Днс это расшифровка: ДНС | это… Что такое ДНС?

LLHOST INC. | Что такое DNS-сервер и как выбрать наиболее подходящий вид ДНС-сервера

Аббревиатура DNS расшифровывается как Domain Name System. Сервер DNS — это технология, позволяющая браузеру найти IP-адрес по имени и загрузить сайт.

Что такое DNS-сервер и для чего он используется

DNS-сервер представляет собой место хранения IP-адресов сайтов. Когда пользователь набирает в строке браузера символы названия сайта, сервер ДНС конвертирует доменное имя в IP-адрес и предоставляет доступ к сайту. Также DNS-сервер кэширует данные. Если пользователь уже обращался к определенному сайту, DNS-сервер узнает IP-адрес и сайт открывается быстрее.

Когда появились DNS-серверы и где они находятся

Впервые ДНС-серверы появились в начале 1980-ых годов в Америке. Изначально существовало 13 основных или корневых DNS-серверов. Со временем инфраструктура DNS расширилась на все континенты. Чтобы повысить устойчивость и снизить уровень нагрузки на корневые серверы, были созданы их копии или “зеркала”.

Сегодня в мире работают сотни ДНС-серверов, большая часть которых расположена в Европе (35%) и Северной Америке (32%). Чем интенсивнее мы пользуемся Интернетом, тем больше ДНС-серверов требуется для обслуживания запросов.

На что следует обратить внимание при выборе ДНС-сервера

При выборе ДНС-сервера, учитывайте его назначение и ваши потребности. ДНС-серверы выполняют следующие задачи:

• содержат базу IP-адресов и доменных имен, занимаются делегированием разрешений другим DNS-серверам в сети;
• занимаются сопряжением IP-адресов с поддоменами и хостами, для которых имеются полномочия у ДНС-сервера.

 

Первую задачу выполняют провайдеры, которые размещают ДНС базы данных в центрах обработки данных. Вторую задачу выполняют корневые серверы. Нельзя определенно сказать какой сервер лучше или хуже, все зависит от ваших целей. Если для вас главным приоритетом является безопасность, выбирайте DNS-сервер с повышенной защитой конфиденциальности данных.

Наиболее популярным является DNS-сервер от компании Google, он имеет высокую безопасность, хорошую скорость и надежную защиту от хакерских атак. Также высокой надежностью отличается DNS-сервер для бизнеса Cisco Umbrella. Еще одним лидером среди ДНС-серверов является OpenDNS, который гарантирует высокую степень фильтрации вредоносного и нежелательного контента. Достаточно высокий уровень безопасности и защиты от вредоносных программ имеют DNS-серверы Norton ConnectSafe и Neustar DNS

При выборе ДНС обращайте внимание на скорость работы DNS-сервера, которая зависит от интернет провайдера, геолокации и расстояния к ближайшей физической машине.

Определить скорость работы DNS-сервера можно, запустив специальную программу. Одной из самых популярных программ для определения скоростных параметров работы в интернете является DNS Jumper, она понятна и проста в управлении.

Обзор самых популярных DNS-серверов

1. Google Public DNS — самый популярный DNS-сервер в мире. Преимущество: устойчивость к DoS атакам, хорошая конфиденциальность, наличие бесплатной версии. Недостаток: сложные параметры настройки.
2. Cloudflare — один из самых быстрых DNS-серверов по результатам тестов DNS Jumper. Преимущества: сочетается со всеми операционными системами, отлично работает на мобильных устройствах, высокий уровень защиты от хакерских атак. Данные пользователей не передаются третьим лицам и не используются для рекламы. Недостаток: служба поддержки отвечает не очень оперативно.
3. OpenDNS — публичный DNS-сервер от компании Cisco. Существует как платная, так и бесплатная версия. Коммерческая версия имеет более полный и расширенный функционал, в частности предоставляется возможность просматривать интернет-активность за год, функционал ограничения доступа к определенным сайтам. Платная версия подойдет коммерческим компаниям, а бесплатная — частным пользователям.
4. Quad9 — бесплатный DNS-сервер с хорошей скоростью. Преимущества: высокий уровень защиты от подозрительных доменов и DoS атак, блокирование фишинговых сайтов. Недостатки: иногда в список подозрительных сайтов попадают безобидные домены, сложно устанавливается на ОС Linux.
5. Verisign DNS — входит в десятку самых популярных DNS-серверов в мире. Преимущества: высокий уровень конфиденциальности данных, стабильная и безопасная работа, простота использования. Недостаток: более низкая скорость работы, чем у предыдущих DNS-серверов.
6. Comodo Secure DNS — популярный и безопасный DNS-сервер. Преимущества: защита от нежелательной рекламы, шпионских и вредоносных программ, блокирует фишинговые сайты. Недостаток: низкая производительность, подойдет для компаний с небольшим и средним объемом передачи данных.

Все перечисленные DNS-серверы имеют хорошую репутацию, отлично работают, обеспечивают высокую безопасность и хорошую скорость передачи данных. Выбирайте DNS-сервер с учетом собственных предпочтений и задач компании.

DNS — что это и как работает | Для чайников простыми словами

В предыдущих статьях мы рассказали, как придумали доменные имена и кто контролирует их работу. Сегодня узнаем, как браузер понимает, где находится сайт, когда мы вводим в адресной строке домен.

Из статьи вы узнаете:

1. Что такое DNS
2. Как это работало раньше
3. Что такое DNS-сервер
4. Как браузер находит IP-адрес домена
5. Типы DNS-записей и как ими управлять
6. Файл hosts и чем он полезен
7. DNS-кэш

Что такое DNS

DNS — это технология, которая помогает браузеру найти правильный сайт по доменному имени.

Вы уже знаете, что компьютеры находят друг друга в интернете по IP-адресам. Чтобы подключиться к серверу с конкретным сайтом, нужно знать его IP-адрес. Похожим образом устроена мобильная связь: чтобы позвонить конкретному человеку, нужно знать его номер.

Людям неудобно использовать длинные комбинации цифр, поэтому IP-адреса придумали связывать с понятными текстовыми именами — доменами. Всё-таки запомнить google.com проще, чем 216.58.209.14.

По такой же логике мы сохраняем важные номера в контакты смартфона. Только в случае с доменами, ничего сохранять не нужно. Мы просто вводим в адресной строке домен, а браузер сам находит IP-адрес нужного сервера и открывает сайт.

ВИДЕО ПО ТЕМЕ:

Прочитать статью — хорошо, а прочитать статью

и посмотреть видео — еще лучше!

Смотрите наше видео о том, что такое домен и IP-адрес сайта

Как это работало раньше

В первые годы интернета доменам присваивали IP-адреса вручную. Их записывали в текстовый файл hosts.txt в таком формате:

216.58.209.14 google.com

По сути это и был список контактов, как в смартфоне. Когда пользователь вводил в адресной строке домен, браузер проверял файл и брал из него IP-адрес.

Главным файлом управлял Стэнфордский исследовательский институт. Чтобы добавить в список новый сайт, нужно было звонить в институт по телефону. После этого все компьютеры в сети должны были скачать обновлённый файл.

Со временем такой подход стал отнимать много времени, так как требовалось вносить всё больше и больше данных, и технологию решили усовершенствовать. Новую систему придумали Пол Мокапетрис и Джон Постел в 1984 и назвали её DNS-протокол. Аббревиатура означала Domain Name System, по-русски — Система доменных имён.

1212 доменных зон для любых проектов!
.com .com.ua .info .online .in.ua .net .kiev.ua .site .pl .ORG .pro .org.ua .eu

Выбрать домен

Что такое DNS-сервер

Настройки каждого домена в интернете хранятся в текстовых файлах на DNS-серверах. 

DNS-сервер — это специальный компьютер, который хранит IP-адреса сайтов. Основные функции сервера DNS — выдавать браузеру адрес сайта по доменному имени и кэшировать DNS-записи домена.

То есть сервер DNS простыми словами — это всё та же «книга контактов», тот же файл hosts.txt, только больших масштабов.

Когда вы открываете в браузере сайт, в поиске IP-адреса домена обычно участвуют несколько DNS-серверов:

Локальный DNS-сервер вашего интернет-провайдера. Браузеры используют DNS-сервер провайдера, чтобы с его помощью узнать IP-адрес сервера, где находится сайт. Для этого в каждом браузере есть специальная программа — DNS-клиент. Вместо серверов вашего провайдера может быть любой другой публичный DNS-сервер, если вы укажете его в сетевых настройках. Например, вместо DNS-серверов интернет-провайдера можно использовать публичные серверы DNS от Google.

DNS-сервер верхнего уровня.

DNS-серверы верхнего уровня содержат информацию о DNS-зоне и называются корневыми. Они выдают по запросу DNS-серверы доменов первого уровня, например, COM, UA, ORG, NET, ONLINE. Корневыми серверами управляют разные организации. Впервые такие DNS-серверы появились в Северной Америке, но со временем их количество росло и они появлялись в других странах. Сейчас есть 13 основных DNS-серверов верхнего уровня и множество реплик.

DNS-сервер, который отвечает за домен и где хранятся записи доменного имени. Адреса DNS-серверов владельцу домена обычно приходится указывать вручную — их присылает хостинг-провайдер. Например, наши публичные DNS-серверы — dns1.hostiq.ua и dns2.hostiq.ua.

Как браузер находит IP-адрес домена

Разберёмся пошагово, как браузер понимает, где находится сайт, когда мы вводим в адресной строке домен:

Шаг 1 Вы вводите в адресной строке доменное имя, например, google.com. Сначала браузер проверяет файл hosts.txt на компьютере. Если там не оказывается нужного IP-адреса, он обращается к локальному DNS-серверу вашего интернет-провайдера. Его IP-адрес браузер находит в настройках подключения к интернету.

Шаг 2 Локальный DNS-сервер не знает нужного IP-адреса лично, но умеет обмениваться информацией с другими DNS-серверами. Пока браузер ждёт ответа, локальный DNS-сервер обращается к главным серверам в мире — корневым DNS-серверам — и просит IP-адрес для google. com. Корневой DNS-сервер не знает IP-адрес этого домена, но знает IP-адреса DNS-серверов, которые отвечают за все домены в зоне .com.

Шаг 3 Локальный DNS-сервер получает IP-адрес одного из этих DNS-серверов и задаёт тот же вопрос ему. Этот DNS-сервер тоже не знает IP-адрес Гугла, но знает IP-адреса DNS-серверов, которые использует google.com.

Шаг 4 Локальный DNS-сервер получает IP-адрес одного из этих DNS-серверов и обращается к нему. Этот DNS-сервер знает нужный IP-адрес и отправляет его локальному DNS-серверу.

Шаг 5 Локальный DNS-сервер получает нужный IP-адрес и отправляет его браузеру.

Шаг 6 Браузер получает IP-адрес google.com, обращается напрямую к серверу и просит отправить сайт.

Статья по теме:

Как правильно выбрать доменное имя для сайта

Читать статью

Типы DNS-записей и как ими управлять

Мы рассказали, как браузер находит IP-адрес домена для открытия сайта, но к доменному имени могут быть привязаны и другие ресурсы, например, почта. Для разных задач есть разные типы DNS-записей. Рассмотрим на примере нашей Панели клиента, что это за записи и как их создавать. 

При добавлении DNS-записей любого типа работает правило: чтобы создать запись для домена, поле «Имя хоста» должно оставаться пустым. Если запись нужна для поддомена — в «Имя хоста» нужно вписать только уникальную часть.

А-запись — используется для направления домена на IP-адрес сервера. Выберите в выпадающем списке тип записи «A (Address)» и в поле «Адрес» укажите нужный IP.

АААА-запись — та же А-запись, только в поле «Адрес» указывается IPv6, а не привычный IPv4.

CNAME-запись — позволяет указать псевдоним для домена. При создании этой записи в поле адреса вписывается желаемый псевдоним. Если взять пример из скриншота ниже, то при переходе по домену www.domain.com нас перенаправит на адрес hostiq.ua.

МХ-запись — нужна для работы почты, в поле для адреса указывается хостнейм почтового сервера. Для этого типа записей есть ещё один параметр — приоритет. Наивысшим приоритетом считается 0, но обычно для самых приоритетных записей указывают 10, для менее — 20, 30.

ТХТ-запись — используется для передачи текстовой информации. В качестве адреса указывайте нужный текст, например, проверочную запись.

Мы перечислили записи, которые используются чаще всего, и для работы сайта их обычно достаточно, но в реальности типов DNS-записей намного больше.

Статья по теме:

Как купить домен с историей

Читать статью

Файл hosts и чем он полезен

Несмотря на появление DNS-серверов, файл hosts все еще используется. В поисках IP-адреса сайта браузер в первую очередь проверяет файл hosts и только потом обращается к DNS-серверам. Поэтому разработчики часто используют этот файл при создании сайта без зарегистрированного домена или для проверки работы ресурса с локального сервера. Тогда в файле hosts указывается запись вида:

156. 23.55.13 domain.com

После этого браузер будет открывать сайт domain.com по адресу 156.23.55.13, не зависимо от того, какая информация указана на DNS-серверах.

Читайте подробнее о том, как найти этот файл и правильно внести в него записи, в нашей статье про файл hosts.

DNS-кэш

Локальные DNS-серверы умеют кэшировать настройки, чтобы быстрее выдавать информацию при повторных запросах. Из-за этого случаются ситуации, когда владелец домена поменял настройки, но браузер показывает старую страницу, потому что получает IP-адрес из кэша.

В большинстве случаев IP-адреса хранятся в кэше полчаса. Если вы поменяли IP-адрес на своём домене, но видите в браузере старую страницу, — подождите немного. Как только кэш удалится, локальный DNS-сервер пройдёт цепочку DNS-запросов ещё раз и вы увидите новую страницу.

Попасть в кэш может не только IP-адрес, но и запись о DNS-серверах, которые использует домен. Кэш этих записей хранится дольше — 48 часов. Поэтому старый сайт может открываться дольше, если вместо IP-адреса владелец домена менял DNS-серверы.

DNS-кэш на стороне интернет-провайдера можно очистить дистанционно:

Если пользуетесь Windows, нажмите комбинацию клавиш Win + R и напишите в открывшемся окне cmd. Когда откроется командная строка, выполните в ней команду:

ipconfig/flushdns

В конце должно появиться сообщение «Кэш сопоставителя DNS успешно очищен».

Если пользуетесь MacOS, найдите в поиске «Терминал» или откройте «Finder» — «Программы» — «Утилиты» — «Терминал». В открывшемся окне выполните команду:

dscacheutil -flushcache; sudo killall -HUP mDNSResponder

Кэш удалится после ввода пароля.

ВИДЕО ПО ТЕМЕ:

Прочитать статью — хорошо, а прочитать статью

и посмотреть видео — еще лучше!

Смотрите наше видео, как правильно очистить кэш

На этом всё. В следующий раз расскажем о субдоменах и сферах их применения. А пока — комикс про цепочку DNS-запросов, чтобы закрепить информацию:

Попробуйте хостинг с кучей плюшек: автоустановщиком 330 движков, конструктором сайтов и теплой поддержкой 24/7!

Тестировать 30 дней бесплатно

Что такое ДНС? Система доменных имен?

DNS расшифровывается как система доменных имен и он переводит и преобразует удобочитаемые доменные имена (например, websiterating. com) в машиночитаемые IP-адреса (например, 172.67.70.75).

DNS расшифровывается как система доменных имен, и ее основная цель — транслировать и преобразовывать доменные имена в IP-адреса. Без этого нам пришлось бы вводить IP-адреса вместо доменных имен в адресную строку веб-браузера.

Что такое DNS?

Возможно, вы слышали о DNS, но знаете ли вы, что это такое? DNS означает систему доменных имен. По сути, это телефонная книга, которая сообщает вам, с каким IP-адресом связаться, чтобы найти сервер, на котором размещено доменное имя, которое вы ищете.

IP-адреса машиночитаемы, но для людей они бесполезны. Вот почему у нас есть доменные имена. Например, вместо поиска по адресу 172.67.70.75 вы можете выполнять поиск по доменному имени, например, websiterating.com.

Вы можете хранить эту DNS-книгу на серверах вашего местного интернет-провайдера или хранить ее локально на своем ПК, ноутбуке, планшете и т. д. При настройке нового интернет-соединения дома многие люди настраивают свой маршрутизатор так, чтобы они использовали своего интернет-провайдера. Почтовый сервер DNS по умолчанию — это часто называют «автоматически использующим DNS вашего интернет-провайдера». Давайте посмотрим поближе!

Как работает DNS?

DNS — это аббревиатура от системы доменных имен. DNS-серверы отвечают за разрешение доменные имена (веб-сайт) на IP-адреса. На компьютере есть файл с именем HOSTS, из которого он получает, какой веб-сайт имеет какой IP-адрес; этот файл доступен только для чтения пользователем, а не системой.

DNS — это сеть распределенных баз данных, содержащих зоны прямого и обратного просмотра. В DNS каждая зона включает в себя дерево записей ресурсов (RR), которые упорядочиваются в соответствии с их «весом» и связанными с ними значениями «времени жизни» (TTL). При запросе DNS-сервер предоставляет информацию о конкретном ресурсе, возвращая ответ, содержащий запрошенную запись ресурсов.

Типы службы DNS

Существует два основных типа службы DNS:

• рекурсивный
• авторитетный

Рекурсивный DNS

Рекурсивные DNS-запросы пригодятся дома. Преобразователь DNS может настроить отправку всех запросов для поддоменов или одноуровневых доменов «доверенному» стороннему поставщику услуг, такому как OpenDNS, вместо того, чтобы пытаться разрешить адрес самостоятельно.

Этот процесс называется рекурсией, и он уменьшает количество запросов, выполняемых распознавателем, уменьшая нагрузку на DNS-серверы. Служба рекурсивного DNS также включает защиту от определенных типов атак, включая отравление кеша, когда злоумышленник захватывает ваш компьютер, отправляя ему ложную информацию об IP-адресах, например, принадлежащих банкам или сайты электронной коммерции, такие как Shopify.

Когда вы посещаете сайт, компьютер, как обычно, отправляет свой IP-адрес, но вместо этого злоумышленник открывает свой веб-сайт, создавая впечатление, что он входит в систему на поддельном сайте.

Рекурсивный DNS — отличный вариант для DNS-клиента с низкой скоростью и нестабильным соединением. Служба автоматически перенаправляет вас на альтернативный сайт, когда обнаруживает, что DNS-сервер вашего интернет-провайдера не может разрешить доменное имя.

Авторитетный DNS

Полномочные DNS-серверы требуют ручной настройки и обеспечивают полный контроль над всеми серверами имен для доменного имени. А поставщик веб-хостинга в большинстве случаев обрабатывает этот тип службы DNS, но некоторые компании управляют своими DNS.

Если вы размещаетесь на общем сервере, на котором нет службы DNS, внесение изменений в авторитетный сервер имен может быть затруднено, если вообще возможно.

Как DNS будет направлять трафик в ваше веб-приложение?

Серверы доменных имен или DNS — это служба, которая преобразует удобочитаемые доменные имена в соответствующие им IP-адреса. Другими словами, это телефонная книга Интернета. Например, Googleпубличный DNS 8.8.8.8, и если вы введете google.com в качестве вашего адреса, он преобразует его в IP-адрес, который ваш браузер использует для загрузки Googleдомашняя страница.

Например, когда вы получаете доступ к интернет-магазину, такому как Amazon, вводя www.amazon.com в своем веб-браузере, DNS возьмет этот адрес и преобразует его в фактическое местоположение сайта на сервере в другом месте в Интернете. DNS также помогает использовать DNS для маршрутизации трафика в динамические области, такие как WordPress Сайт обновляется системой управления контентом.

Преимущества DNS

Вот явные преимущества DNS:

Реализация балансировки нагрузки

DNS позволяет реализовать балансировку нагрузки, когда входящие запросы распределяются между несколькими серверами.

Как это работает?

Запрос клиента вернет IP-адрес, внешний сервер, настроенный с программным обеспечением для балансировки нагрузки. Клиент не знает, что он разговаривает с внешним компьютером, а пользователи не видят перерыва в обслуживании.

Сопоставить имена хостов

DNS может сопоставлять имена хостов с несколькими серверами для избыточности и высокой доступности.

Как это работает?

Клиент отправляет запрос IP-адреса www.example.com. DNS-сервер вернет несколько разных адресов, каждый из которых указывает на другой веб-сервер. Балансировщик нагрузки отправит запрос на один из веб-серверов. Если один из серверов выйдет из строя, локальный DNS-сервер вернет другой адрес, чтобы запросы по-прежнему направлялись на другие веб-серверы в группе обслуживания.

Постоянство сеанса

DNS также может помочь в сохранении сеанса, чтобы несколько запросов от пользователя всегда отправлялись на один и тот же компьютер в кластере.

Как это работает?

Когда пользователь впервые запрашивает веб-страницу из кластера, балансировщик нагрузки сопоставляет этого пользователя с одним из серверов в коллекции. Все последующие запросы от этого пользователя сопоставляются с одним и тем же компьютером до тех пор, пока не истечет время сеанса или другие критерии не определят, что следует использовать другой сервер.

Индивидуальная доставка контента

DNS также можно использовать для индивидуальной доставки контента, когда географически рассредоточенные пользователи перенаправляются на ближайший к ним веб-сервер.

Как это работает?

Клиент отправляет запрос IP-адреса www. example.com. DNS-сервер вернет урок для одного или нескольких веб-серверов рядом с этим пользователем в зависимости от того, где находится этот пользователь, или других критериев.

Резервные копии сайтов

DNS также можно использовать для резервных копий сайтов; если один из серверов в кластере выходит из строя, то запросы могут быть перенаправлены в резервное хранилище.

Как это работает?

Клиент отправляет запрос IP-адреса www.example.com. DNS-сервер вернет урок для одного или нескольких веб-серверов рядом с этим пользователем в зависимости от того, где находится этот пользователь, или других критериев. Если ведущий сайт не работает, пользователь сможет получить свои веб-страницы с одного из резервных сайтов.

Распределение нагрузки

DNS также можно использовать для распределения нагрузки внутри сайта.

Как это работает?

Клиент отправляет запрос IP-адреса www.example.com. DNS-сервер вернет адрес сервера промежуточного слоя в балансировщике нагрузки. Клиент не знает, что он разговаривает с внешним компьютером, а пользователи не видят перерыва в обслуживании.

Каковы шаги поиска DNS?

При поиске DNS пользователь вводит доменное имя, которое запрашивается у полномочного DNS-сервера для этого домена.

Это может быть корневой сервер или TLD (домен верхнего уровня), например .com или .net. Авторитетный DNS-сервер отправляет ответ — либо для этого запроса не указан контент, либо он возвращает IP-адрес, сопоставленный с этим запросом.

Если это корневой сервер, то клиент будет рекурсивно разрешать это, пока не найдет авторитетный DNS-сервер для этого TLD, а затем повторяет все эти результаты, пока не найдет ответ или не сдастся.

Процесс поиска DNS состоит из 13 шагов:

• Клиент, используя локальный кэш резолвера, перенаправляет запрос на сервер резолвера имен.
• Разрешающий сервер имен выбирает целевой (неавторизованный) сервер имен.
• Разрешение проблем с сервером имен, запрос к его корневым ссылкам или серверам NS домена верхнего уровня.
• Корневые подсказки или серверы TLD NS перенаправляют вопрос на авторитетный DNS-сервер для соответствующего домена верхнего уровня (TLD).
• Авторитетный DNS-сервер для .com, например, отвечает ответом
• Авторитетный сервер для .com отправляет ответ на разрешающий сервер имен
• Разрешающий сервер имен пересылает ответ клиенту
• Клиент проверяет ответ и кэширует его (если возможно)
• После проверки клиент отправляет ответ приложению, которое сделало первоначальный запрос.
• Клиент использует кэш локального преобразователя для ответа на последующие запросы для того же доменного имени, если срок жизни не указан в ответе от авторитетного DNS-сервера.
• Если клиент не имеет копии необходимой информации о зоне в своем кэше, он должен найти доступный сервер имен с копией зоны или NS-записью, ведущей к серверу, имеющему копию сайта.
• Клиент запрашивает у корневых серверов имен домен верхнего уровня (TLD). Например, если клиент хочет разрешить www. google.com, он запросит один из корневых серверов имен.
• Корневые серверы указывают вам на серверы имен, которые являются полномочными для домена верхнего уровня.

Что такое преобразователь DNS?

Преобразователь DNS — это имя, данное любому программному обеспечению или службе, которая преобразует доменные имена в связанные с ними IP-адреса. Эти IP-адреса необходимы при доступе к веб-сайту, адресу электронной почты или любому другому сетевому сервису.

С точки зрения непрофессионала, это то, что позволяет вашему компьютеру переводить то, что вы можете прочитать, в строку цифр и букв. Он делает то же самое для веб-сайтов. Если вы наберете www.google.com, ваш компьютер преобразует это в ряд чисел и преобразует в запрос веб-сайта в этом месте.

Интернет полностью зависит от преобразователей DNS, которые позволяют каждому устройству получать доступ к любой службе в любой момент времени, будь то Google или реквизиты вашего банковского счета. Если бы вы не могли получить доступ к этим службам в определенном месте, Интернет был бы совершенно другим зверем.

За прошедшие годы должно быть множество сообщений о том, что преобразователи DNS принадлежат различным правительственным учреждениям, включая АНБ и GCHQ. Они использовали их для отслеживания пользователей или перехвата сведений о любом онлайн-трафике. Одно можно сказать наверняка: канал такого рода будет отслеживаться, но трудно установить, использовался ли он.

Каковы преимущества использования преобразователя DNS?

Как вы уже догадались, основным преимуществом использования DNS-преобразователя является скорость! Большинство интернет-провайдеров (ISP) предоставляют DNS-серверы для своих пользователей, потому что они намного быстрее, чем серверы, встроенные в вашу операционную систему.

В первую очередь потому, что когда вы запрашиваете один из этих распознавателей, он часто будет содержать список нескольких местоположений, в которых можно получить доступ к этой информации, обычно гораздо больше, чем может предоставить операционная система, что позволяет быстрее найти ее.

Что такое DNS-запись?

Записи DNS — это тип списка, который сообщает остальной части Интернета, как найти ваш сервер. В файл зоны можно добавить множество типов записей и разные типы для разных целей, но мы сосредоточимся на:

• MX (Mail Exchange) — сообщает почтовым серверам, куда отправлять электронные письма для вашего домена.
• An (Адрес) — сопоставляет имя хоста/субдомен с IP-адресом.
• CNAME (каноническое имя) — псевдоним для канонического хоста, другое имя, которое можно использовать для обозначения компьютера.

Что такое кэширование DNS?

Кэширование — это процесс, в котором «резольвер-заглушка» кэширует результаты DNS-запроса, а затем предоставляет эти кэшированные записи другим преобразователям-заглушкам, запрашивающим информацию о том же домене. Это ускоряет разрешение имен для всех, кроме первого запрашивающего, снижая нагрузку на сеть и уменьшая задержку, сохраняя часто запрашиваемые имена хостов в одном месте (кэш).

Преобразователем-заглушкой может быть либо операционная система клиента DNS, либо локальный рекурсивный сервер имен, определенный в RFC 1035.

Где происходит кеширование DNS?

Кэширование DNS происходит на уровне пользователя в его веб-браузере. Когда вы (пользователь) переходите на веб-сайт, ваш браузер берет информацию с DNS-серверов интернет-провайдера в вашей локальной сети, а не GoogleDNS. Запрос этой информации направляется через локальную сеть и временно сохраняется только у этого интернет-провайдера с внутренними DNS-серверами. Затем ваш браузер получает данные с этого DNS-сервера и отображает их вам.

Как кэширование ускоряет поиск DNS?

Допустим, у вас есть домохозяйство с двумя родителями и двумя детьми, которые отправляются в отпуск. У всех вас четверых есть в общей сложности 10 устройств для семейного отдыха: ноутбук, телефон, iPod, планшет для каждого ребенка и Kindle для каждого родителя. Каждое устройство имеет свой DNS-адрес, который необходимо просматривать при каждом включении.

Если бы кэширование не использовалось, для загрузки домашнего экрана потребовалось бы 40 DNS-запросов! Однако, если в вашем маршрутизаторе включено кэширование, все десять устройств будут запрашивать только один поиск DNS для запуска. Как только браузер получит IP-адрес, он сохранит его для всех устройств, подключенных к этой сети.

В следующий раз, когда эти десять устройств будут включены или перезапущены, они получат всю свою информацию из кэша DNS вашего маршрутизатора, вместо того, чтобы каждый раз запрашивать новый поиск DNS. Это может привести к значительному увеличению скорости.

Что такое перехват DNS?

Перехват DNS это атака, при которой злоумышленник перенаправляет трафик с законного веб-сайта на другой. Основным мотивом этой атаки является фишинг и привлечение трафика к своим продуктам и услугам.

Чтобы перехват DNS работал, необходимы следующие вещи:

• Вам нужно одно или несколько доменных имен
• Вам нужен веб-сайт под доменным именем, для которого вы хотите выполнить перехват DNS.
• Было бы полезно, если бы у вас был веб-сервер, доступный из Интернета, с необходимыми разрешениями для редактирования записи вашего доменного имени.

Выводы

DNS означает службу доменных имен, и это система, которая переводит доменные имена в IP-адреса. Другими словами, он помогает вашему браузеру определить местоположение веб-сайта, чтобы вы могли его посетить. Если вы наберете «google.com» в адресную строку, DNS определяет, где искать дальше, чтобы ваш запрос Google серверов и отображает сайт, который вы хотите!

Рекомендации

https://en.wikipedia.org/wiki/Domain_Name_System

Словарь терминов. Перевод. Расшифровка аббревиатур

• 3

• [C]CIF (Common Intermediate Format)

  Видеоформат, спроектированный для простого конвертирования между стандартами PAL и NTSC, с заявленным разрешением 352 x 240/288 точек.

• 6

• [D]DNR (Dynamic Noise Reduction)

  Шумы в изображении — это помехи в видеосигнале, которые выглядят как зернистые пятнышки. Шум может быть вызван недостаточным освещением, электрическими наводками и т.д. Цифровое подавление шумов (DNR) в устройстве представляет собой алгоритм удаления шумов из видеосигнала с использованием цифрового гребенчатого фильтра. Это делает изображение чище и уменьшает размер видеофайла.

• 7

• [D]DNS (Domain Name System)

  Интернет-сервис, который проеобразует доменные имена в IP-адреса. Поскольку доменные имена представляют собой осмысленный набор букв и цифр, они гораздо проще для запоминания, чем IP-адреса.

• 10

• [D]Двухпотоковая запись DSR (Dual Streaming Record)

  Уникальная технология IDIS позволяющая реализовать новый метод ведения архива записи в IP-видеорегистраторе IDIS.

  Пользователю предоставляется возможность назначить длительность архива записанного в высоком качестве (например 7 дней) и далее при помощи встроенного калькулятора расчитать длительность в более худшем качестве на более длительный промежутой времени.

  В итоге получится, что последине 7 дней запись хранится, например, в разрешении FullHD и 30 кадров/с а следующие 2 месяца, например, в качестве HD и 15 кадров/с.

• 11

• [E]Ethernet

  Ethernet — это физический и канальный уровень модели OSI (модель взаимодействия открытых систем). Он определяем механизм обмена данными между двумя точками. Позволяет использовать для связи различный кабель: UTP, коаксиальный, оптический кабель, или беспроводную связь Wi-Fi.

• 12

• [F]F-Число (F-Number) в оптике (оно же: диафрагменное число, или относительное отверстие)

  F-число оптической системы представляет собой отношение фокусного расстояния объектива к диаметру отверстия диафрагмы. Это безразмерная величина, которая имеет важное значение в фотографии и количественно характеризует способность объектива собирать световые лучи и передавать их на матрицу.

• 13

• [F]FEN

  FEN (For Every Network) переводится, как «Для Любой Сети» — это разработка IDIS, бесплатный сервис динамического DNS для удаленного доступа к видеооборудованию IDIS с устройств Apple, Android, Windows PC или Mac. Не требуется статический IP адрес.

• 14

• [G]GoP (Group of Pictures)

  В стандарте цифрового кодирования MPEG, группа кадров (GoP) определяет порядок расположения кадров внутри группы, которая всегда начинается с опорного I-кадра.

• 16

• [I]IP-адрес (IP address — Internet Protocol address)

  IP-адрес представляет собой численное значение, которое присваивается каждому устройству, подключенному в компьютерную сеть, и которое интернет-протокол использует для связи. IP-адрес выполняет две главные функции: идентификацию хоста или сетевого интерфейса и адресацию.

• 17

• [I]ISDN (Integrated Service Digital Network)

  Цифровая сеть с интеграцией служб. Позволяет совместить услуги телефонной связи и обмена данными. Основное назначение ISDN — передача данных со скоростью до 64 кбит/с по абонентской проводной линии и обеспечение интегрированных телекоммуникационных услуг (телефон, факс, и пр.). Использование для этой цели телефонных проводов имеет два преимущества: они уже существуют и могут использоваться для подачи питания на терминальное оборудование.

• 18

• [L]LAN (Local Area Network)

  Локальная вычислительная сеть, состоящая из нескольких компьютеров, связанных между собой в пределах ограниченной территории, здания или помещения, с целью обмена данными и совместного использования различных устройств (принтеров, сканеров, плоттеров и т.п.). Локальную сеть (LAN), в свою очередь, часто соединяют с другими локальными сетями, подключают к Интернету или другой глобальной сети (WAN — Wide Area Network).

• 20

• [M]MAC (Media Access Control)

  Уникальный серийный номер, который присваивается каждому сетевому устройству (например, сетевой карте в компьютере или сетевому коммутатору) во время производства, и позволяет однозначно идентифицировать его среди других сетевых устройств.

• 21

• [M]MIB (Management Information Base)

  Виртуальная база данных, используемая для управления объектами в сети по SNMP (Simple Network Management Protocol) протоколу.

• 24

• [O]ODM (Original Design Manufacturer)

  Компания, которая занимается разработкой и производством конечной продукции для других компаний под их торговой маркой.

• 25

• [O]OEM (Original Equipment Manufacturer)

  Компания, которая занимается производством конечной продукции для других компаний под их торговой маркой.

• 27

• [P]PoE

  Питание через Ethernet (Power Over Ethernet). PoE устройства, такие как камеры, имеют различные классы по требованиям к питанию. Во время первого включения PoE коммутатор и устройство обмениваются информацией о необходимости в классе питания PoE, после чего резервируется и подается питание на устройство.

• 28

• [P]PSIA (Physical Security Interoperability Alliance)

  Альянс производителей за совместимость систем физической безопасности, разработка технических стандартов в сфере организации физической безопасности и программных платформ, объединяющих технологии на базе IP.

• 32

• [R]RS-232/485

  Стандарты последовательной связи. Достаточно много существующих систем используют RS-232/485 для связи с устройствами, например, с поворотными камерами. RS-232 — это двунаправленный стандарт связи, объединяющий два устройства, в то время как RS-485 — это двунаправленный полудуплексный стандарт связи объединяющий несколько устройств. Используйте UTP-кабель для реализации связи по RS-485 и устанавливайте терминальный резистор на оконечных устройствах с обеих сторон линии.

• 33

• [S]S.M.A.R.T.

  Функция S.M.A.R.T. позволяет осуществлять мониторинг за рабочими параметрами и ошибками жестких дисков. У жесткого диска нет встроенных средств диагностики, поэтому за ним осуществляется контроль и сбор статистики его параметров. Сетевой видеорегистратор может получать информацию, такую как, например, температура жесткого диска. Эта информация очень полезна для правильной эксплуатации оборудования.

• 34

• [S]Smart Failover

  Технология IDIS, позволяющая реализовать функцию отказоустойчивой записи в IP-видеорегистраторе, за счет применения SD накопителя установленного в IP-видеокамере. Таким образом при потере связи с IP-видеокамерой, запись продолжится на SD карту и при восстановлении связи, фрагмент автономной записи будет передан в архив хранящийся в IP-видеорегистраторе автоматически.

  Одной из особенностей является алгоритм записи на SD карту: до 50% объема будет заполнен архивом в качестве записи, которую пользователь может предварительно сконфигурировать, а оставшийся объем 50% будет вестить запись в качестве позволяющем сохранить запись суммарной длительностью в 24 часа.

• 35

• [S]SNMP (Simple Network Management Protocol)

  Cтандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур UDP/TCP. Позволяет получать информацию от сетевых устройств (GET), устанавливать параметры устройств (SET), получать оповещения об определенных событиях (EVENT).

• 37

• [U]UTP кабель (UTP cable)

  Кабель, представляющий собой неэкранированную витую пару из нескольких пар проводников. Более дешевый по сравнению с коаксиальным кабелем.

• 40

• [А]Автомасштабирование (Auto Scaling)

  Технология фокусировки и увеличения размеров объекта на экране монитора, когда скорость панорамирования и наклона изменяются таким образом, чтобы относительная скорость передвижения объекта на экране оставалась постоянной.

• 41

• [А]Автоматическая компенсация уровня черного (Auto Black)

  Функция, которая повышает уровень видеосигнала для получения полной его амплитуды путем введения в тракт видеосигнала корректора уровня «черного». В результате, это позволяет повысить общую контрастность изображения, у которого она снижена из-за внешних факторов (блики, туман, дождь, и т.д.).

• 45

• [А]Автоматическое управление экспозицией (AEC — Automatic Exposure Control)

  Камера управляет временем экспозиции автоматически, устанавливая параметры диафрагмы или выдержку, исходя из внешних условий освещения.

• 46

• [А]Автопанорамирование (Auto Pan)

  Режим работы поворотной камеры, когда она постоянно поворачивается от крайней левой до крайней правой точки и обратно.

• 47

• [А]Авторазворот камеры (Auto Pivot)

  Когда поворотная камера при наклоне проходит через точку вертикальной оси, она разворачивается, чтобы сохранить правильную ориентацию изображения.

• 48

• [А]Автосканирование (Auto scanning)

  DirectIP камеры «общаются» с DirectIP NVR-ами, используя протокол DirectIP. Они могут автоматически распознать друг друга при нахождении в одной подсети. Это и называется автоматическим сканированием. Не требуется ни IP адреса, ни маски сети, не требуется производить никаких сетевых настроек для камер, что существенно экономит время при установке системы.

• 49

• [А]Автослежение (Auto Track)

  Технология, которая объединяет функцию обнаружения движения в камере и масштабирование для отслеживания объекта и оптимизации размера его изображения.

• 50

• [А]Автофокус (Auto focus)

  Автоматическая фокусировка объектива на объекте в зависимости от расстояния до него. Объектив с автофокусом имеет явное преимущество перед объективом с фиксированным фокусным расстоянием, поскольку у него нет зависимости от глубины резкости (DOF).

• 51

• [А]Адрес (Address)

  Каждое устройство, подключенное к системе, имеет свой числовой адрес, который необходим для управления и работы с ним.

• 52

• [А]Апертура (Aperture)

  Это отверстие в диафрагме объектива, выраженное апертурным числом объектива F. Апертурное число объектива – способность объектива пропускать свет. Апертурное число прямо пропорционально фокусному расстоянию объектива f и обратно пропорционально диаметру D его входного зрачка (F=f/D). Чем меньше апертурное число, тем больше света пропускает объектив. Соответственно, видеокамера лучше работает в темное время суток, но будет обладать меньшей глубиной резкости.

• 53

• [Б]Баланс белого (White balance)

  В камере есть матрица, которая собирает попавший на нее свет и преобразует световые сигналы в изображение. Разные источники света имеют разный световой спектр, и они влияют на отраженный свет на объекте. Так, один и тот же объект может быть разного цвета, в зависимости от источника света. В большинстве случаев с этой проблемой справляется функция автоматического баланса белого. Но, если она не помогает, то используйте ручную регулировку «баланс белого» в зависимости от освещенности. Иногда это называют регулировкой цветовой температуры.

• 56

• [В]Видеопрофиль (Video profile)

  Спецификация кодека по передаче видео: разрешение, скорость кадров/сек и скорость передачи информации.

• 57

• [В]Внешнее дисковое хранилище (eSATA)

  Дополнительный SATA порт служит для подключения к сетевому видеорегистратору дополнительных внешних дисковых хранилищ. eSATA хранилища бывают разных исполнений и конфигураций. Иногда они идут с функцией RAID или «зеркала», и, прежде чем подключать хранилище к сетевому видеорегистратору, его следует настроить. Не все контроллеры eSATA совместимы с сетевым видеорегистратором. Сначала убедитесь в том, что Ваше хранилище поддерживается сетевым видеорегистратором. IDIS предлагает eSATA хранилище рэкового исполнения (в 19-дюймовую стойку).

  eSATA поддерживает «горячую замену», однако рекомендуется выключить сетевой видеорегистратор прежде, чем отключать или заменять жесткие диски хранилища.

• 58

• [Г]Глубина резкости (DOF — Depth of Field)

  Глубина резкости определяет диапазон расстояний до объекта, на которых его изображение достаточно резкое. Глубина резкости зависит от нескольких факторов, таких как: апертурное число, расстояние до объекта, фокусное расстояние объектива и размер матрицы. Следующие условия позволяют получить большую глубину резкости:
  — малая апертура
  — большое расстояние от объектива до объекта
  — малое фокусное расстояние
  — малый размер матрицы
  Малая глубина резкости реализуется при условиях обратным вышеуказанным.

• 61

• [З]Задний фокус (Back focusing)

  Актуально только для камер корпусного исполнения. При производстве таких камер они настраиваются на работу с установленными на них объективами. Поскольку такие камеры предоставляют гибкость в плане установки других объективов с различными фокусными расстояниями, это несколько повышает их стоимость, а также возникает вопрос настройки заднего фокуса. Каждый раз при установке нового объектива, корпусная камера требует настройки заднего фокуса. Это необходимо сделать в лабораторных условиях до установки камеры, или же непосредственно в процессе ее установки на объекте.

• 62

• [З]Затвор (Shutter)

  В традиционных пленочных камерах использовался механический затвор. В электронных камерах механического затвора нет, и его функцию выполняет электронный затвор, смысл которого заключается в считывании точки (пикселя) и её сбросе для получения нового кадра. Обычно, в IP-камерах используется шторный затвор, который последовательно с очень высокой скоростью считывает и сбрасывает каждую точку (пиксель). В итоге изображение получается из пикселей, полученных со небольшим сдвигом по времени, что может привести к появлению артефактов при съемке быстро движущихся объектов.

• 63

• [И]ИК-светодиод (IR LED)

  ИК-светодиоды используются для обеспечения подсветки слабоосвещенных сцен. В основном используются светодиоды с длиной волны видимого для человеческого глаза диапазона 850нм, и невидимой для человека длиной волны 920нм.

  Если вы используете ИК-подсветку, то вам следует убедиться, что ваш объектив поддерживает IRC (инфракрасную коррекцию). Если ИК-коррекции нет, то при использовании ИК-подсветки вы получите смещение фокуса. ИК коррекция объектива позволяет в темное время суток при включенной ИК-подсветке сохранить четкость фокусировки, такую же как при дневном свете с выключенной ИК-подсветкой.

• 64

• [И]Интеллектуальная ИК-подсветка (Smart IR)

  Обычно, когда камера видеонаблюдения использует ИК-подсветку для освещения большой площади в ночное время суток, то для объектов, находящихся рядом с камерой, есть вероятность получить засвеченное изображение.

  Технология интеллектуальной ИК-подсветки автоматически регулирует уровень интенсивности подсветки в зависимости от близости объекта. Эта функция полезна для идентификации лиц и обнаружения движущихся объектов в темноте.

• 65

• [И]Инфракрасный свет (IR)

  Спектр инфракрасного излучения (ИК) лежит между видимым светом и невидимым СВЧ-диапазоном электромагнитного спектра. Длина волны инфракрасного излучения больше, чем видимого и короче, чем микроволны. Ближний ИК-диапазон ближе к видимому свету, дальний ИК-диапазон ближе к микроволновой области. Средний ИК-диапазон находится между ближним и дальним ИК-диапазонами. Инфракрасные волны могут также интерпретироваться как тепловое излучение объекта.

• 66

• [И]Итоговый отчет об уведомлениях, высылаемый по e-mail (Summary email notification)

  Это функиция сетевого видеорегистратора, когда он осуществляет контроль статуса камер или состояние тревог через определенный интервал времени. И, в случае, если происходят события, удовлетворяющие заданным условиям, видеорегистратор фиксирует их и формирует итоговый отчет, который отправляет электронной почте. Итоговый отчет позволяет избежать излишне частого получения писем, и при этом сохранить контроль за работой видеорегистратора.

• 68

• [К]Клавиатура (Keyboard)

  Обычно клавиатуру называют джойстиком. Это устройство используется для управления системами видеонаблюдения или поворотными камерами. Раньше большинство клавиатур для связи с различными устройствами работали по последовательным протоколам, таким как RS-485. IP-клавиатуры в основном используют вместо этого Ethernet протокол, но, как правило, они поддерживают также и интерфейс RS-485.

• 69

• [К]КМОП-матрица (CMOS — Complementary Metal-Oxide Semiconductor)

  КМОП-матрица — светочувствительная матрица, где используются полевые транзисторы с изолированным затвором с каналами разной проводимости. Основное преимущество КМОП технологии — низкое энергопотребление в статическом состоянии. Могут быть изготовлены на любой стандартной производственной линии кремния, поэтому они дешевле по сравнению с ПЗС-матрицами.

• 70

• [К]Компенсация фоновой засветки (BLC — Back Light Compensation)

  Если свет за объектом яркий и направлен прямо в объектив, то диафрагма сужается, и объект переднего плана выглядит темным и размытым на изображении. Благодаря функции BLC отверстие диафрагмы все равно открывается широко, так что объекты на переднем плане получаются светлыми и четкими даже на фоне яркого света. Тем не менее, функция WDR (расширение динамического диапазона) является более эффективной альтернативой BLC, потому что она обрабатывает несколько зон воздействия, как высокосвещенные, так и низкоосвещенные для правильной экспозиции.

• 71

• [К]Композитный выход (CVBS — Color, Video, Blanking and Sync)

  Аналоговый выход NTSC/PAL. Камеры DirectIP имеют разъемы RCA, BNC, или клеммную колодку.

  Вы можете использовать его для настройки угла или фокуса камеры во время ее установки.

• 72

• [М]Мегапиксельный объектив / Разрешение объектива (Mega pixel lens / Lens resolution)

  Оптика в камерах играет очень важную роль. И качественные объективы имеют решающее значение для построения хорошей системы видеонаблюдения. Когда мы говорим о разрешении, мы часто говорим о разрешении матрицы, а не об объективе. Качество и четкость изображения в вашей системе зависит от возможностей объектива, который используется в камере. Мегапиксельные объективы могут реализовать на своей фокальной плоскости мегапиксельное разрешение.

  Вы можете использовать на мегапиксельных камерах объективы для аналоговых камер. Вы увидите изображение, но оно никогда не будет мегапиксельного качества, оно будет размыто в независимости от того, насколько качественно вы сфокусировались, потому что такие объективы могут реализовать разрешение не больше, чем D1, но никоим образом не мегапиксельное разрешение.

• 73

• [М]Механический ИК-фильтр (ICR — Infrared Cut-filter Removal)

  Механический ИК-фильтр — это механизм, используемый в камерах с режимом день/ночь. Матрица камеры чувствительна к более широкому диапазону видимого света, т.е. может воспринимать то, что человеческий глаз не видит. В дневное время камера с механическим ИК-фильтром автоматически устанавливает его между объективом и матрицей. Это обеспечивает получение качественного изображения, т.к. ИК-фильтр не пропускает невидимый глазу спектр, который может привести к искажению цвета или размытости изображения. В условиях плохого освещения, когда используется ИК-подсветка, ИК-фильтр автоматически убирается, и изображение выглядит как черно-белое, потому что человеческий глаз не видит ИК-спектр.

• 75

• [М]Множество кодеков (Multiple codecs)

  IP камера может сжимать видео, используя несколько кодеков, например, H. 264 и MJPEG.

• 76

• [М]Мультиэкспозиция (Multiple exposure)

  Мультиэкспозиция производится для каждой точки (пикселя) в течении 1/30 секунды, и затем полученные данные сохраняются в буфере для формирования изображений с широким динамическим диапазоном, в которых хорошо видны фрагменты кадра с недо/перевыдержкой. Поскольку существует небольшая разница во времени когда были сделаны каждая из экспозиций, возможно появление размытости изображения при съемке быстродвижущихся объектов. Однако, это не столь критично, когда снимаемое изображение требует широкого динамического диапазона, например, офисная камера, смотрящая на окно, или камера смотрящая на вход супермаркета, где в дневное время возможна сильная задняя засветка.

• 77

• [О]Обрезка изображения (Image cropping)

  Это понятие подразумевает обрезание изображения в зависимости от форматов его отображения.

  Изображения с разрешением 1080 строк, 720 строк и формата 4CIF имеют различные пропорции соотношения сторон по вертикали и по горизонтали, и обычно IP камеры с разрешением Full HD (1080 строк) обрезают изображение для видеопотока до 720 строк. Однако, это влияет на изменение видимой области изображения.

  Камеры DirectIP вместо обрезки кадра используют его масштабирование и растягивание для того, чтобы изображение отображалось полностью, в независимости от используемого разрешения.

• 81

• [П]Пересечение линии (Trip wire)

  Это функция DirectIP камеры. Пользователь строит линию в кадре в котором ведется наблюдение для определения факта пересечения линии объектом как в одном, так и в обоих направлениях. Это может использоваться как источник для появления соответствующего события.

• 82

• [П]Пересечение области (Trip zone)

  Это функция DirectIP камеры. Пользователь определяет область в кадре в котором ведется наблюдение, чтобы определять факты пересечения объектом линий, ограничивающих выделенную область, как внутрь, так и наружу. Это может использоваться как источник для появления соответствующего события.

• 83

• [П]ПЗС-матрица (CCD — Charged Coupled Device)

  Специализированная аналоговая интегральная микросхема, состоящая из светочувствительных фотодиодов, выполненная на основе кремния, использующая технологию ПЗС — приборов с зарядовой связью. ПЗС-матрица потребляет в 100 раз больше энергии по сравнению с КМОП-матрицей. Но при этом выдаёт изображение более высокого качества и разрешения.

• 84

• [П]Поворотная камера(PTZ camera)

  Камера с функциями Панорамирования, Наклона и Увеличения изображения. Как правило, управляемая поворотная камера имеет модуль управления приближением автофокусом, расположенный на работизированном модуле панорамирования/наклона. Большинство PTZ-камер обладают большим количеством встроенных функций, таких как, предустановки, туры, самонаведение и распознавание тревог. Но, как правило, они используются совместно с системами управления видеонаблюдением, где в режиме реального времени они управляются при помощи клавиатуры/джойстика. Раньше поворотные камеры управлялись по проприетарным последовательным протоколам или по протоколу Coaxitron. Большинство сетевых поворотных камер используют IP-протокол, поддерживая при этом и интерфейс RS-485.

• 85

• [П]Поворотная купольная камера (Auto Dome)

  Камера с интегрированной высокоскоростной телеметрией, встроенная в защищенный купольный корпус, позволяющая обеспечить обзор в 360 градусов.

• 86

• [П]Подавление мерцания (Anti-flickering)

  Некоторые источники света, например, лампы дневного света, мерцают. Человеческий глаз это не замечает, однако камеры это обнаруживают, что приводит к мерцанию изображения. Для того, чтобы избавиться от этого эффекта, используют функцию подавления мерцания.

• 87

• [П]Прогрессивная развертка (Progressive scan)

  Когда аналоговые камеры были впервые изобретены, не было технологии для реализации пропускной способности передачи разрешения D1 при скорости 30 кадров/c в полный кадр. Инженеры использовали технологию черезстрочной развертки сигнала, используемую в стандартах NTSC / PAL, где каждый кадр разбивается на два полукадра (или поля), составленные из строк, выбранных через одну. В первом поле развёртываются и воспроизводятся нечётные строки, во втором — чётные строки, располагающиеся в промежутках между строками первого поля. После окончания развёртки второго поля луч возвращается в точку, соответствующую началу развёртки первого поля, и т. д. Недостатком такого типа развертки являются артефакты в виде «сдвигов» в изображении движущихся объектов.

  Сейчас практически все IP камеры, включая камеры DirectIP, используют прогрессивную развертку, при которой все строки каждого кадра формируются последовательно.

  Тем не менее, в большинстве случаев, матрицы используют шторный электронный затвор, а не кадровый электронный затвор. Это не идеальное решение, но качество изображения намного лучше, нежели, чем с использованием черезстрочной развертки.

• 88

• [П]Профиль кодека (Codec profile)

  Кодек может иметь различные возможности. Профиль представляет собой набор методов сжатия, используемых в кодеке. Чем более эффективные методы используются, тем более высокое сжатие. Наиболее эффективным профилем с переменной скоростью передачи информации является профиль H.264. Обычно базовый профиль используется в недорогих кодеках, а основной или высший профиль используется в IP камерах высокого класса.

• 89

• [Р]Разрешение (Resolution)

  Означает степень детализации отображаемого изображения и определяется количеством точек изображения в одной строке и количеством таких горизонтальных строк. Чем выше разрешающая способность, тем больше информации выводится на экран.

• 90

• [Р]Расширенное управление охранными функциями (AAC — Advanced Alarm Control)

  Гибкая и прогрессивная подсистема управления охранными функциями, позволяющая создавать правила, какие порты вывода должны быть активированы, при поступлении сигналов на определенные порты ввода. В простейшем виде это означает, что сигнал на входе будет активизировать один или более выходов. В более сложном виде правило срабатывания может быть задано, например, таким образом, что при поступлении определенной команды с клавиатуры (заранее созданной или нет) будет задействована повортная камера. Также могут использоваться любые комбинации правил.

• 91

• [Р]Расширенный динамический диапазон (WDR — Wide Dynamic Range)

  Расширенный динамический диапазон — это технология съемки изображений, при которой затвор диафрагмы открывается дважды, с нормальной и высокой скоростью. Накладывая полученные поля друг на друга, получается изображение на котором нет ни слишком ярких участков, ни затемненных. При высокой и нормальной скорости затвора прогрессивная развертка ПЗС-матрицы обеспечивает разрешение 470 линий по горизонтали. В результате получается высококачественное изображение.

• 92

• [С]Синхронизация времени (Time sync)

  Существует только одна нулевая точка отсчета времени, которой является Всемирное кординированное время (UTC), или время по Гринвичу (GMT). Всё остальные времена переводятся в соответствии с часовыми поясами.

  Когда какое-то событие или происшествие записываются видеорегистратором (NVR), очень важно, чтобы время записи соответствовало реальному времени.

  Видеорегистраторы DirectIP используют протокол SNTP для синхронизации времени с сервером времени, или же они могут сами выступать сервером времени, с которым будут синхронизировать своё время другие видеорегистраторы.

• 93

• [С]Системное событие

  Большинство событий генерируются при поступлении сигналов от внешних датчиков, таких как обнаружение движения, потеря видеосигнала и т.д. Системные события генерируются сетевым видеорегистратором, и они связаны с критическим статусом для системы, например, состояние жесткого диска. Эти события могут быть использованы для отправки уведомления оператору. Например, если при обращении к жесткому диску обнаружены плохие сектора — Вы можете настроить правило для отправки уведомления об этом по электронной почте. Таким образом Вы будете предупреждены прежде, чем жесткий диск будет поврежден полностью и данные будут потеряны.

• 94

• [С]Системное событие (System event)

  [Запись]

  Происходит мониторинг того, что сетевой видеорегистратор произвел запись события хотя бы один раз за определенный период. Если этого не произошло, то осуществляется оповещение об этом. Вероятно были изменены настройки записи или запись не производится так, как Вам нужно.

  [Тревожный вход]

  Ведется мониторинг того, что тревожный вход был активизирован хотя бы один раз за определенный период. Подразумевается, что если под контролем у Вас, например, дверь, то она откроется хотя бы раз в день. Если этого не происходит, то вероятно существует проблема с датчиком. Сетевой видеорегистратор оповестит Вас об этом. После чего Вам следует проверить работоспособность датчиков.

• 96

• [С]Скорость передачи информации — бит/сек (Bit rate)

  Понятие скорость передачи полезной информации (Bit rate) является не однозначным. Механизмы кодека позволяют с более низкой скоростью передавать изображения такого же или более высокого качества. в соответствии с настройками профиля кодека. При использовании какого-либо кодека, скорость передачи информации (Bit rate) приблизительно равна количеству информации о изображении, необходимом для воссоздания видеоизображения.

  В большинстве кодеков IP камер используются оптимизированные параметры скорости передачи данных, но, иногда встречаются приложения, требующие более высокого качества изображения. В этом случае вам нужно использовать либо мегапиксельные камеры с большим разрешением, либо более высокую скорость передачи данных.

  В продуктах DirectIP мы используем базовый высококачественный кодек, который имеет оптимизированную скорость передачи информации для большинства приложений видеонаблюдения. Показатели 12 Мбит/сек с разрешением 1080 строк при 30 кадрах/сек являются лучшими на сегодняшний день.

• 98

• [Т]Тревожный вход (TTL) (Alarm In (TTL))

  Тревожный контакт типа переключатель. Он используется для подключения датчиков с двумя состояниями (Замкнут/Разомкнут), например, датчика двери.

• 99

• [Т]Тревожный вход/выход (Alarm in/out)

  У видеорегистратора есть два вида тревожных входов/выходов: тревожный вход непосредственно на самом видеорегистраторе и тревожный вход на камере. Работают они все так, как будто все находятся на самом видеорегистраторе. Это очень удобно, потому что в большинстве случаев датчики сигнализации или исполнительные устройства ближе к камере, поэтому не нужно тянуть от них до сетевого видеорегистратора дополнительный кабель.

• 100

• [Т]Тревожный выход (Реле / TTL) (Alarm Out (Relay / TTL))

  В виде реле или открытого коллектора. Работает как переключатель для управления выходом с заданной нагрузкой. Ознакомьтесь с инструкцией для получения дополнительной информации. К такому выходу Вы можете подключить сирену, зуммер, электромагнитный привод и т.д.

• 101

• [У]Уведомление (Notification)

  Уведомление еще называют обратной связью. Это функция сетевого видеорегистратора, когда он оповещает оператора при наступлении определенных событий. Есть много различных способов уведомлений, в том числе уведомления на удаленные мобильные приложения или уведомления по электронной почте.

• 102

• [У]Увеличение изображения (Zoom)

  Управление объективом. Приближение/удаление изображения меняет угол обзора, или поле зрения. Удаление позволяет увеличить угол обзора, но объекты будут выглядеть мельче. Приближение дает более узкий угол обзора, но при этом объекты в кадре будут выглядеть крупнее.

• 103

• [У]Угол обзора (FoV — Field of View)

  Максимальный угол, при котором объекты попадают в кадр. Угол обзора зависит от двух параметров — от фокусного расстояния объектива и физического размера матрицы. Иногда, угол обзора называют полем зрения. Поле зрения прямолинейной линзы описывается простым уравнением тригонометрии: FOV = 2 х агсtan (размер матрицы / (фокусное расстояние * 2)). Размер матрицы — это линейный размер матрицы по высоте или ширине в зависимости от измеряемой плоскости.

• 104

• [У]Удаленное приложение (Remote application)

  Удаленное приложение используется для подключения к сетевому видеорегистратору и просмотра видео в реальном времени или воспроизведения записанного видео. Есть много различных удаленных приложений, работающих на разных платформах, таких как Windows PC, Mac OS или на устройствах Android. Функциональные возможности зависят от типа приложения.

• 105

• [У]Уличная камера (Outdoor camera)

  Камера, допускающая установку в сложных погодных или температурных условиях со специальной защитой от проникновения влаги.

• 106

• [Ф]Фокус (Focus)

  Управление объективом. После того как Вы определились с зоной наблюдения камерой, Вы должны сфокусироваться и настроить резкость на объектах в кадре. Для этого произведите настройку фокуса. Убедитесь что глубина резкости соответствует апертуре. При использовании автоматической диафрагмы, настройка должна производиться в дневное время, когда автоматическая диафрагма максимально закрыта, таким образом Вы добьетесь большей глубины резкости. В ночное время, когда автоматическая диафрагма широко открыта, происходит сужение поля зрения. Это приведет к тому, что объекты будут не в фокусе и будут нечеткими. При настройке используйте нейтральные фильтры, чтобы уменьшить количество света, проходящего через объектив камеры.

• 107

• [Ф]Фокусное расстояние (Focal Length (f))

  Фокусное расстояние объектива определяет угол обзора объектива на заданном расстоянии. Широкоугольный объектив предполагает широкий угол обзора на заданной дистанции. Это означает, что он может увидеть широкую область как в горизонтальной, так и вертикальной плоскости. Большинство производителей объективов предоставляют таблицы или диаграммы для правильного выбора объектива. f = h x D / H (h: высота изображения, D: расстояние до объекта, H: высота объекта).

• 108

• [Ф]Формат объектива (Lens format)

  Форматом объектива является размер плоскости фокусной линзы. Вы можете использовать объектив 1/2″ для небольших матриц, таких как 1/2.7″, 1/3″ или 1/4″, но не наоборот. Иначе, вы можете увидеть часть оправы объектива по углам изображения, особенно в режиме широкоугольной съемки.

• 109

• [Ц]Цифровой режим день/ночь (Digital Day and Night)

  Цифровой режим день/ночь обозначает, что вместо функции ИК-коррекции в камере используется ИК-фильтр, который пропускает только видимый спектр света. Этот режим хорошо зарекомендовал себя при работе с искусственным освещением, например, внутри помещений, однако, если присутствуют источники света, излучающие свет в ИК-диапазоне (галогеновые лампы или солнечный свет), то цветность изображения может быть искажена.

  Камеры с цифровым режимом день/ночь менее сложны в изготовлении, чем камеры с функцией ИК-коррекции, и поэтому более доступны по цене.

• 110

• [Ш]Шторный затвор (Rolling shutter)

  Шторный затвор, это электронный затвор используемый в цифровых камерах. Матрица фиксирует и обрабатывает каждую точку (пиксель) последовательно. Таким образом, получается, что изображение составляется из точек, обработанных со сдвигом по времени. Это приводит к тому, что при съемке быстро движущихся объектов, появляются артефакты.

• 111

• [Э]Экспозиция (Exposure)

  Экспозиция — количество света, попадающего на матрицу камеры. Экспозиция регулируется апертурой и скоростью затвора. Для обеспечения частоты 30 кадров в секунду затвор должен работать со скоростью не меньшей чем 1/30 сек. Чем больше экспозиция, тем больше света может собрать матрица, но при этом при съемке движущихся объектов будет присутствовать эффект размытия изображения. Экспозиция регулируется автоматически, но при низкой освещенности кадра можно настроить параметры экспозиции вручную для получения скорости затвора менее 1/30 сек.

Что собой представляет DDoS-атака

Английская аббревиатура DDoS расшифровывается как Distributed Denial of Service, что дословно переводится как «распределенный отказ в обслуживании». На деле эта терминология подразумевает атаку, которая выполняется одновременно с большого числа компьютеров. Задачей такой атаки является выведение из строя сервера цели (как правило, крупной организации) за счет огромного количества запросов, которые вычислительная система не в состоянии обработать. Рассмотрим детально подобный вид атаки.

 

 

1. Введение

2. Различные виды DDoS-атак

3. Что такое амплификация (amplification)

4. Выводы

 

Введение

Люди, неискушенные в теме ИБ, зачастую могут путать DoS-атаки и DDoS-атаки, здесь проще всего будет запомнить так: при Dos-атаке отказ в обслуживании пытается вызвать одна атакующая машина; при DDoS-атаке таких машин много, как правило, это бот-сеть, в которую входят зараженные и полностью контролируемые злоумышленником компьютеры.

Как можно догадаться, бороться с DDoS-атакой гораздо сложнее, она может длиться дни, даже недели — зависит от бюджета киберпреступника. Эффективность этой атаки очевидна, а доступность и вовсе поражает — на рынках даркнета небольшой ботнет можно купить за 150 долларов.

Чтобы иметь представление о том, сколько атак DDoS совершается в разных регионах мира, взгляните на специальную карту цифровых атак.

На данном этапе мы имеем большое разнообразие атак DDoS, рассмотрим некоторые из них.

 

Виды DDoS-атак

DDoS прикладного уровня (Application layer DDoS)

Атака прикладного (или 7-го) уровня заключается в отправке огромного количества запросов, требующих большой вычислительной мощности. В этот класс также входят атаки HTTP-флуд и DNS-флуд.

HTTP-флуд

HTTP-флуд обычно осуществляется против конкретной цели, как следствие, такую атаку довольно трудно предотвратить. В ней не используются вредоносные пакеты, она больше полагается на бот-сеть.

DNS-флуд

В этом виде атак целью является DNS-сервер жертвы. Если DNS-сервер будет недоступен, вы не сможете найти соответствующий сервер. DNS-флуд — это симметричная атака, запущенная множественными зомби, находящимися в бот-сети и относящаяся к классу атак UDP. Эта атака упрощает спуфинг.

DDoS сетевого уровня (Network layer DDoS)

Это очень масштабные атаки, измеряемые в гигабитах в секунду (Гбит/с) или в пакетах в секунду (PPS). В худших случаях такие атаки могут достигать от 20 до 200 Гбит/с. Такой тип DDoS-атак делится на SYN-флуд и UDP-флуд.

SYN-флуд

Создает поток запросов на подключение к серверу, при котором становится невозможным ответить на эти запросы. Целью здесь является каждый порт сервера, который «наводняется» (от английского слова flood) SYN-пакетами, за счет этого на сервере переполняется очередь на подключения. При этом пакеты SYN-ACK игнорируются, благодаря чему появляются так называемые полуоткрытые соединения, ожидающие подтверждения от клиента.

UDP-флуд

Сервер «наводняется» UDP-запросами на каждый порт. В этом случае сервер отвечает пакетами «адресат недоступен», в итоге атакуемая система окажется перегруженной и не сможет отвечать.

 

Что такое амплификация (amplification)

Амплификация (усиление) — это метод, используемый для усиления полосы пропускания DDoS-атаки. Путем подмены IP-адреса в запросе злоумышленник может повысить эффективность своей атаки в 70 раз. Коэффициент усиления может варьироваться в зависимости от типа сервера.

К примеру, команда monlist, часто используется для NTP DDoS-атак. Эта команда отправляет злоумышленнику сведения о последних 600 клиентах ntpd. То есть при небольшом запросе от зараженного компьютера, обратно отправляется большой поток UDP. Такая атака приобретает просто гигантские масштабы при использовании ботнета.

 

Рисунок 1. Схема DDoS-атак

 

 

Выводы

Теперь мы имеем базовое представление о DDoS-атаках, можно порассуждать о том, как от них защититься. Первым делом следует определить, в какой части ваша сеть наиболее уязвима. Затем стоит поставить себя на место злоумышленника, чтобы представить, что ему нужно сделать для того, чтобы провести успешную атаку на вашу сеть.

Пожалуй, самое главное — иметь некую систему оповещений, которая будет вас информировать в случае совершения атаки DDoS, чем раньше вы узнаете о самом факте, тем лучше, так вы успеете продумать план по нейтрализации.

Наконец, можно заказать тестирование на проникновение (оно же пентест, pentest, penetration test), чтобы проверить безопасность вашей сети, насколько она готова к вторжениям извне. Это хорошая практика, которая поможет понять и устранить слабые места, таким образом, что ваша сеть будет относительно защищенной.

Что такое SPF, DKIM и DMARC простыми словами

Первое знакомство с аббревиатурами SPF, DKIM и DMARC может вызвать немало вопросов. Это цифровые записи, которые необходимо добавить на DNS-сервер, для корректной отправки электронной почты со своего домена. Без них ваши письма с большой долей вероятности не дойдут до получателя или попадут в спам.

В этой статье мы простым языком объясним, что означают все эти понятия и для чего они нужны.

Бесплатный тестовый период push

Что такое SPF?

Каждый из приведенных выше терминов – это механизм по защите пользователей от атак злоумышленников, перехвата и подмены данных.

Для начала разберемся с базовым понятием – DNS (Domain Name System, или система доменных имен). DNS-сервер — это хранилище информации о доменных именах (например, example.com) и соответствующих им IP-адресах (например, 168.123.128.190). К одному домену может быть привязано несколько IP-адресов. Например, субдомену или почтовому серверу домена будут соответствовать разные IP. Вся эта информация хранится на DNS-серверах, куда отправляются запросы при каждом обращении к сайту, субдомену и т. д.

Для того, чтобы зарегистрировать домен, вам необходимо предоставить регистратору список DNS-серверов, которые будут хранить ваши данные. У сайта может быть несколько таких хранилищ для стабильной работы.

SPF (Sender Policy Framework) – это запись, которая обеспечивает взаимопонимание между почтовыми серверами отправителя и получателя. Она содержит информацию о том, с каких IP-адресов может рассылаться почта от вашего домена.

Вот пример такой записи:

Проверить SPF для своего домена можно здесь — https://mxtoolbox.com/spf.aspx

Одному домену соответствует одна SPF-запись.

Так, сервер получателя запрашивает SPF во время доставки сообщения. Если у отправителя есть эта запись, он передает в ней список IP-адресов, с которых может отправлять почту. Как правило, это данные одного или нескольких почтовых серверов.

TIP

Вот инструкция от Google, как определить IP для их почтовых сервисов.

Сервер получателя сверяет IP-адрес почтового сервера отправителя со списком из SPF. Если он нашел нужный IP в списке, то пропускает сообщение дальше.

Это первый маркер, который говорит о том, что это именно вы рассылаете информацию от имени своего домена. Потому установка SPF важна для безопасного взаимодействия и повышения процента доставки вашей почты.

Читайте инструкцию от Google о том, как создать SPF запись.

Больше советов от экспертов сервиса Gravitec.net — пройдите простую регистрацию.

Что такое DKIM?

DKIM (DomainKeys Identified Mail) – вторая ступень защиты при передаче данных между почтовыми серверами. Это механизм, который работает через ключи шифрования. Для того, чтобы его активировать, необходимо создать два ключа: приватный и публичный.

• Приватный – это ваш личный уникальный ключ, который шифрует скрытую подпись в заголовках каждого вашего письма. Она не видна для пользователей.
• Публичный ключ вы вносите в ваши DNS-записи, это подпись в формате txt.

Пример публичного ключа:

Два ключа работают в связке. Когда сервер получателя видит письмо, он запрашивает ваш публичный ключ. С его помощью он расшифровывает скрытую подпись, которая подтверждает ваше авторство.

Соответственно, если DKIM у вас не установлен, многие почтовые сервера будут отклонять получение ваших писем. Это способ авторизации, который нельзя игнорировать.

Смотрите инструкцию от Google о том, как создать и настроить ключ DKIM для своего домена — https://support.google.com/a/answer/174124?hl=ru&ref_topic=2752442.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reportingand Conformance) – третий этап защиты. Это технология, которая определяет, что делать с вашими сообщениями, если они не прошли аутентификацию с помощью SPF и DKIM. Это правило, которое вы устанавливаете для писем, отправленных от вашего имени.

Так, вы защищаете своих получателей от злоупотреблений вашей репутацией, использования вашего домена мошенниками.

Перед установкой DMARC важно убедиться, что SPF и DKIM прописаны корректно, иначе это может привести к фильтрации писем от вас.

Есть три основных правила, по которым работает механизм DMARC, если распознает сообщения, как подозрительные:

1. Не предпринимает никаких действий;
2. Помечает письмо как спам и отправляет в карантин;
3. Отклоняет сообщение без доставки адресату.

Проверить настройки для вашего домена можно тут — https://dmarcian.com/dmarc-inspector/

Информация по настройке и работе DMARC здесь — https://support.google.com/a/answer/2466580.

Итоги простыми словами

 

TIP

• DNS-сервер хранит информацию о домене и его IP-адресах. Внести записи SPF и DKIM (публичный ключ) в DNS можно через вашего регистратора доменного имени.
• SPF – запись, где заложена информация о почтовых серверах, с которых вы отправляете сообщения. Если от вас приходят письма с других IP, нежели это указано в SPF, они не пройдут проверки на подлинность.
• DKIM – механизм защиты, основанный на шифровании. Публичный ключ вносится в DNS-записи и доступен для чтения, приватный – шифрует вашу скрытую подпись в заголовках писем. Расшифровка происходит при доставке сообщений получателем.
• DMARC – набор правил для писем от вашего имени, которые не прошли аутентификацию по SPF и DKIM.

 

Предыдущая записьСледующая запись

Расшифровка DNS-трафика — Часть 5 — NVISO Labs

Дидье Стивенс Киберугрозы, криминалистика 29 ноября 2021 г. 10 марта 2022 г. 9 минут

---

Маяки Cobalt Strike могут обмениваться данными через DNS. В этой записи блога мы покажем, как декодировать и расшифровывать DNS-трафик.

В этой серии статей блога описываются различные методы расшифровки трафика Cobalt Strike. В первой части этой серии мы рассказали о закрытых ключах шифрования, обнаруженных в мошеннических пакетах Cobalt Strike. Во второй части мы расшифровывали трафик Cobalt Strike, начиная с закрытого ключа RSA. В части 3 мы объясним, как расшифровать трафик Cobalt Strike, если вы не знаете закрытый ключ RSA, но у вас есть дамп памяти процесса. А в части 4 мы имеем дело с трафиком, запутанным с помощью податливых преобразований данных C2.

В первых 4 частях этой серии мы всегда рассматривали трафик через HTTP (или HTTPS). Маяк также можно настроить для связи через DNS, выполняя DNS-запросы для записей A, AAAA и/или TXT. Данные, передаваемые с маяка на сервер группы, кодируются шестнадцатеричными цифрами, составляющими метки запрошенного имени, а данные, передаваемые с сервера группы на маяк, содержатся в ответах записей A, AAAA и/или TXT.

Данные необходимо извлечь из DNS-запросов, а затем их можно расшифровать (теми же криптографическими методами, что и для трафика по HTTP).

Протокол DNS C2

Мы используем задачу из выпуска Cyber ​​Security Rumble 2021 года, чтобы проиллюстрировать, как выглядит DNS-трафик Cobalt Strike.

Сначала нам нужно взглянуть на конфигурацию маяка с помощью инструмента 1768.py:

Рисунок 1: конфигурация маяка DNS

Поле «тип полезной нагрузки» подтверждает, что это маяк DNS, а поле «сервер» говорит нам какой домен используется для DNS-запросов: wallet[. ]thedarkestside[.]org.

Затем на рисунке 1 выделен третий блок параметров конфигурации DNS: maxdns, DNS_idle, … Мы объясним их, когда они появятся в DNS-трафике, который мы собираемся анализировать.

Видимый в Wireshark, этот DNS-трафик выглядит следующим образом:

Рисунок 2: Представление Wireshark DNS-трафика Cobalt Strike

Мы сжали эту информацию (поле Info) в это текстовое представление DNS-запросов и ответов:

Рисунок 3: Текстовое представление DNS-трафик Cobalt Strike

. Начнем с первого набора запросов:

997cf2[.]бумажник[.]thedarkestside[.]org. wallet[.]thedarkestside[.]org — это корневые метки каждого запроса, который будет выдавать этот маяк, и это задается внутри конфигурации. 19997cf2 — это шестнадцатеричное представление идентификатора маяка (bid) этого конкретного экземпляра маяка. Каждый работающий маяк генерирует 32-битное число, которое используется для идентификации маяка с сервером группы. Он отличается для каждого работающего маяка, даже если один и тот же исполняемый файл маяка запускается несколько раз. Все DNS-запросы для этого конкретного маяка будут иметь корневые метки 19.997cf2[.]бумажник[.]thedarkestside[.]org.

Чтобы определить цель набора DNS-запросов, как указано выше, нам необходимо ознакомиться с конфигурацией маяка:

Рисунок 5: увеличение настроек DNS конфигурации этого маяка (Рисунок 1)

Следующие параметры определяют Верхняя метка на тип запроса:

1. DNS_BEACON
2. DNS_A
3. DNS_AAAA
4. DNS_TXT
5. DNS_METADATA
6. DNS_OUTPUT
9005

5.

Например, если DNS-запросы, выдаваемые этим маяком, имеют имя, начинающееся с http://www., то мы знаем, что это запросы на отправку метаданных на командный сервер.

В конфигурации нашего маяка значение DNS_beacon равно (NULL …): это пустая строка, и это означает, что перед корневыми метками не ставится метка. Таким образом, при этом мы знаем, что запросы с именем 19997cf2[.]wallet[.]thedarkestside[.]org являются запросами DNS_beacon. Запросы DNS_beacon — это то, что маяк использует, чтобы узнать, есть ли у сервера группы задачи для маяка в очереди. Ответом на этот DNS-запрос A является адрес IPv4, и этот адрес указывает маяку, что делать. Чтобы понять, что это за инструкция, нам сначала нужно XOR этого ответного адреса со значением настройки DNS_Idle. В нашем маяке это значение DNS_Idle равно 8.8.4.4 (значение DNS_Idle по умолчанию равно 0.0.0.0).

Глядя на рисунок 4, мы видим, что ответы на первые запросы 8.8.4.4. Они должны быть объединены XOR со значением DNS_Idle 8.8.4.4: таким образом, результат равен 0.0.0.0. Ответ, равный 0.0.0.0, означает, что в очереди командного сервера для этого маяка нет задач, и что он должен перейти в спящий режим и проверить его позже. Таким образом, для первых 5 запросов на рисунке 4 маяк не должен ничего делать.

Это меняется с 6-м запросом: ответом является IPv4-адрес 8.8.4.246, и когда мы выполняем XOR этого значения с 8.8.4.4, мы получаем 0.0.0.242. Значение 0.0.0.242 указывает маяку проверять наличие задач с помощью запросов записи TXT.

Вот возможные значения, определяющие, как маяк должен взаимодействовать с сервером группы:

Рисунок 6: возможные ответы DNS_Beacon

Если установлен младший значащий бит, маяк должен выполнить регистрацию (с запросом DNS_metadata).

Если биты с 4 по 2 очищены, связь должна выполняться с записями A.

Если установлен бит 2, связь должна осуществляться с помощью записей TXT.

И если установлен бит 3, связь должна осуществляться с записями AAAA.

Значение 242 равно 11110010, поэтому не нужно выполнять регистрацию, но задачи следует извлекать с помощью записей TXT.

Следующий набор DNS-запросов выполняется маяком из-за полученных им инструкций (0.0.0.242):

Рисунок 7: DNS_TXT-запросы

Обратите внимание, что имена в этих запросах начинаются с api. в соответствии с конфигурацией (см. рис. 5). И это согласно инструкции командного сервера (0.0.0.242).

Хотя запросы DNS_TXT должны использовать записи TXT, самым первым DNS-запросом запроса DNS_TXT является запрос записи A. Ответ, адрес IPv4, должен быть объединен XOR со значением DNS_Idle. Итак, в нашем примере 8.8.4.68 XOR с 8.8.4.4 дает 0.0.0.64. Это определяет длину (64 байта) зашифрованных данных, которые будут передаваться по записям TXT. Обратите внимание, что для запросов DNS_A и DNS_AAAA первый запрос также будет запросом записи A. Он также кодирует длину принимаемых зашифрованных данных.

Затем маяк отправляет столько запросов на запись TXT, сколько необходимо. Значение каждой записи TXT представляет собой строку BASE64, которая должна быть объединена вместе перед декодированием. Маяк перестает выдавать запросы на запись TXT, как только декодированные данные достигают длины, указанной в ответе на запись A (64 байта в нашем примере).

Поскольку маяк может выдавать эти запросы записи TXT очень быстро (в зависимости от настроек сна), введен механизм, позволяющий избежать помех кэшированных результатов DNS при обмене данными. Это делается путем создания уникальных имен в DNS-запросах. Это делается с помощью дополнительной шестнадцатеричной метки.

Обратите внимание на наличие шестнадцатеричной метки между верхней меткой (api в нашем примере) и корневой меткой (в нашем примере 19997cf2[.]wallet[.]thedarkestside[. ]org). Эта шестнадцатеричная метка — 07311917 для первого DNS-запроса и 17311917 для второго DNS-запроса. Эта шестнадцатеричная метка состоит из счетчика и случайного числа: СЧЕТЧИК + СЛУЧАЙНОЕЧИСЛО.

В нашем примере случайным числом является 7311917, а счетчик всегда начинается с 0 и увеличивается на 1. Таким образом каждый запрос становится уникальным, а также помогает обрабатывать ответы в правильном порядке, если DNS ответы приходят в беспорядке.

Таким образом, когда все ответы DNS TXT получены (в нашем примере только один), строка с основанием 64 (ZUZBozZmBi10KvISBcqS0nxp32b7h6WxUBw4n70cOLP13eN7PgcnUVOWdO+tDCbeElzdrp0b0N5DIEhB7eQ9Yg== в нашем примере) декодируется и расшифровывается с помощью этого инструмента конец этой записи в блоге).

Так DNS-маяки получают свои инструкции (задачи) от командного сервера. Зашифрованные байты передаются через ответы DNS A, DNS AAAA или DNS TXT.

Когда связь должна осуществляться через записи DNS A (ответ 0.0.0.240), трафик выглядит следующим образом:

Рисунок 8: DNS_A запрашивает

cdn. является верхней меткой для запросов DNS_A (см. конфигурацию на рис. 5).

Первый ответ: 8.8.4.116, объединив XOR с 8.8.4.4, получим 0.0.0.112. Таким образом, должно быть получено 112 байт зашифрованных данных: это 112 / 4 = 28 ответов DNS A-записи.

Зашифрованные данные просто берутся из адресов IPv4 в ответах на запись DNS A. В нашем примере это: 19, 64, 240, 89, 241, 225, …

И для запросов DNS_AAAA метод точно такой же, за исключением того, что верхняя метка — www6. в нашем примере (см. конфигурацию на рис. 5) и что каждый IPv6-адрес содержит 16 байт зашифрованных данных.

Зашифрованные данные, передаваемые через записи DNS с сервера группы на маяк (например, задачи), имеют точно такой же формат, как и зашифрованные задачи, передаваемые по http или https. Таким образом, процесс расшифровки точно такой же.

Когда маяк должен передать свои результаты (выходные данные задач) на командный сервер, он использует запросы DNS_output. В нашем примере эти запросы начинаются с сообщения верхней метки. Вот пример:

Рисунок 9: Beacon отправляет результаты на командный сервер с запросами DNS_output

Каждое имя запроса DNS для запроса DNS_output имеет уникальный шестнадцатеричный счетчик, как и запросы DNS_A, DNS_AAAA и DNS_TXT. Передаваемые данные кодируются шестнадцатеричными цифрами в метках, которые добавляются к имени.

Возьмем первый DNS-запрос (рис. 9): post.140.09842910.19997cf2[.]wallet[.]thedarkestside.org.

Это имя разбивается на следующие метки:

• сообщение: запрос DNS_output
• 140: переданные данные
• 09842910: счетчик + случайное число
• 19997cf2: идентификатор маяка
• кошелек[.]thedarkestside.org: домен, выбранный оператором

Передаваемые данные первого запроса фактически представляют собой длину передаваемых зашифрованных данных. Его нужно расшифровать следующим образом: 140 -> 1 40.

Первая шестнадцатеричная цифра (в нашем примере 1) — это счетчик, указывающий количество меток, используемых для хранения шестнадцатеричных данных. Поскольку метка DNS ограничена 63 символами, необходимо использовать более одной метки, когда необходимо закодировать 32 или более байтов. Это объясняет использование счетчика. 40 — это шестнадцатеричные данные, поэтому длина зашифрованных данных составляет 64 байта.

The second DNS query (figure 9) is: post.2942880f933a45cf2d048b0c14

3df0cd10a0de26ea103d0eb1b3.4adf28c63a97deb5cbe4e20b26902d1ef427957323967835f7d18a42.19842910.19997cf2[.]wallet[.]thedarkestside[.]org.

Имя в этом запросе содержит зашифрованные данные (частично), закодированные шестнадцатеричными цифрами внутри меток.

Эти метки передаваемых данных:0007

Первая цифра 2 означает, что для кодирования зашифрованных данных использовались 2 метки: 942880f933a45cf2d048b0c14

3df0cd10a0de26ea103d0eb1b3 и 4adf28c63a97deb5cbe4e20b26492781ef4279678328

Третий DNS-запрос (рис. 9): post.1debfa06ab4786477.29842910.19997cf2[.]wallet[.]thedarkestside[.]org.

Счетчик меток равен 1, а передаваемые данные — debfa06ab4786477.

Соединяя все эти метки вместе в правильном порядке, мы получаем следующие шестнадцатеричные данные:

942880f933a45cf2d048b0c14

3df0cd10a0de26ea103d0eb1b34adf28c63a97deb5cbe4e20b26902d1ef427957323967835f7d18a42debfa046ab4786 Это 128 шестнадцатеричных цифр или 64 байта, точно так же, как указано длиной (40 шестнадцатеричных) в первом запросе.

Приведенные выше шестнадцатеричные данные — это зашифрованные данные, передаваемые через записи DNS с маяка на командный сервер (например, результаты или выходные данные задачи), и они имеют почти тот же формат, что и зашифрованные выходные данные, передаваемые с помощью http или https. Отличие заключается в следующем: при http или https-трафике формат начинается с незашифрованного поля размера (размер зашифрованных данных). Это поле размера отсутствует в формате данных DNS_output.

Расшифровка

Мы разработали инструмент cs-parse-traffic, который может расшифровывать и анализировать трафик DNS и HTTP(S). Подобно тому, что мы делали с зашифрованным HTTP-трафиком, мы будем декодировать зашифрованные данные из DNS-запросов, использовать их для поиска криптографических ключей в памяти процесса маяка, а затем расшифровать DNS-трафик.

Сначала мы запускаем инструмент с неизвестным ключом (-k unknown) для извлечения зашифрованных данных из DNS-запросов и ответов в файле захвата:

Рисунок 10: извлечение зашифрованных данных из DNS-запросов

Для обработки DNS-трафика требуется опция -f dns, а опция -i 8.8.4.4. используется для предоставления значения DNS_Idle. Это значение необходимо для правильного декодирования ответов DNS (оно не требуется для запросов DNS).

Затем зашифрованные данные (красный прямоугольник) можно использовать для поиска ключей AES и HMAC в дампе памяти процесса работающего маяка:

Рисунок 11. Извлечение криптографических ключей из памяти процесса DNS-трафик:
Рисунок 12: расшифровка DNS-трафика

Этот трафик использовался в вызове CTF на Cyber ​​Security Rumble 2021. Чтобы найти флаг, выполните команду grep для CSR в расшифрованном трафике:

Рисунок 13: поиск флага в расшифрованном трафике

Заключение

Основное различие между DNS-трафиком Cobalt Strike и HTTP-трафиком Cobalt Strike заключается в способе кодирования зашифрованных данных. После восстановления зашифрованных данных их расшифровка очень похожа для DNS и HTTP.

Об авторах

Дидье Стивенс — эксперт по вредоносным программам, работающий в NVISO. Дидье является старшим куратором SANS Internet Storm Center и Microsoft MVP. Он разработал множество популярных инструментов, помогающих в анализе вредоносного ПО. Вы можете найти Дидье в Twitter и LinkedIn.

Вы можете следить за NVISO Labs в Твиттере, чтобы быть в курсе всех наших будущих исследований и публикаций.

Series Navigation<< Cobalt Strike: Расшифровка запутанного трафика — Часть 4Cobalt Strike: Дампы памяти — Часть 6 >>

Вот так:

Нравится Загрузка. ..

Зашифрованный DNS — хороший, плохой и безобразный.

Когда дело доходит до цифрового века, мы быстро внедрили широкий спектр технологий, которые позволяют нам управлять своими финансами, сотрудничать с колледжами по всему миру или вызывать такси одним прикосновением к нашему телефону.

Используя наши веб-браузеры, мы можем потреблять и создавать контент по запросу в любом месте и в любое время. Весь этот развалился бы, если бы не единый протокол , разработанный в темные века Интернета.

DNS или система доменных имен — это система разрешения сетевых имен и протокол, используемый для преобразования доменных имен, таких как «facebook.com», в соответствующий IP-адрес. Без него наши веб-браузеры, приложения и службы не знали бы, куда направлять наши сетевые и интернет-запросы.

DNS использует иерархическую пирамидальную систему для обеспечения высокой доступности. На его вершине всего 13 корневых DNS-серверов, которые являются авторитетными для всех его дочерних компаний. Если они выйдут из строя, глобальный интернет, каким мы его знаем, начнет разваливаться.

Так как же работает DNS?

 Если вы не знакомы с концепцией DNS, давайте рассмотрим ее пошагово:

• Вы вводите веб-адрес в браузере, например, «www.facebook.com». Однако для доступа к сервису ваш браузер должен знать правильный IP-адрес сайта.
• Операционная система запрашивает DNS-сервер, настроенный в вашем сетевом соединении, с помощью простого запроса на порт 53: Дайте мне IP-адрес для домена «facebook.com».
• Эти DNS-серверы или преобразователи обычно управляются вашим интернет-провайдером (ISP). Этот сервер не содержит IP-адреса для всех доменов Интернета, поэтому он связывается с другими DNS-серверами. Сначала устанавливается связь с корневым DNS-сервером. Поскольку это домен верхнего уровня, корневой сервер вернет адрес сервера имен домена верхнего уровня (TLD). Затем преобразователь ISP запрашивает DNS-сервер TLD и получает сервер имен службы, к которой вы пытаетесь получить доступ.
• Наконец, преобразователь связывается с сервером имен Facebook и запрашивает IP-адрес «www.facebook.com». Ответ отправлен на ваш компьютер.
• Ваш браузер считывает ответ и подключается к правильному IP-адресу.
• Все это обрабатывается за миллисекунды.

Что насчет безопасности?

Вкратце это работа DNS, но этот блог посвящен безопасности. Так как же по умолчанию защищен этот фундаментальный сервис?

Ответ может вас удивить. По своей природе DNS использует простой текстовый протокол без каких-либо мер безопасности.  

Помните, что это пришло из темных веков Интернета. Когда проектировались первые компьютерные сети, в то время не было хакеров, вредоносных программ, электронной коммерции, интернет-банкинга. Вероятно, даже первые пионеры IP-сетей не предвидели того огромного влияния, которое они окажут на мир через несколько лет.

Так что безопасность в то время не вызывала беспокойства. Хорошо, так почему мы должны заботиться?

С точки зрения безопасности есть две проблемы:

• Поскольку DNS использует простой текстовый протокол, любая сторона между клиентом и сервером может прочитать его содержимое . Сторона, имеющая доступ к журналам связи DNS (как правило, интернет-провайдер), знает каждую веб-страницу, приложение, службу, которые мы посетили. Эти данные используются в целях маркетинга и бизнес-аналитики для целевой рекламы.
• Однако модификация ответа DNS — это совсем другая история. Поскольку ваш браузер зависит от ответа DNS, чтобы направить его на правильный сервер, , если злоумышленник изменит ответ, ваш браузер подключится к серверу, который был помещен в ответ DNS . Это может быть поддельный интернет-сайт, созданный с целью неправомерного использования или кражи. Шансы на обнаружение минимальны.

Уже довольно давно звучат призывы к защите DNS, и есть результаты. К сожалению, это не так просто. В настоящее время существует три подхода к защите DNS со своими достоинствами и недостатками. Все они используют криптографию и инфраструктуру открытых ключей в своей основе.

Корневые организации DNS

VeriSign, Inc.
Университет Южной Калифорнии (ISI)
Cogent Communications
Университет Мэриленда
NASA
Internet Systems Consortium, Inc. US
Министерство обороны США (NIC)
Research Lab)
Netnod
VeriSign, Inc.
RIPE NCC
ICANN
WIDE Project

The Good

Давайте рассмотрим различные механизмы безопасности, чтобы показать, как они защищают стандартное разрешение имен DNS.

Расширения безопасности DNS (DNSSEC)

DNSSEC был разработан с целью предотвращения спуфинга DNS (замены правильного IP-адреса в ответе поддельным). Он использует цифровую подпись , добавляемую DNS-сервером в каждый ответ.

Цифровая подпись представляет собой хешированное значение правильного ответа, зашифрованное закрытым ключом DNS-сервера. Когда ваш компьютер получает ответ, цифровая подпись расшифровывается с помощью открытого ключа, а хэш сравнивается с ответом.

Если злоумышленник заменит правильный адрес в ответе поддельным, ваш компьютер сможет обнаружить несоответствие . Поскольку злоумышленник, не зная закрытого ключа DNS-сервера, не может изменить цифровую подпись, чтобы она соответствовала поддельному IP-адресу.

Это эффективно предотвращает замену IP-адреса в ответе. DNSSEC использует тот же порт 53, что и DNS, но вместо UDP он использует TCP, чтобы разрешить гораздо большие полезные нагрузки .

DNS через TLS (DoT)

DoT — это протокол, разработанный для DNS с целью полного шифрования и преобразования запроса и ответа DNS в стандартный протокол безопасности транспортного уровня.

Используется выделенный порт TCP 853. Перед обменом данными DNS между клиентом и распознавателем DNS устанавливается сеанс TLS, проверяющий общедоступный сертификат распознавателя и вычисляющий симметричный ключ для шифрования.

 Обмен данными между распознавателем и клиентом полностью зашифрован, чтобы злоумышленник не мог увидеть или изменить DNS-запрос и ответ.

DNS через HTTPS (DoH)

DoH — это новейший подход к проблеме простых текстовых запросов и ответов DNS. Хотя это похоже на DoT, основное отличие состоит в том, что DoH напрямую используется интернет-браузерами и приложениями без использования устаревшего разрешения доменных имен в операционной системе.

Он оборачивает DNS-запрос и ответ непосредственно в HTTPS , что позволило быстро развернуть его в последние месяцы, несмотря на то, что он моложе, чем DoT.

DoH в настоящее время реализован в Google Chrome и Mozzila , и Microsoft планирует внедрить его в стандартные службы Windows DNS.

Поскольку он использует HTTPS-порт 443, нет необходимости в специальной настройке порта или инструментах. Он работает без проблем, как и стандартный HTTPS, и может быть использован и реализован сразу же без необходимости поддержки ОС или демона DNS.

В основе всех механизмов безопасности DNS лежит правильная инфраструктура открытых ключей и управление жизненным циклом сертификатов. : Один сертификат с истекшим сроком действия может оказать огромное влияние на всю работу защищенного DNS.

Плохой

Хотя три расширения DNS обеспечивают значительные преимущества в плане безопасности, они не лишены недостатков. У всех свои недостатки.

Расширения безопасности DNS (DNSSEC) , например, обеспечивают защиту только от модификации/перехвата ответов DNS.

I t не мешает злоумышленнику подслушивать , предоставив ему полную историю просмотров.

Использование DNSSEC также приводит к проблемам со сложностью и производительностью, поскольку каждый ответ должен быть подписан.

Однако самая большая проблема заключается в том, что он редко используется сквозным образом. DNSSEC обычно развертывается между ответчиком DNS интернет-провайдера и корневым и TLD DNS целевой веб-службы .  

Последняя миля между вашим компьютером и DNS вашего интернет-провайдера не защищена. А с скомпрометированный маршрутизатор или вредоносное ПО по-прежнему можно использовать для изменения ответа DNS и перенаправления вашего браузера.

DNS через TLS и DNS через HTTPS Основная проблема заключается в том, что происходит после того, как браузер получил правильный IP-адрес сервера.

Браузер установит соединение с сервером, что означает установление защищенного соединения TLS. Чтобы получить правильный сертификат, содержащий открытый ключ службы, серверу необходимо знать, к какой веб-странице пытается получить доступ клиент. Это предусмотрено в Индикатор имени сервера Заголовок в текстовом формате HTTP до установки шифрования.

Теперь все усилия по защите данных DNS в основном сведены на нет , так как злоумышленник имеет доступ к странице, к которой мы пытаемся получить доступ по другому каналу .

У DNS через TLS есть еще одна большая проблема, поскольку изначально не поддерживается основными операционными системами и использует определенный порт, который может быть не включен вашими интернет-провайдерами или корпоративными брандмауэрами.

Вот почему DNS через HTTPS заменил DoT еще до того, как служба начала применяться.

Свет в конце туннеля

В сентябре 2018 года Cloudflare разработала инициативу ESNI. Его целью является шифрование заголовка SNI с использованием открытого ключа, полученного из ответа DNS через HTTPS.

Проще говоря, когда вы запрашиваете DoH с доменным именем (например, www.google.com), предоставляется IP-адрес службы, а также открытый ключ для шифрования заголовка SNI.

 Это полностью закрывает связь в зашифрованном сеансе и устраняет одну из самых больших ошибок в Интернете. Проект был открыт в рамках Целевой группы по проектированию Интернета, которая разрабатывает интернет-стандарты. Мы, скорее всего, увидим полный стандарт, который будет выпущен в 2020 году. Так в чем уродливая часть?

Слишком много анонимности

Первый связан с тем фактом, что полное сокрытие активности пользователя в Интернете обеспечивает полную конфиденциальность просмотра, но это может идти вразрез с потребностями интернет-провайдеров или групп сетевого администрирования в компаниях .

Как предотвратить доступ сотрудников к вредоносным сайтам, нежелательному контенту в офисах или преступной деятельности? Создание черного списка IP-адресов, которые должны быть заблокированы, нереально, поэтому программное обеспечение и прокси-серверы , основанные на безопасности, используют DNS для этой задачи.

Конфиденциальность и безопасность

У большинства из нас есть опыт блокировки сайтов в корпоративном офисе. Вместо того, чтобы открыть веб-страницу запрошенного сайта, вы увидите страницу с предупреждением, которая информирует вас о том, что этот контент заблокирован.

Программное обеспечение безопасности перехватило ваш запрос DNS для сайта. Вместо правильного IP-адреса он изменил ответ и предоставил вашему браузеру сайт с предупреждающим сообщением. Это очень похоже на то, что сделал бы злоумышленник, перехватив сеанс подключения, используя искаженный ответ DNS, чтобы перенаправить браузер жертвы на другой сайт.

Таким образом, если DNS-запросы исходят от самого браузера в зашифрованном сеансе через HTTPS, большинство мер сетевой безопасности, предотвращающих доступ пользователей к вредоносным сайтам, в основном бесполезны, создавая серьезную лазейку в системе безопасности.

Централизация DNS

Другая «уродливая» часть связана с тем, как работает DNS через HTTPS.

Браузер напрямую запрашивает предопределенные защищенные DNS-серверы, а не использует сетевую конфигурацию компьютера. Принцип «моя сеть, мои правила» больше не применяется к . Вместо использования децентрализованных DNS-серверов браузер предпочитает централизованную инфраструктуру DNS вместо HTTPS, которая контролируется самим разработчиком браузера.

Что делать, если эти серверы скомпрометированы или вышли из строя? В то время как такие компании, как Google или Mozilla, утверждают, что они вернутся к DNS по умолчанию, сетевые администраторы и пользователи теряют контроль над DNS.

Мы смотрим в будущее, где будут массово развертываться службы зашифрованных DNS. Но это также создает проблемы для сетевых администраторов и сотрудников службы безопасности по корректировке своей работы, чтобы учесть эту новую тенденцию, сохраняя при этом безопасность внутренних сетей.

Свяжитесь с нами, чтобы узнать больше!

Мы в LinkedIn, подписывайтесь на нас!

Linkedin

Если вам нравится то, что мы делаем, не стесняйтесь и свяжитесь с нами для получения дополнительной информации! Мы считаем, что у нас есть опыт и знания, которые могут быть полезны для вашего бизнеса.

Как шифрование DNS может защитить вас

Что такое шифрование DNS

DNS — это телефонная книга Интернета, помогающая пользователям сопоставлять удобочитаемые имена, такие как example.com на IP-адреса. Подобно телефонным книгам, вся информация, связанная с DNS-запросом, представлена ​​в виде обычного текста.


Это позволяет любому, кто подключен к сети и имеет подходящее оборудование, просматривать DNS-трафик и манипулировать им или использовать информацию в злонамеренных целях.


Решение этой уязвимости заключается в шифровании DNS. Шифрование DNS помогает преобразовать информацию DNS в виде простого текста в зашифрованный формат, который могут расшифровать только стороны, участвующие в обмене данными, то есть клиент DNS (ваши браузеры, сетевые устройства и т. д.) и преобразователь DNS.


При наличии DNS-шифрования, даже если злоумышленник сможет завладеть информацией DNS, он не сможет понять ее, тем самым защищая вас от любых злонамеренных намерений.

Как можно зашифровать DNS?

На данный момент существует две основные стратегии шифрования вашего DNS-соединения: DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH). Оба решения используют безопасность транспортного уровня (TLS).


В TLS клиент запрашивает у сервера установку безопасного соединения, выполняя аутентифицированное рукопожатие с сервером. После рукопожатия и установления безопасного канала клиент и сервер могут общаться, отправляя зашифрованные сообщения туда и обратно.

Таким образом, DNS-клиент уверен, что он взаимодействует с правильным распознавателем (DNS-сервером), а не с каким-то посредником, пытающимся отслеживать сетевой трафик.


Давайте рассмотрим две стратегии шифрования более подробно.

DNS-over-TLS (DoT)

DNS-over-TLS (DoT), выпущенный в 2016 году, является первым установленным решением для шифрования DNS.

DoT направляет исходные клиентские запросы через безопасный канал TLS на порт 853 вместо обычного порта 53, используемого для незашифрованной связи DNS. Это не позволяет злоумышленникам просматривать или манипулировать информацией о запросе DNS.

После выполнения аутентифицированного рукопожатия и установления безопасного канала с распознавателем DNS клиент DNS и распознаватель могут начать обмен сообщениями по защищенному каналу. Созданное безопасное соединение в основном сохраняется для других DNS-запросов, которые клиент должен будет выполнить во время этого сеанса.


DNS через HTTPS (DoH)

Новая альтернатива шифрованию трафика DNS — это DNS через HTTPS (DoH). DoH был введен в 2018 году, и хотя он использует TLS для шифрования сообщений между клиентом и преобразователем DNS, он использует другую стратегию.


Вместо открытия нового порта для защищенной связи он использует тот же порт 443, который используется для HTTPS-запросов, для отправки DNS-запроса на DNS-сервер, поддерживающий DoH. Запрос DNS отправляется в зашифрованном виде, как и обычный HTTPS-запрос, и ответ также зашифрован. Клиент декодирует ответ, который содержит информацию DNS, необходимую для доступа к сайту.


Эта стратегия также предотвращает избегание шифрования DNS устройствами, которые блокируют порты, используемые для защищенной связи DNS.

Различия между DoT и DoH

Прежде чем принимать какие-либо серьезные решения о том, какой метод шифрования DNS использовать, притормозите на минуту, пока мы рассмотрим основные различия между этими двумя решениями:

..

	точка	Министерство здравоохранения
Порт	Открывает новый порт (853) для создания безопасного соединения для зашифрованной связи	Повторно использует порт HTTPS 443 для зашифрованной связи
Операционный уровень OSI	Зашифрованная связь осуществляется на транспортном уровне (уровень 4) модели OSI	Зашифрованная связь осуществляется на прикладном уровне (уровень 7) модели OSI
Покрытие операционной системы/приложений	Он либо поддерживается изначально, либо может быть настроен для различных операционных систем (macOS, Windows и Linux). Оказавшись на месте, он шифрует связь DNS для любого приложения, использующего DNS в операционной системе.	Необходимо настроить для каждого приложения/клиента, который должен его использовать (например, браузеры, такие как Firefox, Google Chrome, Opera и т. д.)
Размер упаковки	Поскольку он работает на более низком уровне, размеры его пакетов малы	Размеры пакетов больше, чем у DoT, потому что они работают на прикладном уровне (на два уровня выше DoT)
Задержка	Минимальная задержка в DNS-запросах	Более высокая задержка по сравнению с DoT

Из приведенной выше таблицы видно, что DoT имеет небольшое преимущество перед DoH, в основном из-за его широкого охвата шифрования при реализации в операционных системах и меньшего размера. Конфиденциальность — единственное реальное преимущество DoH, но у нее есть серьезный недостаток, заключающийся в том, что она требует настройки для каждого отдельного клиента, который хочет ее использовать. Для получения дополнительной информации о сравнении этих двух решений вы можете ознакомиться с этой статьей.

Заключение

Стратегия шифрования, которую вы выберете, в конечном итоге будет основываться на том, что и где вы хотите зашифровать. Принятие DoH быстро растет, и Google вносит в это огромный вклад. Поэтому неудивительно, что в ближайшие годы внедрение DoH в операционных системах будет расти.


Независимо от того, какое решение вы выберете, одно можно сказать наверняка: вам необходимо защитить свой DNS-трафик от злонамеренного прослушивания. Начните шифровать свой DNS-трафик с помощью бесплатной учетной записи DNSFilter уже сегодня.


Конфигурация | Документация AdmPwd.E

Конфигурация службы PDS хранится в файле PDS.config . Сервис распознает параметры конфигурации, как указано в таблице ниже.

Примечание : Этот файл создается при первом запуске службы PDS со значениями по умолчанию. Затем изменения можно вносить либо вручную, либо с помощью командлетов PowerShell. Содержимое файла сохраняется при удалении и обновлении службы PDS.

Командлеты PowerShell, изменяющие содержимое файла PDS.config:

Поддерживается управление лесами:

• Аддмпвдпсуппортедфорест
• Set-AdmPwdPdsSupportedForest
• Remove-AdmPwdPdsSupportedForest

Контейнеры управляемых учетных записей:

• Add-AdmPwdPdsManagedAccountsContainer
• Set-AdmPwdPdsManagedAccountsContainer
• Remove-AdmPwdPdsManagedAccountsContainer

Сопоставления SID:

• Аддмпвдпдссидмаппинг
• Set-AdmPwdPdsSidMapping
• Remove-AdmPwdPdsSidMapping

Конфигурация контроля доступа:

• Set-AdmPwdPdsAccessControlParameters

Публикация записи DNS SRV автообнаружения:

• Set-AdmPwdPdsDnsParameters

Управление ролью администратора PDS:

• Move-AdmPwdPdsAdminRole

Местоположение и имя файла лицензии:

• Set-AdmPwdPdsLicenseParameters

Настоятельно рекомендуется использовать командлеты PowerShell для изменения конфигурации PDS, а не редактировать PDS. config вручную.

Все приведенные выше командлеты позволяют эффективно обновлять конфигурацию нескольких экземпляров PDS посредством конвейерной обработки, например: Get-AdmPwdPds | Set-AdmPwdPdsSupportedForest ... . Это еще больше упрощает управление конфигурацией и помогает поддерживать стандартизацию конфигурации на всех машинах.

В таблице ниже указаны настраиваемые параметры службы PDS.

..

Параметр	Значение	Примечание
Pds — DNS — Autodiscovery — RegistrationInterval	Интервал обновления записи DNS SRV, в секундах. PDS автоматически обновляет собственную запись SRV для предотвращения истечения срока действия	По умолчанию : 86400 (1 день) Установка на 0 отключает регистрацию и обновление записи SRV. Это полезно в средах, где учетная запись службы PDS не имеет разрешения на запись в DNS.
Pds — DNS — автообнаружение — UnregisterOnShutdown	Должен ли PDS отменять регистрацию своей собственной записи DNS SRV во время отключения службы	По умолчанию : Ложь
Pds — DNS — Автообнаружение — Приоритет	Приоритет записи SRV, создаваемой экземпляром PDS	По умолчанию : 100
Pds — DNS — Автообнаружение — Вес	Вес записи SRV, создаваемой экземпляром PDS	По умолчанию : 100 Примечание : логика обнаружения PDS, реализованная в Integration SDK, игнорирует вес записей SRV, поэтому балансировка нагрузки не выполняется
Pds — DNS — Автообнаружение — TTL	TTL зарегистрированной записи SRV, в секундах	По умолчанию : 1200 (20 минут)
Pds — DNS — Autodiscovery — DomainsToPublish — Domain — DnsName	DNS-имя домена, где PDS должен публиковать собственную запись SRV	По умолчанию : Пустой список означает, что PDS регистрирует запись SRV только в домене. Если указано, PDS регистрирует запись SRV только в указанных доменах. Собственный домен PDS также должен быть указан, чтобы PDS зарегистрировал там запись SRV. Если домен не указан, PDS регистрирует SRV-запись только в своем домене.
Pds — хранилище ключей	Идентификатор сборки, реализующей хранилище ключей для пар ключей. Не изменяйте здесь параметры, если не знаете, что делаете.	PDS поддерживает расширяемость и различные реализации хранилища ключей. Примечание : хранилище ключей по умолчанию, которое поставляется с решением, имеет тип AdmPwd.PDS.KeyStore.FileSystemKeyStore и реализован в основном исполняемом файле PDS.
Pds — AccessControl — HonorFullControlPermission	Указывает, следует ли учитывать разрешение «Полный доступ» для объекта «компьютер/пользователь» при выполнении проверок авторизации для чтения и сброса пароля. Если установлено значение TRUE, пользователи, имеющие разрешение на полный доступ к объектам компьютера, могут читать и сбрасывать пароль локального администратора, даже если им не предоставлены явные разрешения, как указано в спецификации расширенных прав 9. 0007	По умолчанию : Ложь (Полное право управления объектом AD НЕ дает разрешения на чтение/сброс пароля администратора)
Pds — AccessControl — SidMappings	Сопоставляет первичный SID (из леса PDS) с SID из ненадежного леса, управляемого PDS. Используется для поддержки управления доступом при доступе к недоверенному лесу AD	По умолчанию : Пустой список Используйте PowerShell для управления конфигурацией сопоставлений SID
Pds — AccessControl — MandatoryGroups — Group — Sid	Содержит список SID групп, в которые должен входить вызывающий абонент, чтобы выполнялись запросы на чтение и сброс пароля. Работает как дополнительный уровень защиты в дополнение к стандартному чтению/сбросу пароля. Используется для принудительного обеспечения механизма аутентификации	По умолчанию : Пустой список, что означает, что этот дополнительный уровень защиты не активен
Pds — PDSAdmin — роль	Имя группы AD, реализующей роль администратора PDS	По умолчанию : Администраторы предприятия Примечание : роли администратора PDS разрешено выполнять следующие операции: Создание новых пар ключей шифрования/дешифрования Сохранение альтернативных учетных данных для авторизации доступа PDS к удаленным лесам Ведение списка поддерживаемых лесов, контейнеров управляемых учетных записей и сопоставлений SID
Pds – Лицензия – Файл	Путь к файлу лицензии, который разблокирует решение из бесплатного режима	По умолчанию : license. xml Относительно папки PDS; поэтому по умолчанию PDS ищет файл license.xml в папке %ProgramFiles%\AdmPwd\PDS . Может быть также: абсолютный путь UNC-путь
Pds — SupportedForests — Forest — DnsName	Список лесов, находящихся в ведении ПДС. При отсутствии поддерживается только локальный лес, в котором установлен PDS.	По умолчанию : Нет, что означает, что PDS управляет только своим собственным лесом AD. Лес может содержать регистрацию учетных данных для подключения: Пользователь : имя пользователя Пароль : пароль для пользователя, указанного в имени пользователя; зашифровано ключом шифрования PDS KeyId : идентификатор ключа, который использовался для шифрования пароля Примечание : Если альтернативные учетные данные не указаны, PDS использует идентификатор собственной учетной записи службы для проверки подлинности доступа к удаленному лесу. Примечание : Локальный лес PDS всегда поддерживается и не поддерживает альтернативные учетные данные.
PDS — FileSystemKeyStore — путь	Путь, где хранилище ключей хранит пары ключей	По умолчанию : CryptoKeyStorage Относительно папки PDS; поэтому по умолчанию PDS ищет пары ключей в %ProgramFiles%\AdmPwd\PDS\CryptoKeyStorage Может быть также: абсолютный путь UNC-путь
PDS — FileSystemKeyStore — PathType	Является ли путь абсолютным или относительным	По умолчанию : Относительно Возможные значения: Абсолютное, Относительное
PDS — FileSystemKeyStore — CryptoForNewKeys	Криптография, используемая для создания новых ключей шифрования/дешифрования	По умолчанию: СПГ Возможные значения: СПГ КриптоAPI Примечание . Поддержка новых ключей, сгенерированных CryptoAPI, поддерживается только для совместимости, а возможность создавать новые ключи с помощью CryptoAPI будет удалена в будущих версиях. Однако PDS по-прежнему сможет расшифровывать пароли, зашифрованные с помощью ключей CryptoPAPI
PDS — FileSystemKeyStore — FavorOAEP	Следует ли сначала попробовать заполнение OAEP или PKCS при расшифровке. Примечание : этот параметр предназначен только для совместимости и будет удален в будущих версиях.	По умолчанию: правда
PDS — FileSystemKeyStore — SupportedKeySizes — добавить — KeySize	Список поддерживаемых размеров ключей при создании новой пары ключей	PDS позволяет создать пару ключей только с одним из указанных размеров ключа
PDS — ManagedAccounts — PasswordManagementInterval	Как часто PDS ищет просроченные пароли учетных записей управляемых доменов в зарегистрированных контейнерах управляемых учетных записей	По умолчанию : 600 секунд
PDS — ManagedAccounts — Containers — Add — DistinguishedName	DN контейнера, когда PDS ищет управляемые учетные записи домена для управления паролем для	По умолчанию : Пустой список Используйте PowerShell для управления конфигурацией контейнеров управляемых учетных записей
PDS — ManagedAccounts — Контейнеры — Добавить — PasswordAge	Срок действия пароля для учетных записей управляемого домена в данном контейнере, в минутах.	По умолчанию : 43200 минут (30 дней)
PDS — ManagedAccounts — Containers — Add — KeyId	Идентификатор ключа шифрования для шифрования пароля учетной записи управляемого домена в данном контейнере	По умолчанию : 0, что означает последний ключ, управляемый хранилищем ключей
PDS — ManagedAccounts — Containers — Add — PasswordComplexity	Требуемая сложность пароля для учетных записей управляемого домена в данном контейнере	Допустимые значения: Large .. Большие буквы LargeSmall .. Большие и маленькие буквы LargeSmallNum .. Большие и маленькие буквы и цифры LargeSmallNumSpec .. Большие и маленькие буквы, цифры и специальные символы По умолчанию : LargeSmallNumSpec
ManagedAccounts — контейнеры — добавить — длина пароля	Требуемая длина пароля, установленная PDS для учетных записей управляемого домена в данном контейнере	По умолчанию : 12

Пример файла конфигурации:

  0" encoding="utf-8"?>

  <Поддерживаемые леса>
    
  
  
    
      
        
      
    
  
  
  
    
    
    <Обязательные группы />
  
  
  <Файл лицензии=".\license.xml" />
  
    
      <добавить размер ключа = "2048" />
      <добавить размер ключа = "3072" />
      <добавитьРазмерКлюча="4096" />
    
  
  
    <Контейнеры>
      
      
    
  

 

Забывчивый DNS через HTTPS

Забытый DNS через HTTPS

Интернет-Проект	Забывчивый DoH	Январь 2021
Киннер и др.	Истекает 30 июля 2021 г.	[Страница]

В этом документе описывается расширение DNS Over HTTPS (DoH), позволяющее скрывать IP-адреса клиентов через проксирование зашифрованных транзакций DNS. Это улучшает конфиденциальность операции DNS, не позволяя какому-либо объекту сервера знать как IP-адрес клиента, адрес и содержание DNS-запросов и ответов.¶

Copyright (c) 2021 IETF Trust и лица, указанные в качестве авторы документа. Все права защищены.¶

Этот документ регулируется BCP 78 и юридическими документами IETF Trust. Положения, касающиеся документов IETF (https://trustee.ietf.org/license-info) действует на дату публикации этого документа. Пожалуйста, ознакомьтесь с этими документами внимательно, так как они описывают ваши права и ограничения с отношении к этому документу. Компоненты кода, извлеченные из этого документ должен включать текст упрощенной лицензии BSD, как описано в Раздел 4. e Правовых положений о трастах и ​​предоставляются без гарантия, как описано в Упрощенной лицензии BSD.¶

DNS Over HTTPS (DoH) [RFC8484] определяет механизм, позволяющий пересылать сообщения DNS. передаются в зашифрованных сообщениях HTTP. Это обеспечивает улучшенную конфиденциальность и аутентификацию для взаимодействия с DNS в различных обстоятельствах.¶

Хотя DoH может помешать перехватчикам напрямую читать содержимое обмена DNS, клиенты не могут отправлять DNS-запросы и получать ответы от серверов, не раскрывая их локальный IP-адрес и, таким образом, информация о личности или местоположении клиента.¶

Такие предложения, как Oblivious DNS ([I-D.annee-dprive-oblivious-dns]), повышают конфиденциальность гарантируя, что ни один DNS-сервер не знает как IP-адрес клиента, так и сообщение содержимое.¶

Этот документ определяет Oblivious DoH, расширение DoH, которое разрешает прокси-разрешение, в котором сообщения DNS зашифрованы, так что ни один сервер DoH не может независимо прочитать оба IP-адрес клиента и содержимое сообщения DNS. ¶

Этот механизм предназначен для использования в качестве одного из вариантов разрешения конфиденциального содержимого. в более широком контексте Adaptive DNS [I-D.pauly-dprive-adaptive-dns-privacy].¶

1.1. Спецификация требований

Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ТРЕБУЕТСЯ», «ДОЛЖЕН», «ДОЛЖЕН НЕТ», «СЛЕДУЕТ», «НЕ СЛЕДУЕТ», «РЕКОМЕНДУЕТСЯ», «НЕ РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ФАКУЛЬТАТИВНО» в этом документе следует интерпретировать как описаны в BCP 14 [RFC2119] [RFC8174], когда и только тогда, когда они появляются во всех столицах, как показано здесь.¶

В этом документе определяются следующие термины:¶

Забывчивый сервер:

Сервер DoH, который действует как Oblivious Proxy или Oblivious Target.¶

Забывчивый прокси:

Oblivious Server, который проксирует зашифрованные DNS-запросы и ответы между клиентом и сервером. Забывчивая цель.¶

Забвение Цель:

Oblivious Server, который получает и расшифровывает зашифрованные клиентские DNS-запросы от Oblivious Proxy, и возвращает зашифрованные ответы DNS через тот же прокси. Чтобы предоставить ответы DNS, Target может быть распознавателем DNS, совмещаться с распознавателем или перенаправляться к распознавателю.¶

В оставшейся части этого документа мы используем термины «Прокси» и «Цель» для обозначения Proxy и Oblivious Target соответственно.¶

Oblivious DoH требует как минимум:¶

• Два Oblivious Server, где один может выступать в качестве прокси, а другой может выступать в качестве цели.¶
• Открытые ключи для шифрования DNS-запросов, которые передаются от клиента через прокси-сервер. к цели (раздел 6). Эти ключи гарантируют, что только предполагаемая цель может расшифровать клиентские запросы.¶

Механизм обнаружения и предоставления шаблонов URI DoH и открытых ключей через параметры, добавленные в записи ресурсов DNS. Механизм обнаружения паблика Ключ описан в Разделе 5. Механизм обнаружения шаблона DoH URI: описано в [I-D.pauly-add-resolver-discovery].¶

В отличие от прямого разрешения, в разрешении имен хостов с помощью DoH участвуют три стороны:¶

1. Клиент, генерирующий запросы. ¶
2. Прокси, который получает зашифрованные запросы от клиента и передает их цели.¶
3. Цель, которая получает проксированные запросы от клиента через Прокси и производит проксированные ответы.¶

     --- [Запрос зашифрован целевым открытым ключом] -->
+---------+ +------------+ +-----------+
| Клиент +-------------> Не обращая внимания +--------------> Не обращая внимания |
| <-------------+ Прокси <--------------+ Цель |
+---------+ +------------+ +-----------+
   <-- [Ответ зашифрован клиентским симметричным ключом] ---
 

Фигура 1: Незаметная биржа DoH

4.1. HTTP-запрос

Запросы Oblivious DoH создаются клиентом и отправляются прокси-серверу. Запросы к прокси указывают, какой сервер DoH использовать в качестве цели. указав две переменные: "targethost", которая указывает имя хоста целевой сервер и "targetpath", указывающий путь, по которому Сервер DoH Цели работает. См. Раздел 4.2 для пример запроса. ¶

Сообщения Oblivious DoH не имеют значения кэша, так как и запросы, и ответы зашифрованы с использованием материала эфемерного ключа. Клиенты ДОЛЖНЫ предпочитать использование HTTP-методов и заголовки, которые предотвратят бесполезное хранение в кеше этих обменов (т. е. предпочтение POST вместо ПОЛУЧИТЬ).¶

Клиенты ДОЛЖНЫ установить для заголовка HTTP Content-Type значение «application/oblivious-dns-message». чтобы указать, что этот запрос является запросом Oblivious DoH, предназначенным для проксирования. Клиенты также ДОЛЖНЫ установите это же значение для заголовка HTTP Accept.¶

При получении запроса, содержащего Content-Type "application/oblivious-dns-message", сервер DoH ищет переменные targethost и targetpath. Если переменные не присутствует, то он является целью запроса и может расшифровать запрос (раздел 7). Если переменные присутствуют, то сервер DoH действует как прокси. Если это прокси, ожидается, что он отправит запрос на цель используя шаблон URI, созданный как «https://targethost/targetpath». ¶

4.2. Пример HTTP-запроса

В следующем примере показано, как клиент запрашивает, чтобы прокси-сервер «dnsproxy.example.net» пересылает зашифрованное сообщение на «dnstarget.example.net». Шаблон URI для Прокси — «https://dnsproxy.example.net/dns-query{?targethost,targetpath}». Шаблон URI для Цель — «https://dnstarget.example.net/dns-query».¶

:метод = ПОСТ
: схема = https
:авторитет = dnsproxy.example.net
:path = /dns-запрос?targethost=dnstarget.example.net&targetpath=/dns-запрос
принять = приложение/незаметное-dns-сообщение
cache-control = без кеша, без хранилища
тип содержимого = приложение/незаметное-dns-сообщение
длина содержимого = 106
<Байты, содержащие зашифрованную полезную нагрузку для запроса Oblivious DNS>
 

¶

Затем прокси отправляет следующий запрос к цели:¶

:метод = ПОСТ
: схема = https
:авторитет = dnstarget.example.net
:путь = /dns-запрос
принять = приложение/незаметное-dns-сообщение
cache-control = без кеша, без хранилища
тип содержимого = приложение/незаметное-dns-сообщение
длина содержимого = 106
<Байты, содержащие зашифрованную полезную нагрузку для запроса Oblivious DNS>
 

¶

4.

3. HTTP-ответ

Ответ на запрос Oblivious DoH генерируется целью. Он ДОЛЖЕН установить HTTP-заголовок Content-Type для «application/oblivious-dns-message» для всех успешных ответов. Тело ответа содержит зашифрованное сообщение DNS; см. Раздел 7.¶

Ответ от Цели ДОЛЖЕН установить для HTTP-заголовка Content-Type значение «application/oblivious-dns-message», которое ДОЛЖЕН быть перенаправлен Прокси Клиенту. Клиент ДОЛЖЕН рассматривать только ответ, который содержит Заголовок Content-Type в ответе перед обработкой полезной нагрузки. Ответ без соответствующего заголовка ДОЛЖЕН быть рассматриваться как ошибка и обрабатываться соответствующим образом. Все остальные аспекты ответа HTTP и обработки ошибок унаследовано от стандартного DoH.¶

Прокси-серверы ДОЛЖНЫ пересылать клиентам неизмененные ответы. В частности, сгенерированный код состояния HTTP by Targets должны пересылаться клиентам без изменений.¶

4.4. Пример HTTP-ответа

В следующем примере показан ответ 2xx (успешно), который может быть отправлен от цели к клиент через прокси. ¶

:статус = 200
тип содержимого = приложение/незаметное-dns-сообщение
длина содержимого = 154
<Байты, содержащие зашифрованную полезную нагрузку для ответа Oblivious DNS>
 

¶

Запросы, которые не могут быть обработаны целью, приводят к ответам 4xx (Ошибка клиента). Если цель и ключи клиентов не совпадают, это ошибка авторизации (код состояния HTTP 401; см. раздел 3.1. [RFC7235]). В противном случае, если запрос клиента недействителен, например, в случае расшифровки сбой, неправильный тип сообщения или сбой десериализации, это неверный запрос (код состояния HTTP 400; см. раздел 6.5.1 [RFC7231]).¶

Даже в случае ответов DNS, указывающих на сбой, таких как SERVFAIL или NXDOMAIN, успешный ответ HTTP с кодом состояния 2xx используется до тех пор, пока ответ DNS действителен. Это похоже на то, как DoH [RFC8484] обрабатывает коды ответов HTTP.¶

В случае ошибки сервера применяется обычный код состояния HTTP 500 (см. Раздел 6.6.1 [RFC7231]).¶

Чтобы использовать сервер DoH в качестве цели, клиент должен знать открытый ключ для использования для шифрования своих запросов. Этот документ определяет один механизм обнаружения для общедоступных ключи с использованием типа записи SVCB или HTTPSSVC ([I-D.ietf-dnsop-svcb-https]) для имени принадлежит серверу.¶

Имя ключа привязки службы — «odohconfig» (раздел 12). Если присутствует, этот ключ/значение пара содержит открытый ключ для использования при шифровании сообщений Oblivious DoH. который будет нацелен на сервер DoH. Формат ключа определен в (Раздел 6).¶

Клиенты, использующие этот механизм обнаружения, ДОЛЖНЫ использовать только ключи, полученные из записи, защищенные DNSSEC [RFC4033] для шифрования сообщений, направляемых в цель.¶

Серверы ДОЛЖНЫ регулярно менять открытые ключи. РЕКОМЕНДУЕТСЯ, чтобы серверы меняли ключи ежедневно. Более короткие окна ротации уменьшают анонимный набор клиентов, которые могут использовать открытый ключ, в то время как более длинные окна ротации увеличивают временные рамки возможной компрометации. ¶ 916-1>;

¶

Структура ObliviousDoHConfigs содержит одну или несколько структур ObliviousDoHConfig в порядке убывания предпочтение. Это позволяет серверу поддерживать несколько версий Oblivious DoH и несколько наборов Oblivious DoH. параметры.¶

ObliviousDoHConfig содержит версионное представление конфигурации Oblivious DoH, со следующими полями.¶

версия

Версия Oblivious DoH, для которой используется эта конфигурация. Клиенты ДОЛЖНЫ игнорировать любые Структура ObliviousDoHConfig с версией, которую они не поддерживают. Версия Oblivious DoH указанный в этом документе: 0xff04 .¶

длина

Длина следующего поля в байтах.¶

содержимое

Непрозрачная строка байтов, содержимое которой зависит от версии. Для этого Спецификация, содержание Структура ObliviousDoHConfigContents . ¶

ObliviousDoHConfigContents содержит информацию, необходимую для шифрования сообщения под ObliviousDoHConfigContents.public_key таким образом, что только владелец соответствующего частного ключ может расшифровать сообщение. Значения для ObliviousDoHConfigContents.kem_id , ObliviousDoHConfigContents.kdf_id и ObliviousDoHConfigContents.aead_id описаны в [I-D.irtf-cfrg-hpke] Раздел 7. Поля в этой структуре заключаются в следующем:¶

kem_id

Идентификатор HPKE KEM, соответствующий public_key . Клиенты ДОЛЖНЫ игнорировать любые Структура ObliviousDoHConfig с ключом, использующим KEM, который они не поддерживают.¶

kdf_id

Идентификатор HPKE KDF, соответствующий public_key . Клиенты ДОЛЖНЫ игнорировать любые Структура ObliviousDoHConfig с ключом, использующим KDF, который они не поддерживают. ¶

aead_id

Идентификатор HPKE AEAD, соответствующий public_key . Клиенты ДОЛЖНЫ игнорировать любые Структура ObliviousDoHConfig с ключом, использующим AEAD, который они не поддерживают.¶

открытый_ключ

Открытый ключ HPKE, используемый клиентом для шифрования запросов Oblivious DoH.¶

7.1. Формат сообщения

Существует два типа сообщений Oblivious DoH: запросы (0x01) и ответы (0x02). Оба сообщения несут следующую информацию:¶ 916-1>; } ObliviousDoHMessagePlaintext;

¶

Сообщения Query и Response используют формат ObliviousDoHMessagePlaintext .¶

ObliviousDoHMessagePlaintext ObliviousDoHQuery;
ObliviousDoHMessagePlaintext ObliviousDoHResponse;
 

¶

Зашифрованный ObliviousDoHMessagePlaintext передается в ObliviousDoHMessage сообщение, закодированное следующим образом:¶

структура {
   uint8 тип_сообщения;
   непрозрачный key_id<0. 16-1>;
} ObliviousDoHMessage;
 

¶

Структура ObliviousDoHMessage содержит следующие поля:¶

тип_сообщения

Однобайтовый идентификатор типа сообщения. Сообщения запроса используют message_type 0x01, а ответ сообщения используют message_type 0x02.¶

идентификатор_ключа

Идентификатор соответствующего ключа ObliviousDoHConfigContents . Это вычисляется как Expand(Extract("", config), "id ключа odoh", Nh) , где config это ObliviousDoHConfigContents структура и Extract , Expand и Nh соответствуют набору шифров HPKE KDF, соответствующему на config.kdf_id .¶

зашифрованное_сообщение

Зашифрованное сообщение для Oblivious Target (для сообщений Query) или клиента (для сообщений Response). 16-1.)¶

Содержимое ObliviousDoHMessage.encrypted_message зависит от ObliviousDoHMessage.message_type . В частности, ObliviousDoHMessage.encrypted_message является шифрованием ObliviousDoHQuery . если сообщение является запросом, и ObliviousDoHResponse , если сообщение является ответом.¶

7.2. Процедуры шифрования и дешифрования

Клиенты используют следующие служебные функции для шифрования запроса и расшифровки a Ответ, как описано в Разделе 8.¶

encrypt_query_body: Шифровать запрос Oblivious DoH.¶

def encrypt_query_body (pkR, key_id, Q_plain):
  enc, context = SetupBaseS (pkR, "опросный запрос")
  аад = 0x01 || лен(key_id) || key_id
  ct = контекст. Печать (aad, Q_plain)
  Q_encrypted = enc || кт
  вернуть Q_encrypted
 

¶

decrypt_response_body: Расшифровать ответ Oblivious DoH.¶

def decrypt_response_body (контекст, Q_plain, R_encrypted):
  ключ, одноразовый номер = производные_секреты (контекст, Q_plain)
  ад = 0x02 || 0x0000 // 0x0000 представляет KeyId нулевой длины
  R_plain, ошибка = Open(key, nonce, aad, R_encrypted)
  вернуть R_plain, ошибка
 

¶

Функция следует из описания ниже. ¶

Цели используют следующие служебные функции при обработке запросов и создании ответы, как описано в Разделе 9.¶

setup_query_context: Настройка контекста HPKE, используемого для расшифровки запроса Oblivious DoH.¶

def setup_query_context (skR, key_id, Q_encrypted):
  enc || ct = Q_encrypted
  контекст = SetupBaseR (enc, skR, "запрос odoh")
  вернуть контекст
 

¶

decrypt_query_body: расшифровать запрос Oblivious DoH.¶

def decrypt_query_body (контекст, key_id, Q_encrypted):
  аад = 0x01 || лен(key_id) || key_id
  enc || ct = Q_encrypted
  Q_plain, ошибка = context.Open(aad, ct)
  вернуть Q_plain, ошибка
 

¶

: извлечь ключевой материал, используемый для шифрования ответа Oblivious DoH.¶

деф производные_секреты (контекст, Q_plain):
  odoh_secret = context.Export («секрет odoh», 32)
  odoh_prk = Извлечь (Q_plain, odoh_secret)
  ключ = Расширить (odoh_prk, «ключ odoh», Nk)
  nonce = Expand(odoh_prk, "одноразовый номер odoh", Nn)
  ключ возврата, одноразовый номер
 

¶

encrypt_response_body: зашифровать ответ Oblivious DoH. ¶

def encrypt_response_body (R_plain, answer_key, answer_nonce):
  ад = 0x02 || 0x0000 // 0x0000 представляет KeyId нулевой длины
  R_encrypted = Печать (ключ_ответа, одноразовый номер ответа, aad, R_plain)
  вернуть R_encrypted
 

¶

Пусть M будет DNS-сообщением (запросом), которое клиент хочет защитить с помощью Oblivious DoH. При отправке Oblivious DoH Query для разрешения M на Oblivious Target с ObliviousDoHConfigContents config , клиент делает следующее:¶

1. Создайте структуру ObliviousDoHQuery , содержащую сообщение M и заполнение, для создания Q_plain.¶
2. Десериализация config.public_key для создания открытого ключа pkR типа config.kem_id .¶
3. Вычислить зашифрованное сообщение как Q_encrypted = encrypt_query_body(pkR, key_id, Q_plain) , где key_id вычислено в разделе 7. Также обратите внимание, что len(key_id) выводит длину key_id как двухбайтовое целое число без знака.¶
4. Вывод сообщения ObliviousDoHMessage Q , где Q.message_type = 0x01 , Q.key_id содержит key_id , и Q.encrypted_message = Q_encrypted .¶

Затем клиент отправляет Q прокси-серверу в соответствии с разделом 4.1. Как только клиент получит ответ R , зашифровано, как указано в разделе 9, он использует decrypt_response_body для расшифровки R.encrypted_message и создания R_plain. Клиенты ДОЛЖНЫ проверить R_plain.padding (все нули) перед использованием R_plain.dns_message.¶

Цели, получившие сообщение Query Q, расшифровывают и обрабатывают его следующим образом:¶

1. Найдите ObliviousDoHConfigContents в соответствии с Q. key_id . Если такого ключа не существует, Цель МОЖЕТ отклонить запрос, и если это так, она ДОЛЖНА вернуть ответ 400 (Ошибка клиента) к Прокси. В противном случае пусть skR — закрытый ключ, соответствующий этому открытому ключу, или один, выбранный для пробной расшифровки.¶
2. Compute context = setup_query_context(skR, Q.key_id, Q.encrypted_message) .¶
3. Compute Q_plain, error = decrypt_query_body(context, Q.key_id, Q.encrypted_message) .¶
4. Если ошибка не возвращена и Q_plain.padding действителен (все нули), разрешить Q_plain.dns_message по мере необходимости, выдавая DNS-сообщение M. В противном случае, если ошибка был возвращен или заполнение было недопустимым, верните прокси-серверу ответ 400 (ошибка клиента).¶
5. Создайте структуру ObliviousDoHResponseBody , содержащую сообщение M и заполнение, для создания R_plain . ¶
6. Вычисление answer_key, answer_nonce = производные_секреты(контекст, Q_plain) .¶
7. Вычисление R_encrypted = encrypt_response_body(R_plain, answer_key, answer_nonce) . Поле key_id , используемое для шифрования, пусто, что дает 0x0000 как часть AAD. Кроме того, 9Функция 0571 Seal связана с HPKE AEAD.¶
8. Вывод сообщения ObliviousDoHMessage R , где R.message_type = 0x02 , R.key_id = nil и R.encrypted_message = R_encrypted .¶

Затем цель отправляет R в ответе 2xx (успешно) прокси-серверу; см. раздел 4.3. Прокси пересылает сообщение R без изменений обратно клиенту в качестве HTTP-ответа. к исходному HTTP-запросу клиента. В случае ошибки (код состояния не 2xx) Прокси пересылает ошибку Target клиенту; см. Раздел 4.3.¶

Oblivious DoH использует draft-07 HPKE для шифрования с открытым ключом [I-D. irtf-cfrg-hpke]. При отсутствии стандарта профиля приложения, указывающего иное, соответствующий Реализация Oblivious DoH ДОЛЖНА поддерживать следующий набор шифров HPKE:¶

• KEM: DHKEM(X25519, HKDF-SHA256) (см. [I-D.irtf-cfrg-hpke], раздел 7.1)¶
• KDF: HKDF-SHA256 (см. [I-D.irtf-cfrg-hpke], раздел 7.2)¶
• AEAD: AES-128-GCM (см. [I-D.irtf-cfrg-hpke], раздел 7.3)¶

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: этот черновик находится в стадии разработки и еще не подвергался серьезному анализу безопасности.¶

Oblivious DoH стремится сохранить информацию об истинном источнике запроса и его содержимом, известных только клиентам. В качестве упрощенной модели рассмотрим случай, когда существуют два клиента C1 и C2, один прокси P и одна цель T. Oblivious DoH предполагает расширенного атакующего в стиле Долева-Яо, который может наблюдать за всеми сетевой активности и может адаптивно скомпрометировать P или T, но не C1 или C2. Однажды скомпрометированный, злоумышленник имеет доступ ко всей информации о сеансе и материалам закрытого ключа. (Это обобщается на произвольное количество клиентов, прокси и целей с ограничениями, заключающимися в том, что не все цели и прокси одновременно скомпрометированы, и по крайней мере два клиента остаются нескомпрометированными.) Злоумышленник запрещено отправлять информацию, идентифицирующую клиента, такую ​​как IP-адреса, целям. (Это бы позволяют злоумышленнику тривиально связать запрос с соответствующим клиентом.)¶

В этой модели как C1, так и C2 отправляют запросы Oblivious DoH Q1 и Q2, соответственно, через P к T, и T дает ответы A1 и A2. Злоумышленник стремится связать C1 с (Q1, A1) и C2 с (Q2, A2) соответственно. Злоумышленник преуспевает, если эта возможность связывания возможна без какого-либо дополнительного взаимодействия. (Например, если T скомпрометирован, он может вернуть ответ DNS, соответствующий объекту, который он контролирует, а затем наблюдать последующее подключение от клиента, узнавая его личность в процессе. Такие атаки исключены область применения этой модели. )¶

Забывчивая защита DoH предотвращает такую ​​возможность связывания. Неофициально это означает:¶

1. Запросы и ответы известны только клиентам и целям, обладающим соответствующими ключ ответа и ключевой материал HPKE. В частности, прокси знают отправную точку и пункт назначения забывчивого запроса, но не знаю открытого текста запроса. Точно так же цели знают только забывчивые источник запроса, т. е. прокси-сервер, и открытый текстовый запрос. Только клиент знает как открытый текст содержимое запроса и место назначения.¶
2. Целевые распознаватели не могут связывать запросы от одного и того же клиента при отсутствии уникальности для каждого клиента. ключи.¶

Устранение последствий анализа трафика выходит за рамки этого документа. В частности, этот документ не рекомендует длину заполнения для сообщений ObliviousDoHQuery и ObliviousDoHResponse. Реализациям СЛЕДУЕТ следовать рекомендациям по выбору длины заполнения в [RFC8467]. ¶

Безопасность Oblivious DoH не зависит от неразличимости прокси и цели. В частности, Злоумышленник на пути может определить, используется ли соединение конкретной конечной точкой для забывчивого или прямые запросы DoH. Однако это не влияет на цели конфиденциальности, перечисленные выше.¶

11.1. Отказ в обслуживании

Вредоносные клиенты (или прокси-серверы) могут отправлять фиктивные запросы Oblivious DoH к целям как отказ в обслуживании (DOS атаки. Целевые серверы могут ограничить обработку запросов, если такое событие произойдет. Кроме того, поскольку Цели предоставляют явные ошибки при сбое расшифровки, т. Е. Если расшифровка зашифрованного текста не удалась или если незашифрованное DNS-сообщение искажено, прокси-серверы могут блокировать определенных клиентов в ответ на эти ошибки.¶

Вредоносные цели или прокси-серверы могут отправлять ложные ответы в ответ на запросы Oblivious DoH. Ответ сбой расшифровки — это сигнал о том, что либо прокси, либо цель ведут себя неправильно. Клиенты могут выбрать прекратить использование одного или обоих этих серверов в случае такого сбоя. Однако, как и выше, злонамеренный Цели и прокси выходят за рамки модели угроз.¶

11.2. Общие прокси-сервисы

Использование DoH поверх анонимных прокси-сервисов, таких как Tor, также позволит достичь желаемой цели разделения запрос исходит из их содержимого. Однако есть несколько причин, по которым такие системы нежелательны. для сравнения Oblivious DoH:¶

1. Tor также задуман как универсальная система анонимности на уровне соединения и поэтому кажется слишком сложным и дорого для проксирования отдельных запросов DoH. Напротив, Oblivious DoH — это легкое расширение стандартного DoH, реализованное как прокси-сервер прикладного уровня, которое можно включить в качестве режима по умолчанию для пользователей, которым требуется повышенная конфиденциальность.¶
2. В качестве прокси-сервера с одним переходом Oblivious DoH поощряет прокси-серверы без установления соединения, чтобы смягчить корреляцию клиентских запросов. с несколькими рейсами туда и обратно. Напротив, многоскачковые системы, такие как Tor, часто используют сквозные защищенные соединения (TLS). это означает, что серверы DoH могут отслеживать запросы по одному и тому же соединению. Использование нового соединения DoH за запрос приведет к значительному увеличению времени установки соединения.¶

12.1. Забывчивый тип носителя сообщения DoH

В этом документе регистрируется новый медиа-тип «application/oblivious-dns-message».¶

Имя типа: приложение¶

Имя подтипа: oblivious-dns-message¶

Требуемые параметры: Н/Д¶

Дополнительные параметры: Н/Д¶

Рекомендации по кодированию: это двоичный формат, содержащий зашифрованный DNS. запросы и ответы, как определено в этом документе.¶

Вопросы безопасности: см. этот документ. Содержимое представляет собой зашифрованный DNS сообщение, а не исполняемый код.¶

Соображения по интероперабельности: этот документ определяет формат соответствующие сообщения и их интерпретация. ¶

Опубликованная спецификация: Этот документ.¶

Приложения, использующие этот тип носителя: этот тип носителя предназначен для использования клиентами, желающими скрыть свои DNS-запросы, когда с использованием DNS через HTTPS.¶

Дополнительная информация: Нет¶

Контактное лицо и адрес электронной почты для получения дополнительной информации: см. Раздел «Адреса авторо⻶

Использование по назначению: COMMON¶

Ограничения на использование: Нет¶

Автор: IETF¶

Контроллер изменений: IETF¶

12.2. Забывчивый параметр DNS открытого ключа DoH

Этот документ добавляет параметр («odohconfig») в «Параметр привязки службы (SVCB)». реестр [I-D.ietf-dnsop-svcb-https]. Запрос на выделение 32769, взятый из к диапазону First Come First Served.¶

Параметр odohconfig, если он присутствует, содержит структуру ObliviousDoHConfigs. В проводе формате, значением параметра является вектор ObliviousDoHConfigs, включая избыточный префикс длины. В формате представления значение кодируется в [base64].¶

Имя:

odohconfig¶

SvcParamKey:

32769¶

Значение:

Структура ObliviousDoHConfigs.¶

Артикул:

Этот документ.¶

Эта работа вдохновлена ​​Oblivious DNS [I-D.annee-dprive-oblivious-dns]. Спасибо всем авторов этого документа. Благодаря Эллиот Бриггс, Марван Файед, Фредерик Джейкобс, Томми Дженсен Пол Шмитт и Брайан Свондер за отзывы и комментарии.¶

14.1. Нормативные ссылки

[база64]

Джозефссон С., «Кодировки данных Base16, Base32 и Base64», RFC 4648, DOI 10.17487/RFC4648, , октябрь 2006 г., , .

[ID.ietf-dnsop-svcb-https]

Шварц Б., Бишоп М. и Э. Нигрен, «Привязка службы и спецификация параметров через DNS (DNS SVCB и HTTPS RR)», Work in Progress, Internet-Draft, draft-ietf-dnsop-svcb-https -02, 2 ноября 2020 г. , .

[I-D.irtf-cfrg-hpke]

Барнс Р., Бхаргаван К., Липп Б. и К. Вуд, «Гибридное шифрование с открытым ключом», работа в процессе, Internet-Draft, draft-irtf-cfrg-hpke-07, 16 декабря 2020 г. , .

[И-Д.паули-добавить-распознаватель-обнаружение]

Поли, Т., Киннер, Э., Вуд, К., Макманус, П., и Т. Дженсен, «Обнаружение адаптивного преобразователя DNS», работа в процессе, Интернет-черновик, черновик-паули-добавить-распознаватель-обнаружение- 01, 13 июля 2020 г. , txt>.

[ID.pauly-dprive-adaptive-dns-конфиденциальность]

Киннер, Э., Поли, Т., Вуд, К., и П. Макманус, «Адаптивная DNS: повышение конфиденциальности разрешения имен», работа в процессе, интернет-проект, черновик-паули-dprive-adaptive-dns-privacy -01, 1 ноября 2019 г. , .

[RFC2119]

Брэднер, С., «Ключевые слова для использования в RFC для обозначения уровней требований», BCP 14, RFC 2119, DOI 10.17487/RFC2119, , март 1997 г., , .

[RFC4033]

Арендс Р., Остайн Р., Ларсон М., Мэсси Д. и С. Роуз, «Введение и требования безопасности DNS», RFC 4033, DOI 10.17487/RFC4033, , март 2005 г., , .

[RFC7231]

Филдинг, Р. , изд. и Дж. Решке, изд., «Протокол передачи гипертекста (HTTP/1.1): семантика и контент», RFC 7231, DOI 10.17487/RFC7231, , июнь 2014 г., , .

[RFC7235]

Филдинг, Р., изд. и Дж. Решке, изд., «Протокол передачи гипертекста (HTTP/1.1): аутентификация», RFC 7235, DOI 10.17487/RFC7235, 9.1682, июнь 2014 г., , .

[RFC8174]

Лейба, Б., «Неоднозначность прописных и строчных букв в ключевых словах RFC 2119», BCP 14, RFC 8174, DOI 10.17487/RFC8174, , май 2017 г., , .

[RFC8446]

Рескорла, Э., «Протокол безопасности транспортного уровня (TLS) версии 1.3», RFC 8446, DOI 10.17487/RFC8446, , август 2018 г., , .

[RFC8467]

Майрхофер, А. , «Политики заполнения для механизмов расширения для DNS (EDNS(0))», RFC 8467, DOI 10.17487/RFC8467, , октябрь 2018 г., , .

[RFC8484]

Хоффман, П. и П. Макманус, «Запросы DNS через HTTPS (DoH)», RFC 8484, DOI 10.17487/RFC8484, , октябрь 2018 г., , .

14.2. Информативные ссылки

[ID.annee-dprive-oblivious-dns]

Эдмундсон А., Шмитт П., Фимстер Н. и А. Манкин, «Забывчивый DNS — строгая конфиденциальность для DNS-запросов», работа в процессе, Internet-Draft, draft-annee-dprive-oblivious-dns-00 , 2 июля 2018 г. , .

Эрик Киннер

Apple Inc.

Парк Уан Эппл Уэй

Купертино, Калифорния 95014,

Соединенные Штаты Америки

Электронная почта: ekinnear@apple. com

Патрик Макманус

Быстро

Электронная почта: [email protected]

Томми Поли

Apple Inc.

Парк Уан Эппл Уэй

Купертино, Калифорния 95014,

Соединенные Штаты Америки

Электронная почта: [email protected]

Кристофер А. Вуд

Облачная вспышка

101 Таунсенд-Стрит

Сан-Франциско,

Соединенные Штаты Америки

Электронная почта: [email protected]

DNS через HTTPS: обеспечивает ли DoH повышенную безопасность?

Система доменных имен (DNS) — проверенное решение. Пользователям нужно всего лишь ввести узнаваемый веб-адрес в свой браузер, и система найдет соответствующий IP-адрес в течение короткого периода времени. Для этого осуществляется доступ к различным серверам имен, которые хранят числовой адрес, соответствующий URL-адресу. Хотя в принципе он все еще полностью функционален, DNS несколько устарел. Разработанная несколько десятилетий назад, сегодняшняя проблем безопасности еще не возникало.

Однако с сегодняшней точки зрения DNS не является безопасным. Запросы обычно передаются незашифрованными и могут быть прочитаны кем угодно. Это означает, что киберпреступник может относительно легко использовать свой собственный сервер для перехвата DNS жертвы. Эти атаки, называемые перехватом DNS, перенаправляют пользователей на веб-сайты, которые либо выпускают вредоносное ПО, либо выманивают данные, либо раздражают пользователей большим количеством рекламы. Вот почему DNS через HTTPS (DoH) обсуждается отраслевыми экспертами как жизнеспособная альтернатива. Но может ли протокол сделать Интернет более безопасным?

Зачем вам DNS через HTTPS?

DoH позволяет достичь нескольких целей, включая повышение безопасности. Запуская DNS с использованием защищенного протокола HTTPS, основная цель состоит в том, чтобы усилить безопасность и конфиденциальность пользователя . Используя зашифрованное HTTPS-соединение, третьи стороны больше не смогут влиять на расшифровку или следить за ней. Таким образом, мошенник не сможет просмотреть запрошенные URL-адреса или изменить их.

С одной стороны, это усиливает борьбу с киберпреступностью, а с другой — затрудняет цензура интернета . Некоторые правительства используют DNS для блокировки определенных веб-сайтов с целью ограничения свободы выражения мнений или введения местных правил в отношении Интернета, например законов о борьбе с порнографией.

Некоторые интернет-провайдеры (ISP) специально используют технологию перехвата DNS для отправки сообщений об ошибках, если пользователь вводит веб-адрес, который невозможно расшифровать (например, из-за опечатки). Некоторые интернет-провайдеры перехватывают это и вместо этого направляют пользователя на свой собственный веб-сайт, рекламирующий их собственные или сторонние продукты. Это не является незаконным и не наносит прямого ущерба пользователю или его устройствам, но перенаправление может быть воспринято как нарушение.

Но изменения в DNS также улучшат его производительность . Протокол DNS больше не считается очень надежным. Протокол управления передачей (TCP) в DoH реагирует быстрее, когда данные теряются во время передачи.

Последняя версия Firefox позволяет пользователям активировать DoH через настройки.

Как работает DNS через HTTPS?

Некоторые расшифровки имен можно выполнять непосредственно с устройства пользователя. Соответствующая информация отображается в кеше браузера или роутера. Все, что должно быть передано онлайн, обычно проходит через соединение UDP. Это позволяет быстрый обмен информацией . Однако UDP не является ни безопасным, ни надежным. Пакеты данных регулярно теряются при использовании протокола, поскольку отсутствуют механизмы, гарантирующие передачу.

DoH, с другой стороны, полагается на HTTPS и, следовательно, также на TCP — протокол, который гораздо чаще используется в Интернете. К преимуществам можно отнести шифрование соединений, а протокол обеспечивает гарантированную передачу данных .

При использовании DNS через HTTPS связь всегда осуществляется через Порт 443 , через который передается фактический веб-трафик (например, доступ к веб-сайтам). Поэтому посторонний человек не может отличить DNS-запросы от других коммуникаций. Это вводит дополнительный уровень конфиденциальности пользователя.

Преимущества и недостатки DNS по сравнению с HTTPS

Преимущества новой системы очевидны. Технология повышает безопасность и конфиденциальность пользователей. По сравнению с классическим DNS DoH обеспечивает шифрование. Однако DNS через HTTPS не является ни полностью безопасным, ни полностью частным . Как и прежде, всю информацию можно просматривать на серверах имен, где происходит расшифровка имени, и ряд серверов также узнают, кто какую информацию запрашивает. Поэтому участникам DNS нужно доверять новую технологию.

Однако здесь DNS поверх HTTPS перекладывает ответственность. Серверы интернет-провайдеров обычно контролируют большую часть расшифровки имен. С другой стороны, благодаря DoH разработчики браузеров теперь могут решать, на какие серверы они хотят пересылать свои DNS-запросы. В Chrome это делается с помощью собственного DNS-сервера Google. Mozilla уже использует Cloudflare для Firefox. При этом возникает вопрос должны ли пользователи доверять этим компаниям больше, чем интернет-провайдеру , это также означает, что только несколько провайдеров несут ответственность.

Критики DoH считают, что сетевой нейтралитет находится под угрозой с DoH. Они опасаются, что Google может, например, отвечать на запросы о собственных сервисах компании быстрее, чем DNS-запросы о других веб-сайтах. Поскольку концентрируется на нескольких провайдерах , серверы DoH также представляют угрозу безопасности, поскольку злоумышленникам будет намного проще парализовать всю DNS.

DoH против DoT

В дополнение к DNS через HTTPS в настоящее время обсуждается еще одна технология защиты системы доменных имен: DNS через TLS (DoT). Два протокола на первый взгляд кажутся похожими, потому что оба обещают большую безопасность и конфиденциальность пользователей. Но технологии различаются по нескольким пунктам, в том числе по приверженности, которую они привлекли от различных групп интересов . В то время как DNS через HTTPS в основном основан на Mozilla, Google и поставщиках частных серверов DoH, DoT продвигается Инженерной группой Интернета (IETF).

На техническом уровне DoT отличается от своих конкурентов тем, что устанавливает туннель TLS вместо соединения HTTPS. Он также использует другой порт. Как упоминалось выше, в то время как DoH работает через порт 443, связь с DNS через TLS осуществляется через отдельный порт 853 .

• 09.07.20
• Ноу-хау
Статьи по теме

DNSSEC: интернет-стандарты для аутентифицированного разрешения имен

• 12. 08.2019
• Ноу-хау

Без системы доменных имен пользователи Всемирной паутины столкнулись бы с серьезными проблемами при попытке загрузить веб-сайты и другие онлайн-присутствия. Только благодаря этой системе интернет-адреса появляются в доверенном текстовом формате: на самом деле они не более чем комбинации чисел. Связь между браузером и сервером имен, ответственным за это, на самом деле не так безопасна, как вы…

DNSSEC: Интернет-стандарты для разрешения имени с проверкой подлинности

Flush DNS: как очистить кеш DNS Операционные системы, такие как Windows или macOS, автоматически сохраняют информацию о разрешении адресов от систем и приложений в сети в кэше DNS. Цель этого практичного кеша — ускорить сетевой трафик. Читайте дальше, чтобы узнать, почему полезно регулярно очищать кеш DNS и как именно работает такая очистка DNS.

Flush DNS: как очистить кеш DNS

Записи DNS: как работают записи DNS?

• 30. 07.2019
• Технические вопросы

Без системы доменных имен Интернет, каким мы его знаем сегодня, был бы немыслим. Сама система разрешения имен основана на записях DNS. В этих просто структурированных записях в обычных текстовых файлах для каждого IP-адреса хранится имя. Однако записи DNS могут делать больше. Существуют различные типы записей ресурсов, также известные как записи ресурсов.

Записи DNS: как работают записи DNS?

DNS_PROBE_FINISHED_NXDOMAIN: Лучшие решения

• 06.07.2020
• Веб-разработка

Если ваш браузер показывает сообщение об ошибке вместо веб-сайта, который вы хотели открыть, может быть трудно понять, что именно это означает и что вы можете сделать. Например, сообщение Chrome «DNS_PROBE_FINISHED_NXDOMAIN» сообщает пользователям, что адрес домена не может быть преобразован в соответствующий IP-адрес. В этой статье показано, что стоит за этой проблемой подключения.