serviciul dns
DNS caracteristici distinctive:
- controlul descentralizat
- arbore ierarhic Domeniu de stocare Structura
- nume lipsite de ambiguitate
- posibilitatea de a adăuga noi domenii
componente DNS
nameserver
Un caz special este considerat Nameserver doar pentru cache. În acest caz, nameserver nu este responsabil pentru zonele și trebuie să trimită toate cererile la următoarea Nameserver'a. Pentru a face acest lucru, există mai multe strategii:
delegare
O parte a unui nume de domeniu sunt adesea situate pe subdomeniile cu special responsabil pentru acest Nameserver'ami. Nameserver un domeniu responsabil Nameserver'a cunoaște aceste subdomeniile datele sale de zonă și delegații solicită pentru această parte subordonată a unui nume de domeniu pe nameserver.
În acest caz, în cazul în care partea de nume de domeniu solicitat se află în afara domeniului propriu, cererea este transmisă pe Nameserver'am configurabil.
server de primar
Structura bazei de date DNS
DNS poate fi înțeleasă ca o bază de date distribuită cu o structură arborescentă. datele DNS sunt în locații de servere din întreaga lume care sunt sincronizate între ele folosind anumite protocoale.
Fiecare stochează server de unul sau mai multe înregistrări - așa-numita zonă - care conțin toate datele relevante. Cu aceste date vorbim despre înregistrările despre resurse. Foarte mare importanță 7 tipuri de înregistrări:
Cu noile tipuri de înregistrări, prin care au implementat extinderea bazei de date DNS au fost dezvăluite în timp. Acest proces nu este încă completă.
extinderea DNS
Deoarece baza de date cu DNS dovedit fiabil și flexibil, într-o serie de modificări semnificative au avut loc timp de mai mulți ani. Sfârșitul acestor modificări nu este încă în vedere.
DNS dinamice
internaționalizare
Codificarea în numele de domeniu a fost limitat la alfabetul latin, ca DNS (cum ar fi Internet, în general) a fost dezvoltat în Statele Unite. Cu toate acestea, la DNS nu a fost proiectat multe litere și simboluri utilizate în mod obișnuit în alte țări - de exemplu, treme # 228;, # 246;, # 252; și # 223; în țările vorbitoare de limbă germană sau caractere din toate celelalte sisteme de scriere (de exemplu, chineză).
DNS în rețeaua locală
În firmele mari și companiile care se constată adesea sistem mixt, așa-numitul split-DNS, format din local și Internet DNS. Utilizatorii la distanță funcționează la nivel local sau extern cu Internet-DNS. În practică, acest lucru poate provoca unele dificultăți.
BIND DNS-server poate rula în combinație cu DHCP și permite fiecărui client să lucreze cu numele de domeniu de rețea.
Pentru utilizatorii de Windows, există un alt program - WINS, care are aceleași caracteristici ca și BIND, dar utilizează un protocol diferit.
DNS-server Compusul
Securitate DNS
DNS - este componenta centrală a infrastructurii tehnologiei informației aferente rețelei. Pagubele pot implica costuri considerabile și denaturarea datelor DNS originale. Pe parcursul celor zece ani după specificațiile inițiale sunt adăugate la caracteristicile de securitate DNS.
Cunoscut următoarele metode:
Când TSIG (Transaction Semnăturile) vorbim despre doar bazată pe o metodă cheie simetrică, în care traficul între DNS-servere si versiuni actualizate ale clientului este protejat.
Când DNSSEC (DNS Security) utilizat Criptosistem asimetric care îndeplinește aproape toate cerințele de protecție DNS. Împreună cu un server de link către server este stocat de comunicare client-server.
atacurile forme
Scopul principal al DNS-atacuri este de a folosi manipularea directă de eroare DNS de pe pagina Web de utilizator, doar pentru a obține parole, coduri, numere de card de credit, etc. În cazuri rare, ei încearcă să dezactivați complet Internet-DNS prin atacuri DOS (de exemplu, atacuri, provocând o negare completă de servicii), și, astfel, paraliza pe Internet. În plus, DNS poate fi folosit pentru a intensifica atacurile direcționate asupra persoanelor fizice sau juridice.
Atacurile DDoS asupra Nameserver
Atunci când atac DDoS (Distributed-Denial-of-Service-Atac) DNS DNS-supraîncărcat flux mare de interogări, astfel încât cererile legitime nu pot fi îndeplinite. În prezent, nu există nici o protecție împotriva atacurilor DDOS asupra Nameserver'y. Ca măsură de precauție, puteți încerca să setați dimensiunea Nameserver'a sau de a instala o rețea de mai multe servere distribuite. În orice caz, acest tip de atac necesită o investiție uriașă, deoarece trebuie să ia rost de acest sistem de puternic ca server în sine, care este foarte dificil de implementat. Atunci când astfel de atacuri sunt adesea folosite boti.
Atac interogări recursive (DNS Amplification Attack)
DNS-Spoofing
În acest atac utilizatorul ca răspuns la solicitarea este trimis împreună cu IP fals răspuns corect. din cauza a ceea ce utilizatorul primeste pe greșit pagina web.
Cache intoxicaţie
Ca răspuns la o cerere de utilizator, în plus față de răspunsul corect manipulată transmis datele pe care utilizatorul primește în cache-ul său și de a folosi mai târziu, probabil netestat.
Deschideți DNS-server
precauție suplimentară - pentru a permite introducerea din exterior date numai UDP. ICCP DP poate fi, de asemenea, făcute. Cu toate acestea, aceasta variază de la proxy proprietate.