Как работает карта днс
Перейти к содержимому

Как работает карта днс

  • автор:

Что такое DNS-сервер

DNS — (Domain Name System или система доменных имён) это стандарт, который позволяет представлять адреса в сети не в виде набора цифр, а в виде буквенного названия сайта. Людям гораздо проще запомнить и ввести адрес, например, tendence.ru вместо IP 91.232.243.105. Для компьютеров же наоборот, адреса должны быть представлены в числовом виде. Посредником, выполняющим преобразование из одной формы в другую, и выступает DNS.

DNS-серверы — это специальные машины, с которыми мы ежедневно связываемся, используя интернет. Задача DNS состоит в том, чтобы хранить связи между доменными именами и IP-адресами, сопоставленными с ними. Запрашивая в браузере сайт по адресу домена, мы обращаемся к какому-либо из DNS-серверов. Он определяет IP-адрес и возвращает его браузеру или другой программе, чтобы те могли подключиться к нужному сайту.

Принцип работы DNS похож на телефонную книгу в смартфоне. Необязательно запоминать номер телефона, достаточно сопоставить номер с контактом и находить нужного человека по имени. DNS-сервер является для пользователей такой же «адресной книгой», позволяя запоминать только название сайта.

Как работает DNS-сервер

DNS-сервер: как он работает

DNS-серверы в сети поддерживают в большинстве случаев хостинг-провайдеры и интернет-провайдеры. При запросе доменного имени к DNS-серверу от пользователя он в первую очередь ищет ответ в своём локальном кэше. Если искомых данных там не обнаружено, он транслирует запрос к вышестоящим серверам пока не получит в ответ адрес сервера, обслуживающего искомый домен (авторитетный сервер). Повторив запрос к авторитетному серверу, DNS получает окончательный ответ и передаёт его пользователю. Полученные данные о зоне сохраняются в памяти DNS-сервера (кэше) для того, чтобы при повторном обращении предоставить её быстрее.

Какие бывают DNS-серверы

Master и Slave серверы

DNS-серверы делятся на ведущие (Master) и ведомые (Slave). Изменения в доменной зоне с ведущих серверов копируются на ведомые, но не наоборот. На запросы пользователей к зоне и ведущие и ведомые серверы отвечают одинаково. Поэтому в случае выхода из строя любого количества DNS-серверов кроме одного, зона продолжит функционировать — пока существует хоть одна её рабочая копия.

Авторитетные и кэширующие серверы

Иерархия DNS начинается с корневых серверов. Корневые серверы хранят информацию о самой высшей, «корневой» доменной зоне всего интернета. В них поддерживаются данные о доменах верхнего уровня (TLD — Top Level Domains): .RU, .COM, .NET, .ORG и других, от них же можно получить список DNS-серверов каждого из доменов TLD. Для обеспечения отказоустойчивости более 1700 корневых серверов размещено в разных странах по всему миру и управляется 12 различными организациями.

Авторитетные для своей зоны серверы хранят ресурсные записи для неё и отвечают на запросы пользователей. Именно они в конечном счёте ответственны за преобразование имён в IP-адреса в своём домене. Если в сети не останется авторитетных для домена серверов, он не будет работать. Корневые серверы являются частным случаем авторитетных.

Кэширующие DNS-серверы самостоятельно не поддерживают доменных зон, но при обращении к ним пользователя запрашивают нужные зоны у корневых серверов, дают ответ и кэшируют зону у себя. Это позволяет сократить нагрузку на корневые серверы и уменьшить время отклика на запрос. Также их называют рекурсивными серверами, так как запрос пользователя они переадресуют к авторитетным серверам.

Доменные зоны

На DNS-сервере вся информация об именах домена хранится в одном текстовом файле. Содержимое такого файла называется зоной домена. В ней описаны все существующие имена для этого домена и их значения. Такие пары имя-значение получили название «ресурсные записи». Различные ресурсные записи предназначены для хранения значений разных типов.

Ресурсные записи

Существует множество различных типов ресурсных записей для разных целей. Наиболее часто используются следующие:

  • A-запись — адресная запись, возвращает IPv4-адрес сервера. Именно она в большинстве случаев отвечает за преобразование доменного имени в IP-адрес при обращении к сайту.
  • AAAA-запись — аналогичная предыдущей адресная запись, возвращающая адрес сервера по новому протоколу IPv6. Несмотря на дефицит IP-адресов привычной четвертой версии широкого распространения IP шестой версии пока не получил, поэтому обычно такие записи создаются в дополнение к основной A-записи.
  • MX-запись — Mail eXchanger, точка обмена почтой или запись, указывающая на размещение почтового сервера домена, который обрабатывает электронную почту. Если MX-запись в зоне домена не указана, отправить Email на его адреса невозможно.
  • TXT-запись — произвольная текстовая запись, имеющая отношение к домену. В ней могут храниться, например, проверочные коды для подтверждения домена при добавлении в какой-либо сервис или при выпуске SSL-сертфиката. Также в ресурсных TXT-записях хранятся криптографические ключи домена DKIM, политики SPF и DMARC.
  • CNAME-запись — Сanonical Name, каноническое имя хоста или фактически ссылка с одного имени на другое. Если множество доменных имён должно указывать на один и тот же IP-адрес, вместо многократного указания одинаковых сопоставлений A-записи удобнее указать CNAME как ссылку второго и последующего имён на первое. Часто применяется для www-имени почти всегда указывающего на корневую запись домена. При переезде сервера на другой IP-адрес достаточно изменить его только у A-записей, чтобы все указывающие на них CNAME обновились.
  • PTR-запись — PoinTeR или запись-указатель. Применяется для обратного преобразования IP-адреса в доменное имя. Необходимая запись для почтового сервера, без неё большинство других серверов электронной почты в сети откажутся принимать сообщения от него с ошибкой No PTR records found или подобной. В отличие от других записей, настраиваемых владельцем домена, PTR указывается в обратной зоне DNS владельцем IP-сети. Как правило, это хостинг или интернет-провайдер.
  • SRV-запись — SeRVice или запись о службе. Позволяет определить не только IP-адрес сервиса, но и протокол, порт, время жизни, приоритет, вес и некоторые другие характеристики для подключения к нему. Может использоваться для указания на серверы SIP-телефонии, сервисы мгновенного обмена сообщениями XMPP и другие.
  • NS-запись — Name Server или запись о сервере имён указывает на DNS-серверы, обслуживающие эту доменную зону. Указанные в NS-записях хосты хранят копию доменной зоны и отвечают на запросы к ней.
  • SOA-запись — Start Of Authority содержит административную информацию о зоне. В частности здесь содержатся даты последних изменений в ней (серийный номер зоны), данные о допустимом времени жизни полученных от неё ответов (TTL — Time To Live), адрес ведущего (Master) DNS-сервера и адрес электронной почты ответственного лица.

ПО DNS-серверов

Программное обеспечение DNS-серверов представлено в основном решениями с открытым исходным кодом. К ним относятся:

  • BIND — наиболее распространённый сервер. Большинство корневых серверов интернета работают под его управлением.
  • PowerDNS — сервер, разработанный для высоконагруженных проектов.
  • NSD — сервер доменных имён реализующий функционал только авторитетного сервера и разработанный с особым вниманием к безопасности.

Пропиентарным коммерческим DNS-сервером является Microsoft DNS. Он поставляется в составе операционной системы Windows Server и применяется в основном внутри корпоративных локальных сетей для поддержания работы службы каталогов Active Directory и других служб Microsoft.

Заключение

DNS-серверы — становой хребет известного нам сегодня интернета. Без них привычное нам пользование сетью было бы невозможно. При выходе из строя системы доменных имён передать что-то даже через работающие линии связи в большинстве случаев будет крайне затруднительно, если вообще получится. Экономика любой развитой страны понесёт значительные убытки, если DNS хотя бы частично перестанет работать.

Хостинг-провайдер Tendence.ru бесплатно представляет 3 авторитетных географически распределённых DNS-сервера для отказоустойчивой поддержки доменных зон и бесперебойного функционирования бизнеса заказчиков.

Эксперт-рецензент: Александр Злобин

При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт Tendence.ru обязательна!

Как работает карта днс

Ежедневно с 10 до 22

Цифровой супермаркет

DNS – один из лидеров цифрового ритейла России. В 1998 году компания открыла свой первый компьютерный магазин в городе Владивосток. На сегодняшний день работает более чем 1200 супермаркетов в 400 городах России.
Сеть магазинов цифровой и бытовой техники DNS предлагает услуги, которыми Вы можете воспользоваться, приобретая цифровую технику. Данный сервис поможет Вам сэкономить время на установку необходимого программного обеспечения для ноутбуков, ПК, планшетов и смартфонов. Cпециалисты быстро и качественно настроят устройство, чтобы Вы получили максимальный функционал и приступили к использованию сразу после покупки!

  • Автозаводцев, 65, Миасс
  • +7 (3513) 28-98-18
  • Политика конфиденциальности
  • Обработка персональных данных
  • Кинотеатр
  • +7 (3513) 28-98-18

Passive DNS в руках аналитика

Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.

В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:

  • Доменное имя
  • IP-адрес запрошенного доменного имени
  • Дату и время ответа
  • Тип ответа
  • и т.д.

Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.

image

Рисунок 1. Passive DNS (взят с сайта Ctovision.com)

Особенность Passive DNS заключается в отсутствии необходимости регистрировать IP-адрес клиента, что позволяет защитить конфиденциальность пользователей.

На данный момент существует множество сервисов, предоставляющих доступ к Passive DNS данным:

DNSDB VirusTotal PassiveTotal Octopus SecurityTrails Umbrella Investigate
Компания Farsight Security VirusTotal Riskiq SafeDNS SecurityTrails Cisco
Доступ По запросу Не требует регистрации Свободна регистрация По запросу Не требует регистрации По запросу
API Присутствует Присутствует Присутствует Присутствует Присутствует Присутствует
Наличие клиента Присутствует Присутствует Присутствует Отсутствует Отсутствует Отсутствует
Начало сбора данных 2010 год 2013 год 2009 год Отображает только последние 3 месяца 2008 год 2006 год

Таблица 1. Сервисы с доступом к Passive DNS данным

Варианты использования Passive DNS

Используя Passive DNS можно отстраивать связи между доменными именами, NS серверами и IP-адресами. Это позволяет строить карты исследуемых систем и отслеживать изменения такой карты от первого обнаружения до текущего момента.

Также Passive DNS облегчает выявления аномалий в трафике. Например, отслеживания изменений в NS зонах и записях типа A и AAAA позволяет выявлять вредоносные сайты, использующие метод fast flux, призванный скрыть C&C от обнаружения и блокировки. Поскольку легитимные доменные имена (за исключением тех, которые используются для распределения нагрузки) не будут часто менять свои IP-адреса, а большинство легитимных зон редко меняют свои NS сервера.

Passive DNS в отличие от прямого перебора поддоменов по словарям позволяет найти даже самые экзотические доменные имена, например “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. Также это иногда позволяет найти тестовые (и уязвимые) области веб-сайта, материалы для разработчиков и т.п.

Исследование ссылки из письма, используя Passive DNS

На данный момент спам является одним из основных способов, через который злоумышленник проникает на компьютер жертвы или крадет конфиденциальную информацию. Попробуем исследовать ссылку из такого письма, используя Passive DNS, чтобы оценить эффективность данного метода.

image

Рисунок 2. Спам письмо

Ссылка из данного письма вела на сайт magnit-boss.rocks, который предлагал в автоматическом режиме собирать бонусы и получать деньги:

image

Рисунок 3. Страница, размещенная на домене magnit-boss.rocks

Для исследования данного сайта был использован API Riskiq, который уже имеет 3 готовых клиента на Python, Ruby и Rust.

Первым делом узнаем всю историю данного доменного имени, для этого воспользуемся командой:

pt-client pdns —query magnit-boss.rocks

Данная команда выдаст информацию о всех DNS резолвах, связанных с этим доменным именем.

image

Рисунок 4. Ответ от API Riskiq

Приведем ответ от API к более наглядному виду:

image

Рисунок 5. Все записи из ответа

Для дальнейшего исследования были взяты IP-адреса, в которые данное доменное имя резолвилось на момент получения письма 01.08.2019, такими IP-адресами являются следующие адреса 92.119.113.112 и 85.143.219.65.

pt-client pdns —query

можно получить все доменные имена, которые связаны с данными IP-адресами.
IP-адрес 92.119.113.112 имеет 42 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:

  • magnit-boss.club
  • igrovie-avtomaty.me
  • pro-x-audit.xyz
  • zep3-www.xyz
  • и др

Ip-адрес 85.143.219.65 имеет 44 уникальных доменнных имени, которые резолвились в данный IP-адрес, среди которых имеются такие имена:

  • cvv2.name (сайт для продажи данных кредитных карт)
  • emaills.world
  • www.mailru.space
  • и др

Связи с данными доменными именами наводят на фишинг, но мы же верим в добрых людей, поэтому попытаемся получить бонус в размере 332 501.72 рублей? После нажатия на кнопку “ДА”, сайт просит нас перевести 300 рублей с карты для разблокировки счета и отправляет нас на сайт as-torpay.info для ввода данных.

image

Рисунок 6. Главная страница сайта ac-pay2day.net

С виду легальный сайт, есть https сертификат, да и главная страница предлагает подключить данную платежную систему к своему сайту, но, увы, все ссылки на подключение не работают. Данное доменное имя резолвится только в 1 ip-адресс — 190.115.19.74. Он в свою очередь имеет 1475 уникальных доменнных имен, которые резолвились в данный IP-адрес, среди которых такие имена как:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com
  • и др

Как мы можем видеть Passive DNS позволяет достаточно быстро и эффективно собрать данные о исследуемом ресурсе и даже построить своеобразные отпечаток, позволяющий раскрыть целую схему по краже персональных данных, от его получения до вероятного места продажи.

image

Рисунок 7. Карта исследуемой системы

Не все так радужно, как бы нам хотелось. К примеру, такие расследования легко могут разбиться о СloudFlare или подобные сервисы. А эффективность собираемой базы очень зависит от количества DNS запросов проходящих через модуль для сбора Passive DNS данных. Но тем не менее Passive DNS является источником дополнительной информации для исследователя.

Автор: Специалист Уральского центра систем безопасности

Подарочная карта DNS 3000 рублей

Подарочная карта DNS 3000 рублей

Подарочные карты DNS предоставляют право на приобретение товаров в магазинах сети. Приобрести товар с использованием Подарочной карты может как сам приобретатель подарочной карты, так и иное лицо, которому приобретатель подарочной карты передал карту и уведомил его о данных правилах продажи и использования Подарочной карты DNS. Оплатить товар с помощью подарочной карты могут только физические лица. В случае утраты подарочная карта не восстанавливается.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *