Введение

Интернет был задуман как саморегулирующаяся сеть компьютерных сетей. В результате этого, сегодня весь спектр телекоммуникационных технологий используется для непрерывной и надежной связи между различными странами. Технологии стремительно развиваются и с каждым днем становится все сложнее обеспечить безопасность информации в сети. Поэтому вопрос сохранности интернет-ресурсов становится тем более актуальным, чем масштабнее становится Всемирная паутина. Работа в сети построена на протоколах, одним из них является протокол доменных имен DNS.

1. 
   Система доменных имен
   

Каждое обращение к ресурсам сети Интернет начинается с подключения к системе доменных имен DNS. Общение в социальных сетях, отправка электронной почты, посещение любого веб-сайта - для всего вышеперечисленного необходимо определить фактическое местоположение (IP-адрес) ресурса. DNS предоставляет необходимую информацию. Эта система гарантирует, что имя ресурса будет преобразовано в IP-адрес. Пространство доменного имени представляет собой древовидную структуру. Любой узел и лист в дереве соответствуют набору ресурсов (который может быть пустым). Каждый из компонентов доменного имени обслуживается независимым оператором. Через последовательное обращение к серверам происходит трансляция имени.

1. 
   Распределение доменных имен
   

Система доменных имен позволяет получать доступ к веб-сайтам по их доменному имени (например, www.yandex.ru). Благодаря наличию доменных имен, нет необходимости вводить числовые IP-адреса (например, «212.78.1.25»). Когда устройство подключается к системе, используя адрес доменного имени, оно ищет IP-адрес, соответствующий данному доменному имени (далее DNS), а затем устанавливает соединение, используя нужный IP-адрес. Такой подход упрощает процесс перемещения сервера из одного места в другое. Серверу присваивается новый IP-адрес, и данные адреса домена обновляются. После обновления записи DNS новым запросам на доменное имя дается новый IP-адрес. Поскольку конечные пользователи получают доступ к большинству серверов с использованием доменных имен и не видят IP-адрес, сервер можно переместить в новое сетевое соединение, что не повлияет на возможность доступа конечного пользователя к серверу, например, если компания Яндекс захочет перенести свой веб-сервер на другой компьютер, у которого будет другой ip-адрес, то никаких ошибочных ситуаций не произойдет, так как доменное имя не изменится. Люди будут обращаться по тому же самому доменному имени, который будет отображаться по другому ip-адресу.

---

Распределение доменных имен определяется правилами организаций, которые владеют ими. На вершине иерархии владения доменными именами находится организация под названием Корпорация по управлению доменными именами и IP-адресами (Internet Corporation for Assigned Network Names and Numbers – ICANN). ICANN распределяет домены верхнего уровня (top-level domain – TLD), такие как .com, .edu и .org между другими организациям. ICANN также занимается назначением двухбуквенных доменных имен верхнего уровня, таких как .us, .za, .nl и .jp, странам по всему миру. Такие доменные имена принято называть Национальными доменами верхнего уровня (country code top-level domain – ccTLD). Также часто используются TLD второго уровня, например, .co.uk для коммерческих организаций в Великобритании. Политика подачи заявок на доменные имена с любым конкретным ccTLD в разных странах сильно различается.

После назначения организации определенного доменного имени контролирующая организация может назначать поддомены внутри домена верхнего уровня. Например, домен верхнего уровня .edu назначен организации Educause. Educause присваивает высшим учебным заведениям такие домены, как umich.edu. Как только университет получает контроль над umich.edu, он может самостоятельно выбирать поддомены в своем новом домене. Физические лица могут приобретать доменные имена с .com и .org. Владельцам таких доменов разрешается управлять своим доменом и создавать в нем поддомены для собственного или общего пользования. В таблице 1 представлены стандартизированные суффиксы имен.

Таблица 1. Стандартизированные суффиксы имен

Поле адреса	Тип сети
.aero	Фирма или организация, относящаяся к сфере авиации;
.arts	Культура и досуг;
.biz	Организация, относящаяся к сфере бизнеса;
.com	Коммерческая организация;
.coop	Кооперативная организация;
.firm	Коммерческое предприятие;
.gov	Государственное учреждение (США);
.info	Открытая TLD-структура (регистрация имен доменов);
.org	Бесприбыльная организация;
.edu	Учебное заведение;
.jobs	Работодатели;
.mil	Военное предприятие или организация (США);
.mobi	Cайты и сервисы, ориентированные на работу с мобильными телефонами;
.museum	Имя домена музея;
.name	Имя домена частного лица;
.net	Большая сеть;
.int	Международная организация;
.rec	Развлечения;
.tel	Хранение и управление персональными и корпоративными контактными данными;
.tv	Телевидение;
.arpa	Специальный домен, используемый для преобразования IP-адреса в имя
.web	Организация, вовлеченная в WEB-активность

---

2. 
   Структура DNS
   

До появления системы доменных имен, роль инструмента для расшифровки символических имен в ip выполнял файл /etc/hosts, который в настоящее время до сих пор является важной составляющей. Однако с ростом числа хостов в глобальной сети стало сложно отслеживать и поддерживать базу данных имен на всех хостах. В результате была изобретена DNS, иерархическая распределенная система доменных зон. DNS выполняет две основных функции:

1. 
   организацию иерархического пространства имен;
   
2. 
   обеспечение разрешения (т.е. поиска соответствия) доменных имен в IP-адреса.
   

Как и большинство сервисов DNS относится к средствам прикладного уровня модели OSI и строится по принципу "клиент-сервер". В структуре сервиса DNS выделяют следующие компоненты:

1. 
   Информационный ресурс - иерархически организованное пространство доменных имен. Соответствия доменных имен и IP-адресов описывается в распределенной по специальным узлам сети, называемым серверами имен, базе данных. Часть иерархического пространства имен, обслуживаемая одним сервером имен и представленная в его локальной базе данных, называется зоной ответственности (zone of authority).
   
2. 
   DNS-клиент (resolver) - программный модуль, который обеспечивает выполнение запросов к серверу имен с целью разрешения доменного имени. Как правило, DNS-клиент входит в состав операционной системы.
   
3. 
   Сервер имен (name server), или DNS-сервер, - программа, обеспечивающая хранение части распределенной базы данных соответствий IP-адресов и доменных имен, а также осуществляющая по запросу клиента поиск IP-адреса на основе предложенного доменного имени.
   
4. 
   Протокол DNS - протокол взаимодействия DNS-клиентов и DNS-серверов.
   

Пространство доменных имен имеет иерархическую структуру. На самом верхнем уровне иерархии располагается корневой домен, который обычно обозначается точкой ("."). Следующий уровень иерархии составляют домены верхнего, или первого, уровня (Top Level Domains, TLDs). Каждый домен верхнего уровня включает в себя домены второго уровня и т.д. Теоретически домен любого уровня может содержать в себе как отдельные узлы, представленные своими именами, так и домены более низкого уровня (субдомены). Однако, на практике домены, уровень которых ниже третьего, встречаются крайне редко.

Домены первого уровня делятся на три группы:

1. 
   домены общего назначения;
   
2. 
   национальные домены;
   
3. 
   обратный домен.
   

Изначально домены общего назначения предназначались для объединения доменов нижних уровней, принадлежащих организациям и учреждениям США. Поэтому в силу традиции большая часть доменов, зарегистрированных за организациями других государств, входят не в домены общего назначения, а в так называемые национальные домены. Во вторую группу включены национальные домены (Country Code TLDs, ccTLDs). Имя каждого такого домена состоит из двух символов и представляет собой сокращение названия государства (так называемый "код страны"), которому принадлежит домен, например, "ru" означает Россия. Список национальных доменов разработан и утвержден Национальным Институтом Стандартов США (ISO 3166-1). Третья группа состоит из одного домена с четырехсимвольным именем "arpa", предназначенного для поиска доменного имени по IP-адресу (обратного разрешения).

---

Каждый домен верхнего уровня, как правило, включает в себя домены второго уровня, имена которых выбираются относительно произвольно, например, по имени организации, за которой зарегистрировано это имя, или по названию региона. Порядок создания доменов второго уровня определяется администраторами соответствующего родительского домена верхнего уровня. Так, например, в национальном домене первого уровня "ru" установлен порядок, согласно которому внутри этого домена выделяются три группы доменов второго уровня.

Домены общего пользования ("домены типа GENERIC"):

1. 
   "ac.ru" - домен Академии Наук России;
   
2. 
   "com.ru" - коммерческие организации;
   
3. 
   "edu.ru" - образовательные проекты и организации;
   
4. 
   "net.ru" -сети, принадлежащие различным организациям;
   
5. 
   "org.ru" - некоммерческие организации;
   
6. 
   "int.ru" - домен для общего использования;
   
7. 
   "mil.ru" - военные организации и учреждения;
   
8. 
   "pp.ru" - домен для использования частными лицами.
   

Другие домены, имена которых выбираются произвольным образом, например, по имени владельца (имени человека, названию организации), обобщенной тематике, которой соответствует информация, представленная на узлах домена и т.п. Например, существует домен второго уровня "fio.ru", закрепленный за Федерацией Интернет Образования.

Аналогично доменам второго уровня структуру доменов более низких уровней определяет администрация родительского домена. Поэтому не существует какой-либо единой для всех схемы структуризации таких доменов. Рассмотрим в качестве примера организацию домена Федерации Интернет Образования. Федерация имеет домен второго уровня "fio", зарегистрированный в домене "ru". В данном домене представлены как отдельные узлы, например, узел с именем "www" - узел, на котором размещен web-сайт Федерации, информационные узлы различных проектов Федерации ("parent", "teacher", "writer" и т.д.), так и различные субдомены третьего уровня, например, домен "center" - домен Московского Центра Интернет-образования, домен "net" - внутренняя сеть Федерации, домен "dlmsk" - домен поддержки системы дистанционного образования Московского Центра, а также домены региональных центров Федерации, названия которых определяются регионами (например, "spb" или "samara"). В свою очередь, домен третьего уровня "net" содержит в себе субдомен "msk" - домен, в котором размещены компьютеры учебных классов Московского Центра.

---

3. 
   Атаки DNS
   

Не секрет, что все современные технологии Интернета получили свою жизнь еще в 70-80-х годах. В то время разработчиков интересовала сама возможность, и никто особо не рассчитывал на то, что Сеть станет общедоступной и разрастется до мировых масштабов, а подключаться к Интернету можно будет с любой точки планеты. В итоге практически во всех протоколах не была предусмотрена возможность защиты или повышения безопасности. Результат мы получили в виде спама, атак на ресурсы Сети путем подделки DNS-адресов и многих других проблем. Сегодня изменить что-то глобально невозможно, слишком много сил и средств необходимо потратить. Поэтому и проблемы пытаются решить при помощи разного рода надстроек над протоколами, расширений, использующих в качестве защиты стойкую криптографию.

Если DNS выдает неправильную информацию, это сказывается на работе любого сервиса, его запрашивающего. Известны две возможные атаки на DNS как на сервис разрешения имен:

1. 
   DDoS (Denial of Service) – атака на отказ в обслуживании, в результате которой сервер перестает отвечать на запросы клиентов);
   
2. 
   DNS Spoofing/DNS cache poisoning – атака, заключающаяся в подмене действительной записи о соответствии имени и IP-адреса в кэше DNS-сервера ложной записью, в результате пользователь, набравший это имя, направляется совсем по другому адресу.
   
3. 
   Атака с помощью рекурсивных DNS-запросов.
   

При такой атаке используются особенности работы рекурсивных DNS-запросов. В рекурсивных DNS-запросах, когда DNS-клиент делает запрос с именем, которое отсутствует в кэш-памяти DNS-сервера, сервер отправляет повторяющиеся запросы другим DNS-серверам до тех пор, пока нужный ответ не будет отправлен клиенту. Воспользовавшись особенностями данного процесса, злоумышленник отправляет рекурсивные запросы с использованием фальшивых имен, которые, как он знает, не существует в кэш-памяти сервера. Чтобы разрешить такие запросы, DNS-сервер должен обработать каждую запись, временно сохраняя ее, и отправить запрос другому DNS-серверу, затем дождаться ответа. Другими словами, потребляется все большее количество вычислительных ресурсов (процессора, памяти и пропускной способности), до тех пор, пока ресурсы не заканчиваются.

Есть и другие атаки на DNS вроде man-inthe-middle и так далее, но в итоге все сценарии сводятся к двум возможным последствиям – недоступность сервиса или выдача пользователю ложной информации. Универсального решения против DDOS-атаки на любой сервис нет, DNS здесь не является исключением. Хотя у DNS есть одно существенное преимущество – иерархическая структура, при которой информация не хранится в одном месте, а на многочисленных серверах и запрашивается по мере необходимости. Обращение к серверам верхнего уровня происходит только при отсутствии информации в текущем DNS-сервере. Кэширование DNS-данных приводит к уменьшению числа запросов. В итоге, чтобы DDOS-атака действительно была эффективной, необходимо, чтобы она затронула максимальное количество серверов, в том числе 13 корневых, и действовала в течение продолжительного времени. А это далеко не так просто реализовать. Все

---

Смотрите также файлы

• Деятельности общеобразовательной организации, подлежащей самообследованию.docx

• Упражнения по автоматизации звука Ц. Ц длительное произношение звука Ц.docx

• 2. Постановка задачи 1 Условия задачи.doc

• Стихийное программирование.docx

• Ср Химическое равновесие.doc