Разное

Днс расшифровка: история создания компании, основные этапы развития

15.02.1974

Содержание

Расшифровка кодов дисквалификаций::ФПМ

Расшифровка кодов дисквалификаций::ФПМ

Мы используем файлы cookie для того, чтобы предоставить Вам больше возможностей при использовании сайта. Файлы cookie представляют собой небольшие фрагменты данных, которые временно сохраняются на вашем компьютере или мобильном устройстве, и обеспечивают более эффективную работу сайта. Файлы cookie не содержат никакой личной информации о Вас и не могут использоваться для идентификации отдельного пользователя.

Skip to content

Расшифровка кодов дисквалификаций

DNS – Неявка
DNF – Участник не финишировал
GA – Фальстарт
GB – Задержка соревнований
GC – Неспортивное поведение
GD – Вмешательство в действия другого участника
GE – Участник не плыл указанным способом
GF – Участник не плыл указанную – дистанцию (неявка на старт)
GG – Участник финишировал не по своей дорожке
GH – Касание дна бассейна в любом способе плавания, кроме вольного стиля
GI -Участник плыл не по своей дорожке
GJ – Использование вспомогательных средств
GL – Подтягивание за разделительные дорожки
Вольный стиль
FrA – Нет касания стенки при выполнении поворота или на финише
FrB – Проплывание под водой после старта или поворота более 15 м
FrC – Перемещение по дну бассейна и/или отталкивание от дна
На спине
ВаА – В стартовом положении пальцы ног находились над водой
ВаВ – Проплывание под водой после старта или поворота более 15м

ВаС – Нарушение вертикального положения плеч на старте
BaD – Нет касания стенки на повороте или на Финише
ВаЕ – Нарушение положения «на спине» при отталкивании от стенки
BaF – Нарушение положения «на спине» на Финише
BaG – Непоследовательность движений при выполнении поворота
ВаН – Дополнительное движение ногами при выполнении поворота
Bal – Дополнительный гребок при выполнении поворота
Брасс
ВrА – Голова находилась под водой по завершении внутренней части второго гребка руками
ВrВ – Голова находилась под водой в течение полного цикла движений
ВrС – Нарушение синхронности движения рук в горизонтальной плоскости
BrD – Нарушение синхронности движения ног в горизонтальной плоскости
ВгЕ – Движение руками вперед не выполнялось ни под водой, ни над водой
BrF – При прохождении дистанции локти не всегда находились под водой
BrG – В движении ног при отталкивании стопы не разворачивались
ВгН – Нет касания одновременно двумя руками на повороте и/или на финише
Brl – Нарушение положения тела «на груди» при выполнении первого движения руками после
старта и/или поворота
Баттерфляй
BfA – Проплывание под водой после старта или поворота более 15 м
Bf В – Выполнен гребок под водой одной рукой после старта или поворота
BfC – Нарушение положения «на груди» при отталкивании от стенки
BfD – Пронос/подводная часть гребка выполнены двумя руками не одновременно
Bf E – Не выполнен пронос рук над водой
Bf F – Ноги выполняли неодинаковые движения
BfG – Нет касания одновременно двумя руками на повороте и/или на финише
Bf H – Нет касания стенки на повороте или на финише
Комплексное плавание
IMA – Участник плыл вольным стилем вместо способа на спине, брассом или баттерфляем
IMB – Нарушение порядка чередования способов плавания
IMC – Ошибка в способе плавания – необходимо использовать соответствующий код
Эстафеты
RA-1- Преждевременный старт первого участника
RA-2 – Преждевременный старт второго участника
RA-3 – Преждевременный старт третьего участника
RA-4 – Преждевременный старт четвертого участника
RB – Нарушение порядка чередования способов плавания в комбинированной эстафете
RC – Изменение порядка передачи эстафеты
RD – В эстафете плыл незаявленный участник
RE – Ошибка в способе плавания – необходимо использовать соответствующий код и номер
участника
RF – По ходу эстафеты была осуществлена замена участника

СКАЧАТЬ

Дожимная насосная станция — Что такое Дожимная насосная станция?

23569

Дожимная насосная станция предназначена для сбора, сепарации, обезвоживания, учета, транспортировки нефти

Дожимная насосная станция (ДНС) — технологическая часть системы сбора нефти и газа на промыслах и их последующей транспортировки. 

Оборудование ДНС сообщает нефти и газу дополнительный напор, необходимый для их транспортирования в направлении высоконапорных участков через системы сбора и подготовки. 


ДНС могут производить:

  • перекачку водогазонефтяной эмульсии по нефтепроводу мультифазными насосами, 
  • проводить предварительную подготовку скважинной продукции — сепарацию (сброс) воды и попутного нефтяного газа (ПНГ) с закачкой в нефтепровод обезвоженной и дегазированной нефти, 
  • осуществлять закачку воды в нагнетательные скважины для поддержания пластового давления.

ДНС перекачивает содержимое скважин нефтяных месторождений в виде газожидкостной смеси.

Принцип работы ДНС

Нефть от групповых замерных установок поступает в буферные емкости, сепарируется. 
Затем нефть подается на прием рабочих насосов и далее в нефтепровод. 
Отсепарированный газ под давлением до 0,6 МПа через узел регулировки давления поступает в промысловый газосборный коллектор. 
По газосборному коллектору газ поступает на газокомпрессорную станцию или на газоперерабатывающий завод (ГПЗ). 
Расход газа замеряется камерной диафрагмой, устанавливаемой на общей газовой линии. 
Уровень нефти в буферных емкостях поддерживается при помощи поплавкового уровнемера и электроприводной задвижки, расположенной на напорном нефтепроводе. 
При превышении максимально допустимого уровня жидкости в НГС датчик уровнемера передает сигнал на устройство управления электроприводной задвижки, она открывается, и уровень в НГС снижается. 

При снижении уровня ниже минимально допустимого электроприводная задвижка закрывается, обеспечивая тем самым увеличение уровня жидкости в НГС. 
Для равномерного распределения нефти и давления буферные емкости соединены между собой перепускной линией. 

В составе ДНС предусматриваются следующие технологические объекты:

  • блок реагентного хозяйства,
  • нефтяные и газовые сепараторы,
  • отстойники,
  • буферные и дренажные емкости,
  • резервуары различного назначения,
  • насосные станции для перекачки нефти и подтоварной воды.

Как проанализировать производительность DNS сервера с помощью WireShark?

На прошлой неделе я находился во Владивостоке и сервера DNS, который мне в отеле выдавались точкой доступа Wi-Fi, работали из рук вон плохо. Часть необходимых мне ресурсов были не доступны, другая часть открывалась медленно. Впервые ощутил насколько важный элемент сервер DNS и как с медленно и некорректно работающим сервером плохо жить и работать.

Что такое DNS?

DNS – система доменных имен. Общение между устройствами в сети осуществляются по адресам, но помнить их все не представляется возможным и поэтому их заменили вполне удобными доменными именами, например, www.networkguru.ru. Имя запомнить проще. А уж ресурсы сети позаботятся об IP адресах версии 4 или 6. Поэтому рекомендую иметь пару адресов DNS серверов, которые всегда можно ввести как альтернативные в настройки TCP/IP вашего сетевого адаптера и получить полный и быстрый доступ во всемирную паутину.

Как можно проконтролировать работу DNS сервиса?

Запускаем Wireshark и выполняем захват трафика, далее в строке фильтра вводим три заветных буквы dns.

На экране мы получим отфильтрованные пакеты по протоколу DNS (по умолчанию это UDP порт 53) и далее, выбрав любой из них, добавляем параметр «Time» (время) как колонку:

Данная колонка позволит сортировать пакеты по максимальному или минимальному времени отклика DNS сервера на запрос разрешения имени.

Кроме этого можно использовать фильтр dns.time > 0.1 (время может быть любое)

На экране мы получим отобранные пакеты, которые требуют нашего внимания.

Принимая во внимание увеличение скорости каналов связи и количества пользователей Wireshark как и коммерческие анализаторы протоколов идут по пути визуализации и в Wireshark есть сервис «Статистика в виде графика» – «Statistics – I/O Graph»

Поколдовав немного с помощью настроек, прописываем Display Filter – dns, ось Y – dns.time и, например, выводим отдельно минимальное, максимальное и среднее время.

Вот так можно использовать доступный всем WireShark чтобы оценить скорость работы DNS сервера.

Всем удачи и успехов в анализе трафика!

 

Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!

Всегда на связи, Игорь Панов.


См. также:

Ваш запрос отправлен!

Закрыть

Что такое DNF, DNS, DSQ в беге и триатлоне

В финишном протоколе забега идут ровные ряды результатов, а в самом конце напротив имён участников вместо показанного времени вдруг появляются загадочные аббревиатуры – DNF, DNS, DSQ. Давайте узнаем, что они означают.

Как расшифровать аббревиатуры DNF, DNS, DSQ

Это общепринятые в спорте сокращения, отвечающие на вопрос, почему у участника того или иного соревнования в протоколе нет результата. Участник мог просто не стартовать (DNS), не финишировать (DNF) или его могли дисквалифицировать за нарушение правил того или иного вида спорта (DSQ).

Итак, всё просто:

  • DNS – Did Not Start – спортсмен не вышел на старт или же вышел, но не стартовал, т.е. не пересёк стартовую линию.
  • DNF – Did Not Finish – спортсмен стартовал, но не финишировал, т.е. не пересёк финишную линию. Чаще всего это означает, что спортсмен сошёл с дистанции.
  • DSQ – Disqualified – спортсмен дисквалифицирован за несоблюдение правил.

Основные причины DNF

DNF, пожалуй, – самое частое, что случается с участниками соревнований, в особенности любительских. Не финишировать можно по разным причинам: от физиологических до технических (поломка оборудования), но чаще с дистанции сходят из-за неудовлетворительного самочувствия.

Вот частые причины, почему участники сходят с дистанции:

  • судороги;
  • боли в коленях;
  • обезвоживание;
  • расстройство пищеварительной системы;
  • быстрое начало гонки, когда все силы оставляешь сразу после старта;
  • нежелание продолжать борьбу.

Отдельно нужно сказать, что особо амбициозные спортсмены порой могут не завершить дистанцию, если видят, что результат гонки будет слабее ожидаемого. Зачем бежать дальше, если планировал показать результат на МС или КМС, но нужный темп держать по разным причинам не удаётся? В эту же категорию можно включить сходы из-за невозможности попасть на подиум, если спортсмену интересны только призовые.

Погодные условия могут влиять не только на скорость преодоления дистанции, но и на сам факт финиширования. Сильный ветер, ливень, град, холод или пекло – каждый по-разному способен бороться с природными явлениями, но для кого-то они окажутся за гранью собственных возможностей.

фото: Московский марафон

Вовремя сказать себе «хватит», действительно, иногда лучше. С точки зрения психологии, такой выбор для человека очень сложен, сложнее завершения дистанции.

Когда же остановиться? Выбор продолжения либо же завершения дистанции индивидуален, а потому спортсмен должен взвесить все «за» и «против». Нужно ли бежать с болью в коленях? Вряд ли, если не хотите вместо тренировок ходить по врачам и тратить время и деньги на лечение.

Тренировочные планы к марафону и полумарафону. Скачайте и начните подготовку сегодня.

Но если на велогонке встречный ветер не даёт показать красивую среднюю скорость и вынуждает сойти с дистанции – тут, скорее, спортсменом движет лень и желание услышать восторг болельщиков, которые увидят финальный результат. А если результат не будет соответствовать ожиданиям, то лучше прекратить борьбу до финиша.

В каких случаях стоит сойти с дистанции

Немедленно сходите с дистанции, если:

  • вы находитесь в предобморочном состоянии;
  • у вас нет сил продолжать движение;
  • вы чувствуете боль за грудиной или в конечностях, которая может сигнализировать о нарушении в работе сердца;
  • у вас помутнение в глазах, несинхронная работа рук и ног.

Прислушивайтесь к своему организму и не пытайтесь понравиться другим финишной медалью и красивыми фотографиями с соревнований. Гонки проходят почти каждые выходные, и они не стоят вашего здоровья, а то и жизни.

Причины дисквалификации

Ни DNS, ни DNF не сравнятся по уровню обиды с DSQ – дисквалификацией, снятия с гонки. Первые два случая всегда можно объяснить и оправдать, а вот дисквалификация происходит лишь только в том случае, если участник соревнований нарушил правила. Обычно в конце протокола дается ссылка на правило, нарушенное спортсменом.

Что в беге, что в триатлоне есть свой ряд правил, но одно объединяет абсолютно все виды спорта – спортивное поведение. За неприличное или неспортивное поведение спортсмен может быть отстранён от текущих соревнований, и к нему могут даже применить дисциплинарные санкции.

фото: G.Demouveaux/ Schneider Electric Marathon de Paris

В беге дисквалифицируют за:

  • фальстарт;
  • намеренную физическую помеху для другого спортсмена;
  • самовольный уход с дорожки.

В триатлоне вид наказания зависит от тяжести нарушения. Это может быть и устное предупреждение, и временной штраф, когда определённое количество времени нужно отстоять в штрафном боксе посреди гонки. Всё это налагается за мелкие нарушения правил, которые не создают опасную ситуацию в ходе соревнований.

А вот дисквалификация в триатлоне означает повторное нарушение правил драфтинга, опасное поведение по отношению к другим участникам, игнорирование предупреждений от судей и неспортивное поведение.

На любителей распространяется дисквалификация в случае суммирования штрафов:

  • 2 временных штрафа на олимпийской или более коротких дистанциях;
  • 3 временных штрафа на средней и длинной дистанциях.

Перечислим некоторые правила триатлона:

  • запрещено ехать и бежать с обнажённым торсом;
  • запрещено в транзитной зоне раздеваться или обнажать тело;
  • на беговом этапе нельзя использовать деревья или другие стационарные объекты в качестве помощи при прохождении поворотов;
  • во время бега нельзя ползти. Спортсмен должен либо бежать, либо идти;
  • нельзя расстёгивать ремешок или снимать шлем с головы до тех пор, пока участник соревнований не покинет трассу и не сойдёт с велосипеда. Более того, шлем нужно носить надлежащим образом при ознакомлении с трассой;
  • запрещается финишировать, взявшись за руки;
  • для элиты участие в более чем одном соревновании с идентичным набором дисциплин в индивидуальной категории в течение 36 часов строго запрещено;
  • помощь со стороны, когда один участник передаёт другому какое-либо оборудование, не разрешается. Дисквалифицируются за это оба спортсмена;
  • на стартовом костюме надписи могут быть сделаны только шрифтом Arial.

Что делать, если финишировал, а в результатах DNF, DNS или DSQ

Обычно в случае ошибочного результата в протоколах спортсмен подаёт апелляцию. Это же касается DNF, DNS и DSQ. Учтите, что протест нельзя подать спустя дни и недели после утверждения протокола. Всё это необходимо сделать в первые же минуты и часы, как гонка закончилась, пока не опубликован окончательный протокол. Обычно на это отводится от 15 до 30 минут после объявления неофициальных результатов.

Теперь вы знаете, что скрывается за этими тремя аббревиатурами. Не бойтесь сойти с дистанции, став DNF, но тщательно соблюдайте все указания судей, чтобы не заработать DSQ.

Что делать, если не сработал чип

Когда возникает проблема с индивидуальным чипом, в протоколе участнику могут присвоить равно как DNS (не сработал на старте), так и DNF (не сработал на финише).

Случается, что проблема с чипом может возникнуть на контрольных точках, тогда участнику грозит DSQ.

Если вы участвовали в гонке от начала до конца, а вместо результата в протоколе красуется одна из этих аббревиатур, смело подавайте апелляцию сразу после публикации предварительного протокола. С записанным треком гонки проблема устранения ошибки оборудования решится быстро.

На некоторых небольших стартах может и вовсе не быть чипа электронного хронометража, а отсечки будут делать волонтёры. Если у вас значится одна из аббревиатур, скорее всего вас могли упустить или не разглядеть номер. Решение этого вопроса в данном случае абсолютно такое же, как и в первом.

Читайте далее: Справка на забег и марафон: как сделать и зачем нужна

Что такое DNS-сервер и для чего он нужен?

480 auto

Если спросить среднего пользователя интернета, что такое сайт, скорее всего, он назовёт, например, yandex.ru, mail.ru, google.com, facebook.com, …

В практическом смысле этого вполне достаточно: нашёл интересный сайт, сообщил знакомым его доменное имя (или проще, «адрес»).

Однако настоящим адресом доменное имя не является. Ну это примерно так же, как отправить письмо с надписью на конверте: «город Екатеринбург, Петру Иванову». Здесь дело даже не в том, что Петров Ивановых в Екатеринбурге может быть несколько (представим, что человек с таким именем там единственный). Проблема в том, что адресат может перемещаться, минимум, по городу, и вручить ему письмо будет крайне проблематично.

Но письма-то доставляют и получают! — Да, конечно. Потому что они отправляют по почтовым адресам. Например, «город Ленинград, 3-я улица Строителей, дом 25, квартира 12».

Почтовым адресом в интернете является IP-адрес, состоящий из четырёх чисел от 0 до 255, например, 74.125.131.100. Это — один из IP-адресов сайта google.com. Если в адресной строке вашего браузера ввести эти числа, вы окажетесь на портале google.com, точнее, на google.ru, куда вас автоматически перенаправят.

Почему «один из адресов», и какого типа бывают IP-адреса, пока оставим в стороне.

В интернете IP-адрес задаёт, на какой компьютер нужно доставить данные.

Вам что-то напоминает IP-адрес? — Мне он напоминает длинный номер мобильного телефона.

Телефонная книга

К сожалению, запоминать длинные телефонные номера непросто. Мы их вносим в свои записные книжки («контакты», по-мобильнофонному) и добавляем к ним понятные имена, например,

Пётр Иванов, +7-343-123-45-67.

В дальнейшем нам не потребуется помнить сам телефонный номер Петра, достаточно того, что этот номер записан в нашу телефонную книгу. Когда нам будет нужно позвонить Петру, мы найдём его в списке наших контактов даже не взглянув на его номер.

В интернете роль телефонной книги играет система доменных имён (DNS, Domain Name System). В ней хранится связь между относительно легко запоминаемым названием сайта и его трудно запоминаемым числовым адресом.

Правда, есть одно существенное отличие этой «интернет-книги» от телефонной. — Её ведёт не каждый знакомый Петра Иванова в отдельности, а он сам.

В частной телефонной книге можно написать: «Петя», «Пётр», «Петруша», «Петруха», «Петруня», «любимый», …, а в «телефонной интернет-книге» записи ведут сами владельцы сайтов, например:

Название домена Адрес
pyotr-ivanov.ru 123.123.123.123

Если кто-то пожелает посетить сайт Петра Иванова, в адресной строке браузера он наберёт: pyotr-ivanov.ru, а система доменных имён сообщит браузеру (точнее, компьютеру, на котором работает браузер), соответствующий IP-адрес, в нашем примере: 123.123.123.123. Компьютер, который находится по этому адресу, обработает запрос браузера и пришлёт ему данные, для отображения запрошенной страницы веб-сайта.

 

 

Теперь понятно, как используются доменные имена? — Однако ещё не рассказано, где хранятся записи о связях между доменными именами сайтов и IP-адресами компьютеров, на которых эти сайты размещены.

DNS-сервер

Он-то и служит телефонной книгой. Он хранит информацию о том, какому IP-адресу соответствует то или иное доменное имя. В интернете DNS-серверов очень много. У них двойная роль:

  • главная — «телефонная интернет-книга»;
  • дополнительная (но тоже важная) — кэширование записей других DNS-серверов.

Сначала несколько слов о кэшировании. Выяснять связь между названием сайта и его IP-адресом требуется при каждом обращении к этому веб-сайту. Если сайт, который вы хотите посетить, находится достаточно далеко, многочисленные запросы к далёкому первичному DNS-серверу могут отнять много времени и замедлить загрузку веб-страниц. Чтобы избежать задержек, ближайший к вашему компьютеру DNS-сервер (обычно находящийся у вашего интернет-провайдера), сохраняет сведения о ранее запрошенных IP-адресах, и при повторном обращении к тому же сайту он сообщит его адрес очень быстро, так как будет хранить его в своём кэше.

Но чтобы что-то кэшировать, нужно иметь источник кэшируемого. Таким источником служат первичные DNS-сервера, хранящие изначальные связи между доменами и их IP-адресами.

Для регистрации доменного имени достаточно его придумать. Но для того, чтобы оно начало «работать», вы должны сообщить регистратору доменное имя DNS-сервера, который будет хранить подробные данные о регистрируемом вами домене. Об этих данных будет сказано чуть позже.

Обычно используют два DNS-сервера: первичный и вторичный. Но их может быть и больше. Большее число DNS-серверов повышает надёжность доступа к вашему домену: если один окажется недоступен, ответит другой.

В реальном мире двух — вполне достаточно.

 

 

Многие регистраторы доменных имён и просто интернет-провайдеры предлагают использовать свои DNS-серверы в режиме платной услуги.

Хорошая новость: в облаке 1cloud услугу DNS-хостинга можно получить бесплатно! Достаточно быть клиентом этого публичного облака.

DNS-зона

Для дальнейшего понимания системы доменных имён нужно узнать, что такое DNS-зона.

Дело в том, что мы рассмотрели только один из вариантов связи между доменным именем и IP-адресом: один домен – один сайт – один адрес. Однако с конкретным доменным именем может быть связан не только веб-сайт, но и, например, почтовый сервер. И у них могут быть разные адреса.

 

 

Одному и тому же домену может соответствовать веб-сайт или почтовый сервер с несколькими IP-адресами, каждый. Их используют для повышения надёжности и производительности сайта или почтовой системы.

А ещё нужно вспомнить о возможных поддоменах, например,

mail.company.ru, ftp.company.ru, sklad.company.ru, …

Все необходимые связи между доменным именем и IP-адресами отражаются в специальном файле, расположенном на DNS-сервере. Содержимое этого файла называется описанием DNS-зоны, или просто DNS-зоной.

В ней могут присутствовать записи разных типов.

Тип записи Пояснение
A Адрес «сайта» соответствующего доменного имени
MX Адрес почтового сервера в соответствующем домене
CNAME Синоним описываемого домена.
Например, здесь можно указать, что доменное имя www.company.ru является синонимом доменного имени company.ru, и запросы по этому синониму будут перенаправляться на адрес основного доменного имени
NS Здесь указывается доменные имена DNS-серверов, обслуживающих описываемый домен.
Например, ns1.1cloud.ru и ns2.1cloud.ru
TXT Любое текстовое примечание

Это — не полный перечень возможных типов полей. Он был сокращён для упрощения ознакомительного изложения.

Дополнение

Как в любом деле, в правильном описании доменного имени есть свои детали и нюансы. В этой статье они опущены, чтобы не усложнять начальное знакомство с темой. Однако для общего кругозора уже сейчас следует добавить несколько важных фактов.

  • Выше была описана адресация по стандарту IPv4. Адрес в нём состоит из четырёх чисел. Такая адресация имеет ограничение числа обслуживаемых компьютеров: 4 294 967 296. Это много, но при нынешнем числе устройств, подключенных к интернету адресов стало не хватать.
    Для преодоления этого объективного лимита ввели новый стандарт: IPv6, по которому длина адреса увеличилась, и стало возможным адресовать намного, намного больше компьютеров. В DNS-зоне тип записи для такого адреса обозначается: AAAA.
  • Одному домену могут соответствовать несколько IP-адресов.
    Обычно такое назначение делается для повышения надёжности или быстродействия. Порядок выдачи IP-адреса из списка на запрос по доменному имени зависит от настроек DNS-сервера. Чаще всего адрес выдаётся в случайном порядке.
  • Одному IP-адресу может соответствовать несколько доменов.
    Строго говоря, это противоречит логике системы доменных имён, которая предполагает однозначную связь IP-адреса с соответствующим доменом. Однако, как было сказано ранее, 4-числовой IP-адрес стал дефицитным ресурсом, который уже достаточно давно стараются экономить.
    На практике такая экономия может выглядеть следующим образом. На компьютере размещают несколько не очень больших веб-сайтов с разными доменными именами, которым присвоен одинаковый IP-адрес. Веб-сервер, работающий на этом компьютере и обслуживающий эти сайты, получив запрос, анализирует домен, в который он пришёл, и направляет его на правильный сайт.
    Такая практика не позволяет обеспечить однозначность обратной связи IP-адреса с доменным именем, ведь в этом случае их несколько. Но позволяет экономить IP-адреса.
     

Заключение

Изложенный порядок на первый взгляд может показаться сложным. Однако он позволяет:

  • пользоваться доменными именами, которые запоминаются легче, чем числовые адреса;
  • повышать надёжность доступа к интернет-ресурсам путём использования для них нескольких компьютеров, разнесённых по сети;
  • увеличивать производительность интернет-ресурсов за счёт распределения нагрузки внутри группы обеспечивающих компьютеров;
  • перемещать прикладные компьютеры по интернету, не меняя их доменного адреса.

С учётом изложенного в этой статье, определим DNS кратко так.

DNS (Domain Name System) — это система доменных имён, которая связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Эта система включает в себя как регламентирующие документы, так множество DNS-серверов, работающих в интернете и сообщающих IP-адреса в ответ на запрос по доменным именам.

 

P.S. Еще немного материалов по теме DNS:

Ресурсные записи DNS — это… Что такое Ресурсные записи DNS?

Ресурсные записи DNS — записи о соответствии имени и служебной информации в системе доменных имён.

В настоящий момент существуют следующие ресурсные записи (жирным выделены наиболее используемые записи):

Тип Расшифровка названия (англ.) Код Описание Употребимость RFC
A Address 1 Адресная запись, соответствие между именем и IP-адресом одна из самых часто используемых записей RFC 1035
A6 Address version 6 38 Адрес в формате IPv6 заменена на AAAA из-за чрезмерной сложности в реализации, статус «экспериментальной».[1] RFC 3363, RFC 2874
AAAA A+1+1+1 (A использовался для IPv4, AAAA для IPv6) 28 Адрес в формате IPv6 эквивалента А для IPV4 RFC 3596
AFSDB AFS database 18 Расположение базы данных AFS редкоупотребимая, чаще используется SRV-запись RFC 1183
CNAME Canonical name 5 Каноническое имя для псевдонима (одноуровневая переадресация) широко используется (но имеет ограничения по применению) RFC 1035
DNAME Domain Name 39 Псевдоним для домена ? RFC 2672
DNSKEY DNS Key record 48 Ключ подписи в DNSSEC. Формат — как в записи KEY. DNSSEC RFC 4034
DS Delegation signer 43 Отпечаток (fingerprint) ключа подписи в DNSSEC DNSSEC RFC 3658
GPOS Geographical position 27 Географическое положение устарела, см LOC RFC 1712
HINFO Host Information 13 Информация об узле редкоупотребима RFC 1035
ISDN ISDN address 20 Адрес в формате ISDN редкоупотребима (из-за малой популярности сетей ISDN без IP-маршрутизации) RFC 1183
KEY Public key 25 Открытый ключ, используется в DNSSEC малоупотребима RFC 2535, RFC 3445
KX Key Exchanger 36 ? ? RFC 2230
LOC Location information 29 Географическое местоположение домена ? RFC 1876
MB Mailbox 7 Почтовый ящик редкоупотребима RFC 1035
MD Mail destination 3 Почтовый адрес устарела RFC 1035
MF Mail forwarder 4 Перенаправление почты устарела RFC 1035
MG Mail group member 8 Номер почтовой группы редкоупотребима RFC 1035
MINFO Mailbox or mailing list information 14 Информация о почтовом ящике или рассылке ? RFC 1035
MR Mail rename domain name 9 ? редкоупотребима RFC 1035
MX Mail Exchanger 15 Адрес почтового шлюза для домена. Состоит из двух частей — приоритета (чем число больше, тем ниже приоритет), и адреса узла критически важна для SMTP-протокола, основа маршрутизации почты в Интернете RFC 1035
NAPTR Naming authority pointer 35 Указатель на авторитетный узел именования (используется для IP-телефонии) малоупотребима RFC 3263, RFC 3403
NULL Null record 10 Пустая запись редкоупотребима RFC 1035
NS Authoritative name server 2 Адрес узла, отвечающего за доменную зону. Критически важна для функционирования самой системы доменных имён DNS RFC 1035
NSAP Network service access point address 22 Указатели в стиле OSI редкоупотребима RFC 1706
NSAP-PTR NSAP pointer 23 Указатель на NSAP устарела RFC 1348
NSEC Next-Secure record 47 Часть DNSSEC — подтверждение отсутствие записи. Формат — как у NXT. DNSSEC RFC 4034
NSEC3 Next-Secure record 50 Расширение DNSSEC, подтверждающее отсутствие записи без возможности просмотра содержимого зоны DNSSEC RFC 5155
NSEC3PARAM NSEC3 parameters 51 Запись с параметрами для NSEC3. DNSSEC RFC 5155
NXT Next domain 30 Указатель на следующий домен подписанной зоны DNSSEC RFC 2065
PTR Domain name pointer 12 Реализует механизм переадресации широко используется для IPv4-адресов в домене in-addr.arpa, для IPv6 — в ip6.arpa RFC 1035
PX Pointer to X.400 ? Указатель на систему маршрутизации почты X.400 X.400 RFC 822, RFC 2163
RP Responsible person 17 Ответственный ? RFC 1183
RRSIG DNSSEC signature 46 Подпись записи средствами DNSSEC. Формат — как у SIG. DNSSEC RFC 4034
RT Route through 21 Указание на узел, через который следует осуществлять маршрутизацию малоупотребима RFC 1183
SIG Cryptographic public key signature 24 Сигнатура публичной подписи малоупотребима RFC 2931
SOA Start of authority 6 Указание на авторитетность информации, используется для указания на новую зону DNS RFC 1035
SPF Sender Policy Framework 99 Указывает сервера, которые могут отправлять почту с данного домена Должна заменить spf запись, которая размещается в TXT RFC 4408
SRV Server selection 33 Указание на местоположение серверов для сервисов Jabber, Active Directory RFC 2782
TKEY Transaction key 249 Метод распространения ключей для TSIG-записей ? RFC 2930
TLSA Certificate association 52 Ресурсная запись DANE ? RFC 6698
TSIG Transaction signature 250 Идентификация для DNS-операций с использованием общих секретных ключей и хэшей при передаче зон между DNS-серверами RFC 2845
TXT Text string 16 Запись произвольных двоичных данных, до 255 байт в размере Sender Policy Framework (устарело), DNS-туннели RFC 1035
WKS Well-known service 11 Список доступных общеизвестных сервисов (общеизвестные — с регистрированными номерами портов) ? RFC 1035
X25 PSDN address 19 Адрес в формате X.25 редкоупотребима RFC 1183

Установка предварительного сброса воды, Дожимная насосная станция

Установки предварительного сброса пластовой воды, технологическая схема. Дожимные насосные станции. Состав дожимных насосных станций.

Установка предварительного сброса воды УПСВ (рис.1) предназначена для отделения от нефти воды и попутного газа. УПСВ состоит из следующих комплексов оборудования:

  • Узел сепарации;
  • Резервуарный парк;
  • Насосный блок (УПСВ может быть оборудовано несколькими насосными блоками).

Узел сепарации может иметь несколько ступеней сепарации с применением различного типа оборудования (НГС, ГС, УБС, ОГ, РК, УСТН).

Резервуарный парк состоит из одного или нескольких резервуаров, вместимостью от нескольких сотен до десятков тысяч м3 жидкости. В основном употребляются вертикальные стальные резервуары РВС. Для предотвращения разлива жидкости из РВС они должны быть обвалованы.

Насосный блок может содержать как нефтяные, так и водяные насосы разных типов (плунжерные, центробежные, шестеренчатые и т.д.). Наибольшее распространение получили центробежные насосы типа ЦНС. При сравнительно небольших габаритах они обеспечивают высокую производительность и напор жидкости, а при необходимости параметры работы регулируются за счет уменьшения или увеличения рабочих колес.

Рассмотрим принцип работы УПСВ на стандартной схеме.

Продукция скважин нефть, газ и вода с кустовых замерных установок АГЗУ типа «Спутник» поступает на узел сепарации газа в нефтегазовый сепаратор НГС. На вход НГС подается демульгатор посредством дозировочного насоса, расположенного в блоке реагентного хозяйства БРХ. Расход химреагента производится согласно утвержденным нормам.

В НГС осуществляется сепарация нефти от газа. Затем отсепарированный газ с НГС поступает в газосепаратор ГС, а жидкость, через расширительную камеру РК поступает в УСТН для окончательного отделения от газа.

Уровень в НГС контролируется прибором РУПШ и регулируется с помощью регулировочного клапана УЭРВ, установленного на выходе с НГС. Управление УЭРВ осуществляется в ручном или автоматическом режиме с помощью блока управления, выведенного на щит КИПиА в операторной УПСВ.

Для предотвращения превышения давления в НГС, ГС, УСТН свыше допустимого они оборудованы предохранительными клапанами СППК.

В ГС происходит первичная осушка газа, после чего он проходит через установки окончательной осушки ГСВ и поступает потребителю или на ГКС. Для предотвращения замерзания газопроводов на выход из ГС дозировочным насосом подается метанол. Расход метанола производится согласно утвержденным нормам.

После УСТН отделенная от газа жидкость поступает в резервуар РВС, где происходит отделение нефти от подтоварной воды. Подтоварная вода под давлением столба жидкости с РВС поступает через узел учета воды в водонасосную или на БКНС. Уровень жидкости в РВС контролируется прибором ВК-1200 и регулируется УЭРВ. Блоки управления, световой и звуковой сигнализации УЭРВ и ВК-1200 выведены на щит КИПиА.

Нефть с РВС под давлением столба жидкости поступает на прием нефтяных насосов ЦНС. На приеме ЦНС установлены сетчатые фильтры, предотвращающие попадание в насосы различных мех. примесей.

Для контроля за работой насосов ЦНС они оборудуются следующими приборами:

  • датчиками температуры подшипников;
  • электроконтактными манометрами ЭКМ для контроля за давлением на приеме и выкиде насосов;
  • приборами контроля за состоянием газо-воздушной смеси в помещении с включением принудительной вентиляции, звуковой и световой сигнализации на щите КИПиА в операторной УПСВ при превышении ПДК.

Показания всех приборов выводятся на щит КИПиА. Для удобства обслуживания УПСВ контроль за работой насосов можно осуществлять как в помещении нефтенасосной, так и в операторной УПСВ. Параметры работы насосов могут регулироваться как в ручном, так и в автоматическом режиме.

Для предотвращения движения жидкости через насосы в обратную сторону на выкиде насосов установлены обратные клапана КОП и задвижки с электроприводом. В случае отклонения параметров работы насосов от режимных происходит автоматическое отключение насосов, срабатывает звуковая и световая сигнализация, и электроприводные задвижки на выкиде закрываются.

Электродвигатели насосов также снабжены датчиками температуры подшипников.

НГС Нефтегазосепаратор

ГС Газовый сепаратор

ГСВ Газовый сепаратор вертикального типа

РВС Резервуар вертикальный стальной

УСТН Установка сепарационная трубная наклонная

РК Расширительная камера

С выкидной линии насосов нефть через фильтры поступает на узел учета нефти. Для учета откачиваемой жидкости узел учета нефти оборудуется счетчиками » Норд «. Датчики показаний “Норд” выведены на щит КИПиА. После узла учета нефть по напорному нефтепроводу поступает на ЦППН.

Характеристика реагентов

На УПСВ применяются следующие реагенты: ингибиторы коррозии, реагенты-деэмульгаторы. Для предотвращения образования гидратных пробок в сборный газопровод подается метанол. Ингибиторы коррозии, подаваемые в систему сбора нефти для защиты трубопроводов от коррозии, не должны ухудшать реологических свойств, как исходных эмульсий, так и эмульсий, обработанных деэмульгаторами, а также не должны отрицательно влиять на процесс подготовки нефти. То есть ингибиторы должны быть совместимы с применяемыми деэмульгаторами. На установке применяются ингибиторы коррозии типа “Коррексит” 1106А и 6350, “Сипакор”. Для улучшения процесса предварительного обезвоживания нефти применяются деэмульгаторы “Сепарол”WF — 41, “Сепарол” ES–3344, “Диссолван” 2830, 3408 и другие, аналогичные по характеристикам.

Дожимная насосная станция

Дожимные насосные станции (ДНС) Рис.1. применяются в тех случаях, если на месторождениях (группе месторождений) пластовой энергии недостаточно для транспортировки нефтегазовой смеси до УПСВ или ЦППН. Обычно ДНС применяются на отдаленных месторождениях.

Дожимные насосные станции предназначены для сепарации нефти от газа, очистки газа от капельной жидкости, дальнейшего отдельного транспортирования нефти центробежными насосами, а газа под давлением сепарации. В зависимости от пропускной способности по жидкости существует несколько типов ДНС.

Дожимная насосная станция состоит из следующих блоков:

  • буферной емкости;
  • сбора и откачки утечек нефти;
  • насосного блока;
  • свечи аварийного сброса газа.

Все блоки ДНС унифицированы. В качестве буферной емкости применяются горизонтальные нефтегазовые сепараторы (НГС) объемом 50 м3 и более. ДНС имеет резервную буферную емкость и насосный агрегат. Технологической схемой ДНС буферные емкости предназначены для:

  • приема нефти в целях обеспечения равномерного поступления нефти к приему перекачивающих насосов;
  • сепарации нефти от газа;
  • поддержания постоянного подпора порядка 0,3 — 0,6 МПа на приеме насосов.

Для создания спокойного зеркала жидкости внутренняя плоскость буферной емкости оборудуется решетчатыми поперечными перегородками. Газ из буферных емкостей отводится в газосборный коллектор.

Насосный блок включает в себя несколько насосов, систему вентиляции, систему сбора утечек жидкости, систему контроля технологических параметров и систему отопления. Каждый насос имеет электродвигатель. Система контроля технологических параметров оборудуется вторичными датчиками, с выводом показаний приборов на пульт управления в операторной ДНС. В насосном блоке предусмотрено несколько систем защит при отклонении параметров работы насосов от режимных:

  1. Автоматическое отключение насосов при аварийном снижении или увеличении давления в нагнетательной линии. Контроль осуществляется с помощью электроконтактных манометров.
  2. Автоматическое отключение насосов при аварийном увеличении температуры подшипников насосов или электродвигателей. Контроль осуществляется с помощью датчиков температуры.
  3. Автоматическое перекрытие задвижек на выкиде насосов в случае их отключения.
  4. Автоматическое включение вытяжной вентиляции при превышении предельно допустимой концентрации газа в насосном помещении, при этом насосы должны автоматически отключаться.

Блок сбора и откачки утечек состоит из дренажной емкости объемом 4 – 12 м3, оборудованной насосом НВ 50/50 с электродвигателем. Этот блок служит для сбора утечек от сальников насосов и от предохранительных клапанов буферных емкостей. Откачка жидкости из дренажной емкости осуществляется на прием основных технологических насосов. Уровень в емкости контролируется с помощью поплавковых датчиков, в зависимости от заданного верхнего и нижнего уровней.

Принцип работы ДНС

Нефть от групповых замерных установок поступает в буферные емкости, сепарируется. Затем нефть подается на прием рабочих насосов и далее в нефтепровод. Отсепарированный газ под давлением до 0,6 МПа через узел регулировки давления поступает в промысловый газосборный коллектор. По газосборному коллектору газ поступает на газокомпрессорную станцию или на газоперерабатывающий завод (ГПЗ). Расход газа замеряется камерной диафрагмой, устанавливаемой на общей газовой линии. Уровень нефти в буферных емкостях поддерживается при помощи поплавкового уровнемера и электроприводной задвижки, расположенной на напорном нефтепроводе. При превышении максимально допустимого уровня жидкости в НГС датчик уровнемера передает сигнал на устройство управления электроприводной задвижки, она открывается, и уровень в НГС снижается. При снижении уровня ниже минимально допустимого электроприводная задвижка закрывается, обеспечивая тем самым увеличение уровня жидкости в НГС. Для равномерного распределения нефти и давления буферные емкости соединены между собой перепускной линией.

На каждой ДНС должны находиться технологическая схема и регламент работы, утвержденные техническим руководителем предприятия. Согласно этим нормативным документам производится контроль над режимом работы ДНС.

Расшифровка SSL

в интеллектуальном прокси-сервере — Cisco Umbrella

Расшифровка SSL — важная часть интеллектуального прокси-сервера Umbrella. В этой статье рассказывается, как это работает и каковы требования для его реализации.

Обзор

Эта функция позволяет интеллектуальному прокси-серверу не ограничиваться простой проверкой обычных URL-адресов, а фактически прокси-сервером и проверять трафик, отправляемый по HTTPS. Функция расшифровки SSL требует установки корневого сертификата, как описано ниже.

Требования и реализация

Хотя проксировать будут только сайты SSL из нашего «серого» списка, требуется, чтобы корневой сертификат был установлен на компьютерах, которые в своей политике используют расшифровку SSL для интеллектуального прокси. Сайты в нашем «сером» списке могут включать популярные сайты, такие как службы обмена файлами, которые потенциально могут размещать вредоносные программы по определенным конкретным URL-адресам, в то время как подавляющее большинство остальной части сайта совершенно безвредно, поэтому ваши пользователи будут переходить на некоторые прокси-серверы. сайты, даже если они действуют добросовестно.

  • Без корневого сертификата, когда ваши пользователи переходят к этой службе, они будут получать сообщения об ошибках в браузере, и сайт не будет доступен. Браузер правильно считает, что трафик перехватывается (и проксируется!) «Человеком посередине», которым в данном случае является наша служба. Трафик не будет расшифровываться и проверяться; вместо этого будет недоступен весь веб-сайт.
  • При установленном корневом сертификате ошибок не будет, и сайт будет доступен после проксирования и разрешения.Информацию об установке корневого сертификата в нескольких браузерах и платформах см. Здесь: https://docs.umbrella.com/product/umbrella/cisco-certificate-import-information/

Включение расшифровки SSL

Эта функция является частью интеллектуального прокси, поэтому сначала необходимо включить интеллектуальный прокси.

В нашем мастере политики эта функция включена в шаг 2 «Что должна делать эта политика?». Разверните «Расширенные настройки» и нажмите «Расшифровка SSL», чтобы включить функцию:

В существующей политике расшифровку SSL можно включить на странице сводки, щелкнув Дополнительные параметры:

Тестирование расшифровки SSL

После того, как вы развернули корневой центр сертификации Cisco на своих клиентских машинах и настроили эту функцию, вы захотите убедиться, что она работает.Мы создали следующий URL, чтобы вы могли это проверить:

https://ssl-proxy.opendnstest.com

Это приведет к странице с сообщением, был ли ваш запрос успешно проксирован или нет.

Что дешифруется и проксируется?

Некоторые решения, такие как решения для глубокой проверки пакетов на шлюзе сети, будут проверять весь проходящий через него трафик на детальном уровне для поиска информации, такой как строки вредоносного кода или конфиденциальной информации.Это * не * то, что делает расшифровка SSL для интеллектуального прокси, вместо этого это действительно просто интеллектуальный прокси для веб-сайтов SSL. Единственное, что проверяется, — это запрошенные URL-адреса и доменные имена, которые изначально считаются подозрительными и находятся в нашем «сером списке», и мы заблокируем URL-адреса HTTPS, если они будут признаны вредоносными в нашем наборе правил. Мы не записываем (и даже не рассматриваем) что-либо, кроме URL-адресов, потенциально вредоносных файлов (и контрольных сумм) и самих доменных имен.

Если проверка файлов включена, наш прокси также проверяет файлы, которые пытались загрузить с этих опасных сайтов, используя антивирусные (AV) механизмы и Cisco Advanced Malware Protection (AMP), обеспечивая комплексную защиту от вредоносных файлов. Включение расшифровки SSL вместе с проверкой файлов защищает от сайтов, использующих действительный HTTPS, но обслуживающих вредоносные файлы вместе с безобидными.

Объяснение шифрования DNS

Система доменных имен (DNS) — это адресная книга в Интернете.Когда вы посещаете cloudflare.com или любой другой сайт, ваш браузер запрашивает у распознавателя DNS IP-адрес, по которому можно найти этот сайт. К сожалению, эти DNS-запросы и ответы обычно не защищены. Шифрование DNS улучшит конфиденциальность и безопасность пользователей. В этом посте мы рассмотрим два механизма шифрования DNS, известные как DNS через TLS (DoT) и DNS через HTTPS (DoH), и объясним, как они работают.

Приложения, которые хотят преобразовать доменное имя в IP-адрес, обычно используют DNS.Обычно это не делается явно программистом, написавшим приложение. Вместо этого программист пишет что-то вроде fetch («https://example.com/news») и ожидает, что программная библиотека обработает перевод «example.com» в IP-адрес.

За кулисами программная библиотека отвечает за обнаружение внешнего рекурсивного преобразователя DNS и подключение к нему, а также за озвучивание протокола DNS (см. Рисунок ниже) для разрешения имени, запрошенного приложением.Выбор внешнего преобразователя DNS и обеспечение какой-либо конфиденциальности и безопасности не зависят от приложения. Это зависит от используемой библиотеки программного обеспечения и политик, предоставляемых операционной системой устройства, на котором запущено программное обеспечение.

Обзор запроса и ответа DNS

Внешний преобразователь DNS

Операционная система обычно узнает адрес преобразователя из локальной сети с помощью протокола динамической конфигурации хоста (DHCP). В домашних и мобильных сетях обычно используется преобразователь от поставщика услуг Интернета (ISP).В корпоративных сетях выбранный преобразователь обычно контролируется сетевым администратором. При желании пользователи, контролирующие свои устройства, могут переопределить преобразователь с помощью определенного адреса, такого как адрес общедоступного преобразователя, такого как 8.8.8.8 от Google или 1.1.1.1 от Cloudflare, но большинство пользователей, скорее всего, не будут беспокоиться об изменении его при подключении к общественная точка доступа Wi-Fi в кафе или аэропорту.

Выбор внешнего преобразователя напрямую влияет на работу конечного пользователя.Большинство пользователей не изменяют настройки своего преобразователя и, скорее всего, в конечном итоге будут использовать преобразователь DNS от своего сетевого провайдера. Наиболее очевидным наблюдаемым свойством является скорость и точность разрешения имен. Функции, улучшающие конфиденциальность или безопасность, могут быть не сразу видны, но помогут предотвратить профилирование или вмешательство других в вашу активность в браузере. Это особенно важно в общедоступных сетях Wi-Fi, где любой, кто находится в непосредственной близости, может захватывать и расшифровывать трафик беспроводной сети.

Незашифрованный DNS

С момента создания DNS в 1987 году он в основном был незашифрованным. Каждый, кто находится между вашим устройством и преобразователем, может отслеживать или даже изменять ваши запросы и ответы DNS. Это включает всех в вашей локальной сети Wi-Fi, вашего интернет-провайдера (ISP) и транзитных провайдеров. Это может повлиять на вашу конфиденциальность из-за раскрытия доменных имен, которые вы посещаете.

Что они видят? Что ж, рассмотрим этот захват сетевого пакета, полученный с портативного компьютера, подключенного к домашней сети:

Можно сделать следующие наблюдения:

  • Порт источника UDP — 53, который является стандартным номером порта для незашифрованного DNS.Таким образом, полезная нагрузка UDP, скорее всего, будет ответом DNS.
  • Это говорит о том, что исходный IP-адрес 192.168.2.254 является преобразователем DNS, а IP-адрес назначения 192.168.2.14 является DNS-клиентом.
  • Полезные данные UDP действительно могут быть проанализированы как ответ DNS и показывают, что пользователь пытался посетить twitter.com.
  • Если в будущем будут установлены подключения к 104.244.42.129 или 104.244.42.1, то, скорее всего, это трафик, который направляется на «twitter.com».
  • Если на этот IP-адрес поступает еще какой-то зашифрованный HTTPS-трафик, за которым следуют дополнительные DNS-запросы, это может указывать на то, что веб-браузер загрузил дополнительные ресурсы с этой страницы.Это потенциально может выявить страницы, которые пользователь просматривал во время посещения twitter.com.

Поскольку сообщения DNS не защищены, возможны другие атаки:

  • Запросы могут быть направлены на преобразователь, который выполняет перехват DNS. Например, в Великобритании Virgin Media и BT возвращают поддельный ответ для несуществующих доменов, перенаправляя пользователей на страницу поиска. Это перенаправление возможно, потому что компьютер / телефон слепо доверяет преобразователю DNS, который был объявлен с помощью DHCP маршрутизатором шлюза, предоставленным поставщиком Интернет-услуг.
  • Межсетевые экраны могут легко перехватывать, блокировать или изменять любой незашифрованный трафик DNS, основываясь только на номере порта. Стоит отметить, что проверка открытого текста не является серебряной пулей для достижения целей видимости, потому что преобразователь DNS можно обойти.

Шифрование DNS

Шифрование DNS значительно усложняет злоумышленникам поиск ваших DNS-сообщений или их повреждение при передаче. Так же, как Интернет перешел с незашифрованного HTTP на зашифрованный HTTPS, теперь есть обновления протокола DNS, которые шифруют сам DNS.Шифрование Интернета сделало возможным процветание частных и безопасных коммуникаций и коммерции. Шифрование DNS еще больше повысит конфиденциальность пользователей.

Существует два стандартизованных механизма для защиты транспорта DNS между вами и преобразователем: DNS через TLS (2016) и DNS-запросы через HTTPS (2018). Оба основаны на безопасности транспортного уровня (TLS), который также используется для защиты связи между вами и веб-сайтом с использованием HTTPS. В TLS сервер (будь то веб-сервер или преобразователь DNS) аутентифицирует себя для клиента (вашего устройства) с помощью сертификата.Это гарантирует, что никакая другая сторона не сможет олицетворять сервер (преобразователь).

При использовании DNS через TLS (DoT) исходное сообщение DNS напрямую встраивается в безопасный канал TLS. Со стороны нельзя ни узнать запрашиваемое имя, ни изменить его. Предполагаемое клиентское приложение сможет расшифровать TLS, это выглядит так:

В трассировке пакетов для незашифрованного DNS было ясно, что запрос DNS может быть отправлен напрямую клиентом, за которым следует ответ DNS от преобразователя.Однако в случае зашифрованного DoT перед отправкой зашифрованных сообщений DNS происходит обмен некоторыми сообщениями подтверждения TLS:

  • Клиент отправляет Client Hello, объявляя о своих поддерживаемых возможностях TLS.
  • Сервер отвечает сообщением Server Hello, соглашаясь с параметрами TLS, которые будут использоваться для защиты соединения. Сообщение сертификата содержит идентификатор сервера, в то время как сообщение проверки сертификата будет содержать цифровую подпись, которая может быть проверена клиентом с помощью сертификата сервера.Клиент обычно проверяет этот сертификат по своему локальному списку доверенных центров сертификации, но в спецификации DoT упоминаются альтернативные механизмы доверия, такие как закрепление открытого ключа.
  • После того, как подтверждение TLS завершено и клиентом, и сервером, они наконец могут начать обмен зашифрованными сообщениями.
  • Хотя приведенное выше изображение содержит один DNS-запрос и ответ, на практике безопасное соединение TLS останется открытым и будет повторно использоваться для будущих DNS-запросов.

Защита незашифрованных протоколов путем установки TLS поверх нового порта уже выполнялась:

  • Веб-трафик: HTTP (tcp / 80) -> HTTPS (tcp / 443)
  • Отправка электронной почты: SMTP (tcp / 25 ) -> SMTPS (tcp / 465)
  • Получение электронной почты: IMAP (tcp / 143) -> IMAPS (tcp / 993)
  • Теперь: DNS (tcp / 53 или udp / 53) -> DoT (tcp / 853)

Проблема с введением нового порта заключается в том, что существующие брандмауэры могут блокировать его.Либо потому, что они используют подход со списком разрешений, при котором новые службы должны быть явно включены, либо подход со списком блокировки, когда сетевой администратор явно блокирует службу. Если безопасный вариант (DoT) с меньшей вероятностью будет доступен, чем его небезопасный вариант, тогда у пользователей и приложений может возникнуть соблазн попытаться вернуться к незашифрованному DNS. Впоследствии это могло позволить злоумышленникам заставить пользователей использовать небезопасную версию.

Подобные резервные атаки не являются теоретическими. Удаление SSL ранее использовалось для перевода веб-сайтов с HTTPS на HTTP, что позволяло злоумышленникам красть пароли или взламывать учетные записи.

Другой подход, DNS-запросы через HTTPS (DoH), был разработан для поддержки двух основных вариантов использования:

  • Предотвратить указанную выше проблему, когда устройства по пути мешают работе DNS. Это включает проблему блокировки порта, описанную выше.
  • Разрешите веб-приложениям получать доступ к DNS через существующие API-интерфейсы браузера.
    DoH — это, по сути, HTTPS, тот же стандарт шифрования, который использует Интернет, и повторно использует тот же номер порта (tcp / 443). Веб-браузеры уже отказались от незащищенного HTTP в пользу HTTPS.Это делает HTTPS отличным выбором для безопасной передачи сообщений DNS. Пример такого запроса DoH можно найти здесь.
DoH: DNS-запрос и ответ, передаваемые через безопасный поток HTTPS

Некоторые пользователи были обеспокоены тем, что использование HTTPS может ослабить конфиденциальность из-за потенциального использования файлов cookie для целей отслеживания. Разработчики протокола DoH рассмотрели различные аспекты конфиденциальности и явно не рекомендовали использовать файлы cookie HTTP для предотвращения отслеживания, и эта рекомендация широко соблюдается.Возобновление сеанса TLS улучшает производительность рукопожатия TLS 1.2, но потенциально может использоваться для корреляции подключений TLS. К счастью, использование TLS 1.3 устраняет необходимость в возобновлении сеанса TLS, сокращая количество циклов приема-передачи по умолчанию, эффективно решая связанные с этим проблемы конфиденциальности.

Использование HTTPS означает, что улучшения протокола HTTP также могут принести пользу DoH. Например, разрабатываемый протокол HTTP / 3, построенный на основе QUIC, может предложить дополнительные улучшения производительности в случае потери пакетов из-за отсутствия блокировки начала линии.Это означает, что несколько запросов DNS могут быть отправлены одновременно по защищенному каналу, не блокируя друг друга при потере одного пакета.

Черновик DNS поверх QUIC (DNS / QUIC) также существует и похож на DoT, но без проблемы блокировки заголовка из-за использования QUIC. Однако и HTTP / 3, и DNS / QUIC требуют, чтобы был доступен порт UDP. Теоретически оба могут вернуться к DoH через HTTP / 2 и DoT соответственно.

Развертывание DoT и DoH

Поскольку и DoT, и DoH относительно новы, они еще не повсеместно развернуты.На стороне сервера его поддерживают основные общедоступные преобразователи, включая Cloudflare 1.1.1.1 и Google DNS. Однако многие резолверы ISP все еще не поддерживают его. Небольшой список общедоступных преобразователей, поддерживающих DoH, можно найти в источниках DNS-сервера, другой список общедоступных преобразователей, поддерживающих DoT и DoH, можно найти на открытых преобразователях конфиденциальности DNS.

Существует два метода включения DoT или DoH на устройствах конечных пользователей:

  • Добавить поддержку приложений, минуя службу резолвера в операционной системе.
  • Добавьте поддержку операционной системы, прозрачно обеспечивая поддержку приложений.

Обычно существует три режима конфигурации для DoT или DoH на стороне клиента:

  • Off: DNS не будет зашифрован.
  • Оппортунистический режим: попробуйте использовать безопасный транспорт для DNS, но вернитесь к незашифрованному DNS, если первый недоступен. Этот режим уязвим для атак на более раннюю версию, когда злоумышленник может заставить устройство использовать незашифрованный DNS. Он нацелен на обеспечение конфиденциальности, когда на пути нет активных злоумышленников.
  • Строгий режим: попробуйте использовать DNS через безопасный транспорт. Если недоступен, завершите работу и покажите пользователю ошибку.

Текущее состояние общесистемной конфигурации DNS через безопасный транспорт:

  • Android 9: поддерживает DoT через функцию «Частный DNS». Режимы:
    • По умолчанию используется оппортунистический режим («Автоматический»). Будет использоваться преобразователь из сетевых настроек (обычно DHCP).
    • Строгий режим можно настроить, задав явное имя хоста.IP-адрес не разрешен, имя хоста разрешается с помощью распознавателя по умолчанию, а также используется для проверки сертификата. (Соответствующий исходный код)
  • Пользователи
  • iOS и Android также могут установить приложение 1.1.1.1, чтобы включить поддержку DoH или DoT в строгом режиме. Внутри он использует программные интерфейсы VPN для включения перехвата незашифрованного трафика DNS перед его пересылкой по защищенному каналу.
  • Linux с systemd-resolved из systemd 239: DoT через параметр DNSOverTLS.
    • По умолчанию выключено.
    • Оппортунистический режим можно настроить, но проверка сертификата не выполняется.
    • Строгий режим доступен с systemd 243. Принимается любой сертификат, подписанный доверенным центром сертификации. Однако в бэкэнде GnuTLS нет проверки имени хоста, в то время как бэкэнд OpenSSL ожидает IP-адрес.
    • В любом случае индикация имени сервера (SNI) не отправляется. Имя сертификата не проверяется, что делает злоумышленника довольно тривиальным.
  • Linux, macOS и Windows могут использовать клиент DoH в строгом режиме. Команда cloudflared proxy-dns по умолчанию использует преобразователь DNS Cloudflare, но пользователи могут переопределить его с помощью параметра proxy-dns-upstream.

Веб-браузеры поддерживают DoH вместо DoT:

  • Firefox 62 поддерживает DoH и предоставляет несколько настроек надежного рекурсивного преобразователя (TRR). По умолчанию DoH отключен, но Mozilla проводит эксперимент по включению DoH для некоторых пользователей в США.В этом эксперименте в настоящее время используется преобразователь Cloudflare 1.1.1.1, поскольку мы являемся единственным поставщиком, который в настоящее время удовлетворяет строгой политике преобразователя, требуемой Mozilla. Поскольку многие преобразователи DNS по-прежнему не поддерживают зашифрованный транспорт DNS, подход Mozilla обеспечит защиту большего числа пользователей с помощью DoH.
    • При включении в ходе эксперимента или с помощью параметра «Включить DNS через HTTPS» в настройках сети Firefox будет использовать гибкий режим (network.trr.mode = 2 в about: config).
    • Строгий режим можно включить с помощью network.trr.mode = 3, но для этого необходимо указать явный IP-адрес преобразователя (например, network.trr.bootstrapAddress = 1.1.1.1).
    • Хотя Firefox игнорирует преобразователь по умолчанию из системы, его можно настроить с помощью альтернативных преобразователей. Кроме того, в корпоративных развертываниях, использующих преобразователь, не поддерживающий DoH, есть возможность отключить DoH.
  • Chrome 78 включает гибкую DoH, если адрес системного преобразователя совпадает с одним из жестко запрограммированных поставщиков DoH (изменение исходного кода).Этот эксперимент включен для всех платформ, кроме Linux и iOS, и по умолчанию исключает корпоративные развертывания.
  • Opera 65 добавляет возможность включить DoH через преобразователь Cloudflare 1.1.1.1. По умолчанию эта функция отключена. После включения он, похоже, использует оппортунистический режим: если 1.1.1.1:443 (без SNI) доступен, он будет использоваться. В противном случае он возвращается к распознавателю по умолчанию в незашифрованном виде.

На странице DNS over HTTPS из проекта curl есть полный список поставщиков DoH и дополнительных реализаций.

В качестве альтернативы шифрованию полного сетевого пути между устройством и внешним преобразователем DNS можно выбрать золотую середину: использовать незашифрованный DNS между устройствами и шлюзом локальной сети, но зашифровать весь трафик DNS между маршрутизатором шлюза и внешний преобразователь DNS. Если предположить, что проводная или беспроводная сеть безопасна, это защитит все устройства в локальной сети от слежки за Интернет-провайдером или других злоумышленников в Интернете. Поскольку общедоступные точки доступа Wi-Fi не считаются безопасными, такой подход не будет безопасным в открытых сетях Wi-Fi.Даже если он защищен паролем с помощью WPA2-PSK, другие пользователи все равно смогут отслеживать и изменять незашифрованный DNS.

Прочие соображения безопасности

В предыдущих разделах описывались безопасные транспорты DNS, DoH и DoT. Это только гарантирует, что ваш клиент получит неизмененный ответ от преобразователя DNS. Однако это не защищает клиента от того, что распознаватель вернет неправильный ответ (посредством перехвата DNS или атак с отравлением кэша DNS). «Истинный» ответ определяется владельцем домена или зоны, как сообщает полномочный сервер имен.DNSSEC позволяет клиентам проверять целостность возвращенного ответа DNS и обнаруживать любое несанкционированное вмешательство на пути между клиентом и официальным сервером имен.

Однако развертыванию DNSSEC препятствуют промежуточные ящики, которые неправильно пересылают сообщения DNS, и даже если информация доступна, преобразователи заглушек, используемые приложениями, могут даже не проверять результаты. Отчет за 2016 год показал, что только 26% пользователей используют разрешающие устройства, проверяющие DNSSEC.

DoH и DoT защищают транспорт между клиентом и общедоступным преобразователем.Общедоступному преобразователю может потребоваться обратиться к дополнительным авторитетным серверам имен, чтобы разрешить имя. Традиционно путь между любым преобразователем и официальным сервером имен использует незашифрованный DNS. Чтобы защитить и эти DNS-сообщения, мы провели эксперимент с Facebook, используя DoT между 1.1.1.1 и официальными серверами имен Facebook. Хотя настройка безопасного канала с использованием TLS увеличивает задержку, ее можно амортизировать по многим запросам.

Транспортное шифрование обеспечивает защиту результатов распознавания и метаданных.Например, информация о подсети клиента EDNS (ECS), включенная в запросы DNS, может раскрыть исходный адрес клиента, с которого был запущен запрос DNS. Скрытие этой информации по пути улучшает конфиденциальность. Это также предотвратит нарушение DNSSEC сломанными промежуточными серверами из-за проблем с пересылкой DNS.

Операционные проблемы с шифрованием DNS

Шифрование DNS может создавать проблемы для отдельных лиц или организаций, которые полагаются на мониторинг или изменение трафика DNS. Устройства безопасности, которые полагаются на пассивный мониторинг, отслеживают весь входящий и исходящий сетевой трафик на машине или на границе сети.На основе незашифрованных DNS-запросов они потенциально могут идентифицировать машины, например, зараженные вредоносным ПО. Если DNS-запрос зашифрован, решения для пассивного мониторинга не смогут отслеживать доменные имена.

Некоторые стороны ожидают, что распознаватели DNS будут применять фильтрацию содержимого для следующих целей:

  • Блокировка доменов, используемых для распространения вредоносного ПО.
  • Блокировка рекламы.
  • Выполняет фильтрацию родительского контроля, блокируя домены, связанные с контентом для взрослых.
  • Заблокируйте доступ к доменам, обслуживающим нелегальный контент, в соответствии с местным законодательством.
  • Предложите DNS с разделением горизонта для предоставления разных ответов в зависимости от исходной сети.

Преимущество блокировки доступа к доменам через преобразователь DNS состоит в том, что это можно сделать централизованно, без повторной реализации в каждом отдельном приложении. К сожалению, он тоже довольно грубый. Предположим, что на веб-сайте размещен контент для нескольких пользователей по адресу example.com/videos/for-kids/ и example.ru / videos / для взрослых /. Преобразователь DNS сможет видеть только «example.com» и может либо заблокировать его, либо нет. В этом случае элементы управления для конкретных приложений, такие как расширения браузера, были бы более эффективными, поскольку они действительно могут просматривать URL-адреса и выборочно предотвращать доступ к содержимому.

Мониторинг DNS не является исчерпывающим. Вредоносное ПО может пропускать DNS и жестко заданные IP-адреса или использовать альтернативные методы для запроса IP-адреса. Однако не все вредоносные программы настолько сложны, поэтому мониторинг DNS может служить инструментом глубокой защиты.

Все эти варианты использования непассивного мониторинга или блокировки DNS требуют поддержки со стороны преобразователя DNS. Развертывания, которые полагаются на гибкие обновления DoH / DoT текущего преобразователя, будут поддерживать тот же набор функций, который обычно предоставляется через незашифрованный DNS. К сожалению, это уязвимо для понижения, как упоминалось ранее. Чтобы решить эту проблему, системные администраторы могут указывать конечные точки на преобразователь DoH / DoT в строгом режиме. В идеале это делается с помощью безопасных решений для управления устройствами (MDM, групповая политика в Windows и т. Д.).).

Заключение

Одним из краеугольных камней Интернета является сопоставление имен с адресами с помощью DNS. DNS традиционно использует небезопасный незашифрованный транспорт. В прошлом интернет-провайдеры злоупотребляли этим для внедрения рекламы, но также вызывает утечку конфиденциальности. Любопытные посетители кофейни могут использовать незашифрованный DNS, чтобы отслеживать ваши действия. Все эти проблемы можно решить с помощью DNS через TLS (DoT) или DNS через HTTPS (DoH). Эти методы защиты пользователя относительно новы и находят все большее распространение.

С технической точки зрения DoH очень похож на HTTPS и следует общей отраслевой тенденции отказа от небезопасных опций. DoT — это более простой транспортный режим, чем DoH, поскольку уровень HTTP удален, но он также упрощает блокировку, преднамеренно или случайно.

Второстепенным для включения безопасного транспорта является выбор преобразователя DNS. Некоторые поставщики будут использовать локально настроенный преобразователь DNS, но попытаются модернизировать незашифрованный транспорт до более безопасного (DoT или DoH).К сожалению, преобразователь DNS обычно по умолчанию использует тот, который предоставляется интернет-провайдером, который может не поддерживать безопасный транспорт.

Mozilla использует другой подход. Вместо того, чтобы полагаться на локальные преобразователи, которые могут даже не поддерживать DoH, они позволяют пользователю явно выбрать преобразователь. Резольверы, рекомендованные Mozilla, должны соответствовать высоким стандартам защиты конфиденциальности пользователей. Чтобы гарантировать, что функции родительского контроля, основанные на DNS, остаются работоспособными, и для поддержки варианта использования с разделенным горизонтом, Mozilla добавила механизм, который позволяет частным преобразователям отключать DoH.

Транспортные протоколы DoT и DoH готовы к переходу на более безопасный Интернет. Как видно из предыдущих трассировок пакетов, эти протоколы аналогичны существующим механизмам защиты трафика приложений. После того, как эта дыра в безопасности и конфиденциальности будет закрыта, предстоит еще многое решить.

Безопасность DNS с DNSCrypt | OpenDNS

Знакомство с DNSCrypt

Предыстория: необходимость повышения безопасности DNS

DNS — один из основных строительных блоков Интернета.Он используется каждый раз, когда вы посещаете веб-сайт, отправляете электронное письмо, общаетесь в чате или делаете что-нибудь еще в Интернете. Хотя OpenDNS обеспечивает безопасность мирового класса с помощью DNS в течение многих лет, и OpenDNS — самый безопасный из доступных DNS-сервисов, базовый протокол DNS не был достаточно безопасным для нашего удобства. Многие вспомнят уязвимость Каминского, которая повлиял почти на все реализации DNS в мире (но не на OpenDNS).

Тем не менее, класс проблем, с которыми связана уязвимость Камински, был результатом некоторых основных основ протокола DNS, которые по своей сути слабые, особенно на «последней миле».«Последняя миля» это часть вашего интернет-соединения между вашим компьютером и вашим интернет-провайдером. DNSCrypt — это наш способ защитить «последнюю милю» DNS-трафика и решить (без каламбура) целый класс серьезных проблем безопасности, связанных с протоколом DNS. Поскольку подключение к Интернету в мире становится все более мобильным и все больше и больше людей подключаются к нескольким различным сетям Wi-Fi за один день, потребность в решении растет.

Было множество примеров взлома, атак типа «злоумышленник в середине» и отслеживания трафика DNS на «последней миле», и это представляет серьезную угрозу безопасности, которую мы всегда хотели исправить.Сегодня мы можем.

Почему DNSCrypt так важен

Точно так же, как SSL превращает веб-трафик HTTP в зашифрованный веб-трафик HTTPS, DNSCrypt превращает обычный трафик DNS в зашифрованный трафик DNS, который защищен от перехвата и атак типа «злоумышленник в середине». Не требует изменений в домене имен или того, как они работают, он просто предоставляет метод безопасного шифрования связи между нашими клиентами и нашими DNS-серверами в наших центрах обработки данных.Однако мы знаем, что сами по себе претензии не работают в сфере безопасности, поэтому мы открыли загрузите исходный код в нашу базу кода DNSCrypt, и он доступен на GitHub.

DNSCrypt потенциально может стать самым значительным достижением в области Интернет-безопасности после SSL, значительно улучшая онлайн-безопасность и конфиденциальность каждого отдельного пользователя Интернета.

Примечание. Ищете защиту от вредоносных программ, бот-сетей и фишинга для ноутбуков или устройств iOS? Проверьте мобильность Umbrella от OpenDNS.

Загрузить сейчас:

Загрузить DNSCrypt для Mac
Загрузить DNSCrypt для Windows

Часто задаваемые вопросы (FAQ):

1. Говоря простым языком, что такое DNSCrypt?

DNSCrypt — это легкое программное обеспечение, которое каждый должен использовать для повышения конфиденциальности и безопасности в Интернете. Он работает, шифруя весь DNS-трафик между пользователем и OpenDNS, предотвращая любой шпионаж, подделку или атаки типа «злоумышленник в середине».

2. Как я могу использовать DNSCrypt сегодня?

Мы открыли исходный код нашей базы кода DNSCrypt, и он доступен на GitHub. Графические интерфейсы больше не разрабатываются; однако сообщество с открытым исходным кодом по-прежнему предоставляет неофициальные обновления к техническому превью.

Советы:
Если у вас есть брандмауэр или другое промежуточное программное обеспечение, обрабатывающее ваши пакеты, вам следует попробовать включить DNSCrypt с TCP через порт 443.Это заставит большинство брандмауэров думать, что это HTTPS-трафик, и оставить его в покое.

Если вы предпочитаете надежность безопасности, включите возврат к небезопасному DNS. Если вы не можете связаться с нами, мы попытаемся использовать ваши назначенные DHCP или ранее настроенные DNS-серверы. Однако это угроза безопасности.

3. Что насчет DNSSEC? Устраняет ли это необходимость в DNSCrypt?

Нет. DNSCrypt и DNSSEC дополняют друг друга. DNSSEC выполняет ряд функций.Во-первых, он обеспечивает аутентификацию. (Это запись DNS, которую я получаю в ответ от владельца доменного имени, о котором я спрашиваю, или она была подделана с?) Во-вторых, DNSSEC обеспечивает цепочку доверия, которая помогает установить уверенность в том, что ответы, которые вы получаете, поддаются проверке. Но, к сожалению, DNSSEC на самом деле не обеспечивает шифрование записей DNS, даже если они подписаны DNSSEC. Даже если бы все в мире использовали DNSSEC, необходимость в шифровании всего DNS-трафика не исчезла бы.Более того, DNSSEC сегодня представляет собой почти нулевой процент от общего числа доменных имен и все меньший процент записей DNS каждый день по мере того, как Интернет растет.

Тем не менее, DNSSEC и DNSCrypt могут отлично работать вместе. Они никоим образом не противоречат друг другу. Думайте о DNSCrypt как об оболочке всего трафика DNS, а DNSSEC — как о способе подписания и обеспечения проверки для подмножества этих записей. Там — это преимущества DNSSEC, которые DNSCrypt не пытается решить.Фактически, мы надеемся, что внедрение DNSSEC будет расти, чтобы люди могли больше доверять всей инфраструктуре DNS, а не только связи между нашими клиентами и OpenDNS.

4. Используется ли SSL? Что такое криптовалюта и каков дизайн?

Мы не используем SSL. Хотя мы проводим аналогию с тем, что DNSCrypt похож на SSL в том смысле, что он обертывает весь трафик DNS с помощью шифрования так же, как SSL обертывает весь трафик HTTP, это не используемая криптографическая библиотека. Мы используем криптографию с эллиптическими кривыми, в частности, эллиптическая кривая Curve25519.Цели проектирования аналогичны целям, описанным в конструкции сервера пересылки DNSCurve.

Google делает шифрованный DNS общедоступным

По мере того, как все больше и больше веб-сайтов включают HTTPS, а сетевые коммуникации полагаются на криптографические протоколы, такие как Transport Layer Security, Интернет становится все более зашифрованным. За исключением одной важной части: системы доменных имен.

DNS действует как телефонная книга для Интернета и преобразует удобочитаемые доменные имена в фактический адрес машины (числовая строка для IPv4, буквенно-цифровая для IPv6), на которой размещается интересующий пользователя контент или приложение.Поскольку DNS-запросы обычно отправляются в виде открытого текста через UDP или TCP, субъект, управляющий DNS-сервером, может видеть все запросы — по сути, всю онлайн-активность пользователя. Для многих пользователей и организаций провайдер интернет-услуг предоставляет DNS, что означает, что интернет-провайдер может отслеживать, какие веб-сайты посещал пользователь, когда были посещения и какое устройство использовалось.

Шифрование DNS-трафика усложнит такой вид веб-наблюдения, поскольку интернет-провайдеры и другие DNS-провайдеры не смогут видеть, что пользователи делают в сети.Ряд технологических компаний работают над альтернативами отправке DNS-запросов через UDP и TCP. DNS через HTTPS, основанный на стандарте RFC 848 инженерной группы Интернета, принятом в октябре прошлого года, является, пожалуй, наиболее известным. Другой — DNS через TLS.

Существует несколько вариантов DNS через HTTPS, включая Cloudflare с его службой 1.1.1.1 и некоммерческой службой Quad9 9.9.9.9. Cisco OpenDNS предлагает зашифрованный DNS, а Mozilla работает над своими собственными усилиями для Firefox.На этой неделе Google объявил об общей доступности DNS через HTTPS для своей собственной общедоступной службы DNS 8.8.8.8.

«Сегодня мы объявляем об общей доступности нашей стандартной услуги DoH. Теперь наши пользователи могут разрешать DNS с помощью DoH в домене dns.google с теми же адресами anycast (например, 8.8.8.8), что и обычная служба DNS, с меньшей задержкой от наших пограничных точек доступа по всему миру », — написал менеджер по продуктам Google Маршалл Вейл и безопасность. инженер Александр Дюпюи.

Прямо сейчас, если правительства хотят видеть, где пользователи выходят в Интернет, они могут потребовать просмотреть записи провайдера.Фактически, в Соединенном Королевстве интернет-провайдеры обязаны отслеживать все сайты, которые граждане посетили за предыдущие 12 месяцев в соответствии с Законом о полномочиях расследователей (IPA) от 2016 года. Интернет-провайдерам также разрешено передавать данные третьим лицам в целях фильтрации контента и рекламы. Использование общедоступных служб DNS, таких как предоставляемая Google (8.8.8.8), означало обход интернет-провайдеров, но означало предоставление жаждущему данных поисковому гиганту доступа ко всем запросам DNS.

Зашифрованные запросы DNS просто отключают провайдера или злоумышленников, скрывающихся в сети.Поставщик DNS (скажем, Google или Cloudflare) по-прежнему может видеть DNS-запрос, поэтому существует компромисс между тем, кто будет видеть всю историю просмотров пользователя. Cloudflare, к его чести, пообещал хранить только 24 часа DNS-запросов, чтобы сократить объем собираемых данных.

Наряду с повышением конфиденциальности пользователей DNS через HTTPS снизит угрозу атак типа «злоумышленник в середине» на инфраструктуру DNS с помощью подмены DNS, перехвата DNS и отравления DNS. Передача DNS-запросов через зашифрованный HTTPS-туннель предотвратит перехват DNS-запросов для перенаправления пользователей на какой-либо другой сайт.

Расшифровать данные записи TXT DNS, найденные последним образцом LSDMiner

中文 Version : 逆向 解密 LSDMiner 新 样本 利用 DNS TXT 通道 传输 的 数据

1. Аннотация

Мой коллега прислал мне последний образец LSDMiner (MD5: 114d76b774185b826830cb6b015cb56f ) в середине октября. Я заметил модуль DNS TXT и DoH (DNS over HTTPS) с расшифровкой AES с помощью простого обратного инженерного анализа. Затем я перешел к чему-то другому без глубокого анализа.Я начал работать с этим образцом в последние несколько дней и обнаружил, что Anomali опубликовала в блоге сообщение об этом случае, выполнив поиск в Google с именем функции, используемым в образце, как NewAesCipher128 () :

Сообщение в блоге

Anomali : Актер незаконного майнинга Рок меняет тактику, теперь его трудно обнаружить

Но Anomali Labs не подробно описала процесс дешифрования данных записи DNS TXT, поэтому я пишу этот пост в блоге.

Этот образец по-прежнему написан на языке Go, как и его старая версия.Но архитектура кодирования и внутренняя функциональность сильно изменились, существенные различия суммируются, как показано ниже:

  • Перемещает вредоносный сценарий оболочки из Pastebin на собственные серверы CC ( * .systemten.org )
  • Объединяет несколько эксплойтов для ускорения и расширения распространения.
  • Транспортирует несколько видов вредоносных зашифрованных данных через запись DNS TXT:
    • URL-адрес загрузки последнего вредоносного сценария оболочки для задания Cron
    • Информация о версии Lastet
    • Последний скрипт вредоносной оболочки
    • Группа загрузки URL-адресов вредоносных бинарных файлов

Анализ основных аспектов этого злоумышленника может быть выполнен с помощью общих подходов к анализу угроз, о чем было рассказано в блоге Anomali.Я возьму 114d76b774185b826830cb6b015cb56f в качестве примера, чтобы описать детали расшифровки данных записи DNS TXT, полученных этим злоумышленником в этом посте.

2. Общий поток выполнения

Общий поток выполнения можно суммировать как 3 шага :

  1. Выполняет поиск записи DNS TXT с помощью DNS-запроса или DoH и расшифровывает данные с помощью AES128bit для извлечения вредоносного URL-адреса для задания Cron.
  2. Сканировать текущий блок IP /16 и взломать живые хосты с помощью 4 методов:
    • SSH brute
    • Redis Несанкционированный доступ
    • Jekins RCE CVE-2019-1003000 Эксплойт
    • ActiveMQ RCE CVE-2016-3088 Эксплойт
  3. Выпустить программу криптомайнинга и добиться стойкости на эксплуатируемых машинах

Между прочим, образец также будет искать записи DNS TXT, чтобы получить вредоносный сценарий оболочки и URL-адрес для загрузки двоичного файла на 3-м шаге.

Во-первых, давайте посмотрим на общий процесс поиска записи DNS TXT и подделки задания cron:

Мы видим, что образец ищет запись DNS TXT из cron.iap5u1rbety6vifaxsi9vovnc9jjay2l.com , а затем расшифровывает данные записи с помощью AES-128bit. Я просмотрел эту запись DNS TXT с помощью команды dig , как показано ниже:

Ответом на запрос DNS TXT является строка в кодировке Base64 A7PZtADnYAEMEArGhmA9xQihPq9TRz4QigssjeOmUnQ , коды в функции github_com_hippies_LSD_LSDC__AesCipher128_Decrypt отвечает за декодирование этой строки: 9

Принимая во внимание все вышеперечисленные факторы, мы можем прийти к выводу, что есть 3 шага для выполнения задачи дешифрования:

  1. Расшифровывает необработанную строку ответа TXT DNS с помощью Base64
  2. Инициализировать дескриптор дешифрования AES-128bit
  3. Расшифровывает двоичные байты, сгенерированные декодированием Base64 с помощью AES-128bit

3.Декодирование Base64

Теперь я использую команду base64 в Linux для декодирования необработанного ответа записи DNS TXT:

Немного странно, что декодирование не удалось. Так что я предполагаю, что он не закодирован стандартной кодировкой Base64 . Вот 2 пункта базовых знаний о кодировке Base64:

  1. Существует 2 типа кодировки для Base64: Standard Encoding и URL Encoding . Алфавит для стандартной кодировки: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789 + / и ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefgh12klv567r для URL-адреса .(см .: RFC4648)
  2. Два типа кодировки Base64 используют один и тот же символ заполнения по умолчанию, то есть = . Однако все они ничего не умели.

Эти 2 точки были показаны в документации Go для Base64:

Итак, 2 вида стилей заполнения и 2 типа кодирования, есть 4 типа подразделения кодировки Base64:

Тогда какую дозу кодирования Base64 LSDMiner использовать? Мы должны проверить, как инициализируется обработчик Base64 в этом примере.Как показано на скриншоте ниже, в примере реализована операция декодирования с помощью обработчика кодирования Base64 b64EncodingObj в функции github_com_hippies_LSD_LSDC__AesCipher128_Decrypt () .

И обработчик кодирования Base64 инициализируется в функции encoding_base64_init () , как демонстрируют внешние ссылки IDAPro. Вот подробности функции encoding_base64_init () :

Два ключевых момента :

  1. Образец передает алфавит URLEncodings функции base64.NewEncoding () , поэтому он использует кодировку base64 в стиле URLEncoding;
  2. Образцы передают -1 в функцию base64.URLEncoding.WithPadding () , также известную как base64.NoPadding , таким образом, base64.RawURLEncoding .

Теперь я могу расшифровать строку ответа записи DNS TXT с помощью следующих тестовых кодов:

4. Декодирование AES

Мы знаем, что образец будет расшифровывать эти двоичные данные с помощью AES-128bit, декодированного с помощью кодирования Base64, как указано выше.Затем мы должны сначала прояснить 4 пункта, чтобы правильно использовать алгоритм AES:

  • Ключ AES
  • Вектор инициализации AES (IV)
  • Режим шифрования (CBC / ECB и т. Д.)
  • Метод заполнения

Согласно приведенному выше анализу, мы можем заметить, что образец вызывает функцию, связанную с расшифровкой AES, с именем crypto_cipher_NewCBCDecrypter () , поэтому мы можем подтвердить, что режим шифрования AES — CBC) .

Теперь мы подтверждаем остальные 3 пункта, анализируя функцию NewAesCipher128 () , которая инициализирует обработчик дешифрования AES, и AesCipher128_Decrypt () , выполняющую операцию дешифрования.

4.1 функция NewAesCipher128 ()

Во-первых, эта функция передается аргументу, который представляет собой строку имени домена, в которой будет выполняться поиск записи DNS TXT. Строка доменного имени для вредоносного задания cron: cron.iap5u1rbety6vifaxsi9vovnc9jjay2l.com :

Затем эта функция инициализирует обработчик дайджеста crypto / md5 , мы можем подтвердить это, сравнив стандартную функцию библиотеки Go crypto_md5_New () в правой части скриншота ниже:

И строка доменного имени будет преобразована в байтовый срез и записана в обработчик дайджеста MD5 , затем образец выполняет 1-й раунд вычисления хэша MD5 с md5.degets.Sum (ноль) :

Когда вычисляется значение хеш-функции MD5 в первом раунде, оно будет преобразовано в 32-байтовую строку с помощью hex.EncodeToString () , это обычная строка хеш-функции MD5. И эта строка значений MD5 разрезана на две половины, первая половина (16 байтов) будет сохранена в переменной, которую я называю r1HashStr_16bytes :

Следующим шагом является 2-й раунд вычисления хэша MD5, также вызывая md5.degets.Sum (nil) без записи каких-либо байтов в дайджест MD5 .Это второе значение хэша MD5 также будет разрезано на две половины, но на этот раз вторая половина будет сохранена в другой переменной, которую я назвал r2HashStr_16bytes .

Наконец, мы увидим, что r1HashStr_16bytes передается в функцию aes.NewCipher () как ключ AES, чтобы инициализировать обработчик дешифрования AES:

И r2HashStr_16bytes будет возвращено этой функцией и передано более поздней функции AesCipher128_Decrypt () . AesCipher128_Decrypt () вызовет crypto_cipher_NewCBCDecrypter () , с этим r2HashStr_16bytes как AES IV.

4.2 Метод заполнения AES

После анализа режима шифрования AES, ключа AES и AES IV у нас осталась последняя ключевая точка для правильного дешифрования записи TXT DNS, это метод заполнения ) .

И мы можем подтвердить, что в этом примере используется простой ZeroPadding из функции AesCipher128_Decrypt () , потому что он вызывает байт.Trim () после расшифровки данных:

4.3 Дополнительная спецификация — 2 раунда вычисления хэша MD5

Как отмечалось выше, образец требует 2 раунда операции вычисления MD5 , чтобы отдельно сгенерировать ключ AES и AES IV. Сообщение в блоге Anomali также упоминает этот процесс. Но есть неожиданная проблема из-за стандартной функции MD5 Sum () языка программирования Go: два хеш-значения MD5 двух раундов вычислений равны.

Я показываю эту проблему по куску кодов:

Я не уверен в этом, но было ли это намеренно или просто из-за неправильного понимания автором вредоносной программы библиотеки Go crypto / md5.Но на самом деле это может сбить с толку исследователя вредоносных программ, который рассмотрит два разных значения хэша MD5 при двух раундах вычислений.

5. Полная расшифровка

На основе приведенного выше анализа мы могли бы написать код для завершения работы по расшифровке. Моя программа Go загружена на Github:

https://github.com/0xjiayu/LSDMiner_DNS_TXT_Decrypt

А вот и витрина :

Текущий расшифрованный текст представляет собой строку доменного имени: lsd.systemten.org , что также является значением по умолчанию, если образец не смог найти запись DNS TXT или не смог расшифровать эти данные:

6. Заключение

Снимок экрана в заголовке этого сообщения в блоге показывает, что образец перейдет в другую ветку кода, чтобы получить запись TXT DNS с DNS-сервера CloudFlare через DoH (DNS через HTTPS), когда net.LookupTXT () не смогли.

Мы можем подтвердить, что этот метод также работает правильно:

Это сделает этот ботнет более надежным и гибким с помощью зашифрованной записи DNS TXT и DoH.Принимая во внимание тот факт, что ботнет существует уже давно и постоянно обновляется, я считаю, что он должен привлечь внимание сообщества.

Я упоминал выше, что образец передает другие виды вредоносных зашифрованных данных через запись DNS TXT, за исключением вредоносного URL-адреса cron. Процесс поиска записи DNS TXT, декодирования данных с помощью Base64 и дешифрования данных с помощью AES-128bit — все одинаково. Есть еще доменные имена, и все они были охвачены моей программой Go, загруженной на Github раньше:

 

1

2

3

4

5

6

7

8

 

"обновить.iap5u1rbety6vifaxsi9vovnc9jjay2l.com»

"shell.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"1x32.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"2x32.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"3x32.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"1x64.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"2x64.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

"3x64.iap5u1rbety6vifaxsi9vovnc9jjay2l.com"

DM двоичный файл. Наконец, я бы добавил больше подробностей о семействе вредоносных файлов LSoud Pack в этот пакет вредоносных файлов.Почти все его двоичные файлы упакованы некорректным упаковщиком UPX Packer, и особенности упаковщика не настолько отличительны, чтобы легко вводить правила обнаружения. К тому же это магическое число упаковщика всегда менялось. Например, образец, который я анализирую в этом сообщении в блоге (MD5: 114d76b774185b826830cb6b015cb56f ), упакован с Magic Number 0x2124922A , в то время как другой образец (MD5: 78e3582c42824f17aba17feefb87ea5f 11) упакован с Magic Number
F.

Выборочное дешифрование SSL — iboss

Обзор выборочного дешифрования HTTPS

Облако iboss имеет встроенные в платформу возможности глубокой проверки SSL и TLS. Доступны настраиваемые параметры выборочного дешифрования, позволяющие выбрать, какой зашифрованный трафик проверять, а какой оставить нетронутым. А поскольку облако iboss работает в облаке, достигается возможность дешифрования в больших масштабах. Облако iboss может мгновенно предоставить следующие преимущества:

  • Проверять зашифрованный трафик HTTPS, SSL и TLS, чтобы видеть ранее невидимый трафик и активность
  • Проверять содержимое на наличие вредоносных файлов и обратных вызовов Центра управления и контроля (CnC) ботнета для предотвращения вредоносных программ и быстрого устранения заражения
  • Повышение прозрачности действий, включая поисковые системы, для выявления пользователей с высоким и высоким уровнем риска с помощью подробных отчетов, включающих поисковые запросы и другие события с полным URL
  • Получите контроль над рискованным поведением на зашифрованных сайтах, включая предотвращение доступа к рискованному контенту и поисков, приводящих к рискованным результатам
  • Получите контроль и видимость на YouTube и других сайтах потокового видео, чтобы предотвратить опасный контент и уменьшить пропускную способность из-за непродуктивных действий
  • Выборочно выбирайте, что нужно расшифровать, из огромного количества критериев, включая расшифровку на основе домена, IP-адреса, категории и группы пользователей
  • Предотвратите потерю данных, проверяя файлы и контент, скрытые глубоко внутри зашифрованного HTTPS-трафика, который может направляться на сайты хранения, такие как DropBox и Box
  • Простое развертывание и реализация дешифрования SSL за секунды, поскольку все сложности автоматически решаются облачной платформой iboss

Проблемы, связанные с HTTPS и зашифрованным трафиком

Согласно прогнозам, в 2019 году зашифрованный трафик достигнет и превысит 75% всего веб-трафика.Переход на HTTPS необходим для обеспечения конфиденциальности и безопасности. Это создает различные проблемы, поскольку зашифрованный трафик препятствует надлежащей проверке на предмет злонамеренных передач и несоответствующих действий. Правила предписывают и налагают штрафы за ненадлежащую проверку и предотвращение доступа и передачи к контенту, нарушающему правила. Это включает проверку контента, связанного с инсайдерской торговлей в сфере финансов, на предмет соответствия SEC, PII и медицинских записей в области медицины на предмет соответствия HIPAA, а также контента для взрослых и насилия в образовании на предмет соответствия CIPA.Проверка зашифрованного трафика сопряжена с множеством проблем, которые ложатся тяжелым бременем на ИТ-персонал, отвечающий за обеспечение безопасности организации и ее пользователей:

  • Разработка решения для выполнения дешифрования может быть сложной задачей и требует экспертных знаний о передовых методах асимметричного шифрования, которые лежат в основе HTTPS
  • Развертывание дешифрования включает в себя реализацию стратегии доставки необходимых «корневых» сертификатов на устройства, что является сложным из-за различных типов используемых устройств.
  • Если дешифрование доступно в решении устройства веб-шлюза, нагрузка на устройства и прокси-серверы веб-шлюза увеличивается экспоненциально, когда дешифрование включено, что приводит к остановке сети
  • Стоимость приобретения и развертывания дополнительных устройств безопасности для дешифрования становится чрезвычайно дорогостоящей и неуправляемой, что приводит к потере ИТ-бюджетов
  • Необходимость расшифровывать трафик на устройствах, принадлежащих организации, в то время как пользователи являются мобильными, что усложняет реализацию, поскольку пользователи находятся за пределами периметра сети
  • Необходимость выборочного дешифрования становится очень сложной задачей, поскольку некоторый трафик, например доверенные банковские сайты, не нужно проверять
  • Без проверки зашифрованного HTTPS-трафика организация с каждым днем ​​становится все более слепой к Интернет-трафику, содержащему злонамеренные и несоответствующие передачи, что приводит к неспособности контролировать передачу и ухудшению видимости в инструментах отчетности

Облако iboss решает проблему дешифрования HTTPS

Облако iboss было разработано с учетом требований современного Интернета и включает в себя все функции, необходимые для проверки и управления зашифрованным трафиком HTTPS.Облако iboss может легко решить эти проблемы, поскольку оно абстрагирует все трудности, связанные с реализацией дешифрования HTTPS, так что ИТ-администраторы могут сосредоточиться на защите пользователей.

Повышение прозрачности и контроля за зашифрованным трафиком HTTPS

Облако iboss будет проверять все содержимое передачи HTTPS, включая файлы, заголовки и полные URL-адреса, чтобы обеспечить надлежащую видимость и контроль. ИТ-администраторы получают возможности проверки, необходимые для ранее скрытого трафика, чтобы обеспечить соблюдение действующих правил безопасности и снизить риск.Также создаются подробные журналы событий, обеспечивающие необходимую видимость действий пользователя и передач, созданных из зашифрованных передач.

Проверять зашифрованные передачи на наличие вредоносных программ и инфекций

Количество вредоносных программ, передаваемых по зашифрованным каналам HTTPS, увеличивается с каждым днем. Что еще хуже, зараженные устройства используют зашифрованный HTTPS для звонков домой в центры управления и контроля с угрожающей скоростью. Облако iboss расшифровывает трафик HTTPS и гарантирует, что передаваемые файлы не содержат вредоносных программ.Кроме того, обмен данными, осуществляемый по протоколу HTTPS, проверяется, чтобы определить, связаны ли они с подключением к зараженному устройству, что позволяет блокировать обмен данными и предупреждать ИТ-персонал.

Повышение прозрачности действий пользователей в подробных отчетах

Большинство поисковых систем шифруют запросы и условия поиска на веб-сайтах HTTPS. Это затрудняет получение администраторами информации, необходимой для выявления рискованного и несоответствующего поведения, которое является обязательным для соблюдения.Облако iboss может легко проверять и извлекать необходимую информацию, чтобы администраторы получали необходимую информацию в отчетах, включая подробные и детализированные журналы URL-адресов, которые содержат полный URL-адрес и поисковые запросы, к которым осуществляется доступ. Облако iboss включает шумовые фильтры, позволяющие быстро выделять результаты поиска в популярных поисковых системах, таких как Google, для быстрого и удобного доступа к необходимой информации.

Получите контроль над зашифрованными облачными приложениями, включая сайты потокового видео

Облако iboss включает обширные средства управления CASB для проверки и применения политик к популярным сайтам и облачным приложениям.Сюда входят элементы управления для YouTube и других потоковых сайтов, которые выполняют передачу через зашифрованные HTTP-соединения. Благодаря возможности проверять и контролировать зашифрованный трафик HTTPS, можно применять политики, которые уменьшают ненужную трату полосы пропускания и повышают производительность, одновременно снижая поведение с высокой степенью риска, которое может подвергнуть риску организацию и ее пользователей.

Выборочно расшифровать HTTPS

Облако iboss обладает расширенными функциями дешифрования HTTPS, включая гибкость, необходимую для определения того, что расшифровывается, а что остается нетронутым.Администраторы могут выбрать расшифровку на основе множества критериев, включая веб-сайт, IP-адрес, категорию и членство в группе пользователей. Облако iboss будет автоматически использовать свои обширные сигнатуры и базы данных, чтобы определить, какой трафик должен быть пропущен без изменений, на основе настроенных правил. Это позволяет применять меры безопасности, но не трогать высоконадежные и конфиденциальные приложения.

Предотвращение потери данных, скрытой в зашифрованном трафике

Облако iboss может проверять полные файлы, включая Zip-архивы и сжатые архивы, на предмет PII и другой конфиденциальной информации.Сочетание этой возможности с возможностью дешифровать и проверять HTTPS позволяет получить мощную комбинацию, которая предотвращает ненужную потерю данных и значительно снижает организационные риски.

Простое развертывание проверки и дешифрования HTTPS

Облако iboss упрощает внедрение и развертывание дешифрования и проверки HTTPS. Облачные соединители iboss автоматически настраивают конечные точки со всеми необходимыми параметрами, необходимыми для выполнения дешифрования, включая установку необходимого корневого сертификата доверенного ЦС HTTPS, который обычно устанавливается вручную.Кроме того, облачный масштаб iboss Cloud позволяет расшифровывать любой объем без снижения производительности или необходимости развертывания дополнительных устройств безопасности. Это решает проблемы для любой организации, которая пыталась расшифровать только для того, чтобы обнаружить, что сеть полностью прервана, а существующие устройства перегружены. Облако iboss работает в облаке и может обрабатывать любой объем зашифрованного трафика, необходимый для получения контроля и прозрачности, необходимых ИТ-персоналу. Лучше всего то, что развертывание SSL-дешифрования в облаке iboss можно выполнить за секунды, а не за месяцы, что сэкономит ценное время и накладные расходы ИТ-специалистов.

Как это работает

Расшифровать HTTPS с помощью облака iboss быстро и легко:

  1. Получите активную облачную учетную запись iboss
  2. Подключайте пользователей к облаку iboss с помощью коннектора облака iboss. Коннектор обрабатывает все необходимое для настройки конечной точки для выполнения расшифровки SSL. Разъемы доступны практически для всех операционных систем, включая Windows, Mac, iOS и Chromebook
  3. .
  4. Включите расшифровку HTTPS в консоли администратора iboss Cloud.Выберите, следует ли расшифровывать все сайты или выборочно расшифровывать по категориям, группам и другим критериям
  5. Облачная платформа iboss берет на себя все остальное, а администраторы будут видеть подробные журналы трафика с сайтов HTTPS в журналах, а также смогут контролировать назначения HTTPS в Интернете.

Основные характеристики

Выборочная расшифровка по категориям

Облако iboss может динамически классифицировать доступ в Интернет по различным направлениям автоматически.Комбинируя эту возможность с расшифровкой HTTPS, администраторы могут выбирать, какие категории они хотели бы расшифровать или обойти, и облако iboss будет автоматически применять эти правила для каждого сайта в зависимости от категории сайта. Выборочное дешифрование на основе категорий также может применяться для каждой группы, чтобы обеспечить еще более детальный контроль над расшифрованным содержимым.

Убедитесь, что расшифровка SSL не прерывает работу Office 365

Просто включив поддержку Office 365 в облаке iboss, соединения с Office 365 никогда не будут прерваны, поскольку облако iboss привязано к Microsoft для изменения подписей, связанных с трафиком Office 365.Это гарантирует, что у пользователей будет лучший опыт работы с Office 365, и они будут работать максимально продуктивно.

Обход SSL-дешифрования доменом

Выборочный обход или дешифрование по домену. Это обеспечивает гибкость при необходимости обхода или дешифрования определенных целевых веб-сайтов, которые являются надежными и безопасными.

Стоимость

Возможности дешифрования SSL Связаться с нами

Возможности дешифрования SSL, включая бесконечное масштабирование и выборочное дешифрование, включены бесплатно в каждую облачную подписку iboss

Для получения дополнительной информации о расшифровке SSL в облаке iboss посетите https: // www.iboss.com/platform/inspect-encrypted-ssl-traffic.

Почему архитектура NIST с нулевым доверием больше не требует дешифрования

«Нулевое доверие (ZT) — это парадигма кибербезопасности, ориентированная на защиту ресурсов и предпосылку, что доверие никогда не предоставляется неявно, но должно постоянно оцениваться». — NIST

В прошлом году я писал о проекте публикации Национального института стандартов и технологий (NIST) по архитектуре Zero Trust (NIST SP 800-207) или ZTA.Мы также недавно рассмотрели причины, по которым обнаружение сети и ответ на нее (NDR) является важным компонентом NIST ZTA.

В связи с широким распространением зашифрованного трафика и приложений «программное обеспечение как услуга» (SaaS) и активов, не принадлежащих предприятию (например, услуги по контракту, которые используют корпоративную инфраструктуру для доступа в Интернет), решения для мониторинга, основанные на глубокой проверке пакетов (DPI ) будет изо всех сил пытаться оценить возможного злоумышленника в сети.

Но, как отмечает NIST, «это не означает, что предприятие не может анализировать зашифрованный трафик, который он видит в сети.Предприятие может собирать метаданные о зашифрованном трафике и использовать их для обнаружения активного злоумышленника или возможных вредоносных программ, обменивающихся данными в сети. Методы машинного обучения… могут использоваться для анализа трафика, который невозможно расшифровать и изучить ».

Не расшифровывать

Мы писали, что вам не нужно полагаться на расшифровку для обнаружения угроз, и почему расшифровка для проверки трафика является опрометчивым подходом. Фактически, мы долгое время призывали наших клиентов все зашифровать.

По сути, это сводится к нескольким ключевым моментам:

  • Расшифровывая пакеты, вы ничего не получаете. Как отмечает NIST, вся информация, необходимая для обнаружения угроз, может быть определена путем применения машинного обучения к самому трафику и метаданным.
  • Будет все труднее расшифровывать трафик и решения, которые на это полагаются. Внедрение TLS 1.3 и расширений безопасности, таких как закрепление открытого ключа HTTP (HPKP), строгая транспортная безопасность HTTP (HSTS), DNS через HTTPS (DoH) и указание зашифрованного имени сервера (ESNI), сделают проверку трафика более сложной по дизайну.
  • Вы никогда не сможете расшифровать трафик злоумышленников. Злоумышленники не используют ваши ключи шифрования и во многих случаях не проходят через ваши конечные точки, которые расшифровывают трафик посредника.
  • Существует также множество проблем, связанных с защитой и соответствием данных, связанными с расшифровкой данных для анализа и их хранения. Например, это может привести к сохранению PII или других конфиденциальных данных, таких как платежная карта или SSN.

Шифрование всего трафика в сети принципиально хорошо.Следовательно, для успешной реализации ZTA требуется современное решение NDR, которое может собирать метаданные о зашифрованном трафике и использовать машинное обучение для обнаружения вредоносных сообщений от вредоносных программ или злоумышленников в сети, не полагаясь на накладные расходы агентов.

Полная видимость

Vectra — единственный в США, соответствующий требованиям FIPS, отчет о недоставке в списке одобренных Министерством внутренней безопасности CDM продуктов, в которых используется искусственный интеллект. Наш ИИ включает в себя глубокое обучение и нейронные сети для обеспечения видимости в крупномасштабных инфраструктурах путем непрерывного мониторинга всего сетевого трафика, учетных записей, удостоверений, соответствующих журналов и облачных событий.

Каждое устройство с поддержкой IP в сети идентифицируется и отслеживается, расширяя доступ к серверам, ноутбукам, принтерам, собственным устройствам (BYOD) и устройствам Интернета вещей, а также ко всем операционным системам и приложениям.

Платформа Cognito от Vectra может обнаруживать сложные атаки, поскольку они происходят во всем трафике, от облачных / SaaS-приложений и рабочих нагрузок центров обработки данных до пользователей и устройств IoT. Мы делаем это, извлекая метаданные из всех пакетов и журналов, не требуя дешифрования — подробнее читайте в нашем техническом документе здесь.

Добавить комментарий

Ваш адрес email не будет опубликован.