DNS

Материал из Викиреальностя
Перейти к: навигация, поиск

()

Что такое DNS?

DNS (Domain Name System) — компьютерная распределённая система для получения информации о доменах. Основная область применения данной системы — преобразование имени хоста в IP-адрес и предоставления данных о маршрутизации почты.

Содержание

[править] Описание работы DNS

Символьный адрес в DNS представляет собой текстовую строку, составленную по особым правилам. Самое важное из этих правил — иерархия доменов. Система адресов DNS имеет древовидную структуру. Узлы этой структуры называются доменами. Каждый домен может содержать множество «подчиненных» доменов.

Дерево DNS принято делить по уровням: первый, второй, третий и так далее. При этом начинается система с единственного корневого домена (нулевой уровень). Адресная строка с указанием корневого домена выглядит, например, так: «ripe.net.» — здесь корневой домен отделен последней, крайней справа, точкой. Однако указывать корневой домен вовсе не обязательно.[1]

Соответственно, трансляция имени ripe.net в соответствующие ему один или более IP-адресов будет происходить в несколько этапов. Сначала будут запрошены серверы, обслуживающие корневую зону. Эти серверы ничего не знают о существовании домена ripe и тем более адрес www.ripe.net. Но они сообщат, как можно связаться с серверами, обслуживающими домен следующего уровня — net. От них мы узнаем адреса серверов домена ripe, которые, в свою очередь, и ответят на запрос о IP-адресе сервера www.ripe.net.

Такая архитектура DNS позволяет распределить нагрузку и ответственность за работу системы между администраторами отдельных доменов. В их обязанности входит обеспечение нормальной производительности при ответе на запросы к зоне, поддержка уникальности имен в рамках зоны а также уведомление администратора родительской зоны об изменениях в составе серверов, обслуживающих зону.[2]

Обновление информации о серверах имен провайдера происходит не мгновенно, а через некоторое определенное (для каждого DNS-сервера, в зависимости от настроек и провайдера данные значения могут варьироваться) время.[3]

[править] Записи в DNS

Записи DNS — единицы хранения и передачи информации в DNS. Существует много типов ресурсных записей, однако их большинство редко употребляется или вообще не используется. В данном списке указаны самые известные типы записей:

  • A-запись — см. основную статью. Для IPv6 применяется AAAA-запись
  • MX-запись — запись, указывающая на серверы, принимающие почту для данного домена
  • NS-запись — запись, указывающая на DNS-сервера
  • SRV-запись — запись, указывающая месторасположение серверов для различных сервисов (например, для XMPP)

[править] Атака на DNS

()

Визуализация атак на/через открытый рекурсивный DNS сервер

Основной причиной сильной подверженности DNS-систем угрозам является то, что они работают по протоколу UDP, более уязвимому, чем TCP. Существует несколько вариантов атаки:

  • Создание обманного DNS-сервера вследствие перехвата запроса. Заключается в том, что хакер перехватывает запрос и подделывает ответ, заменяя IP DNS-сервера на свой IP.[4]
  • Атака самого DNS. В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS.[5]

Особенно опасны атаки на корневые сервера DNS. Для исключения возможности таких атак создан DNSSEC — расширение системы DNS, обеспечивающее выстраивание цепочки доверия для домена. Администратор домена, подписавший свою зону с помощью DNSSEC, предоставит посетителям своего сайта защиту от фишинга, отравления кэша и многих других интернет-угроз.[6]

Принцип работы DNSSEC тот же, что и у цифровой подписи. То есть подписывание осуществляется закрытым ключом, а сверка — открытым. Особенность состоит в том, что DNSSEC использует два типа ключей — одним подписывается зона (ZSK, zone signing key), другим подписывается набор ключей (KSK, key signing key).[7]

[править] Программные реализации DNS-серверов

  • BIND
  • NSD

[править] Примечания

DNS относится к темам: