DNS Что это Использование Проблемы и методы их

DNS Что это? Использование Проблемы и методы их решения Даниил Малых 08. 07. 2013

Что такое домен? Домен второго уровня IP-адрес Info. nic. ru = 194. 85. 61. 42 Домен третьего уровня Домен верхнего (первого) уровня Yandex. ru Google. com Mimitech. ru BBC. co. uk Lenta. ru

Введение: как работает DNS

ОСНОВЫ DNS — сервис, преобразующий «человекопонятные» адреса. ОСНОВА ПОЛЬЗОВАТЕЛЬСКОЙ НАВИГАЦИИ В ИНТЕРНЕТЕ

а сайта nic. ru? Подскажешь ip сервер зоны RU но должен знать Нет, ь ip сервера Да, вот он! 194. 85. 61. 42 сайта nic. ru ? Пот, Нед но долже н знать сервер ска домена nic. ru же Кон шь ечн i о, в p серв от е он: ра са йт 194. 18 а nic. 5. 6 r 1. 4 u? 2 IP-адрес сайта nic. ru не Гподскажете? де сайт nic. ru? Нужен IP-адре с Сервер зоны RU Сервер домена nic. ru Запрашивается сайт nic. ru Содержание запрашиваемой страницы с сайта 194. 85. 61. 42 Подскажеш Сервер провайдера Корневой DNSсервер

ОСНОВЫ www. nic. ru? Кеширующий сервер провайдера . 15 3 8. 1 u= c. r. ni . 16 92 1 w ww Сервер имён. NIC. RU. Сервер имён. RU. Корневой сервер Имён '. ' Кеширование — важнейший аспект, делающий систему распределённой Временные параметры: TTL - время «актуальности» данных. Иерархия источников: всё определяют авторитативные серверы.

Управление DNS домена • Может быть на web-сервере вместе с сайтом • Может быть на отдельном сервере • • Не хватает возможностей панели хостинга (VPS) для решения требуемых задач Много сайтов на поддержке Высокоответственные и высоконагруженные проекты Для DNS хостинга – удобная панель управления DNS домена У одного домена может быть несколько именных серверов, в случае недоступности одного будут использоваться другие Мировой опыт: чем серьезнее проект, тем сильнее уделяется внимание надежности DNS.

Типы записей А — IP адрес сервера для домена CNAME — каноническая запись, псевдоним домена MX — «почтовая» запись, указывает серверы обмена почти NS — DNS-сервер домена SRV — для сервисов, с указанием хоста, порта, протокола TEXT — простая текстовая информация

Использование DNS • Распределение нагрузки между серверами • Управление траффиком между серверами: • Географическое распределение аудитории • По загруженности сервера • При проведении технических работ на сервере • Повышение отказоустойчивости

Запрос DNS: «nic. ru? » Ответ «извне» : «nic. ru = 10. 10. 100 TTL = 1 min» 10. 10. 100 10. 10. 101 10. 10. 102 10. 10. 103

Негативное использование

ПРИМЕРЫ Для чего fast flux? «Абузоустойчивый» хостинг; Сокрытие следов; Преодоление фильтров. by Roomic Cube Fast flux — не «криминален» сам по себе: Используется для распределения нагрузки; Годится на роль инструмента защиты «добропорядочных, но проблемных» веб-сайтов.

ПРИМЕРЫ «DNS rebinding» Штатная работа DNS + дефекты политик безопасности в браузерах и другом ПО Замена адреса NS-ом при повторном обращении 1. Запрос: tram-pam. evildomain. tld? Ответ: IP сервера-источника (TTL=1 s); 2. Загрузка веб-страницы с «активным содержимым» в браузер; 3. Запрос: tram-pam. evildomain. tld? Ответ: IP машины внутренней сети. Ограничение запросов по имени хоста-источника — связано с DNS Javascript (XMLHttp. Request), Flash, Java — были уязвимы

ПРИМЕРЫ «Отравление кеша» Фундаментальные «дыры» DNS используются во вред Запрос evildomain. tld. IN A Ответы о чужих доменах: Кеширующий сервер Подмена IP-адреса «легитимного» NS; Подмена имени авторитативного NS; Отв ет UDP + tr. ID (100, 101, 102. . . ? ) Предсказуемые «метки» 1989. . . 2007. . . 2008. . . Amit Klein, Dan Kaminsky. . . Плохо удостоверяется источник ответа

ПРИМЕРЫ Цели отравления кеша Пользователи заманиваются на подставные серверы; Похищаются «банковские пароли» ; Рассаживаются зловреды; Проводятся многоступенчатые атаки на другие ресурсы; . . . и т. п. , и т. д. , БОНУС: В 2008 году опубликован способ генерации валидных поддельных SSL-сертификатов Изготовление поддельных сертификатов было возможно и многим ранее

ПОЛОЖЕНИЕ ПОЛЬЗОВАТЕЛЕЙ «Потребители» данных DNS не имеют возможности проверить подлинность адресной информации Вынуждены доверять всем или не доверять никому

DNSSEC «Хакер посередине» Клиент Авторитативный сервер Цепочка связи Адрес, подпись, ключ Клиент не знает, с кем обменивается информацией! Что делать? Авторитативный сервер Злоумышленник, с собственными «настоящими» ключами и подписями

ПРИНЦИПЫ РАБОТЫ Запрос DNS: «www. google. com? » Ответ «извне» : «www. google. com = 10. 10. 100» Подписано: 2 ea. F 37 Bd 2012 DNSSEC Проверка «адресных данных» и ключа 1. Получение записей DNSSEC; 2. Попытка построения цепочки доверия к Root KSK; 3. Если цепочка построена, то домен защищён --------------Настоящий адрес?

Спасибо за внимание! Даниил Малых dmalyh@nic. ru