שרתי DNS

שרתי DNS

פורסם ב 19-10-2025

אמנם לא בדקנו, אך אנו מאמינים שחלק ניכר מגולשי האינטרנט נתקל מתישהו במושג "שרתי DNS" (או באנגלית – DNS Servers) – כנראה בהקשר לשגיאה כלשהי, או כאשר הם "התעסקו" בהגדרות הרשת שלהם. כנראה שגם אתם נתקלתם באחד מהמושגים האלה כמה וכמה פעמים.
לראיה, בדיקה של UpTrends, שבוצעה בשנת 2020 על מיליארדי אתרים, מצאה כי שגיאות DNS הן בין שלושת סוגי השגיאות השכיחים ביותר בהם גולשים נתקלים בזמן השימוש ברשת האינטרנט.

אם שאלתם את עצמכם מהם אותם שרתי DNS, הגעתם למקום הנכון.

מהם שרתי DNS?

כהרגלנו, כדי להסביר מושג באופן ברור, נתחיל מההתחלה.

כדי להבין מהו DNS (ועקב כך, מהם שרתי DNS), ראשית עלינו להבין איך תקשורת רשתות עובדת, ומה הקשר למוח האנושי.
כל רשת כיום פועלת באמצעות פרוטוקול IP – ר"ת Internet Protocol או פרוטוקול בין-רשתי. הפרוטוקול מכתיב כי כל מכשיר על גבי רשת יקבל "כתובת" – כתובת IP – באמצעותה המכשירים על גבי הרשת יזהו אחד את השני. כתובת זו מורכבת במרבית המקרים מארבע סדרות של ספרות, אשר ביניהן מפרידה נקודה. למשל, כתובת ה-IP של הנתב (ראוטר) שלכם בבית הוא כנראה משהו כזה – 192.168.0.1. הכתובת של המודם שלכם היא שונה במקצת, מאחר שהיא מזהה של מכשיר שמחובר לרשת גדולה הרבה יותר – רשת האינטרנט. יותר סביר שהיא משהו בסגנון 82.102.129.203.
כתובת ה-IP היא למעשה הקואורדינטות, או ה-נ"צ, של המכשיר ברשת.

דהיינו, כדי ליצור קשר עם אתר אינטרנט, דפדפן האינטרנט שלכם צריך את כתובת ה-IP של השרת שמאחסן אותו. שוב, ניתן להתייחס לכתובת ה-IP כלקואורדינטות. אם תזינו בדפדפן את מספר ה-IP של שרת המאחסן אתר כלשהו, פוטנציאלית, תגיעו לאתר. על אותו משקל, אם תזינו ל-GPS שלכם את נקודות הציון 31°46'37.1 צפון 35°18'54.7 מזרח, תגיעו לכניסה של Jetserver (אתם מוזמנים!).

אלא שהמוח האנושי, למעט כמה גאונים יוצאי דופן, לא מסוגל לזכור כמות גבוהה של מספרים. לזכור כתובות IP זו לא שיטה מעשית או נוחה במיוחד. שוב, על אותו משקל, נסו לזכור את הקואורדינטות של כל המקומות אליהם אתם מגיעים באופן תדיר.

DNS - מערכת שמות מתחם

DNS – ר"ת Domain Name System – הוא פרוטוקול שפותח כדי לאפשר לנו להשתמש ברשת האינטרנט מבלי לזכור רשימות מספרים ארוכות.
אם נחזור להשוואה לקואורדינטות, הרי שיותר קל לנו לזכור מקומות באמצעות שימוש בכתובת – שם רחוב ומספר. אם תצטרכו להגיע למשרדים של Jetserver, יהיה לכם הרבה יותר קל לזכור שאנחנו נמצאים ברחוב הרכס 8, מעלה אדומים, מאשר בנ"צ 31°46'37.1 צפון 35°18'54.7 מזרח.
בהתאם, יהיה לכם יותר קל לזכור שכתובת האתר שלנו – או שם הדומיין שלנו – היא www.jetserver.co.il, מאשר את כתובת ה-IP שלנו.

כלומר, DNS הוא למעשה המרה של כתובות IP לשמות, למילים, לאותיות ולתווים, אותם נוכל לזכור בקלות. כמו רשימת שמות אשר משייכת לכל שם את מספר הטלפון הרלוונטי אליו.

כאשר אנחנו מקלידים כתובת אתר בדפדפן האינטרנט, הוא משתמש בפרוטוקול DNS כדי למצוא את כתובת ה-IP המשויכת לכתובת האינטרנט שהקלדנו. כלומר, הוא פונה לרשימה בה המידע הזה נמצא.

"אבל Jetserver, איך ננגיש רשימה ענקית כזאת, של כל אתרי האינטרנט בעולם, לגולשים ברשת האינטרנט?"

שרתי DNS

שרתי מערכת שמות מתחם הם כמו ספרי טלפונים מקוונים, המכילים את המידע שהדפדפן מחפש. הם מנוהלים על ידי IANA – הרשות האינטרנטית להקצאת שמות ומספרים (Internet Assigned Numbers Authority).
כאשר אנו מקלידים כתובת כלשהי של אתר - לדוגמה, www.ynet.co.il - הדפדפן יודע לפנות לשרת ה-DNS הקרוב ביותר (ככל שהשרת קרוב יותר, תקשורת הנתונים מהירה יותר) ולשאול אותו: "מהי כתובת ה-IP המשויכת לדומיין הזה?". שרת ה-DNS בודק ברשומות שברשותו, מוצא את המידע הרלוונטי, ומחזיר אותו לדפדפן. הדפדפן, משהשיג את כתובת ה-IP של השרת המקושר לדומיין שהקלדנו בשורת החיפוש, יוצר איתו קשר (או מבקש ממנו להציג נתונים). השרת, המאחסן את אתר האינטרנט מנהל את תקשורת הנתונים בין הדפדפן לאתר האינטרנט. כמו כן, הוא עונה על "בקשות" (query) להצגת תוכן, או לשימוש במערכת כלשהי.
תהליך זה נכון לגבי כל שירות ברשת האינטרנט.

היררכיית שרתי DNS

מערכת ה-DNS פועלת לפי היררכיה של שרתים. כדי להבין כיצד ההיררכיה הזאת עובדת, עלינו לדעת מהם סוגי השרתים השונים:

DNS Resolver - שרת פותר שאילתות מערכת שם מתחם (או שרת רקורסיבי)

נקרא גם Recursive Resolver, כלומר, שרת רקורסיבי. שרת זה הוא למעשה התחנה הראשונה אליה מגיעה כל שאילתת DNS מטעם הדפדפן. כאשר השאילתה מגיעה לשרת הפותר, ישנן שתי אפשרויות:

1. המידע שמור במטמון של השרת עקב חיפוש קודם. השרת מוצא את המידע במטמון ומעביר אותו לדפדפן של המשתמש.
2. השרת מצדיק את היותו "רקורסיבי", ומתחיל את תהליך קבלת התשובה, באמצעות פניה לשרת הבא בהיררכיה (שרת TLD).

ישנם שני סוגים של שרתים רקורסיביים – שרת ציבורי ושרת פרטי.

• שרת DNS ציבורי – שרתים רקורסיביים אשר זמינים לשימושו של כל מי שמשתמש ברשת האינטרנט. הם מתופעלים על-ידי ספקי אינטרנט וחברות שונות, ומהווים את הרוב המוחץ של שרתי ה-DNS. כשמם, הם מיועדים לציבור הרחב, ולכל מי שלא צריך להשתמש בשרת DNS פרטי.
• שרת DNS פרטי – שרתים אשר נמצאים בבעלותו של גוף מסוים כמו ארגון, עסק, או משתמש פרטי שהקים שרת DNS בעצמו. הם מספקים שירות בשביל הרשת של הגוף הזה בלבד. כלומר, כדי להתחבר לשרת ה-DNS הפרטי, יש להתחבר לרשת בתוכה הוא פועל, והוא אינו נגיש לאיש מחוץ לרשת הפנימית הזאת. חלק מהשרתים הפרטיים זמינים למשתמשים כשירות בתשלום.
  כפי שניתן להבין, שרתים פרטיים מספקים יותר פרטיות ואבטחה (כמובן, כתלוי בהגדרות ובמערכות האבטחה שיושמו עליהם), במיוחד בכל הנוגע לרשומות של השרת.

Root Server – שרת שורש

שרתי השורש, הנמצאים בראש ההיררכיה, אינם מכילים מידע על כתובות IP ודומיינים. תפקידם הוא "לדעת" איזה משרתי ה-TLD מכיל את המידע שהשרת הרקורסיבי מחפש. כאשר השרת הרקורסיבי אינו מוצא במטמון שלו את המידע שהדפדפן מבקש, הוא פונה לשרת השורש, שיפנה אותו לשרת ה-TLD הנכון.

ישנם 13 שרתי שורש "מרכזיים", מרביתם מתופעלים על-ידי לגופים שונים בארה"ב. עם זאת, לכל שרת יש מספר עותקים מדויקים, הפזורים בכל רחבי העולם.
תוכלו למצוא רשימה של כל שרתי השורש המרכזיים כאן, ומפה של כל שרתי השורש ומיקומם ברחבי העולם כאן.

TLD Server – שרת מתחם עליון

שרתים שאחראיים לרשומות לפי סיומות סופיות. לדוגמה, ישנם מספר שרתים כאלה בישראל, האחראיים לרשומות ה-IP של כל הדומיינים בעלי סיומת il.. לא כל שרתי המתחם העליון משויכים למיקומים ולמדינות – חלקם קשורים לסיומות אחרות, כמו edu. (מוסדות חינוכיים), org. (ארגונים) וכו’.
שרתים אלה מכילים גם את המידע לאיזה שרת סמכותני להפנות את השרת הרקורסיבי.

Authoritative Servers - שרת סמכותני

השרתים הסמכותניים מכילים רשומות ספציפיות לגבי דומיינים וכתובות ה-IP הרלוונטיות אליהם, באיזור מסוים. מכאן נגזר שמם – הם למעשה הסמכות האחרונה אליה יש לפנות בנוגע לשאילתות DNS.
ישנם שני סוגים של שרתים סמכותניים:

1. שרתים ראשוניים (Primary) – נקראים גם שרתי מאסטר (Master Servers). שרתים אלה הם השרתים הראשיים המכילים את רשומות ה-DNS, המשייכות את הדומיין לכתובת IP.
2. שרתים משניים (Secondary) – או שרתים משועבדים (Slave Servers). העתקים של השרתים הראשוניים, שנועדו לחלק את העומס על השרתים הראשוניים, ולהוות שרתי גיבוי במקרה ששרת ראשוני יותקף או יקרוס בשל תקלה.

איך שרתי DNS עובדים – צעד אחר צעד

1. המשתמש – אנחנו – מקליד כתובת אתר (דומיין) בשורת החיפוש בדפדפן. למשל, www.jetserver.co.il.
   דפדפן האינטרנט למעשה שולח שאילתת DNS לשרת הרקורסיבי (DNS Resolver): "מהי כתובת ה-IP המשויכת לדומיין הזה?"
2. השרת הרקורסיבי, בתגובה, מחפש במטמון שלו. ייתכנו שתי אפשרויות:
   א. אם מישהו ביצע חיפוש דומה בעבר הקרוב (24-48 שעות), המידע שמור במטמון של השרת הרקורסיבי. במקרה זה, הוא יכול לענות לדפדפן על השאילתה במהירות.
   ב. אם המידע אינו שמור במטמון של השרת הרקורסיבי, הוא מפנה את השאילתה לשרת השורש (Root Server).
3. שרת השורש מקבל את השאילתה מהשרת הרקורסיבי, ובודק ברשומות שלו מי משרתי המתחם העליון (TLD Server) יכול לענות על השאילתה. משהשרת מוצא את המידע ברשומות שלו, הוא עונה לשרת הרקורסיבי: "זהו שרת המתחם העליון אשר מחזיק בתשובה לשאילתה!"
4. השרת הרקורסיבי משתמש במידע שקיבל משרת השורש כדי ליצור קשר עם שרת ה-TLD הרלוונטי, ומעביר אליו את שאילתת ה-DNS.
5. שרת ה-TLD בודק ברשומותיו שלו מיהו השרת הסמכותני (Authoritative Server) אשר יודע מהי כתובת ה-IP המשויכת לדומיין. את התשובה, הוא שולח לשרת הרקורסיבי.
6. השרת הרקורסיבי פונה לביצוע השלב האחרון הנדרש להשלמת משימתו. הוא מפנה את השאילתה לשרת הסמכותני שהוזכר בתגובה משרת ה-TLD.
7. השרת הסמכותני בודק ברשומות שלו, כמו בספר טלפונים, מהי כתובת ה-IP המשויכת לדומיין (כתובת אינטרנט, זוכרים?) בשאילתה.
   משהמידע מאותר ברשומות, השרת הסמכותני מעביר את המידע לשרת הרקורסיבי – "זוהי כתובת ה-IP המשויכת לדומיין הזה!"
8. השרת הרקורסיבי, משקיבל את התשובה לשאילתה שנשלחה אליו במקור על-ידי הדפדפן, מחזיר את התשובה לדפדפן.
9. הדפדפן מקבל את כתובת ה-IP המשויכת לדומיין שהוקלד בשורת החיפוש. הוא יוצר קשר עם השרת המאחסן את האתר, ומציג את נתוני האתר/יישום רשת על מסך המשתמש.

יתרונות וחסרונות

לשרתי DNS יש לא מעט יתרונות, ולמעשה, בזכותם גלישה ברשת האינטרנט היא כל כך פשוטה וקלה. מצד שני, יש להם גם כמה חסרונות שמומלץ להכיר, במיוחד מאחר שהם נוגעים בדרך זו או אחרת לאבטחה ופרטיות.

יתרונות

• פשטות – כפי שאמרנו, שרתי ה-DNS, ופרוטוקול DNS בכללותו, מפשטים את רשת האינטרנט, במיוחד בכל הנוגע לשימוש האנושי. במקום שנצטרך לזכור סדרות ארוכות של מספרים, אנחנו צריכים לזכור רק מילים. למעשה, ללא שמות דומיין, גם מנועי החיפוש בהם אנו משתמשים, גוגל בראשם, לא היו מתקיימים.
• יעילות ומהירות – כל התהליך באמצעותו פרוטוקול DNS עובד הוא מאוד יעיל וזריז. התהליך מתייעל אף יותר אם לשרת הרקורסיבי יש במטמון את המידע על דומיינים.
• אפשרות בחירה – משתמשים יכולים להגדיר שרתים מסוימים אשר עדיפים עליהם, בין אם מסיבות של מרחק ומהירות, ובין אם מסיבות אבטחה. שרתי DNS פרטיים, למשל מאפשרים יותר פרטיות משרתים ציבוריים (אך מצריכים תשלום).
• פרטיות יחסית – באופן עקרוני, שאילתות DNS לא מכילות מידע על השולח. מלבד הבקשה לכתובת IP שתתאים לדומיין בשאילתה, הפרטים היחידים בשאילתה הם כתובת ה-IP של השולח, ומספר זיהוי ייחודי של השאילתה.

חסרונות

• המון פגיעויות – פרוטוקול DNS רחוק מלהיות פרוטוקול מאובטח, ובשל כך, שרתי ה-DNS הם מאוד פגיעים. זיוף/הרעלת DNS, התקפות אדם בתווך (MITM), הרעלות מטמון, מניעת שירות, הצפת DNS, העברת נתונים זדוניים דרך "תעלות" בתקשורת בין השרתים, שינוי רשומות; אלה רק חלק מהתקפות הסייבר שניתן לבצע על שרתי ה-DNS. זהו אולי החיסרון המשמעותי ביותר של מערכת DNS בכללותה, וכדאי להיות מודעים לסכנות ולהתמגן בהתאם.
  מן הסתם, הגורמים החשופים ביותר לפגיעויות הרבות של שרתי DNS הם בעלי הדומיינים עצמם.
  אך אל דאגה – ישנן מספר דרכים להתגונן.
• פרטיות מופחתת – פוטנציאלית, בעלי שרתי DNS ציבוריים יכולים לשמור מידע ולאסוף נתונים על המשתמשים בהם.

התגוננות מפגיעויות דרך שרתי ה-DNS

כספקי שירותי רישום דומיינים, אנחנו מודעים לכך שהכנסת הדומיין שלכם למערכת ה-DNS העולמית מגיעה עם סיכוני אבטחה.

ככה תוכלו להתגונן:

הפעילו DNSSEC בדומיין שלכם – פרוטוקול DNSSEC (ר"ת Domain Name System Security) הוא הרחבת אבטחה לפרוטוקול DNS, המשתמשת בחתימות דיגיטליות מוצפנות ברשומות של השרתים כדי ליצור שרשרת אמון (trust chain) ביניהם.
כדי שתוכלו להבין טוב יותר איך פרוטוקול DNSSEC עובד ולמה מומלץ להשתמש בו, כתבנו עליו בהרחבה.

רשמו את הדומיין שלכם אצל רשם שהוסמך לכך על-ידי איגוד האינטרנט הישראלי – רשמים מוסמכים, כמונו, הם כאלה שעברו בדיקה על ידי איגוד האינטרנט הישראלי (ISOC), ויודעים כיצד לשייך את הדומיין שלכם לשרת DNS בטוח "מבית טוב".

השתמשו בשרתי DNS מאובטחים, ששומרים על הפרטיות שלכם – או בכאלה שידועים ברמות האבטחה הגבוהות שלהם שלהם. כמה דוגמאות מוכרות:

• Cloudflare (כתובת: 1.1.1.1.)
• גוגל (8.8.8.8 ו-8.8.4.8)
• OpenDNS (כתובת: 208.67.222.222)
• Quad9 (כתובת: 9.9.9.9)

בדקו את רשומות ה-DNS של הדומיין שלכם באופן סדיר – הסירו רשומות שאינכם משתמשים בהן יותר. וודאו כי הרשומות בהן אתם כן משתמשים הן עדכניות ומדויקות, וכי הן לא שונו על ידי גורם עוין.
תוכלו להשתמש בכלים חינמיים, כמו אופציית DNS Lookup של DNS Checker, או בכלים של מערכת ההפעלה שלכם, כמו פקודת nslookup או dig.

השתמשו בתקשורת DNS מוצפנת – למשל, DoH (ר"ת DNS over HTTPS), או DoT (ר"ת DNS over TLS). אם תקשורת הדומיין שלכם תהיה מוצפנת, יהיה קשה יותר לבצע התקפות כמו זיוף DNS ו-אדם בתווך.

בודדו את תעבורת ה-DNS אל השרת שלכם – על-ידי שימוש בכלים להפרדת רשתות (segmentation) רשתות כמו רשת מקומית וירטואלית (VLAN) ורשתות היקפיות (DMZ), ובחוקי חומת-אש נוקשים ומוגדרים. כך, תוכלו לבודד התקפות מבוססות DNS משאר המערכות שלכם.

לסיכום

אולי נראה שכתבנו הרבה, אבל נגענו בעיקר בפני השטח, ואולי חפרנו קצת בתוך השכבה החיצונית. חסכנו מכם הסברים על סוגי רשומות, פירוטים על סוגי התקפות ופגיעויות, ונגענו בעיקרי הדברים בתוספת של קצת פירוט.

היתרון הגדול של שרתי ה-DNS הוא אופן הפעולה הפשוט שלהם. פשטות הפעולה שלהם משליכה לא רק על פשטות השימוש ברשת האינטרנט, או על המהירות בה ניתן לבצע תהליך בעל כמה תחנות (תשובה על שאילתת DNS) - היא משליכה גם על יכולת ההתמודדות עם החסרונות שלהם. כל שצריך הוא מודעות לחסרונות האלה, ומידע כיצד ניתן למזער אותם. פשטות זו מהווה יתרון לארגונים ולמשתמשים פרטיים כאחד.

עכשיו, כשאתם יודעים קצת יותר כיצד האינטרנט עובד "מאחורי הקלעים", לא נותר לנו אלא לאחל לכם גלישה מהירה ובטוחה!­