Даниил Малых DNS Что это? Использование Проблемы и методы их решения

Что такое домен? Info.nic.ru Домен верхнего (первого) уровня = IP-адрес Домен второго уровня Домен третьего уровня Yandex.ru Google.com Mimitech.ru BBC.co.uk Lenta.ru

Введение: как работает DNS

ОСНОВЫ DNS сервис, преобразующий «человекопонятные» адреса. ОСНОВА ПОЛЬЗОВАТЕЛЬСКОЙ НАВИГАЦИИ В ИНТЕРНЕТЕ

Где сайт nic.ru? Нужен IP-адрес IP-адрес сайта nic.ru не подскажете? Да, вот он! Запрашивается сайт nic.ru Содержание запрашиваемой страницы с сайта Подскажешь ip сервера сайта nic.ru? Нет, но должен знать сервер зоны RU Корневой DNS- сервер Подскажешь ip сервера сайта nic.ru? Нет, но должен знать сервер домена nic.ru Сервер зоны RU Сервер домена nic.ru Подскажешь ip сервера сайта nic.ru? Конечно, вот он: Сервер провайдера

Кеширующий сервер провайдера Корневой сервер Имён '.' Сервер имён.RU. Сервер имён.NIC.RU. = ОСНОВЫ Кеширование важнейший аспект, делающий систему распределённой Временные параметры: TTL - время «актуальности» данных. Иерархия источников: всё определяют авторитативные серверы.

DNS домена Может быть на web-сервере вместе с сайтом Может быть на отдельном сервере Не хватает возможностей панели хостинга (VPS) для решения требуемых задач Много сайтов на поддержке Высокоответственные и высоконагруженные проекты Для DNS хостинга – удобная панель управления DNS домена У одного домена может быть несколько именных серверов, в случае недоступности одного будут использоваться другие Мировой опыт: чем серьезнее проект, тем сильнее уделяется внимание надежности DNS. Управление DNS

А IP адрес сервера для домена CNAME каноническая запись, псевдоним домена MX «почтовая» запись, указывает серверы обмена почти NS DNS-сервер домена SRV для сервисов, с указанием хоста, порта, протокола TEXT простая текстовая информация Типы записей

Распределение нагрузки между серверами Управление траффиком между серверами: Географическое распределение аудитории По загруженности сервера При проведении технических работ на сервере Повышение отказоустойчивости Использование DNS

Запрос DNS: «nic.ru?» Ответ «извне»: «nic.ru = TTL = 1 min»

Негативное использование

by Roomic Cube ПРИМЕРЫ Для чего fast flux? «Абузоустойчивый» хостинг; Сокрытие следов; Преодоление фильтров. Fast flux не «криминален» сам по себе: Используется для распределения нагрузки; Годится на роль инструмента защиты «добропорядочных, но проблемных» веб-сайтов.

ПРИМЕРЫ «DNS rebinding» Штатная работа DNS + дефекты политик безопасности в браузерах и другом ПО Замена адреса NS-ом при повторном обращении 1. Запрос: tram-pam.evildomain.tld? Ответ: IP сервера-источника (TTL=1s); 2. Загрузка веб-страницы с «активным содержимым» в браузер; 3. Запрос: tram-pam.evildomain.tld? Ответ: IP машины внутренней сети. Javascript (XMLHttpRequest), Flash, Java были уязвимы Ограничение запросов по имени хоста-источника связано с DNS

ПРИМЕРЫ «Отравление кеша» Запрос Ответ Плохо удостоверяется источник ответа Кеширующий сервер Фундаментальные «дыры» DNS используются во вред evildomain.tld. IN A Подмена IP-адреса «легитимного» NS; Подмена имени авторитативного NS; Ответы о чужих доменах: Предсказуемые «метки» Amit Klein, Dan Kaminsky... UDP + tr. ID (100,101, ?)

ПРИМЕРЫ Цели отравления кеша Пользователи заманиваются на подставные серверы; Похищаются «банковские пароли»; Рассаживаются зловреды; Проводятся многоступенчатые атаки на другие ресурсы;...и т.п., и т.д., В 2008 году опубликован способ генерации валидных поддельных SSL-сертификатов БОНУС: Изготовление поддельных сертификатов было возможно и многим ранее

ПОЛОЖЕНИЕ ПОЛЬЗОВАТЕЛЕЙ «Потребители» данных DNS не имеют возможности проверить подлинность адресной информации Вынуждены доверять всем или не доверять никому

DNSSEC «Хакер посередине» Клиент Авторитативный сервер Цепочка связи Клиент Авторитативный сервер Злоумышленник, с собственными «настоящими» ключами и подписями Что делать? Адрес, подпись, ключ Клиент не знает, с кем обменивается информацией!

ПРИНЦИПЫ РАБОТЫ Запрос DNS: « Ответ «извне»: « = » Подписано: 2eaF37Bd2012 Проверка «адресных данных» и ключа 1.Получение записей DNSSEC; 2.Попытка построения цепочки доверия к Root KSK; 3.Если цепочка построена, то домен защищён Настоящий адрес? DNSSEC

Спасибо за внимание! Даниил Малых