Интерпретация доменного имени DNS.

DNS представляет способ интерпретации полного пути к доменному имени DNS аналогично способу интерпретации полного пути к файлу или каталогу в окне командной строки.

Например, путь в дереве каталогов помогает указать на точное расположение файла, сохраненного на компьютере. Для компьютеров с операционной системой Windows обратная косая черта (\) указывает каждый новый каталог, ведущий к точному расположению файла. Эквивалентным символом в DNS является точка (.), указывающая каждый новый уровень домена в имени.

Например, для файла с именем Services полный путь, отображаемый в окне командной строки Windows, может иметь вид:

C:\Windows\System32\Drivers\Etc\Services

Для интерпретации полного пути к файлу имя читается слева направо от верхнего, т. е. наиболее общего уровня (диск C, т. е. диск, на котором сохранен файл) до конкретного имени файла «Services». Этот пример показывает пять уровней иерархии, ведущих к расположению файла Services на диске C.

1. Корневая папка диска C (C:\).

2. Системная папка, в которую была установлена система Windows (Windows).

3. Системная папка, в которой сохранены системные компоненты (System32).

4. Папка, в которой сохранены драйверы системных устройств (Drivers).

5. Папка, в которой сохранены различные файлы, используемые драйверами системных и сетевых устройств (Etc).

Для DNS примером имени с несколькими уровнями может служить следующее полное доменное имя узла:

host-a.yaroslavl.mfua.ru.

В отличие от имен файлов, при чтении полного доменного имени узла DNS слева направо осуществляется переход от наиболее конкретной информации (имя DNS компьютера «host-a») к наиболее общей (завершающая точка (.), которая указывает корень в дереве имен DNS). Этот пример демонстрирует четыре уровня доменов DNS, которые ведут от конкретного расположения «host-a».

1. Домен «yaroslavl», в котором зарегистрировано для использования имя компьютера «host-a».

2. Домен «mfua», который соответствует родительскому домену, являющемуся корнем поддомена «yaroslavl».

3. Домен «ru», который соответствует домену верхнего уровня, предназначенному для использования деловыми и коммерческими организациями, который является корнем для домена «mfua».

4. Завершающая точка (.), представляющая стандартный символ разделителя, которая используется, чтобы сделать полным доменное имя DNS в дереве пространства имен DNS.

43.

История развития DNS в Интернете.

Система доменных имен (DNS) была разработана для обеспечения службы сопоставления имен и адресов компьютеров в Интернете. До введения DNS в 1987 г. удобные понятные имена компьютеров сопоставлялись с IP-адресами в основном с помощью общего статического файла Hosts.

Сначала Интернет был достаточно малой сетью для использования одного файла, допускающего централизованное администрирование, который публиковался и загружался через FTP на узлы, подключенные к Интернету. Периодически каждый узел Интернета должен был обновлять свою копию файла Hosts и распространялись обновленные версии файла Hosts, отражающие изменения в сети.

По мере роста числа компьютеров в Интернете стала невозможной централизованная обработка единственного файла Hosts для всех узлов Интернета. Размер файла постоянно увеличивался, что делало затруднительным его поддержание и распространение на все узлы в текущей и обновленной форме.

Стандарт DNS был разработан как альтернатива файлам Hosts. Основные протоколы были указаны в документах RFC 1034 и 1035. За ними последовали другие документы RFC, содержащие добавления и обновления, которые были представлены в группу IETF (Internet Engineering Task Force). Группа IETF постоянно рассматривает и утверждает новые проекты, поэтому стандарты DNS развиваются и изменяются по мере необходимости.

Инструменты DNS.

Существует ряд служебных программ для администрирования, наблюдения и устранения неполадок серверов и клиентов DNS.

В операционных системах семейства Windows в число таких служебных программ входят следующие:

· Консоль DNS, являющаяся частью средств администрирования.

· Служебные программы командной строки, такие как Nslookup, применяемые при устранении неполадок DNS.

· Средства ведения журналов, например журнала DNS-сервера, который можно просматривать в консоли DNS и в окне просмотра событий. Журналы, ведущиеся в файлах, также могут использоваться как дополнительное средство отладки, позволяющее выполнять регистрацию и трассировку выбранных событий службы.

· Служебные программы наблюдения за производительностью, такие как статистические счетчики, выполняющие измерения активности DNS-сервера в системном мониторе.

· Инструментарий управления Windows (WMI), стандартное средство доступа к информации управления в корпоративной среде.

· Набор Platform Software Developer Kit (SDK).

Основным средством управления DNS-серверами служит консоль DNS, размещенная в папке «Администрирование» панели управления, находящейся в папке «Программы» главного меню. Консоль DNS используется самостоятельно либо как консоль MMC (Microsoft Management Console), что позволяет объединить администрирование DNS с общим сетевым администрированием.

Консоль DNS может использоваться только после установки на серверном компьютере службы DNS. Консоль DNS позволяет выполнять следующие основные задачи администрирования.

1. Задание начальной конфигурации нового DNS-сервера.

2. Подключение к локальному DNS-серверу и управление им на том же компьютере или же выполнение этих действий для удаленных DNS-серверов на других компьютерах.

3. Добавление и удаление зон прямого и обратного просмотра.

4. Добавление, удаление и обновление записей ресурсов в зонах.

5. Изменение способов сохранения зон и их репликации между серверами.

6. Изменение способов, применяемых серверами для обработки запросов и динамических обновлений.

7. Изменение условий безопасности конкретных зон или записей ресурсов.

Кроме того, консоль DNS можно использовать для выполнения следующих задач.

· Управление сервером. Имеется возможность запускать, останавливать, приостанавливать или возобновлять работу сервера, а также вручную обновлять файлы данных сервера.

· Наблюдение за содержимым кэша сервера и, при необходимости, его очистка.

· Настройка дополнительных параметров сервера.

· Задание условий и выполнение очистки устаревших записей ресурсов, сохраняемых сервером.

Помимо этого имеется возможность работы с консолью DNS на рабочей станции с целью удаленного администрирования DNS-серверов.

Угрозы безопасности DNS.

Типичные угрозы инфраструктуре DNS со стороны злоумышленников:

· Получение отпечатка (Footprinting) — это процесс получения злоумышленником данных зоны DNS, позволяющий ему узнать доменные имена DNS, имена и IP-адреса компьютеров с важными сетевыми ресурсами. Как правило, злоумышленник начинает атаку с применения этих данных DNS для составления, или получения отпечатка, схемы сети. Имена доменов DNS и компьютеров обычно отражают функции или местоположение домена или компьютера, что должно облегчить пользователям запоминание и распознавание доменов и компьютеров. Злоумышленник пользуется этим принципом DNS для изучения функций и местоположения доменов и компьютеров в сети.

· Атака типа «отказ в обслуживании» состоит в том, что злоумышленник пытается нарушить работу сетевых служб, «завалив» один или несколько DNS-серверов сети рекурсивными запросами. Поскольку DNS-сервер занят исключительно обработкой этих запросов, загрузка его центрального процессора в конечном счете достигает максимума, и служба «DNS-сервера» становится недоступной. Поскольку в сети нет работоспособного DNS-сервера, сетевые службы, использующие DNS, становятся недоступными для пользователей сети.

· Изменение данных — это попытка злоумышленника (получившего отпечаток сети с помощью DNS) использовать действительные IP-адреса в созданных им IP-пакетах, тем самым придавая этим пакетам такой вид, словно они посланы с действительных IP-адресов в сети. Обычно такие действия называются подменой IP-адреса (IP spoofing). Имея действительный IP-адрес (IP-адрес, лежащий в пределах диапазона IP-адресов подсети), злоумышленник может получить доступ к сети и разрушить данные или провести атаки какого-либо другого типа.

· Перенаправление имеет место, когда злоумышленнику удалось перенаправить запросы имен DNS на серверы, находящиеся под его контролем. Один из способов перенаправления включает в себя попытку засорить кэш DNS-сервера ошибочными данными DNS, которые могут привести к перенаправлению запросов на серверы, находящиеся под контролем злоумышленника. Например, если первоначально был сделан запрос на yaroslavl.mfua.ru, а в ссылочном ответе имеется запись для имени, находящегося вне домена mfua.ru, например mfi.ru, то DNS-сервер будет использовать кэшированные данные mfi.ru для разрешения запроса этого имени. Перенаправление может быть осуществлено, если злоумышленник имеет доступ с разрешением записи к данным DNS, таким как динамические обновления, для которых не обеспечивается безопасность.

ЗАКЛЮЧЕНИЕ

· Доменные имена DNS должны быть уникальными на каждом уровне, но отдельные метки могут использоваться в других доменах. Например, имя «mailserver» может использоваться по одному разу в доменах yaroslavl.mfua.ru и mfua.ru.

· Файлы Hosts поддерживаются как способ сопоставления доменных имен DNS для компьютеров с их IP-адресами с помощью локального статического файла. При запуске службы «DNS-клиент» она выполняет предварительную загрузку записей сопоставления узлов, добавленных к этому файлу, в локальные кэши DNS-имен.

· Файл Hosts хранится в папке корневой_каталог_системы\System32\Drivers\Etc. Просмотреть или изменить этот файл можно в блокноте или другом текстовом редакторе.

· Система доменных имен (DNS) первоначально разрабатывалась как открытый протокол и, следовательно, является уязвимой для злоумышленников. В системе DNS современных операционных систем возможности предотвращения атаки на инфраструктуру DNS улучшены благодаря введению функций безопасности. Чтобы правильно решать, какие из функций безопасности следует применить, необходимо знать все типичные угрозы безопасности DNS и оценить уровень безопасности DNS в конкретной организации.


Наши рекомендации