Обнаружена опаснейшая уязвимость в windows dns server

Содержание:

Проблемы с безопасностью
Next-Generation DNS
Дополнительная информация
Ключевые характеристики DNS
Что такое DNS-зона?
История
Что такое публичный DNS-сервер?

Проблемы с безопасностью

Первоначально проблемы безопасности не были основными соображениями при разработке программного обеспечения DNS или любого программного обеспечения для развёртывания в раннем Интернете, поскольку сеть не была открыта для широкой общественности. Однако рост Интернета в коммерческом секторе в 1990-х годах изменил требования к мерам безопасности для защиты целостности данных и аутентификации пользователей.

Несколько уязвимостей были обнаружены и использованы злоумышленниками. Одной из таких проблем является отравление кэша DNS, в котором данные распространяются на кэширующие преобразователи под предлогом того, что они являются авторитетным сервером происхождения, тем самым загрязняя хранилище данных потенциально ложной информацией и длительными сроками действия (время жизни). Впоследствии, запросы легитимных приложений могут быть перенаправлены на сетевые хосты, контролируемые злоумышленником.

DNS-ответы ранее не имели криптографической подписи, что давало возможность для множества вариантов атаки. Современные расширения системы безопасности доменных имен (DNSSEC) изменяют DNS, чтобы добавить поддержку криптографически подписанных ответов. Другие расширения, такие как TSIG, добавляют поддержку криптографической аутентификации между доверенными одноранговыми узлами и обычно используются для авторизации передачи зоны или операций динамического обновления.

Некоторые доменные имена могут использоваться для достижения эффектов спуфинга. Например, paypal.com и paypa1.com — это разные имена, но пользователи могут не различать их в графическом пользовательском интерфейсе в зависимости от выбранного шрифта пользователя. Во многих шрифтах буква l и цифра 1 выглядят очень похожими или даже идентичными. Эта проблема остро стоит в системах, которые поддерживают интернационализированные доменные имена, поскольку многие коды символов в ISO 10646 могут отображаться на типичных экранах компьютеров. Эта уязвимость иногда используется в фишинге.

Для подтверждения результатов DNS также могут использоваться такие методы, как обратный DNS с подтверждением прямых записей, но криптографически достоверными они не являются; при этом не учитывается вариант подмены маршрутной информации (англ. BGP hijacking).

Next-Generation DNS

DNS can be more than just a routing mechanism connecting hostnames with IPs. Advanced DNS solutions leverage the DNS infrastructure for new use cases:

Multi CDN — dynamically selecting one of several CDNs to give each user and optimal experience
Global server load balancing (GSLB) — routing connections intelligently between data centers distributed around the world
Geographical routing — routing users to the network resource that is physically nearest to them
Cloud migration — integrating between on-premise data centers and the cloud and copying or synchronizing data at large scale
Internet traffic management — routing traffic intelligently using information about resource readiness, load and network conditions, to dramatically improve performance

These capabilities are made possible by next-generation managed DNS servers that are able to intelligently route and filter traffic. Learn more about NS1’s intelligent DNS platform and take DNS to the next level.

Дополнительная информация

Есть еще множество нюансов, касающихся описания доменов. Но чтобы облегчить для начинающего изучение новой темы, мы избежали их. Однако, для общего понимания тематики рекомендуем вам ознакомиться еще с несколькими важными деталями:

Мы говорили о доменах с адресами, включающими в себя четыре числа. Они относятся к стандарту IPv4 и могут обслужить ограниченное количество устройств: 4 294 967 296. Да, более четырех миллиардов компьютеров – это немало, но технологический прогресс стремителен и устройства, подключаемые к Интернету, приумножаются с каждым днем. Это привело к нехватке адресов. Во избежание данной проблемы были внедрены новые IPv6 – адреса с шестью числами, которые в DNS-зоне обозначаются, как AAAA. Благодаря новому стандарту, IP-адреса смогут получить значительно больше компьютеров.
Чтобы повысить продуктивность и надежность сайта, одно доменное имя привязывают к нескольким адресам. Как правило, при запросе страницы DNS-сервера выдают IP в непроизвольном порядке.
Один и тот же IP-адрес может быть связан с несколькими доменами. Вообще, это никак не отвечает принципам DNS, где предполагается однозначная связь айпи с доменом. Но, как мы уже упоминали выше, адресов IPv4 уже не хватает на все существующие сегодня интернет-устройства, и приходится экономить. На деле это выглядит так: на сервере с определенным IP-адресом размещают несколько мелких веб-ресурсов с разными доменами, но с одинаковыми адресами. Получая запрос, обслуживающий сайты компьютер обрабатывает запрашиваемый домен и отсылает пользователю нужный веб-ресурс.

Ключевые характеристики DNS

DNS обладает следующими характеристиками:

Распределённость администрирования. Ответственность за разные части иерархической структуры несут разные люди или организации.
Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности, и (возможно) адреса корневых DNS-серверов.
Кэширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть.
Иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам.
Резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов.

DNS важна для работы Интернета, так как для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла hosts, который составлялся централизованно и автоматически рассылался на каждую из машин в своей локальной сети. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

Что такое DNS-зона?

Выше мы привели самый простой пример соответствия IP-адреса домену, которое происходит по такой схеме: одно доменное имя – один ресурс – один адрес. Тем не менее, к единственному домену, кроме сайта, одновременно может относиться и почтовый сервер, адресуемый уже другим айпи. В данном случае нельзя не упомянуть о поддоменах, про которые мы писали раньше. Простой пример поддомена популярного в России почтового сервиса: mail.yandex.ru.

И веб-ресурс, и почта могут иметь по несколько IP-адресов – это делается с целью повышения их надежности и обеспечения быстродействия. DNS-зона – это содержимое файла, в котором прописаны связи между доменами и IP-адресами. Она содержит следующую информацию:

А – адрес «сайта» домена.
MX – адрес «почтового сервера» того же домена.
CNAME – синоним домена. То есть, доменный адрес www.yavanya.com – синоним yavanya.com и, введя в браузере запрос без «www», вас все равно перенаправит на сайт.
NS – в данной записи содержатся домены DNS-серверов, обслуживающих конкретный домен.
TXT – тут может содержаться любое примечание в текстовом формате.

Это сокращенный список, включающий в себя основные поля DNS-зоны.

История

Основатели компании в 1990-х годах занимались компьютерным бизнесом: сборкой и продажей ПК, системной интеграцией. В 1998 году после дефолта они решили переориентироваться с обслуживания корпоративных клиентов на розничную торговлю. Была основана компания DNS (Digital Network System) и открыт первый магазин во Владивостоке, в одном из помещений которого велась сборка компьютеров.

С 2005 года компания начинает развивать торговую сеть, открывая свой второй магазин в Находке. В том же году DNS выходит за пределы Приморского края, третий магазин сети появляется в Хабаровске. В 2006 году открывается магазин в Иркутске, в — магазины в Комсомольске-на-Амуре, Благовещенске, Томске и Абакане. В течение —2009 годов открыты магазины в Чите, Новосибирске, Красноярске, Екатеринбурге, Челябинске, Ростове-на-Дону, Южно-Сахалинске. Одновременно с развитием в новых регионах расширяется уже существующая сеть в регионах присутствия.

В 2010 году филиальная сеть компании состояла из более чем 100 магазинов в 28 городах России, в которых было занято более 1,5 тыс. сотрудников. На начало 2011 года было открыто более 185 магазинов в 60 городах России, численность коллектива составила более 3,5 тыс. сотрудников. Компания к этому времени начала экспансию в столичный регион (Москва, Подмосковье), продолжая развиваться в Сибири и на юге страны. На июль 2013 года открыто более 700 магазинов в более чем 200 городах России.

В 2012 году в городе Артём Приморского края начал работать построенный DNS завод, рассчитанный на сборку 1,5 млн компьютеров и ноутбуков в год. По итогам того же 2012 года выручка компании составила 86,4 млрд руб., что позволило ей занять 60-е место в рейтинге 200 крупнейших частных компаний России 2013 года журнала Forbes.

Параллельно сети магазинов DNS её владельцы начали развивать сеть электронных дискаунтеров TechnoPoint, включающую магазины-склады, заказы в которых делаются через интернет или электронные терминалы. Филиалы сети работают в 20 городах России, преимущественно на Дальнем Востоке и в Сибири.

В апреле 2014 года DNS приобрела петербургскую сеть магазинов компьютерной техники «Компьютерный мир».

В марте 2019 года DNS выкупила петербургскую торговую сеть «Кей».

Что такое публичный DNS-сервер?

В приведенном выше сценарии мы ссылались на «запрашивающего”. Что же это может значить?

Почти во всех случаях запрашивающим будет являться то, что мы называем «публичный DNS-сервер». Этот сервер настроен на отправку запросов другим серверам. По сути, это посредник для пользователя, который кэширует предыдущие результаты запроса для повышения скорости и знает адреса корневых серверов, способных преобразовать запросы, сделанные для данных, информацией о которых он уже не владеет.

Как правило, пользователь будет иметь несколько публичных DNS-серверов, настроенных на их компьютерной системе. Публичные DNS-серверы обычно предоставляются ISP или другими организациями. Например, Google предоставляет публичные DNS-сервера, которые вы можете запросить. Они могут быть настроены на вашем компьютере автоматически или вручную.

При вводе URL в адресной строке браузера ваш компьютер прежде всего проверяет, может ли он найти, где находится ресурс, на локальном уровне. Он проверяет «узлы» файлов на компьютере и других местах. Затем он отправляет запрос на публичный DNS-сервер и ожидает получить обратно IP-адрес ресурса.
Затем публичный DNS-сервер проверяет свой кэш на наличие ответа. Если он не найдет то, что необходимо, он проделает шаги, указанные выше.

Публичные DNS-серверы по сути сжимают процесс отправки запроса для конечного пользователя. Клиенты просто должны не забывать спрашивать публичный DNS-сервер, где находится ресурс, и быть уверенными, что они найдут окончательный ответ.