DNS под прессом. Атаки на DNS-сервер
Откройте ваш браузер, введите в строке адреса http://google.by/. Пред вами будет главная страница ресурса. В общем-то – обычное явления для подавляющего большинства юзеров. А теперь вопрос, а откуда это? На первый взгляд глупый – есть движок, есть БД, есть имэйджи на сервере – вот откуда. Но, вот каким образом браузер добирается до сервера. Откуда он знает, что именно на этом сервере лежит то, что необходимо юзеру? А знает он это благодаря DNS – domain name system, т.е. система доменных имен.
Дело в том, что при вводе вами доменного имени в строке браузера, последний делает запрос именно на DNS-сервер вашего провайдера, на котором хранятся списки соответствия «домен – ip-адрес». Сервер, получив доменный запрос, начинает искать его в списках. В случае обнаружения на соответствующий домену ip-адрес делается запрос, в результате которого пользователь и видит необходимую страницу/информацию.
Если же сервер не обладает информацией о введенным вами доменном имени, то запрос последовательно отправляется dns-серву на уровень выше и так до получения результата. Теперь, прикиньте в уме ущерб, который может быть причинен в результате атаки на такой сервер. Правильно, для этого необходимо знать, какие же атаки могут быть проведены на сервер такого типа. Вот этим вопросом сегодня и предлагаю заняться. Сегодня я разложу по полочкам три типа атаки на сервера DNS, типы самые популярные и, кроме того, несущие самый большой ущерб и неприятности владельцам пользователям, соответственно. Для того, чтобы избавить статью от сухости я предлагаю рассматривать типы атак на реальных примерах, которые имели место в мире ИТ.
Фундамент дал трещину
Начнем, пожалуй, с той атаки которая присутствует практически во всех списках сетевых атак =) Конечно же это DDoS, Denial of Service – атака, которая вызывает у жертвы состояние носящее название «отказ в обслуживании», отсюда и ее название. Не буду вдаваться в подробности ее реализации, т.к. писал об этом приличное количество раз на страницах КГ и не только. Поэтому, сразу приступлю к рассказу.
С первого взгляда, сеть Интернет, в отличии от других сетей, является неуязвимой в силу своей глобальности и, как следствие, разрозненности компонентов. Но это только на первый взгляд, т.к. в основе это сети лежат «платформенные компоненты», являющиеся началом и фундаментом. Следовательно, выведение из рабочего состояния этих компонентов сулит если не падением сети, то серьезными неприятностями – точно.
В системе доменных имен тоже есть такие вехи, которых тринадцать штук. Тринадцать DNS-серверов носят статус «Top Level Domain DNS». Они обладают самыми большими базами и являются началом всей системы. Десять из этих серверов находятся в Соединенных Штатах Америки. Во избежание физического воздействия на сервера их местоположение сохраняется в тайне, к сожалению. Я не могу сказать, насколько это есть «тайна». Но честно говоря – сильно-сильно сомневаюсь, что их локации не известны определенным людям из андерграунда.
в 23.45 21 октября 2002 года была произведена кратковременная атака на отказ в обслуживании, направленная на десять из тринадцати серверов топ левла. Атака продолжалась около часа. Максимальное превышение пропускной способности отдельного сервера, выявленное при наблюдении за атакой, оказалось равным 40, т.е. в 40 раз больше, чем мог обработать сервер. Естественно после такого инцидента вся общественность вопросительно смотрела на ФБР. Те же попытались выбраться из передряги