dns

Що таке DNS

DNS – система доменних імен, яка відповідає за зіставлення доменів з числовими IP-адресами через сервери імен.
Коли інтернет тільки починав розвиватися, то для зв’язку між комп’ютерами використовували цифрові імена – IP адреси,
але коли їх ставало дедалі більше, то вирішили використати зрозуміліші текстові імена – домени .
Так як спочатку доменів було дуже мало, то їх імена та IP відповідності зберігалися у спеціальному файлі, який копіювали між собою. Але коли їх кількість почала зростати, то почали шукати рішення
зберігання інформації про домени та їх IP адреси.
Для цього і була створена система DNS, яка відповідала за це завдання.

Так як спочатку доменів було дуже мало, то їх імена та IP відповідності зберігалися у спеціальному файлі, який копіювали між собою. Але коли їх кількість почала зростати, то почали шукати рішення
зберігання інформації про домени та їх IP адреси.

Для цього і була створена система DNS, яка відповідала за це завдання.

Навіщо потрібна технологія DNS та як вона працює

Основне завдання DNS серверів – це зберігати інформацію про домени,
а саме їх адреси, на яких вони розміщуються.
Також DNS сервери можуть кешувати DNS записи з інших серверів,
для розподілу навантаження. Як це працює? Наприклад, коли Ви вводите в адресному рядку Вашого браузера ім’я сайту, браузер робить запит до сервера DNS і отримує IP адресу на якому розміщений даний сайт і відкриває сайт з цього IP.

Типи DNS-записів та як ними керувати

Основне завдання DNS сервера це видати IP адресу сервера,
де є сайт. Але крім цього є ще безліч DNS
записів, які відповідають інші послуги.
Нижче в таблиці наведено коротку інформацію про DNS записи.

DNS RecordОпис
AВказує IPv4 адресу сервера, де розміщено домен
AAAAВказує IPv6 адресу сервера, де розміщено домен
CNAMEПеренаправляє домен на інший домен
PTRПеретворює адресу IPv4 або IPv6 на доменне ім’я
NSІменний сервер, відповідальний за домен
MXВказує поштовий сервер, відповідальний за домен
SOAТехнічні дані про домен
TXTТекстовий запис про домен
CAADNS-запис, призначений для визначення центрів сертифікації, яким дозволено випуск SSL/TLS-сертифікатів для певного домену
SRVВказує ім’я хоста та номер порту серверів для певних служб, наприклад, SIP.
Типи DNS записів

Раніше всі записи керувалися шляхом внесення записів у файл DNS зони за допомогою текстового редактора.

Також були ролі Primary та Secondary сервера, за допомогою яких можна було делегувати управління DNS записами іншим серверам DNS. У разі помилки в записі, домен переставав працювати. Основною помилкою завжди була втрачена точка наприкінці запису.

На сьогоднішній день управління DNS записами зводиться до зручної панелі управління,
яка підказує як правильно внести запис, щоб не припуститися помилки.

Що таке DNS-сервер

Нагадаю, що основне завдання DNS – це зіставлення імені та IP адреси.

Відповідно, кожен домен має свій індивідуальний запис.
Це свого роду інструкція для домену, де він обслуговується,
куди пошту відправляти, яким центрам сертифікації дозволено видавати сертифікати і так далі.

Geo-DNS

DNS сервер – це перший вузол, який приймає запит від відвідувача та повертає IP-адресу сервера. Після цього браузер відвідувача посилає HTTP запит на сервер програми та отримує відповідь.

Як правило, використовується одна або кілька IP адрес для одного запису. У разі використання кількох адрес, DNS сервер повертає відповіді по колу, використовуючи алгоритм round robin.

Тому для балансування навантаження часто використовується саме такий метод. Але якщо хочеться розподіляти навантаження не просто по різних IP адресах, а ще й по різних країнах?

В цьому випадку допоможе Geo-DNS.

Geo-DNS – це надбудова або частина програмного забезпечення DNS сервера, здатна видавати різні DNS відповіді залежно від того, звідки надійшов запит, з якої країни. Як правило в цьому випадку використовується база даних MaxMind, в якій зберігається інформація про те, якою IP до якої країни належить.

Така технологія дозволяє розподіляти навантаження та прискорювати роботу сайтів. Наприклад сайт має 3 сервери: Україна, Європа та США.

За допомогою GeoDNS можна створити запис, за допомогою якого клієнти з України потраплятимуть на сервер в Україні, клієнти зі США потраплятимуть на свій сервер, а європейські клієнти потраплятимуть на свій сервер у Європі.

Таким чином мінімізується відгук до сайту, оскільки сайт відкриватиметься від найближчого сервера.

Атаки на DNS-сервери та способи захисту

Основне завдання DNS сервера – це відповідати на запити,
а не піддавати їх сумніву, тому для передачі даних використовується протокол UDP, що і є однією з причин, через які сервери DNS уразливі для атак.

Існують два основних транспортних протоколи передачі даних TCP і UDP.

Основні відмінності TCP від UDP:

  • TCP встановлює з’єднання між комп’ютерами перед передачею даних.
  • UDP відправляє дані на кінцевий комп’ютер, не перевіряючи чи доступний він.

В результаті чого DNS має потенціал для кібератак.

Як правило, є 3 основні типи атак на DNS.

  1. Порушення доступності сервера DNS, мета – не дати отримати доступ до сайту.
  2. Підміна DNS відповіді, мета перенаправити відвідувача на сервер зловмисника.
  3. Перехоплення трафіку, що проходить, мета така ж як і в пункті 2, також іноді використовують
    Цей метод для впровадження цензури в Інтернеті.

Розглянемо основні атаки та способи захисту від них:

DNS Amplification (DNS посилення) , суть посилення полягає в тому,
що зловмисник посилає короткий запит вразливому DNS-серверу, наприклад, запитати всі DNS записи про якийсь домен, а той у свою чергу вже відповідає значно більшим за розміром пакетом.
Якщо ж підмінити IP в пакеті на комп’ютер жертви, то вразливий DNS-сервер відправлятиме у великій кількості пакети комп’ютера-жертві, доки повністю не паралізує його роботу.

DNS spoofing , також відомий як пошкодження кешу DNS .
Використовуючи вразливі місця на сервері DNS, зловмисник намагається отримати контроль над сервером.
Отримуючи доступ до кешу DNS, він його намагається змінити, тим самим спрямовує відвідувачів сайту на фішинговий сайт. Основним ризиком пошкодження DNS є крадіжка даних.

DNS flood – досить простий тип атаки, коли зловмисник відправляє безліч DNS-запитів на сервер DNS, переповнюючи сервер запитами і споживаючи його ресурси.
Такий тип атаки зазвичай призводить до того, що DNS сервер перестає відповідати на запити і тим самим відвідувачі перестають отримувати відповіді від DNS, а отже, не можуть потрапити на свої сайти.

DNS hijacking – перехоплення DNS , також називають перенаправленням DNS. Суть атаки зводиться до того, щоб DNS запити не коректно поверталися, перенаправляючи відвідувача на інший ресурс.
Для проведення атаки зловмисники або встановлюють шкідливе програмне забезпечення на комп’ютери користувачів, захоплюють маршрутизатори, або перехоплюють або зламують DNS сервери.

Основні методи захисту від DNS атак – це грамотне настроювання DNS сервера та використання завжди стабільного програмного забезпечення з усіма патчами безпеки.

Також останні роки один із популярних методів захисту від заміни DNS набирає популярності DNSSEC.

В основі даного протоколу лежить метод цифрового підпису відповіді запити DNS. Це дозволяє переконатися, що відповідь надійшла саме від коректного DNS сервера і підмінити відповідь вже не вийде.

Висновок

Насамкінець хотів би відзначити, що від роботи DNS серверів цілком залежить робота сайтів.

Якщо DNS не дасть відповіді на запит і сайт не завантажиться, незалежно від того чи працює сервер де розміщений сайт.

Тому робота DNS є чи не найголовнішим фактором у роботі сайтів.

У своїй роботі ми використовуємо 4 сервери DNS географічно розміщених у різних країнах, що позитивно впливає на роботу сайтів. Навіть при виході з ладу одного або двох серверів,
Ваші сайту продовжуватимуть працювати, а наші фахівці цілодобово моніторять їхню роботу і роблять все, щоб Ваші сайти працювали стабільно та 24/7.

Також Ви завжди можете організувати свій DNS, замовивши у нас
сервер або VPS .

Схожі матеріали

Leave a Reply

Your email address will not be published.