dns

Что такое DNS

DNS – система доменных имен, которая отвечает за сопоставление доменов с числовыми IP-адресами через сервера имен.
Когда интернет только начинал развиваться то для связи между компьютерами использовали цифровые имена – IP адреса,
но когда их становилось все больше, то решили использовать более понятные текстовые имена – домены.
Так как изначально доменов было очень мало, то их имена и IP соответствия хранились в специальном файле, который копировали между собой. Но когда их число стало расти, то начали искать решения
хранения информации о доменах и их IP адресах.
Для этого и была создана система DNS которая отвечала за эту задачу.

Так как изначально доменов было очень мало, то их имена и IP соответствия хранились в специальном файле, который копировали между собой. Но когда их число стало расти, то начали искать решения
хранения информации о доменах и их IP адресах.

Для этого и была создана система DNS которая отвечала за эту задачу.

Зачем нужна технология DNS и как она работает

Основная задача DNS серверов – это хранить информацию о доменах,
а именно их адреса на которых они размещаются.
Также DNS сервера могут кешировать DNS записи с других серверов,
для распределения нагрузки.Как это работает? К примеру, когда Вы вводите в адресной строке Вашего браузера имя сайта, браузер делает запрос к DNS серверу и получает IP адрес на котором размещен данный сайт и открывает сайт с этого IP.

Типы DNS-записей и как ими управлять

Основная задача DNS сервера это выдать IP адрес сервера,
где находится сайт. Но помимо этого есть еще множество DNS
записей, которые отвечают за другие сервисы.
Ниже в таблице приведена краткая информация о DNS записях.

DNS RecordОписание
AУказывает IPv4 адрес сервера, где размещен домен
AAAAУказывает IPv6 адрес сервера, где размещен домен
CNAMEПеренаправляет домен на другой домен
PTRПреобразует адрес IPv4 или IPv6 в доменное имя
NSИменной сервер, ответственный за домен
MXУказывает почтовый сервер, ответственный за домен
SOAТехнические данные о домене
TXTТекстовая запись о домене
CAADNS-запись, предназначенная для определения центров сертификации, которым разрешен выпуск SSL/TLS-сертификатов для определенного домена
SRVУказывает имя хоста и номер порта серверов для определенных служб, например SIP.
Типы DNS записей

Ранее все записи управлялись путем внесения записей в файл DNS зоны с помощью текстового редактора.

Также были роли Primary и Secondary сервера, с помощью которых можно было делегировать управление DNS записями другим серверам DNS. В случае допущения ошибки в записи, домен переставал работать. Основной ошибкой всегда была упущенная точка в конце записи.

На сегодняшний день как правило управление DNS записями сводится к удобной панели управления,
которая подсказывает как правильно внести запись, чтобы не допустить ошибку.

Что такое DNS-сервер

Напомню, что основная задача DNS это сопоставление имени и IP адреса.

Соответственно каждый домен имеет свою индивидуальную запись.
Это своего рода инструкция для домена, где он обслуживается,
куда почту отправлять, каким центрам сертификации разрешено сертификаты выдавать и так далее.

Geo-DNS

DNS сервер — это первый узел, который принимает запрос от посетителя и возвращает IP-адрес сервера. После этого браузер посетителя посылает HTTP запрос на сервер приложения и получает ответ.

Как правило используется один или несколько IP адресов для одной записи. В случае использования нескольких адресов, DNS сервер возвращает ответы по кругу, используя round robin алгоритм.

Поэтому для балансировки нагрузки часто используется именно такой метод. Но что если хочется распределять нагрузку не просто по разным IP адресам, а еще и по разным странам?

В этом случае поможет Geo-DNS.

Geo-DNS – это надстройка или часть программного обеспечения DNS сервера, способная выдавать разные DNS ответы в зависимости от того, откуда пришел запрос, с какой страны. Как правило в этом случае используется база данных MaxMind, в которой хранится информация о том какой IP к какой стране относится.

Такая технология позволяет распределять нагрузку и ускорять работу сайтов. Например у сайта есть 3 сервера: Украина, Европа и США.

С помощью GeoDNS можно создать запись, с помощью которой клиенты из Украины будут попадать на сервер в Украине, клиенты из США будут попадать на свой сервер, а европейские клиенты будут попадать на свой сервер в Европе.

Таким образом минимизируется отклик к сайту, так как сайт будет открываться от ближайшего сервера.

Атаки на DNS-серверы и способы защиты

Основная задача DNS сервера – это отвечать на запросы,
а не подвергать их сомнению, поэтому для передачи данных используется протокол UDP, что и является одной из причин, по которой сервера DNS уязвимы для атак.

Есть два основных транспортных протокола передачи данных TCP и UDP.

Основные отличия TCP от UDP:

  • TCP устанавливает соединение между компьютерами перед передачей данных.
  • UDP отправляет данные на конечный компьютер, не проверяя доступен ли он.

В результате чего у DNS есть потенциал для кибератак.

Как правило есть 3 основные типы атак на DNS.

  1. Нарушение доступности DNS сервера, цель – не дать получить доступ к сайту.
  2. Подмена DNS ответов, цель перенаправить посетителя на сервер злоумышленника.
  3. Перехват проходящего трафика, цель такая же как и в пункте 2, также иногда используют
    данный метод для внедрения цензуры в интернете.

Рассмотрим основные атаки и способы защиты от них:

DNS Amplification (DNS усиление), суть усиления заключается в том,
что злоумышленник посылает короткий запрос уязвимому DNS-серверу, например запросить все DNS записи о каком-то домене, а тот в свою очередь уже отвечает значительно большим по размеру пакетом.
Если же подменить IP в пакете на компьютер жертвы, то уязвимый DNS-сервер будет отправлять в большом количестве пакеты компьютеру-жертве, пока полностью не парализует его работу.

DNS spoofing, также известный как повреждение кэша DNS.
Используя уязвимые места в DNS сервере, злоумышленник пытается получить контроль над сервером.
Получая доступ к кешу DNS он его пытается изменить, тем самым направляет посетителей сайта на фишинговый сайт. Основным риском повреждения DNS является кража данных.

DNS flood – довольно простой тип атаки, когда злоумышленник отправляет множество DNS-запросов на DNS сервер, переполняя сервер запросами и потребляя его ресурсы.
Такой тип атаки как правило приводит к тому, что DNS сервер перестает отвечать на запросы и тем самым посетители перестают получать ответы от DNS, а следовательно не могут попасть на свои сайты.

DNS hijacking – перехват DNS, также называют перенаправлением DNS. Суть атаки сводится к тому, чтобы DNS запросы не корректно возвращались, тем самым перенаправляя посетителя на другой ресурс.
Для проведения атаки злоумышленники либо устанавливают вредоносное ПО на компьютеры пользователей, захватывают маршрутизаторы, либо перехватывают или взламывают DNS сервера.

Основные методы защиты от DNS атак – это грамотная настройка DNS сервера и использование всегда стабильного ПО с всеми патчами безопасности.

Также последние годы один из популярных методов защиты от подмены DNS набирает популярности DNSSEC.

В основе данного протокола лежит метод цифровой подписи ответов на запросы DNS. Это позволяет убедиться, что ответ пришел именно от корректного DNS сервера и подменить ответ уже не выйдет.

Заключение

Напоследок хотел бы отметить, что от работы DNS серверов целиком зависит работа сайтов.

Если DNS не даст ответ на запрос то и сайт не загрузится, независимо от того работает ли сервер где размещен сайт.

Поэтому работа DNS является чуть ли не самым главным фактором в работе сайтов.

В своей работе мы используем 4 сервера DNS географически размещенных в разных странах, что положительно влияет на работу сайтов. Даже при выходе из строя одного или двух серверов,
Ваши сайту будут продолжать работать, а наши специалисты круглосуточно мониторят их работу и делают все, чтобы Ваши сайты работали стабильно и 24/7.

Также Вы всегда можете организовать собственный DNS, заказав у нас
сервер или VPS.

Похожие материалы

Leave a Reply

Your email address will not be published.