Итак, DNS – это что-то вроде адресной книги для Интернета, но как она работает?
Каталог DNS не расположен в одном физическом месте или даже в одном уголке обширного Интернета. Он распространяется по всему миру и хранится на множестве различных серверов, которые взаимодействуют друг с другом для регулярного предоставления обновлений, информации и резервирования.
Информация DNS распределяется между различными серверами, но она также кэшируется локально на отдельных компьютерах и устройствах. Это избавляет компьютеры пользователей от необходимости каждый раз запрашивать у сервера имен часто используемые IP-адреса. Результатом является гораздо большая эффективность.
В целом, существует четыре различных DNS-сервера, участвующих в загрузке веб-страницы (при условии, что она еще не кэширована на компьютере или устройстве пользователя):
- DNS-рекурсор. Этот сервер похож на библиотекаря, которому поручено найти определенную книгу в библиотеке. Этот сервер специально предназначен для обработки запросов непосредственно с клиентских компьютеров через веб-браузеры (и другие подобные приложения).
- Корневой сервер имен. Этот сервер преобразует удобочитаемые имена хостов – веб–URL-адреса — в IP-адреса. По сути, это переводчик.
- Сервер имен TLD. Этот сервер отвечает за категоризацию веб-сайтов в зависимости от их типа. Это последняя часть доменного имени. Различные TLD включают .com, .org, .net и т. д.
- Авторитетный сервер имен. Четвертым и последним сервером, участвующим в загрузке веб-страницы, является авторитетный сервер имен. Если этот сервер имеет доступ к записи, запрашиваемой запросом пользователя, IP-адрес будет передан DNS-рекурсору, который сделал исходный запрос.
Распространенные DNS-атаки
По большей части DNS безупречно работает в фоновом режиме. Однако он существует уже несколько десятилетий, и хакеры постоянно находят способы скомпрометировать базовую систему (которая никогда не разрабатывалась с учетом соображений безопасности). Вот некоторые распространенные атаки, которые мы наблюдаем:
- Атаки с отражением. Этот тип атак перегружает пользователей сообщениями большого объема непосредственно с серверов распознавания DNS. Злоумышленники запрашивают массивные файлы у всех открытых распознавателей, используя поддельный IP-адрес своей жертвы. Как только распознаватели отвечают, жертва получает бесконечный поток не запрошенных данных, который перегружает ее компьютер.
- Исчерпание ресурсов. Как следует из названия, эти атаки работают путем засорения инфраструктуры DNS интернет-провайдеров. Это блокирует доступ пользователей к сайтам в Интернете.
- Заражение кэша. Этот тип атаки перенаправляет пользователей с предполагаемого места назначения на вредоносные веб-адреса. Злоумышленник делает это, вводя в систему ложные записи адресов. Как только пользователь попадает на один из этих поддельных веб-сайтов, его можно обманом заставить предоставить конфиденциальную информацию.