Призначення hosting.

 


 

Тема 8. Сервери доменних імен.

1. Поняття доменних імен. 2. Отримання доменного імені. 3. Основні та резервні сервера ДНС. 4. Програми ДНС Лінукс. 5. Програми ДНС Віндовс. 6. Атаки на ДНС

 

1. Поняття доменних імен.

Домен (англ.domain - область) - частина простору ієрархічних імен мережі Інтернет, що обслуговується групою серверів доменних імен (DNS-серверів) та централізовано адмініструється. Доменне ім'я (domain name) - це адреса мережного з'єднання, яке ідентифікує власника адреси. Реєстрація доменів - являє собою занесення інформації про домен та його адміністратора в центральну базу даних з метою забезпечення унікальності використання домена, а також отримання прав на адміністрування домену адміністратором. Адреси в мережі Інтернет будуються на доменній системі адресації (domain name system, DNS), тобто кожен адреса складається з декількох рівнів. При цьому існують два основних способи адресації: символьний, який, призначений для використання людьми і чисельний, заснований на IP-адресах і використовуваний комп'ютером. Кожен з комп'ютерів, що входять в мережу Інтернет має свою власну унікальну доменну адресу (domain address), часто звану також доменним ім'ям (domain name) комп'ютера або просто іменем вузла (host name). Ця адреса виглядає як кілька слів, скорочень або інших ланцюжків символів без пробілів (букви повинні бути тільки латинськими), що йдуть підряд і розділених крапками. Домени мають між собою ієрархічні відношення. Два домени, що розташовані на сусідніх рівнях ієрархії, називаються відповідно доменом вищого та нижчого рівнів. Домени найвищого (верхнього) рівня можуть бути сформовані за організаційним або географічним ознаками(ru - Росія, ua – Україна). У США традиційно використовується інша система - тематична. У цій системі домен верхнього рівня складається з трьох букв і позначає приналежність власника адреси до одного з наступних класів:.Com - комерційні сайти, .Edu - освітні організації, .Org - інші організації Наприклад: company.com комерційна фірма "Company" stanford.edu Стенфордський університет, США

Розглянемо доменне ім’я комп’ютера "www.department.firma.isp.ru". Тут доменом першого рівня є ru, isp - другого, firma - третього, а department - четвертого рівня. Доменні адреси комп'ютерів призначені для людей. Коли один вузол намагається відшукати в Інтернеті інший, він користується іншим типом адреси - так званим IP-адресою (IP - Internet Protocol - міжмережевий протокол). Якщо доменну адресу можна порівняти з ім'ям людини, то IP-адреса - це його "номер телефону", який тільки і дає реальну можливість зв'язатися з ним. IP-адреса схожий на доменну адресу тим, що також складається із сегментів, що утворюють ієрархічну систему. Однак на відміну від доменної адреси, число цих сегментів в IP-адресі завжди дорівнює чотирьом, а самі сегменти являють собою не рядки символів, а числа в діапазоні від 0 до 255. Крім того, в IP-адресах ієрархічна драбина спускається зліва направо, а не справа наліво, як у доменних адресах. Це означає, що два комп'ютери - сусіда по Інтернету будуть, швидше за все, відрізнятися останнім сегментом своїх IP-адрес і першим сегментом доменних адрес. Для визначення за доменною адресою IP-адреси на спеціальних вузлах Мережі є Таблиці відповідності. Такі вузли називаються серверами DNS (Domain Name Service, "служба доменних імен").

 

2. Отримання доменного імені.

Перед тим як отримати домен, слід ознайомитися з інформацією про різні види доменів. Так, доменне ім'я дозволяє асоціювати ресурс з сервером, на якому він знаходиться. Воно є унікальною адресою, завдяки якій всі користувачі можуть знайти сайт в Інтернеті.

Сьогодні в кожній країні є певна кодове позначення. Воно є доменом першого рівня або доменом відповідної країни. Наприклад, якщо домен закінчується на .Fr, то ресурс знаходиться в домені Франції, .Ua - Україна, .Jp - Японії. Також є домени першого рівня, які пов'язані зі спрямованістю ресурсу. Так, для некомерційних організацій застосовується. Org, для освітніх установ - .Edu, для комерційних - .Com. Дуже часто потрібно отримати домен другого або третього рівня. А в кожній доменній зоні передбачено наявність адміністратора. Він веде DNS для певної зони, а також вносить різні зміни в базу даних.

Ви маєте можливість отримати домен другого рівня. Такі домени видаються приватним особам і підприємствам в оренду. Це передбачає щорічну оплату. Ви можете замовити домен у офіційних реєстраторів доменних імен. ([1] [2])

Вибираючи домен другого рівня, необхідно підбирати відповідне доменне ім'я. Це дозволить сайту ефективно працювати в мережі. Користувачі зможуть з легкістю запам'ятати таку назву. Ви можете не тільки отримати домен, але і створювати будь-яку кількість адрес різних рівнів. При цьому таку можливість має надавати хостинг-провайдер. Досить рідко використовуються домени четвертого рівня. Вони є проблемними для запам'ятовування Доменне ім'я не є об'єктом власності. Воно передається адміністратором доменної зони для тимчасового користування. Коли закінчується цей термін, то час користування може продовжуватись. А якщо це не здійснюється, то відбувається скасування делегування домену. Отримати домен можна як на платній основі, так і на безкоштовній. Також реєстрація може відбуватися через певного адіміністратора зони або різних реєстраторів. Останні надають таку послугу за певну плату. При цьому ви отримуєте якісний сервіс та всі необхідні послуги.

 

3. Основні та резервні сервера DNS.

Існує три основних типи серверів DNS, які відрізняються покладеними на них завданнями:

  • основний сервер DNS;
  • резервний (вторинний) сервер DNS;
  • кешуючий сервер DNS.

Основний сервер DNS керує зоною повноважень. Якщо потрібно додати/видалити домен чи вузол або ж якусь іншу модифіковану зону, зміни слід проводити на основному сервері DNS. Через певний час, який залежить від налаштувань сервера, основний сервер передасть зону резервному серверу DNS. Дане явище називається трансфером зони. Що ж стосується резервних серверів, то повинен бути хоча б один резервний сервер DNS. Тому є кілька наступних причин:

  • якщо є багато клієнтів, то наявність резервного сервера DNS дозволить знизити навантаження на основний сервер DNS і прискорити доступ фізично віддалених від основного сервера клієнтів до бази даних доменних імен;
  • надійність (якщо раптом щось трапиться з основним сервером DNS) - не будуть же клієнти чекати, поки ви усуньте помилку.

Абсолютно всі DNS-сервери кешують запити, отримані від клієнтів, тому повторний запит буде виконаний швидше. Існує особливий вид сервера DNS – керуючий сервер. Сервери даного типу не відповідають за зони, а тільки перенаправляють запити клієнтів, отримують відповіді, кешують їх та відправляють клієнтам.

 

4. Програми DNS Лінукс.

BIND (Berkeley Internet Name Domain, до цього Berkeley Internet Name Daemon) – відкрита і найпоширеніша реалізація DNS - сервера, що забезпечує виконання перетворення DNS - імен в IP-адресу і навпаки. BIND підтримується організацією Internet Systems Consortium. 10 з 13 кореневих серверів DNS працюють на BIND, інші 3 працюють на NSD. BIND був створений студентами на початку 1980-х на грант, виданий DARPA і вперше був випущений у BSD 4.3. У версіях до 9 було виявлено чимало серйозних проблем з безпекою. Версія 9 була переписана заново компанією Nominum , реліз був випущений у вересні 2000 року. Ранні версії BIND зберігали інформацію тільки в текстових файлах зон. Починаючи з версії 9.4, в якості сховища можна використовувати LDAP, Berkeley DB, PostgreSQL, MySQL і ODBC. Консорціум ISC представив стабільний реліз BIND 10 у лютому 2013, після чотирьох років розробки і через 13 років з моменту випуску BIND 9. BIND 10 має кардинально перероблену внутрішню архітектуру. На відміну від попередньої моделі реалізації всієї доступної функціональності в одному серверному процесі, в BIND 10 здійснений перехід до розділення функцій по окремим взаємопов'язаним процесам, кожен з яких реалізує свій сервіс. Поділ за різними процесам дозволив раціонально використовувати ресурси багатоядерних систем, розширив можливості масштабування, забезпечив ізоляцію окремих функцій і підвищив надійність. Ключовою ланкою BIND 10 є процес msgq, він використовується для організації обміну повідомленнями між модулями. Функції авторитетного DNS-сервера виконує модуль auth, а функціональність DHCP забезпечується модулями dhcp4 і dhcp6. Модулі auth, dhcp4 і dhcp6 для збільшення масштабованості і балансування навантаження можуть запускатися в декількох екземплярах, наприклад, для кожного CPU на сервері може бути запущена окрема копія модуля, а запити на мережевий порт можуть рівномірно розподілятися між процесами. Для обслуговування вхідних і вихідних AXFR – запитів (трансфер зон цілком) представлені окремі сервіси xfrin і xfrout. Функції динамічного DNS-сервера виконує модуль ddns, а управління зонами делеговані модулю zonemgr. Для організації віддаленого управління DNS-сервером підготовлений модуль cmdctl, поверх якого підготовлено кілька надбудов для управління конфігурацією, таких як утиліта bindctl, веб-інтерфейс WebTool, GUI - інтерфейс GuiTool і утиліта для забезпечення сумісності з конфігуратором BIND9. Для розбору і зберігання конфігурації задіяний модуль cfgmgr. Для управління сервером і зміни конфігурації може використовуватися RESTful - інтерфейс, що працює поверх HTTPS. Окремий інтерес представляє модуль накопичення статистики, який у поєднанні з додатковими надбудовами може віддавати статистику по протоколу HTTP (в XML - поданні) або SNMP.

 

5. Програми DNS Віндовс.

Simple DNS Plus – простий, але, в той же час, не позбавлений функціональності DNS сервер. Завдяки DNS серверу, користувачі набирають тільки Інтернет - домени, тому не потрібно запам'ятовувати IP адреси. DNS сервери самі переводять ці назви в IP адреси. За допомогою Simple DNS Plus користувач зможе сам реєструвати і створювати домени, а також прискорювати роботу мережі, використовуючи власний DNS сервер. Simple DNS Plus може бути легко інтегрований із веб-сайтом користувача для ISP клієнтів. Simple DNS Plus - це також сервер DHCP. Основні функції Simple DNS Plus:

  • Хостинг імен доменів на власному DNS – сервері;
  • Пришвидшення доступу до мережі Інтернет за допомогою DNS – кешування;
  • Пришвидшення роботи ISP`s DNS – сервера;
  • Можливість самостійно називати комп’ютери в LAN. Не потрібно запам’ятовувати IP-адресу;
  • Пряма підтримка динамічних IP – клієнтів;
  • Інтегрований DHCP – сервер конфігурує мережеві комп’ютери.

Переваги Simple DNS Plus:

  • Спрощене керування DNS;
  • Швидкий і легкий процес діагностики;
  • Потужний функціонал DNS;
  • Сучасні характеристики безпеки;
  • Підтримка різних типів DNS і RFCs.

TCP Profiles Manager – невелика і проста у використанні програма, яка дозволяє швидко змінити свою локальну IP адресу, маску підмережі, мережі, шлюз, DNS без перезавантаження комп'ютера. Також можна зберегти кілька профілів з мережевих інтерфейсів (наприклад: MyHome, MyOffice). Корисною функцією є те, що при підключенні до декількох мереж, він підтримує DHCP. TCP Profiles Manager є дуже простий в налаштуванні. PageFix DNS – програма для усунення помилок, яка виправляє помилки при завантаженні веб - сторінок, а саме:

  • The page cannot be displayed;
  • Cannot find server;
  • DNS Error in Microsoft Internet Explorer.

Якщо користувач може відвідати певні веб - сторінки з лептопа або іншого комп'ютера, але не можете зробити це з іншого, то, використовуючи PageFix, можна виправити дану проблему. PageFix працює з PayPal, Microsoft, Yahoo та іншими сайтами, де ви частіше за все з’являється помилка. Програма має більш простий процес реєстрації, легкий спосіб налаштуванна, а також простий користувальницький інтерфейс.

 

Атаки на DNS

Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP.Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідь пакету так само проста: хакер в неправдивому відповіді жертві в полі IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафіку клієнта. Для генерації помилкового відповіді необхідно виконання кількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресою DNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправлений запит. Ну і, нарешті, в пакеті DNS-відповіді полі ID повинно збігатися з ID в запиті.Перші дві умови реалізуються просто. А ось третій і четвертий пункт - складніше. Обидві завдання вирішуються підшукуванням потрібний порту та ID методом перебору. Таким чином, у хакера є все необхідне, щоб атакувати жертву. Механізм цієї атаки полягає в наступному. Жертва посилає на DNS-сервер запит і переходить в режим очікування відповіді з сервера. Хакер, перехопивши запит, починає посилати неправдиві відповідь пакети. У результаті на комп'ютер клієнта приходить шквал помилкових відповідей, з яких відсіваються всі, крім одного, в якому збіглися ID і порт. Отримавши потрібну відповідь, клієнт починає сприймати підставний DNS-сервер як справжній. Хакер ж, у свою чергу, в неправдивому DNS відповіді може поставити IP-адресу будь-якого ресурсу.Третій метод спрямований на атаку безпосередньо DNS-сервера. У результаті такої атаки за помилковими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, відповідного запрошенням хосту.Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових дій у відповідь пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID. Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнту IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.

 

 


 








Дата добавления: 2016-10-17; просмотров: 1079;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.009 сек.