- •Типы адресов: физический (mac-адрес), сетевой (ip-адрес) и символьный (dns-имя)
- •Mac – адреса
- •Ip-адреса СтруктураIPадреса
- •КлассыIPадресов
- •Особенности интерпретацииIPадресов
- •Адрес обратной связи (loopback)
- •Сетевые и широковещательные адреса
- •Ограниченное широковещание
- •Интерпретация нуля как символа "это"
- •Групповая адресация
- •Dns имя
- •Отображение адресов
- •Отображение физических адресов на ip-адреса: протоколы arp и rarp
- •Протокол arp
- •Arp-таблица для преобразования адресов
- •Порядок преобразования адресов
- •Запросы и ответы протокола arp
- •Продолжение преобразования адресов
- •------------------------------------------------------------------------ Опpеделение межсетевого адpеса пpи начальной загpузке(rarp)
- •Отображение символьных адресов на ip-адреса: служба dns
- •Автоматизация процесса назначения ip-адресов узлам сети - протокол dhcp
- •Недостатки адресации Интернета
- •Ложный arp-сервер в сети Internet
- •Ложный dns-сервер в сети Internet
- •Перехват dns-запроса
- •Направленный шторм ложных dns-ответов на атакуемый хост
- •Перехват dns-запроса или создание направленного шторма ложных dns-ответов на dns-сервер
- •Литература:
Ложный dns-сервер в сети Internet
Как известно, для обращения к хостам в Internet используются 32-разрядные IP-адреса, уникально идентифицирующие каждый сетевой компьютер в этой глобальной сети. Однако для пользователей применение IP-адресов при обращении к хостам является не слишком удобным и далеко не самым наглядным способом взаимодействия.
На самом раннем этапе развития Internet именно для удобства пользователей было принято решение присвоить всем компьютерам в Сети имена. Использование имен помогает лучше ориентироваться в киберпространстве Internet: запомнить, например, имя www.ferrari.itпользователю куда проще, чем четырехразрядную цепочку IP-адреса. Употребление в Internet мнемонически удобных и понятных пользователям имен породило проблему преобразования имен в IP-адреса. Такое преобразование необходимо, так как на сетевом уровне адресация пакетов идет не по именам, а по IP-адресам, следовательно, для непосредственной адресации сообщений в Internet имена не годятся. Сначала, когда в сеть Internet было объединено небольшое количество компьютеров, NIC (Network Information Center) для решения проблемы преобразования имен в адреса создал специальный файл (hosts file), в который вносились имена и соответствующие им IP-адреса всех хостов в Сети. Этот файл регулярно обновлялся и распространялся по всей Сети. Но, по мере развития Internet, число объединенных в Сеть хостов увеличивалось и такая схема становилась все менее и менее работоспособной. На смену ей пришла новая система преобразования имен, позволяющая пользователю получить необходимые сведения о соответствии имен и IP-адресов от ближайшего информационно-поискового сервера (DNS-сервера). Этот способ решения проблемы получил названиеDomain Name System(DNS - доменная система имен).
Чтобы реализовать эту систему, был разработан сетевой протокол DNS, для обеспечения эффективной работы которого в Сети создаются специальные выделенные информационно-поисковые серверы - DNS-серверы.
Поясним основную задачу, решаемую службой DNS. В современной сети Internet хост (имеется в виду клиентская часть DNS, называемая resolver) при обращении к удаленному серверу обычно знает его имя, но не IP-адрес, который необходим для непосредственной адресации. Следовательно, перед хостом возникает стандартная задача удаленного поиска: по имени удаленного хоста найти его IP-адрес. Решением этой задачи и занимается служба DNS на базе протокола DNS.
|
|
Запросы, генерируемые хостом, являются рекурсивными, то есть в качестве ответа на такой запрос возвращается либо искомая информация, либо сообщение о ее отсутствии. Запросы, генерируемые DNS-cepвером, являются итеративными (нерекурсивными) и, в отличие от рекурсивных, допускают ответ в виде ссылки на другой сервер, который лучше осведомлен о месте расположения искомой информации. |
Рассмотрим DNS-алгоритм удаленного поиска IP-адреса по имени в сети Internet.
Хост посылает на IP-адрес ближайшего DNS-сервера (он устанавливается при настройке сетевой ОС) DNS-запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти.
DNS-сервер, получив такое сообщение, ищет в своей базе имен указанное имя. Если указанное в запросе имя найдено, а следовательно, найден и соответствующий ему IP-адрес, то DNS-сервер отправляет на хост DNS-ответ, в котором указывает искомый IP-адрес. Если же DNS-сервер не обнаружил такого имени в своей базе имен, то он пересылает DNS-запрос на один из ответственных за домены верхнего уровня DNS-серверов, адреса которых содержатся в файле настроек DNS-сервера root.cache, и описанная в этом пункте процедура повторяется, пока имя не будет найдено (или будет не найдено).
Анализируя уязвимость этой схемы удаленного поиска, можно прийти к выводу, что в сети, использующей протокол DNS, возможно осуществление типовой удаленной атаки "ложный объект РВС". Практические изыскания и критический анализ безопасности службы DNS позволяют предложить три возможных варианта удаленной атаки на эту службу.