🗊Презентация DNS

DNS Сервер имен это программа управления распределенной базой данных, в которой хранятся символьные имена сетей и ЭВМ вместе с их IP-адресами. BIND (Berkrley Internet Name Domain) В качестве транспорта используется UDP или TCP, порт 53

Дерево имен

Стандартизованные суффиксы имен .aero Фирма или организация, относящаяся к сфере авиации .arts Культура и досуг .biz Организация, относящаяся к сфере бизнеса .com Коммерческая организация .coop Кооперативная организация .firm Коммерческое предприятие .gov Государственное учреждение (США) .info Открытая TLD-структура (регистрация имен доменов) .org Бесприбыльная организация .edu Учебное заведение .jobs Работодатели .mil Военное предприятие или организация .mobi Cайты и сервисы, для мобильных и беспроводных устройств .museum Имя домена музея .name Имя домена частного лица .net Большая сеть .pro Профессионал, достойный доверия. Управляется RegistryPro (http://www.nic.pro/);

DNS-суффиксы (продолжение) .int Международная организация .rec Развлечения .tel Хранение и управление персонал. и корпоративн. данными .travel Турагенства .tv Телевидение. Хотя существует домен bbc.tv, а регистрация в этой зоне в РФ процветает (см. Ru center, официального статуса в качестве TLD этот домен не получил. В базе данных IANA (см. Национальные коды доменов в Интернет этот домен записан по-прежнему за TUVALU .arpa Специальный домен для преобразования IP в имя .web Организация, вовлеченная в WEB-активность

Заголовок DNS

Назначение битов поля флаги

Формат секции вопросов DNS-запроса

DNS Если имя домена не завершено символом точки, DNS может попытаться его дополнить, например имя ns может быть преобразовано в ns.itep.ru. Каждый сервер содержит лишь часть дерева имен. Эта часть называется зоной ответственности сервера. Зона представляет собой часть субдерева имен Первичный и вторичный серверы должны быть независимыми и работать на разных ЭВМ, так чтобы отказ одного из серверов не выводил из строя систему в целом. Число вторичных серверов не лимитировано Имя для IP-адреса 192.148.166.137 (если оно существует) содержится в домене с именем 137.166.148.192.IN-ADDR.ARPA

Тип запроса Тип запроса Код запроса Описание A 1 IP-адрес NS 2 Сервер имен. CNAME 5 Каноническое имя SOA 6 Начало списка серверов. Большое число полей, определяющих часть иерархии имен MB 7 Имя домена почтового ящика. WKS 11 well-known service - стандартная услуга. PTR 12 Запись указателя. HINFO 13 Информация об ЭВМ. MINFO 14 Информация о почтовом ящике или списке почтовых адресов. MX 15 Запись о почтовом сервере TXT 16 Связывает имя ЭВМ с адресом ISDN. ISDN 16 Не интерпретируемая строка ASCII AXFR 252 Запрос зонного обмена * или ANY 255 Запрос всех записей Поле класс запроса позволяет использовать имена доменов для произвольных объектов (все официальные имена Интернет относятся к одному классу [IN] - 1).

Формат ресурсных записей в DNS (RR)

MX-записи Обмен MX-записями производится в следующих случаях: Локальная сеть или ЭВМ не имеет непосредственной связи с Интернет, но желает участвовать в почтовом обмене. Адресат не доступен и предпринимается попытка доставить почтовое сообщение альтернативной ЭВМ. Создание виртуальных ЭВМ, куда можно пересылать почту. Обычно реализация сервера имен предполагает наличие трех конфигурационных файлов: named.boot - файл начальной загрузки сервера имен; named.local - стартовый файл клиента DNS; named.ca - исходный буфер имен и адресов. В последнее время развивается технология DDNS динамического обновления ресурсных записей зоны DNS внешними ЭВМ или процессами (Dynamic DNS; RFC-2136). host -t hinfo ns.itep.ru ns.itep.ru HINFO SparcStation-1 SunOS-4.1.3

Зоны Зоной называется первичный домен универсальной совокупности имен, делегированный некоторому DNS-серверу с административной целью. Например, itep.ru - зона, а ns.itep.ru - конкретная машина в этой зоне. Зона может состоять из одного домена или нескольких субдоменов. В субдоменах могут быть свои серверы имен. Базовая версия протокола DNS имеет ряд уязвимослей, которые позволяют хакерам предпринять атаки: Осуществить разведку, просматривая DNS-отклики. В случае версии Man-in-the-middle перехватывать поток и фальсифицировать отклики с целью перенаправления запросов клиентов на вредоносные сайты. Перенаправлять запросы на фальшивые DNS-серверы.

Рост числа доменов за 2000-2012гг

DNSSEC (RFC-4033) Цепочка аутентификации: Чередующаяся последовательность DNS общедоступных ключей (DNSKEY) RRsets и подписантов делегирования (DS) RRsets образуют цепочку подписанных данных, каждый узел цепочки подтверждает корректность предыдущего. Ресурсная запись DNSKEY используется для верификации подписи, покрывающей DS RR, и позволяет DS RR быть аутентифицированной. Расширения безопасности протокола DNS (DNSSEC) представляют собой коллекцию новых ресурсных записей (RR) и модификаций протокола, которые реализуют аутентификацию происхождения данных и целостность информации DNS. Безопасное расширение система доменных имен (DNS) предоставляет аутентификацию происхождения данных, а также целостность и гарантированность сервисов в отношении DNS-данных, включая механизмы аутентифицированного отрицания существования DNS-данных

DNSSEC DNSSEC обеспечивает аутентификацию путем ассоциирования с DNS RRsets криптографически формируемой подписи. Эти цифровые подписи записываются в новой ресурсной записи - RRSIG. Ресурсная запись подписанта делегирования (DS) упрощает некоторые административные задачи делегирования подписания данных при переходе через границы зон ответственности. DNSSEC вводит концепцию подписанных зон (signed zones). Подписанная зона имеет записи общедоступного ключа DNS (DNSKEY), сигнатуру ресурсной записи (RRSIG), Next Secure (NSEC), и (опционно) Delegation Signer (подписант делегирования) (DS). Зона, которая не имеет этих рекордов, считается неподписанной зоной. DNSSEC требует изменения определения ресурсной записи CNAME ([RFC1035]).

Формат RDATA ресурсной записи DNSKEY (RFC-4034) DNSSEC

Ресурсные записи для расширений безопасности DNS (RFC-4034) DNSSEC вводит концепцию подписанных зон (signed zones). Подписанная зона имеет записи общедоступного ключа DNS (DNSKEY), сигнатуру ресурсной записи (RRSIG), Next Secure (NSEC), и (опционно) Delegation Signer (подписант делегирования) (DS).

Формат поля RDATA

Формат NSEC RDATA

DS RDATA Wire Format

NSEC3 RDATA Wire Format

NSEC3PARAM RDATA Wire Format

DoS-атаки DNS Если в 2008 году мощность DDoS-атак достигала 40Гбит/c, то в 2014-ом превысила 400 Гбит/c Ущерб от этих атак в 2012 году составил 1 млн. долларов в день (США)