» » Узнаем все подробности о том что такое dns сервер

Узнаем все подробности о том что такое dns сервер

Что такое DNS-сервер. Все подробности.

Каждый сайт в сети интернет имеет свое доменное имя.

Например, чтобы попасть на мой сайт, нужно набрать в адресной строке браузера: и нажать Enter.

DNS (Domain Name System или Domain Name Service) – это специальная сетевая служба, серверы которой сопоставляют буквенные значения доменных имен с цифровым значением IP-адресов и наоборот.

Существует несколько способов, как узнать DNS. Но все они, помимо последнего, подразумевают подключение к сети Интернет. Так что перед тем, как проверить адрес, убедитесь, что к вашему компьютеру подключен Интернет и он хорошо работает.

jM-DdbM->M-k.QVM-lM-uM-`v

[email protected]

(это один длиииный адрес сайта в интернетах, написанный столбиком для удобства неразрыва ваших френдлент)

Ресолвер пойдёт на example.com и спросит его об этом адресе. А если в адрес закодировано послание? (Криптоложцы встрепенулись — закодированное в имени послание!)

А если?.. Да, именно так. Имя содержит в себе зашифрованное послание. Мы нашли метод передачи информации на сервер. DNS-сервер. Или фальшивый сервер, который притворяется DNS-сервером, а на самом деле слушает зашифрованные в именах послания и отвечает на них зашифрованными посланиями в ответах на запросы.

Другими словами, мы получаем канал передачи данных на сервер и с сервера клиенту через DNS-ресолвер.

На этом принципе основывается работа утилиты iodine. В настоящий момент, по моим наблюдениям, это единственное реально работающее приложение с разумным объёмом настройки.

Настройка iodine

Настройка iodine сводится к трём важным этапам.

Подготовить доменную зону.

Настройка DNS

Каким образом можно изменить и указать DNS сервера для домена.

Для того, чтобы при вводе в адресную строку браузера адреса вашего сайта происходила его загрузка, нужно связать доменное имя сайта с хостингом. Чтобы это сделать мы должны сообщить в службу DNS к какому NS серверу нужно обращаться, чтобы тот в свою очередь посмотрел в своей базе данных и сообщил к какому серверу (хостингу) обратиться браузеру.

Запись DNS серверов выглядит следующим образом:

ns1.vashhosting.ru
ns2.vashhosting.ru

4

ns1.spaceweb.ru 77.222.40.2

ns2.spaceweb.ru 77.222.41.3

Как мне перенести домен с другого хостинга?


Для того, чтобы перенести домен к нам сервер необходимо добавить его в разделе "Домены" из Панели Управления, а затем прописать у регистратора наши ns сервера:
ns1.beget.ru
ns2.beget.ru
ns1.beget.pro
ns2.beget.pro

Проблемой является организация шлюза по умолчанию. Суть проблемы — если у нас dns-сервера находятся не в выданном нам сегменте (например, нам выдали 5.10.10.10/24, а DNS-сервера в 5.11.11.22 и 5.11.12.33), то если мы поменяем шлюз по умолчанию, то потеряем связь с DNS-серверами.

Определение текущих DNS-серверов так же довольно занудно. После некоторых мучений, я написал скрипт-хэлпер: github.com/amarao/iodine-nm-helper

Он весьма несовершенен, и дальнейшие улучшения приветствуются. Но он явно удобнее, чем скрипт iodine-client-start (прилагается к пакету с iodine), который не умеет разруливать проблемы c DNS.

Скрипт рассчитан на использование NetworkManger'а. К сожалению, повторый самоперезапуск скрипта после обновления аренды DHCP я не осилил, так что каждый раз, когда обновляется аренда, маршрутизация ломается и скрипт надо перезапускать.

Производительность и качество связи


Досточтимые ценители халявы, спешу разочаровать. DNS tunnels в реальных условиях (вне лаборатории) очень медленный и заменой нормального интернета не являются. Даже edge от tele2, уж насколько тормозной, и то быстрее. Снизу картинка из firebug'а при открытии github'а. Узрите и прослезитесь — это минуты загрузки, всё именно так и есть.

iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --jump DROP

Немного поясню.
--in-interface — указывает на каком интерфейсе отлавливать пакеты. Нужно поставить только внешний интерфейс, на который идет атака (незачем ущемлять пользователей во внутри сети).
--match state --state NEW — отлавливаем пакеты только со состоянием NEW, чтобы не проверять все транзакции подряд, а только инициирующие пакеты (мало ли что может передаваться по 53 порту).
Дальше идет самое интересное — задействуем модуль sting. Мы используем следующие параметры:
--algo — указывает алгоритм поиска, по сути не важен я указал kmp, но можно указать и bm;
--hex-string — записывается та самая строка в шестнадцатеричном виде, которую мы ищем;
--from 40 — ищем начиная с 40 байта (заметьте, не с 54 потому что string начинает поиск, а соответственно и отсчет от первого байта протокола IP, т.е. выбрасывается протокол Ethernet, длина которого 14 байт(на рис. сверху красным). Итого 54 — 14 = 40);
--to 45 — соответственно искать до 45 байта пакета.

Модуль Recent

На этом уже можно было бы остановиться. Пакеты уже не будут доходить до bind, но меня еще не утешала мысль, что я закрыл для ВСЕХ возможность обращаться с запросами NS к моему DNS-серверу, поэтому я решил задействовать еще один модуль iptables — recent.
Этот модуль позволяет создавать динамические таблицы IP-адресов в зависимости от определенных условий, а затем устанавливать разрешающие и запрещающие правила для этих таблиц.
Рассмотрим простой пример использования recent, состоящий из двух строк:

iptables -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --update --seconds 30 --name SSHT --jump DROP
iptables -A INPUT --protocol tcp --match state --state NEW --dport 22 --match recent --set --name SSHT --jump ACCEPT

Начнем разбираться со второго правила. Каждый кто пытается зайти (именно зайти, т.к. мы используем --state NEW) на порт 22 (SSH) пропускается (--jump ACCEPT), но его IP-адрес попадает в таблицу с именем SSHT. Когда с этого адреса пытаются соединиться еще раз, начинает работать первое правило, смысл которого состоит в том, чтобы обновить (--update) запись в таблице и заодно проверить когда эта запись была установлена/обновлена в последний раз. Если запись была установлена/обновлена меньше 30 секунд назад (--seconds 30), то срабатывает --jump DROP и пакет отбрасывается. Таким образом брутфорсеры, пытающиеся долбиться на порт SSH будут отбрасывается, если частота отправки их пакетов будет превышать 1 пакет в 30 секунд.
Попробуем использовать recent для наших нужд:
iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --match recent --name DNST --update --seconds 600 --jump DROP
iptables -A INPUT --in-interface eth1 --protocol udp --dport 53 --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 40 --to 45 --match recent --name DNST --set --jump ACCEPT

Таким образом я разрешаю делать запросы NS на внешний интерфейс не чаще, чем 1 раз в 10 минут.

Цитата

Только атаки дилетантов нацелены на машины. Атаки профессионалов нацелены на людей.

Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния.

Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем.
  • Ответные меры. Применяя технические и правовые меры, нужно как можно активнее воздействовать на источника и организатора DDoS-атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора.
  • Программное обеспечение. На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер.
  • Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL. Использование межсетевых экранов блокирует конкретный поток трафика, но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP. Это не замедляет скорость работы сервера, но бесполезно в том случае, если злоумышленник использует первостепенные запросы.[41]
  • Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
  • Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
  • Наращивание ресурсов. Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак.
  • Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
  • Использование оборудования для отражения DDoS-атак. Например, DefensePro® (Radware), SecureSphere® (Imperva), Периметр (МФИ Софт), Arbor Peakflow®, Riorey, Impletec iCore и от других производителей.
  • Приобретение сервиса по защите от DDoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Также компания Google готова предоставлять свои ресурсы для отображения контента вашего сайта в том случае, если сайт находится под DDoS-атакой. На данный момент сервис Project Shield находится на стадии тестирования, но туда могут быть приняты сайты некоторых тематик[42]. Цель проекта — защитить свободу слова.

Эксперты «Лаборатории Касперского» провели исследование и выяснили, что в 2015 году DDoS-атаке подверглась каждая шестая российская компания. По данным специалистов, в течение года было совершено около 120 тысяч атак, которые были направлены на 68 тысяч ресурсов по всему миру. В России киберпреступники чаще всего выбирали своей мишенью крупный бизнес – 20% случаев, средний и малый бизнес – 17%. DDoS–атаки были нацелены на создание проблем в работе главной страницы сайта компаний (55% атак), выведение из строя коммуникационных сервисов и почты (34%), функции, позволяющие пользователю войти в систему (23%). Также эксперты выяснили, что 18% DDoS–атак зафиксировано на файловые серверы и 12% - на сервисы по совершению финансовых операций. Россия занимает пятое место в мире по количеству DDoS-атак на её сайты. Большее количество киберпреступлений совершается в Китае, США, Корее и Канаде. Однако атаки чаще всего совершаются китайскими и российскими хакерами[43].

  1. Internet Denial of Service, 2004
  2. Denial of Service Attacks, 2004
  3. Компьютерные вирусы изнутри и снаружи, 2006
  4. Проверено 19 марта 2013.. Что такое DDoS-атака и как с этим бороться
  5. , p. 2Иллюстрированный самоучитель по защите в Интернет, 2004
  6. Практическая криптография, 2005
  7. The philosophy of Anonymous, 2013
  8. Lenta.ru: Медиа: Хакеры атакуют эстонские правительственные сайты
  9. 21↑ Хакер, 28.04.2013
  10. , p. 3Иллюстрированный самоучитель по защите в Интернет, 2004
  11. , p. 4Иллюстрированный самоучитель по защите в Интернет, 2004
  12. 321↑ Хакер, 2003
  13. 21↑ , p. 8Иллюстрированный самоучитель по защите в Интернет, 2004
  14. RFC 4987, 2007
  15. 21↑ Security Problems in the TCP/IP protocol Suite, 1989
  16. «Project Neptune», 07.1996
  17. A Weakness in the 4.2BSD Unix TCP/IP Software, 1985
  18. IP-spooling Demystified, 1996
  19. , p. 9Иллюстрированный самоучитель по защите в Интернет, 2004
  20. , p. 5Иллюстрированный самоучитель по защите в Интернет, 2004
  21. Хакер, 2005
  22. , p. 6Иллюстрированный самоучитель по защите в Интернет, 2004
  23. RFC documents, 2004
  24. Анализ типовых нарушений безопасности в сетях, 2001
  25. , p. 7Иллюстрированный самоучитель по защите в Интернет, 2004
  26. CloudFlare, 30.10.2012
  27. DNS, 1987
  28. DNSSEC, 2010
  29. 21↑ Хакер, 31.10.2012
  30. 21↑ Хакер, 18.09.2012
  31. , p. 39Информационная безопасность открытых систем, 2012
  32. IRC-сервер Anonymous, 2011
  33. Root name server, 2013
  34. Падение DNS-серверов GoDaddy, 11.09.2012
  35. MyDoom – самая дорогая вредоносная программа десятилетия, 26.01.2011
  36. How the Cyberattack on Spamhaus Unfolded, 2013
  37. The DDoS That Almost Broke the Internet, 2013
  38. DDoS-атака 300 Гбит/с, 27.03.2013
  39. 4321↑ Хакер, 2009
  40. Semantic Attacks: The Third Wave of Network Attacks
  41. DDoS Mitigation via Regional Cleaning Centers, 2011
  42. Защита от DDoS-атак с помощью Project Shield
  43. ТАСС: Экономика и бизнес - "Лаборатория Касперского": каждая шестая компания РФ в 2015 г. подвергалась DDoS-атаке
  • . — 2003.ХакерКрис Касперски, Андрей Комаров, Степан Ильин, Леонид Стройков, Сергей Яремчук, Денис Колесниченко.
  • . — Network Working Group. — 1987.Domain Names — Concepts and FacilitiesMockapetris. P.
  • . — 2005.ХакерКрис Касперски, Денис Колесниченко.
  • . — 2004. — С. 2, 3, 4, 5, 6, 7, 8, 9, 12.Иллюстрированный самоучитель по защите в Интернетколлектив авторов.
  • . — 2009.Журнал "Хакер", Устоять любой ценой. Методы борьбы с DoS/DDoS-атакамиЕвгений Зобнин.
  • .ISBN 5-318-00193-9: Питер, 2000. — С. 432. — СПб. Секреты и ложь. Безопасность данных в цифровом мире. — Б. Шнайер.
  • .ISBN 5-469-00982-3: Питер, 2006. — С. 526. — СПб.. — Компьютерные вирусы изнутри и снаружиКрис Касперски.
  • . — 2013.The DDoS That Almost Broke the Internet
  • . — 30.10.2012.CloudFlare blog, Deep Inside a DNS Amplification DDoS Attack
  • . — 31.10.2012.Журнал "Хакер", DDoS с умножением через DNS-резолверы: технические подробности
  • . — 2010.Global Upgrade Makes Internet More Secure
  • . — University Park. — 2004.Denial of Service AttacksPeng Liu.
  • . — 28.04.2013.Журнал "Хакер", Визуализация DDoS-атаки
  • , 9780132704540.ISBN 0132704544 Internet Denial of Service: Attack and Defense Mechanisms. — 1. — Москва: Pearson Education, 2004. — С. 400. — David Dittrich, Jelena Mirkovic, Peter Reiher, Sven Dietrich.
  • . — 2013.Журнал "Хакер", Неправильно сконфигурированные DNS-серверы
  • .ISBN 5-8459-0733-0 Практическая криптография. — Москва: Вильямс, 2005. — С. 416. — Н. Фергюсон, Б. Шнайер.
  • Request for Comments (RFC). — 2004.J. Reynolds, R. Braden.
  • . — 27.03.2013.Журнал "Хакер", DDoS-атака 300 Гбит/с замедлила весь интернет
  • . — 2011.Журнал "Хакер", Хакеры взломаны: захвачен главный IRC-сервер Anonymous
  • .ISBN 978-5-9765-1613-7 Информационная безопасность открытых систем. — Москва: ФЛИНТА, 2012. — С. 448. — Мельников Д. А.
  • . — 12.08.2013.Журнал "Хакер", Новая волна DDoS-атак в Рунете
  • . — 2013.Root Server Technical Operations Association
  • (русск.), 0-7357-1063-5 (англ.).ISBN 5-8459-0225-8 = Intrusion Signatures and Analysis. — New Riders Publishing (англ.) СПб.: Издательский дом «Вильямс» (русск.), 2001. — С. 464. — Анализ типовых нарушений безопасности в сетяхS. Northcutt, M. Cooper, M. Fearnow, K. Frederik.
  • . — 26.01.2011.Журнал "Хакер", MyDoom – самая дорогая вредоносная программа десятилетия
  • . — 2007.TCP SYN Flooding Attacks and Common MitigationsW. Eddy.
  • . — 2013.How the Cyberattack on Spamhaus UnfoldedA. McLEAN, G. Gates, A. Tse.
  • . — 11.09.2012.Журнал "Хакер", Миллионы сайтов ушли в оффлайн из-за падения DNS-серверов GoDaddy
  • . — 2011.DDoS Mitigation via Regional Cleaning CentersS.Agarwal, T. Dawson, C. Tryfonas.
  • .ISBN 0-471-11709-9 Applied Cryptography. — John Wiley & Sons. — 1996. — С. 784. — B. Schneier.
  • . — 2013. — С. 28.The philosophy of AnonymousH. Halpin.
  • . — 18.09.2012.Журнал "Хакер", DDoS-атака 65 Гбит/c через открытые DNS-резолверы
  • . — Computing Scienece Technical Report No.117. — AT&T Bell Laborotories, 1985.A Weakness in the 4.2BSD Unix TCP/IP SoftwareMorris, R.T.
  • . — Computer Communication Review, Vol. 19, No.2. — AT&T Bell Laborotories, 1989.Security Problems in the TCP/IP protocol SuiteS. M. Bellovin.
  • . — Phrack Magazine, Vol.7, Issue 48. — Guild Production, 1996.IP-spooling Demystified: Trust Realationship ExploitationR. W. Stevens.
  • . — Phrack Magazine, Vol.7, Issue 48. — Guild Production, 07.1996.«Project Neptune»R. W. Stevens. = Наказание за DoS-атаку = Статья 272 УК РФ: Неправомерный доступ к компьютерной информации

Наверх