Главная страница

Магистрская работа Сетевые каталоги. Сетевые каталоги. Допущено до захисту


Скачать 2.19 Mb.
НазваниеДопущено до захисту
АнкорМагистрская работа Сетевые каталоги
Дата12.12.2022
Размер2.19 Mb.
Формат файлаdocx
Имя файлаСетевые каталоги.docx
ТипДокументы
#840536
страница5 из 13
1   2   3   4   5   6   7   8   9   ...   13

РОЗДIЛ 2 СИСТЕМА DNS

2.1 Загальні поняття


Система DNS відповідає за дозвіл числових ІР-адрес у символьні доменні імена [18]. Наприклад, сайту www.google.com відповідає ІР-адреса 172.217.22.14. У браузері можна ввести або символьне ім’я (www.google.com) або цю ІР-адресу. Машинам простіше працювати з числами, людині – із символьними іменами.

Розглянемо процес дозволу доменного імені в ІР-адресу. Коли ви вводите адресу вузла в браузер, браузер звертається до резолвера - це частина операційної системи, яка відповідає за дозвіл на доменні імена. Якщо доменне ім’я є в локальному кеші резолвера, він одразу повертає його браузеру. Браузер, отримавши ІР-адресу вузла, надсилає йому запит, наприклад, GET/ з метою отримання кореневої сторінки (яка зазвичай називається index.*).

Якщо в кеші резолвера немає доменного імені, тоді він звертається до DNS-сервера, який вказаний в налаштуваннях мережі або отриманий від DHCP-сервера під час автоматичного налаштування мережевого інтерфейсу. Як правило, це DNS сервер провайдера. Якщо в ньому буде потрібне доменне ім’я, він відправляє відповідну йому ІР-адресу резолверу. Якщо ж ні, тоді DNS-сервер звертається до DNS-сервера кореневого домену .com. Швидше за все, в його кеші буде потрібна ІР-адреса, якщо ж ні, тоді буде звернено до DNS-сервера доменуgoogle.com з метою отримати ІР-адресу вузла www. Отримана ІР-адреса буде по ланцюжку повернена вузлу, який запросив дозвіл доменного імені.

Схема дозволу доменного імені є рекурсивною, а наш запит – рекурсивним.

Існують різні види DNS-серверів. Навіть якщо у організації немає свого домену або віддається перевага, щоб делегуванням домену займався реєстратор або Інтернет-провайдер, все одно можна встановити кешуючий DNS-сервер. При цьому рекурсивними запитами займатимуться DNS-сервери провайдера, а серверу потрібно лише кешувати результати запитів – так прискориться швидкість дозволу доменних імен – сторінки почнуть відкриватися швидше. Навіщо потрібен кеш DNS-сервер, якщо в системі є кеш резолвера? У кеші резолвера знаходяться лише ті імена, до яких ви зверталися. У кеші DNS-сервера, що кешує, знаходяться всі імена, до яких зверталися всі користувачі вашої мережі. Отже, чим більше користувачів у вашій мережі, тим більшою буде ефективність кешуючого DNS-сервера [19].

Є і звичайний сервер DNS - він зберігає інформацію про вашу доменну зону. Також він називається первинним DNS-сервером. На допомогу первинному налаштовують вторинний DNS-сервер - він оброблятиме DNS-запити, коли первинному серверу стало «погано». Далі в цьому розділі буде показано, як налаштувати вторинний DNS-сервер.

Налаштування DNS-сервера почнемо з найпростішого варіанта – з кешуючого DNS-сервера.

Основна концепція того, як DNS виконує свою роботу, досить проста: кожна адреса веб-сайту, введена у веб-браузер (наприклад, Chrome, Safari або Firefox), надсилається на DNS-сервер, який розуміє, як зіставити це ім’я на належну IP-адресу. Це IP-адреса, яку пристрої використовують для взаємодії один з одним, оскільки вони не можуть передавати і не передають інформацію за допомогою імені типу www.google.com, www.youtube.com і т. д. Ми просто вводимо просту назву цих веб-сайтів, тоді як DNS робить для нас усі пошуки, надаючи нам майже миттєвий доступ до належних IP-адрес, необхідних для відкриття потрібних нам сторінок. Знову ж таки, www.microsoft.com, www.tebapit.com, www.amazon.com, і будь-яка інша назва веб-сайту використовується лише для нашої зручності, оскільки набагато легше запам’ятати ці імена, ніж запам’ятати їх IP-адреси. Кореневі сервери відповідають за збереження IP-адрес для кожного домену верхнього рівня. Коли запитується веб-сайт, це кореневий сервер, який спочатку обробляє цю інформацію, щоб визначити наступний крок у процесі пошуку. Потім доменне ім’я пересилається на вирішувач доменних імен (DNR), який знаходиться в межах Інтернет-провайдера, щоб визначити правильну IP-адресу. Нарешті, ця інформація надсилається назад на пристрій, у якого її вимагали.

Операційні системи, такі як Windows та інші, зберігатимуть IP-адреси та іншу інформацію про імена хостів локально, щоб отримати до них доступ швидше, ніж постійно звертаючись до DNS-сервера. Коли комп’ютер розуміє, що певне ім’я хосту є синонімом певної IP-адреси, цю інформацію можна зберігати або кешувати на пристрої. Запам’ятовувати інформацію про DNS корисно, але іноді вона може бути пошкодженою або застарілою. Зазвичай операційна система видаляє ці дані через певний проміжок часу, але якщо виникають проблеми з доступом до веб-сайту, і є підозра, що це пов’язано з проблемою DNS, першим кроком є ​​примусове видалення цієї інформації, щоб звільнити місце для нових, оновлені записи DNS. Можна просто перезавантажити комп’ютер, якщо виникли проблеми з DNS, оскільки кеш DNS не зберігається під час перезавантаження. Однак очищення кешу вручну замість перезавантаження відбувається набагато швидше. Можна очистити DNS в Windows через командний рядок за допомогою ipconfig / flushdns команди. Важливо пам’ятати, що залежно від того, як налаштований конкретний маршрутизатор, записи DNS також можуть зберігатися там. Якщо очищення кешу DNS на комп’ютері не вирішує проблему з DNS, слід спробувати перезапустити маршрутизатор, щоб очистити цей кеш DNS. Записи у файлі hosts не видаляються, коли кеш DNS очищається.

Враховуючи, що DNS відповідає за спрямування імен хостів на певні IP-адреси, очевидно, що це головна мета зловмисної діяльності. Хакери можуть перенаправити запит з нормально функціонуючого ресурс на той, який є пасткою для збору паролів або обслуговування шкідливих програм.

Отруєння DNS і підробка DNS – це терміни, що використовуються для опису атаки на кеш-пам’ять розв’язувача DNS з метою перенаправлення імені хосту на іншу IP-адресу, відмінну від тієї, що істинно присвоєна цьому імені хосту, ефективно переспрямовуючи туди, куди ви збиралися перейти. Зазвичай це робиться для того, щоб перейти на веб-сайт, який заповнений шкідливими файлами, або виконати фішинг-атаку, щоб змусити отримати доступ до схожого веб-сайту, щоб викрасти облікові дані для входу. Більшість служб DNS забезпечують захист від таких типів атак. Ще один спосіб для зловмисників вплинути на записи DNS – це використання файлу hosts. Файл hosts – це локально збережений файл, який використовувався замість DNS до того, як DNS насправді став широко розповсюдженим інструментом для розпізнавання імен хостів, але файл все ще існує у популярних операційних системах. Записи, що зберігаються у цьому файлі, замінюють налаштування сервера DNS, тому це загальна мета для зловмисного програмного забезпечення. Простий спосіб захистити файл hosts від редагування – позначити його як файл лише для читання. У Windows просто перейдіть до папки, в якій є файл hosts:% Systemdrive% Windows System32 drivers etc Клацніть правою кнопкою миші або натисніть та утримуйте, виберіть Властивості, а потім поставте галочку в полі біля Лише для читання атрибут.

Інтернет-провайдер, який зараз обслуговує доступ до Інтернету, призначив DNS-сервери для використання пристроями (якщо є підключення до DHCP). Інші сервери можуть надавати функції реєстрації для відстеження відвідуваних веб-сайтів, блокування реклами, фільтри для дорослих веб-сайтів та інші функції. Незалежно від того, використовує комп’ютер DHCP для отримання IP-адреси, чи використовує статичну IP-адресу, все одно можна визначити власні DNS-сервери. Явні налаштування сервера DNS мають перевагу над неявними параметрами зверху вниз. Іншими словами, це налаштування DNS, найближчі до пристрою, який використовує пристрій. Наприклад, якщо змінили налаштування DNS-сервера на своєму маршрутизаторі на щось конкретне, тоді всі пристрої, підключені до згаданого маршрутизатора, також використовуватимуть ці DNS-сервери. Однак якщо потім буде змінено налаштування DNS-сервера на ПК на щось інший, цей комп’ютер використовуватиме DNS-сервери, що відрізняються від усіх інших пристроїв, підключених до одного маршрутизатора. Це є причиною того, що пошкоджений кеш DNS на комп’ютері може перешкоджати завантаженню веб-сайтів, навіть якщо ті самі зазвичай відкриваються на іншому комп’ютері в одній мережі.
1   2   3   4   5   6   7   8   9   ...   13


написать администратору сайта