Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов. Основой DNS является представление об иерархической структуре имени и зонах. Каждый сервер, отвечающий за имя, может передать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения — другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени.

Домен — узел в дереве имён, вместе со всеми подчинёнными ему узлами (если таковые имеются), то есть именованная ветвь или поддерево в дереве имён. Структура доменного имени отражает порядок следования узлов в иерархии; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости): вверху находится корневой домен (имеющий идентификатор «.»(точка)), ниже идут домены первого уровня (доменные зоны), затем — домены второго уровня, третьего и т. д. (например, для адреса pikabu.ru. домен первого уровня — ru, второго — pikabu, корневой домен .(точка), который не указывается). Обращение к домену идёт в обратном порядке: справа налево, от корневого домена, к доменам низшего уровня.

Поддомен — подчинённый домен (например, pikabu.ru — поддомен домена ru. Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. д.

Ресурсная запись — единица хранения и передачи информации в DNS. Каждая ресурсная запись имеет имя (то есть привязана к определённому доменному имени, узлу в дереве имён), тип и поле данных, формат и содержание которого зависит от типа.

Рекурсивный запрос — это тип запроса, в котором запрос к серверу может отправляться в сервера нижележащих уровней, вплоть до корневого. Это стандартный сценарий для пользователя. Нерекурсивные запросы обрабатываются только на уровне сервера, к которому запрос был отправлен.

Файл hosts

Это текстовый файл, в котором содержатся данные для статического разрешения доменных имён в IP-адреса в обход DNS:

Windows XP, 2003, Vista, 7, 8, 10 — c:\windows\system32\drivers\etc\hosts

Linux, Ubuntu, Unix, BSD — /etc/hosts

Порядок разрешения имён: приложение запрашивает IP для example.com, ОС сначала проверяет файл hosts, если найдено совпадение, то возвращает IP из hosts, если нет, то делает DNS-запрос.

Файл hosts имеет высший приоритет над любыми DNS-серверами.

Угрозы:

• Вредоносное ПО часто модифицирует hosts

• Фишинг: перенаправление “полезных” сайтов на поддельные

• Блокировка обновлений: перенаправление серверов ОС

Основные ресурсные записи

A-запись — задает преобразование имени хоста в IP-адрес.

MX-запись — определяет почтовый ретранслятор для доменного имени, т.е. узел, который обработает или передаст дальше почтовые сообщения, предназначенные адресату в указанном домене. При наличии нескольких MX-записей сначала происходит попытка доставить почту на ретранслятор с наименьшим приоритетом.

NS-записи — определяют DNS-серверы, которые являются авторитетными для данной зоны.

CNAME-запись — связывает один домен (псевдоним) с другим (каноническим) именем хоста. Она работает как псевдоним, перенаправляя трафик с одного имени на другое без указания IP-адреса.

SRV-запись — позволяет получить имя для искомой службы, а также протокол, по которому эта служба работает.

TXT-запись — поле свободного текста. Эти записи могут использоваться в любых целях, например, для указания месторасположения хоста. Могут предоставлять механизм проверки, который отделяет законное использование от вредоносной деятельности (напр. отправка поддельных писем txt dkim dmarc spf).

AAAA-запись — задает преобразование имени хоста в IPV6-адрес.

SSHFP-запись — используется для хранения слепка ключей SSH в DNS.

PTR — обратное преобразование IP-адреса в доменное имя.  В отличие от A-записи, которая связывает домен с IP-адресом, PTR-запись связывает IP-адрес с доменным именем. Эти записи критически важны для электронной почты, так как используются для проверки подлинности отправителя, помогая бороться со спамом и улучшая доставляемость писем.

Атаки на DNS

• Подмена DNS (отравление кэша): подменяется кеш DNS, в результате чего трафик перенаправляется на сторонний IP.

• Перехват DNS: подмена DNS-запросов/ответов. В результате трафик также перенаправляется на сторонний IP.

• Туннелирование: использует протокол DNS для передачи трафика, не связанного с DNS через порт 53, часто в обход брандмауэров и иных мер безопасности. Может использоваться для утечки данных.

• Атака на усиление: отправляются небольшие запросы через поддельный IP-адрес жертвы, представляясь её адресатом. Это побуждает сервер направить целевому серверу большой ответ (DDos).

• Захват поддоменов: В основном это происходит, когда поддомен имеет каноническое имя (CNAME) в системе доменных имен (DNS), но хост не предоставляет никакого контента, либо потому что он еще не опубликован, либо потому что он был удален из системы. В любом из этих двух случаев хакер может получить доступ к поддомену через его собственный виртуальный хост и начать размещать на нем вредоносный контент.

• Атака на NXDOMAIN: это тип флуд-атаки, которая пытается заставить серверы исчезнуть из Сети путем переполнения (или наводнения) DNS-сервера недействительными или фиктивными запросами записей. Поскольку DNS-сервер тратит время на поиск несуществующих записей, он теряет необходимое время и возможности для поиска настоящих, легитимных записей. В результате кэш DNS-сервера переполняется нелегитимными, поддельными запросами, и клиенты больше не могут получить доступ к  настоящим серверам.

• "Человек посередине" (MITM): злоумышленник внедряется в канал связи между пользователем и DNS-сервером, чтобы перехватить и подменить DNS-запросы.

Протокол DHCP предоставляет три способа распределения IP-адресов:

• Ручное распределение. При этом способе сетевой администратор сопоставляет аппаратному адресу (для Ethernet-сетей это MAC-адрес) каждого клиентского компьютера определённый IP-адрес. Фактически данный способ распределения адресов отличается от ручной настройки каждого компьютера лишь тем, что сведения об адресах хранятся централизованно (на сервере DHCP), и потому их проще изменять при необходимости.

• Автоматическое распределение. При данном способе каждому компьютеру на постоянное использование выделяется произвольный свободный IP-адрес из определённого администратором диапазона.

• Динамическое распределение. Этот способ аналогичен автоматическому распределению за исключением того, что адрес выдаётся компьютеру не на постоянное пользование, а на определённый срок. Это называется арендой адреса. По истечении срока аренды IP-адрес вновь считается свободным, и клиент обязан запросить новый (он, впрочем, может оказаться тем же самым). Кроме того, клиент сам может отказаться от полученного адреса.

Этапы процесса DORA

1. Discovery (Обнаружение)

Когда устройство подключается к сети, оно отправляет широковещательный пакет DHCPDISCOVER для поиска DHCP-сервера в сети. По сути, это запрос на получение IP-адреса и других сетевых параметров.

1. Offer (Предложение)

DHCP-сервер, получивший запрос, откликается пакетом DHCPOFFER, предлагая клиенту один из своих свободных IP-адресов и другие необходимые сетевые настройки, такие как маска подсети и шлюз по умолчанию.

1. Request (Запрос)

Клиент выбирает одно из полученных предложений (если их было несколько) и отправляет широковещательный пакет DHCPREQUEST, чтобы сообщить всем DHCP-серверам, какое предложение он принял, а какие отклонил.

1. Acknowledgement (Подтверждение)

DHCP-сервер, чье предложение было принято, отправляет клиенту пакет DHCPACK, подтверждая, что IP-адрес зарезервирован за этим клиентом и может быть использован.

Атаки на DHCP

Наиболее известной атакой на DHCP является mitm6. Для её успеха необходимо сочетание трех факторов:

• Сеть на IPv4: Корпоративная сеть работает на протоколе IPv4.

• Включенный IPv6 в Windows: По умолчанию в современных версиях Windows протокол IPv6 включен и имеет более высокий приоритет, чем IPv4.

• Слабая конфигурация сети: Отсутствует явно настроенный DHCPv6-сервер и не отключено автоматическое назначение адресов IPv6.

Этапы атаки:

1. Подготовка. Злоумышленник уже находится внутри локальной сети (например, подключился к Wi-Fi или воткнул кабель).

2. Подмена DHCP- сервера. Называясь DHCP-сервером злоумышленник может представляется также шлюзом и DNS-сервером. Последнее даёт возможность связать любой IP адрес с любым доменным именем, что позволит злоумышленнику называться кем угодно. Сделать это можно двумя способами:

   1. "Навязывание" IPv6-конфигурации. Злоумышленник разворачивает свой фейковый DHCPv6 сервер, который отвечает на запросы хостов, которые ищут IPv6. Windows хоста, видя, что для IPv6 появилась конфигурация, начинает использовать ее для связи, так как IPv6 имеет приоритет. Итог: весь IPv6-трафик хостов теперь проходит через машину злоумышленника.

   2. DHCP Starvation. Злоумышленник рассылает большое количество сообщений DHCPDISCOVER (запрос IP-адреса) в локальной сети с целью «истощить» адресное пространство на сервере DHCP. Обрабатывая вал запросов, сервер выходит из строя и больше не может обслуживать новых клиентов в сети. После этого, создаётся фейковый DHCP сервер, который заменяет собой сервер, вышедший из строя.

3. Дальнейшие злодеяния. Находясь в позиции “человек посередине” (mitm) доступны обширные возможности для дальнейших атак.

*Коммутация — соединение.

Маршрутизатор — это  устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может связывать разнородные сети различных архитектур. Для принятия решений о пересылке пакетов используется информация о топологии сети и определённые правила, заданные администратором. Маршрутизаторы работают на сетевом уровне.

Обычно маршрутизатор использует адрес получателя, указанный в заголовке пакета, и определяет по таблице маршрутизации путь, по которому следует передать данные. Если в таблице маршрутизации для адреса нет описанного маршрута — пакет отбрасывается.

Существуют и другие способы определения маршрута пересылки пакетов, когда, например, используется адрес отправителя, используемые протоколы верхних уровней и другая информация, содержащаяся в заголовках пакетов сетевого уровня. Нередко маршрутизаторы могут осуществлять трансляцию адресов отправителя и получателя, фильтрацию транзитного потока данных на основе определённых правил с целью ограничения доступа, шифрование/расшифровывание передаваемых данных и т. д.

Таблица маршрутизации содержит информацию, на основе которой маршрутизатор принимает решение о дальнейшей пересылке пакетов. Таблица состоит из некоторого числа записей — маршрутов, в каждой из которых содержится идентификатор сети получателя (состоящий из адреса и маски сети), адрес следующего узла, которому следует передавать пакеты, административное расстояние — степень доверия к источнику маршрута и некоторый вес записи — метрика. Метрики записей в таблице играют роль в вычислении кратчайших маршрутов к различным получателям. В зависимости от модели маршрутизатора и используемых протоколов маршрутизации, в таблице может содержаться некоторая дополнительная служебная информация.

Я часто встречала, как коммутатор называли маршрутизатором и наоборот. Дело в том, что на практике часто обе эти функции выполняет одна и та же железка (напр. домашний роутер). Из-за этого в реальных системах граница между коммутацией и маршрутизацией размывается, и термины начинают использоваться не строго по учебнику, а по контексту. Поэтому при изучении сетей важно понимать не только определения, но и какую именно задачу устройство выполняет в конкретный момент, а не за какой ярлык его назвали.