DNS услуга
DNS Особености:
- децентрализиран контрол
- йерархично дърво домейн съхранение структура
- недвусмислени имена
- възможност за добавяне на нови домейни
DNS компоненти
Nameserver
Специален случай се счита Nameserver само за кеширане. В този случай, на този сървър не носи отговорност за каквито и да било зони и трябва да изпрати всички искания на следния Nameserver'a. За да направите това, има няколко стратегии:
делегация
Част от име на домейн, често са разположени на поддомейни със специално отговорен за това Nameserver'ami. Nameserver един домейн отговорен Nameserver'a знае тези поддомейни на своите данни зона и делегати изисква за тази подчинена част от име на домейн на този сървър.
В този случай, ако исканата име на домейн част е извън неговия собствен домейн, искането е препратено на конфигурируеми Nameserver'am.
първичен сървър
Структурата на базата данни на DNS
DNS може да се разбира като разпределена база данни с дървовидна структура. DNS данни са на места по целия свят, сървъри, които са синхронизирани помежду си с помощта на някои протоколи.
Всеки сървър магазина един или повече записи - така наречената зона - които съдържат всички необходими данни. С тези данни става дума за Ресурсни Records. Много голямо значение 7 типа Запис:
С новите типове записи, чрез които изпълняват DNS разширяване на базата данни са били открити във времето. Този процес все още не е завършена.
разширяване на DNS
Защото DNS базата данни се оказа надежден и гъвкав в редица значителни промени се проведе в продължение на няколко години. Край на тези промени все още не се вижда.
динамичен DNS
интернационализация
Encoding в имена на домейни е било ограничено до латинската азбука, като DNS (като Интернет като цяло) е разработен в САЩ. Въпреки това, към DNS не е проектиран много букви и символи, които обикновено се използват в други страни - например умлаут # 228;, # 246;, # 252; и # 223; в немскоговорящите страни или герои от всички други системи за писане (например китайски).
DNS в локалната мрежа
В големи фирми и компании често се среща смесена система, т.нар разделен DNS, състояща се от местни и интернет-DNS. Отдалечените потребители локално или външно работят с Интернет-DNS. На практика това може да доведе до някои трудности.
BIND DNS-сървър може да работи във връзка с DHCP и позволява на всеки клиент да работи с имена на домейн на мрежата.
За потребителите на Windows, има друга програма - WINS, която има същите характеристики като на BIND, но използва друг протокол.
DNS-сървър Съединение
DNS сигурност
DNS - е основният компонент на информация, свързана с технологичната инфраструктура на мрежата. Щети може да доведе до значителни разходи и нарушаване на оригиналните данни на DNS. През десетте години след първоначалните спецификации се добавят до функциите на DNS сигурност.
Известни от следните методи:
Когато TSIG (транзакция Подписи) ние говорим за просто на базата на симетричен ключ метод, при който трафикът между DNS-сървърите и подобрени версии на клиента е защитена.
Когато DNSSEC (DNS сигурност) се използва асиметрична криптосистема, който изпълнява почти всички защитни изисквания DNS. Заедно с сървъра връзка към сървъра се съхраняват също клиент-сървър комуникация.
форми атаки
Основната цел на DNS атаки е да се използва директно манипулиране на DNS грешка на уеб страницата на потребителя, само за да получите пароли, кодове, номера на кредитни карти и т.н. В редки случаи, те се опитват да забраните напълно Интернет-DNS чрез DOS атаки (т.е. атаки, което води до пълен отказ на услуга), и по този начин да парализира интернет. В допълнение, DNS може да се използва за засилване на целенасочени атаки срещу отделни лица или фирми.
DDOS атаки срещу Nameserver
Когато DDOS атака (Distributed-Denial-на-Service-Attack) DNS DNS-претоварен голям поток от заявки, така че легитимните искания не могат да бъдат изпълнени. В момента не съществува надеждна защита срещу DDOS атаки срещу Nameserver'y. Като предпазна мярка, можете да опитате да зададете размера на Nameserver'a или инсталиране разпределена мрежа от много сървъри. Във всеки случай, този тип атака изисква огромни инвестиции, тъй като трябва да се хване за тази мощна система, както на самия сървър, което е много трудно да се приложи. Често, когато такива атаки са използвани ботове.
Атака рекурсивни запитвания (DNS усилване Attack)
DNS-Измама
В тази атака на потребителя в отговор на искането се изпраща заедно с верен отговор фалшив ПР. заради това, което потребителят получава от грешната уеб-страницата.
Кеш отравяне
В отговор на молбата на потребител, в допълнение към правилния отговор манипулирани предава данни, че потребителят получава в кеша си и да използвате по-късно, може би неизпитана.
Open DNS-сървър
Допълнителна предпазна мярка - да се даде възможност за въвеждане отвън само UDP данни. ICCP ДП може да се направи. Въпреки това, този имот варира от пълномощник.