Мы подготовили к публицации материал, в котором постараемся коротко объяснить, что же такое DNS. Где мы обсудим базовые функции DNS, а также вопросы касающееся безопасности DNS – серверов.
В самом начале, когда интернет не был повсеместно доступен, адреса интернет ресурсов изменялись согласно содержанию файла host. Файл хост создавался для каждой машины внутри сети. Однако по мере увеличения пользователей сети интернет такой метод сейчас себя совсем не оправдывает, а файл host достиг очень больших размеров. Появилась необходимость в новом способе решения проблемы преобразования адреса интернет ресурса. Именно этим решением и стал DNS.
Что такое DNS?
DNS (Domain Name System) – система доменных имен – это одно из основных понятий современного интернета. DNS – служит для распределенного хранения записей о доменных зонах. Система DNS – соотносит буквенные названия интернет ресурсов их ip адресам.
DNS использует распределенную базу для имен интернет ресурсов. Структура такое базы данных очень похожа на дерево и называется пространством имен домена. У каждого отдельного узла в этом пространстве существует свое уникальное имя. Корнем — этого дерева является корневой домен, который и будет наивысшим уровнем иерархии DNS, этот уровень обозначается точкой. Далее от корневого домена ответвляются остальные зоны доменов или компьютеры сети.
Само же пространство имен доменов в зоне DNS, имеет два вида организации плоское или иерархическое. В первом варианте имя узла задается каждому адресу нестрого по шаблону и последовательностью символов, которая не имеет четкое структуры. У такого варианта есть ключевой недостаток – такой вариант нельзя использовать в больших системах из-за хаотичности из-за сложности проверки на дублирование. Во втором варианте – иерархическом, каждое имя состоит из определенных частей, например: зона ru или dataenginer.ru. В таком случае максимально просто отследить дубли имен по иерархии и распределить доменные зоны.
Сопоставление имен DNS
Как же сопоставляется имя сайта и ip адрес. Допустим вы набираете в строке адреса Dataenginer.ru и нажимаете клавишу Enter. Браузер отправляет запрос DNS серверу сети (как правило на начальном уровне это роутер), сервер либо находит запись о таком имени и отвечает сам или передает запрос на DNS сервер более высокого уровня.
Кто управляет и поддерживает DNS-сервера?
Когда в строке браузера, где указывается адрес вы набираете адрес нужного вам ресурса, он сначала отправляет запрос на DNS – сервер корневой зоны. Всего таких серверов 13. Управляют такими DNS – сервера различные операторы и организации, в том числе один сервер DNS обслуживает и НАСА.
Каждый оператор, который администрирует ресурсы и сервера DNS, предоставляет доступ к услуге доменных имен бесплатно, а также отвечает за безотказную работу, ведь нарушение работы одного или нескольких из DNS-серверов приведет к недоступности целого сегмента интернета. Ранее основные сервера DNS располагались в Северной Америке, но с появлением технологии альтернативной адресации, сервера были размещены по всей планете, что привело к их росту с 13 до 123.
Защита от атак
Хакеры уже давно используют атаки на DNS – сервера, для нарушения работы интернет – ресурсов.
В прошлом из – за атак на DNS – сервера уже пострадали такие интернет гиганты как Twitter, который на протяжении нескольких часов был недоступен для множества пользователей. Самая же крупная атака произошла в 2002 году, когда атаки подверглось сразу 10 из 13 корневых серверов.
Протокол DNS поддерживает TCP, но в основном в своей работе использует протокол UDP, который имеет ряд уязвимостей. В основном это уязвимости связанные с подменой адресов. В настоящее время, чтобы невелировать данные уязвимости используется целый комплекс методик для предотвращения поддмены ip-адреса.
Одним из самых актуальных методов является uRPF, данный метод проверяет может ли сетевой интерфейс принять пакет. Чтобы пройти проверки uRPF, необходимо, чтобы пакет был отправлен с сетевого интерфейса, который используется для общения с отправителем пакета. Иначе пакет не принимается. Звучит страшно и сложно? На самом же деле, если сказать несколько проще: uRPF поддерживает общение только через один и тот же интерфейс.
К сожалению данная функция, не может сто процентов обеспечить сто процентную фильтрацию поддельного трафика.
В современном мире так же активно используется технология IP Source Guard. В основе данного метода лежит URPF. Данный метод отслеживает траффик на отдельных портах коммутаторов и определяет какие сетевые адреса были назначены определенным в сети устройствам. Вся информация собирается и хранится в таблице, а позже данная таблица используется для фильтрации трафика. Если пакет приходит с IP которого нет в таблице то пакет отклоняется.
Заключение
Несмотря на то, что система имен DNS была разработана еще в 80-х годах прошлого века, она сохраняет свою актуальность и в настоящее время. Технология DNS все еще активно развивается, вводятся новые доменные имена, такие как РФ. А самое главное – это повышение надежности DNS – серверов, ведь сегодня интернет неотъемлемая часть в жизни любого человека. И оставаться оффлайн нам хочется все меньше.
