהליך בירור זה הואתהליך איטרטיבי, ומתבצע בעיקר על ידי שרתים ששייכים לספקי אינטרנט. מחשבים אישיים בדרך כלל לא ידעו לבצע אותו, אלא רק לפנות לשרת של ספק האינטרנט על מנת שיבצע אותו עבורם. פנייה כזו נקראת פנייהרקורסיבית.
בראש ההיררכיה האינטרנטית נמצאים שרתים המכונים "רמת השורש" (root servers). שרתים אלה מסוגלים להפנות את המבקש לשרתים הרלוונטיים עבור כל כתובת. השרתים ברמה הבאה אחראיים על שמות תחום מהרמה העליונה (Top level domains), כלומר על כל שמות התחום אשר משתמשים בסיומת אינטרנט מסוימת. למשל, שאילתה לשרת מרמת השורש לגבי www.mywebsite.co.il תופנה לשרת אשר אחראי על כלל שמות התחום הישראליים. שרת זה יוכל להפנות לשרת ברמה השנייה – www.mywebsite.co.il, כלומר השרת שאחראי על כתובות של אתרים מסחריים בישראל. שרת זה יטפל בחלק השלישי של הכתובת – www.mywebsite.co.il ויפנה את הבקשה לשרת המארח(Host) של mywebsite, שיבדוק וימצא שהמשתמש מעוניין בכתובת ה-IP של שרת האינטרנט (www.mywebsite.co.il) ויספק את הכתובת המבוקשת.
פרוטוקול ה-DNS עובר מעל הפרוטוקוליםTCP ו-UDP בפורט 53, כאשר ברוב המקרים ההתקשרות תסתכם בחבילת UDP בודדת אשר תכיל את השאלה וחבילה נוספת אשר תכיל את התשובה.
באופן כללי, במחשבים אישיים פרוטוקול ה-DNS מוסתר מהמשתמש, אשר לא צריך לבקש בקשות בעצמו. כאשר הדפדפן או תוכנת הדואר, לדוגמה, מבקשים לגשת לאתר מסוים או לשלוח דואר לכתובת מסוימת, הם ייגשו לשירות שמספקתמערכת ההפעלה, ויבקשו ממנו שיברר עבורם מהי כתובת ה-IP אשר שייכת לשם התחום המבוקש. שירות זה בדרך כלל ינהל זיכרון מטמון משל עצמו, ובמקרה שהכתובת הרצויה לא תימצא במטמון זה, הוא ישלח בקשה מתאימה לשרת ה-DNS שמוגדר לו.
לכל תשובה שמספק שרת מסוים מוצמד ערך זמן חיים (TTL – Time To Live). ערך זה קובע כמה זמן מותר למבקש הבקשה לשמור את התשובה בזיכרון המטמון שלו. מנגנון זה נועד להפחית את העומס על שרתי DNS, והוא מאפשר לחסוך מצבים שבהם נעשות בקשות רבות לגבי אותו שם התחום על ידי שרת בודד, כאשר אין שינוי בתשובה. כאשר יפוג זמן החיים של התשובה, ייאלץ המבקש לשאול את השרת פעם נוספת לגבי השם המבוקש.עם זאת לא ניתן לדרוש מהשרת אם כבר יש ברשותכם רשומה בזיכרון של המחשב.
בנוסף לתרגום שמות תחום לכתובות IP, מספקים שירותי ה־DNS מידע נוסף על הדומיין הקיים, כמו שרתי הדואר של הדומיין, היכן ממוקמים שרתי ה־DNS של אותו תחום ועוד. כמו כן מספקים שירותי ה־DNS מידע על שם התחום הקשור בכתובת IP מסוימת. כך שרת ה־DNS משמש כ"ספק מודיעין" עבור תחום. קיים שרת DNS הניתן למימוש גם בשכבת התעבורה.
לכל בקשה או תשובה לשאילתת DNS יש טיפוס אשר מגדיר מה היא בעצם מכילה. כמו כן, השרת ששלח את התשובה מגדיר עבורה גם TTL (Time to live), שהוא הזמן המקסימלי שלמקבל התשובה מותר לשמור אותה במטמון שלו ולהניח שהיא נכונה.
A – רשומה זו היא כתובתIPv4 (Address) המשויכת לשם דומיין מסוים.
Zone Transfer (בתרגום חופשי: העברת אזור) הוא מנגנון שכפול מידע ב-DNS המשמש להעתקת מידע משרת DNS ראשי לשרתי DNS משניים. העברת המידע יכולה להתבצע בשני אופנים: מלא (full) ותוספתי (incremental). במהלך הזמן[דרושה הבהרה], משתמשים פחות ופחות במנגנון זה.
Zone Transfer פועל מעל שכבת ה-TCP על מנת להבטיח את שלמות המידע המועבר. מחשב הלקוח (client) מבקש את מידע ה-DNS מהשרת הראשי, והוא שולח ללקוח את המידע של אותו אזור אליו שייך אותו לקוח. הלקוח יודע האם לעדכן את המידע שנמצא אצלו במידע החדש שהגיע מהשרת הראשי באמצעות השוואת מספר סידורי שנשלח מהשרת הראשי עם המספר השמור במחשב הלקוח. הפקודה שמבקשת לבצע את השכפול המלא נקראת AXFR וזו שבעזרתה מבצעים את השכפול החלקי (רק של החלקים שהתעדכנו מאז השכפול האחרון) נקראת IXFR.
החולשה העיקרית של המערכת היא בכך שמצד אחד היא מהווה תשתית קריטית בתקשורת מחשבים הן ברמת פנים הארגון והן ברמת האינטרנט כולו; ומצד שני הפרוטוקול כמעט ואינו תומך באבטחה. ההתקפה הנפוצה והיחסית פשוטה היא "הרעלה" והתחזות (spoofing, poisoning) על ידי השתלת ערכים זדוניים לשמות חוקיים. דוגמה לשימוש לרעה יכולה להיותדיוג: השתלת כתובת של אתר זדוני תחת שם של אתר פופולרי. כך מופנה המשתמש שעושה שימוש ב-DNS ה"מורעל" לאתר אחר, אשר נראה בדיוק כמו האתר המקורי ומוסר שם את ססמתו.
לעיתים המערכת מנוצלת על מנת לייעלהתקפות מניעת שירות מבוזרת (DDoS) על ידי שליחת בקשת נתונים לשרת בשם קורבן ההתקפה.
DNS Security Extensions הוא תוסף להגברת אבטחת השימוש ב-DNS באמצעות בדיקת מהימנות המידע ושלמותו. DNSSEC נועד להגן מפני התקפות כמוהתקפת אדם שבתווך אוהרעלת DNS.
