Александр Венедюхин - Домены. Все, что нужно знать о ключевом элементе Интернета
Обеспечить гарантии клиентам регистраторов доменов могут дополнительные меры, принимаемые на уровнях администраторов национальных доменов или даже ICANN. Наиболее очевидные из этих мер таковы:
резервирование клиентских баз данных с привлечением независимых хранителей;
обеспечение прозрачной и хорошо работающей процедуры перевода клиентов проблемных регистраторов к другим регистраторам с сохранением доменов.
Со своей стороны, администратор домена при выборе компании-регистратора должен принимать во внимание и ее надежность.
Уверенный доступ
Если под зарегистрированным доменным именем размещаются какие-то ресурсы, то домен нужно привязать к определенным серверам DNS, обеспечивающим преобразование символьных имен внутри домена в адреса компьютеров, обслуживающих ресурсы. Например, адрес www.test.ru может соответствовать компьютеру, на котором работает веб-сервер, обслуживающий сайт www. test.ru. Регистрация домена сама по себе, как формальная процедура, не связана с последующим размещением каких-либо онлайн-ресурсов. Однако если такие ресурсы появились, то для их адресации будут использованы серверы DNS, которые связаны с конкретным доменом через общую, глобальную иерархию систем адресации.
Предположим, под зарегистрированным доменом размещается сайт. Оказывается, чтобы обеспечить доступ к этому сайту для пользователей, знающих его под доменным именем (а такая адресация уже давно стала единственно возможным вариантом не только для массовой аудитории Сети, но и для поисковых машин и прочих онлайн-сервисов), требуется надежное функционирование серверов DNS, связанных с доменом.
То есть сам сервер, на котором размещен сайт, может работать бесперебойно, но, если откажут серверы DNS, достучаться к этому серверу по привычному адресу не получится. Таким образом, сайт просто исчезнет из поля зрения его посетителей. Так что надежность серверов DNS играет важную роль в обеспечении доступности сайтов и других онлайн-ресурсов, в том числе систем электронной почты. Домен должно обслуживать несколько серверов DNS, это позволяет повысить надежность: в случае недоступности одного из серверов на помощь придут другие.
Серверы DNS доменного имени могут быть выбраны более или менее произвольно, скажем, они вовсе не обязательно должны принадлежать регистратору доменов (хотя это довольно распространенная практика). Часто услуга размещения DNS предоставляется хостинг-провайдерами.
Итак, администратор домена должен использовать надежные серверы для организации DNS. При этом нужно иметь в виду, что доступность домена также зависит от работоспособности вышестоящих серверов иерархии. Так, если нарушатся записи, соответствующие доменному имени второго уровня в базах серверов DNS, ответственных за домен первого уровня, то, очевидно, домен второго уровня также может оказаться недоступным. Правда, серьезные проблемы с DNS доменов верхнего уровня случаются довольно редко.
Серверы DNS часто служат объектом атак со стороны хакеров. Например, могут быть организованы атаки типа «отказ в обслуживании». Отказавшие DNS-серверы не смогут обслуживать запросы, и размещенные под соответствующим доменом ресурсы будут недоступны.
DNS-серверы, а точнее, программное обеспечение компьютеров, на которых работает конкретная подсистема DNS, могут быть взломаны хакером. В таком случае получивший доступ к серверу хакер сможет управлять и доменом (или несколькими доменами), обслуживаемым этим DNS-сервером. Это означает, что хакер может перенаправить трафик с ресурсов администратора на какие-нибудь свои ресурсы. С точки зрения пользователя Сети, новые хакерские онлайн-ресурсы будут доступны под теми же самыми доменами, которые ранее соответствовали легальным сайтам или адресам электронной почты. Другими словами, происходит «угон» домена в интересах хакера.
Итак, для обеспечения надежной работы своего домена администратор должен правильно выбрать серверы DNS. Желательно использовать услуги по аренде DNS, предоставляемые крупными регистраторами или хостинг-провайдерами. Хорошей практикой является одновременное использование нескольких DNS-серверов, находящихся у разных провайдеров.
Достоверность: а туда ли я попал?
Самым большим по количеству разнообразнейших проблем является класс доверия к доменам и DNS в целом. Причина в том, что классическая DNS вообще не
предусматривает эффективных способов проверки достоверности данных со стороны пользователя Интернета. При этом для неподготовленного пользователя адрес, переданный DNS, служит своего рода элементом психологического подтверждения того, что пользователь зашел именно на тот сайт, который обозначен адресом в адресной строке браузера. Этот факт наиболее активно эксплуатируется злоумышленниками, так что рассмотренные выше аспекты доменной безопасности для хакеров служат лишь фундаментом к использованию проблем из класса доверия.
Чтобы составить представление о том, насколько важна достоверность DNS, взглянем на один реальный пример (названия фигурирующих в этой истории компаний упоминаться не будут).
Несколько лет назад на московском рынке широкополосного доступа к Интернету появился новый игрок – один из крупнейших (впрочем, можно сказать, самый крупный) общегородских операторов связи. Новый провайдер, используя доступные практически в каждой квартире абонентские линии, предлагал широкополосный (то есть очень быстрый) и качественный доступ к Интернету по весьма и весьма разумной цене, да еще и построенный с помощью «верных технологий».
На момент появления этого игрока основными поставщиками широкополосного квартирного Интернета в столице являлись разнообразные домовые сети – небольшие компании (иногда даже не имевшие юридических оснований для своей работы), подключавшие квартиры и дома к Глобальной сети с помощью технологий построения локальных вычислительных сетей, а именно Ethernet. Мы не станем сейчас обсуждать технические особенности сетей интернет-доступа и преимущества различных технологий. Нам важно отметить один момент: с приходом на рынок упомянутого крупного игрока домовые сети «почуяли», что грядет конец их существования. Особенно плохо себя почувствовали мелкие сети, так как начался стремительный отток клиентов: новый провайдер предлагал более выгодные тарифы и более качественные услуги, противопоставить которым было нечего.
Разумеется, у нового игрока имелся красивый корпоративный сайт, где рассказывалось о тарифах и способах подключения. Потенциальные клиенты, узнав о новом провайдере из рекламы (например, по телевидению), направлялись на корпоративный сайт, чтобы подробнее ознакомиться с услугами. Вполне естественный и понятный способ формирования клиентской базы.
Понимали это и владельцы – администраторы домовых сетей. А также они понимали, что их клиенты для доступа к корпоративному сайту провайдера-конкурента будут пользоваться домовой сетью: другого способа подключения к Интернету у клиентов нет.
Так вот, администраторы одной из домовых сетей (скорее всего, «находка» использовалась не только в этой сети) изменили записи своей локальной DNS таким образом, что доступ к сайту конкурента для клиентов этой сети оказывался невозможным. (Тут нужно отметить, что клиентов того или иного интернет-провайдера традиционно обслуживают его DNS-серверы. И конечно, настройки этих DNS-серверов целиком находятся в руках администраторов локальной сети.)
Записи в «локальном DNS» были изменены таким образом, что с точки зрения пользователя все выглядело так, будто «сетевая неисправность» находится на стороне корпоративного сайта конкурента домовой сети. Посетитель набирал в адресной строке браузера имя домена, увиденное в рекламе, и попадал на «испорченный» сайт, в итоге перебрасывавший браузер на веб-страницу головной компании холдинга, в который входил конкурирующий с домовой сетью оператор. При этом в адресной строке браузера отображался именно адрес из рекламы – домен корпоративного сайта провайдера, – и пользователь был уверен, что все делает правильно.
Рассерженные пользователи из этой домовой сети, ничего не подозревавшие о подмене DNS, изливали гнев на интернет-форумах: «Ничего не понимаю! У них сайт не работает, ничего найти нельзя. Как же так можно! Бред! Я не стану пользоваться услугами оператора, который даже собственный сайт “из рекламы” не умеет наладить!» При этом, подчеркнем, для всего остального Интернета сайт из рекламы конкурента домовой сети хорошо работал и внятно доносил до своих посетителей информацию об услугах. Эти посетители из других уголков Интернета долго вообще не могли понять, что имеют в виду их обозленные «коллеги» по общению на форумах. «Да как же? Вот же ссылка – все об услугах написано!» – возражали они, так как в их браузерах открывался совсем другой сайт, хоть и под тем же доменным именем. Обманутые же с помощью DNS клиенты домовой сети «попадали не туда», совершенно об этом не подозревая.
