Протокол DNS. Методы сетевых атак и защиты.

Таким образом, администратор не должен надеятьсятолько на внешние признаки активности паразитов, его внимание должно быть сосредоточено правильную настройку DNS-сервера[15].Так как объективнаяборьба свозможной ретрансляцией(или усилением) атаки типаDNS Amplificationчерез ваш сервер имен невсегда является простой (некоторые широко известные решения ипатчив основномимеют нежелательные побочные эффекты), яхочу привестиздесь вариантнаиболее сбалансированной настройки предложеннойавторитетной организацией CCIRC напримере BIND:1. Вфайл/etc/hosts.confдобавляем новую строку, для противодействия спуфингу:nospoofon2. Далее открываем файл/etc/named.confс целью отключения рекурсии насервере:Options {...recursionno;...}Теперь будут приниматься только итеративные запросы. При необходимости более гибким решениемявляется опцияallow-recursion, определяющая список изначально доверенных хостов, запросы откоторых разрешеныдля рекурсивной обработки.Также, с помощью настройки параметраviewsвозможновыборочнодавать разрешение на выполнение рекурсии для внутренних ивнешних адресов.3. Помещаем вэтотже файл следующие строчки:additional-from-auth no;additional-from-cache no;4. Дальше, ещё больше усиливаем противодействие спуфингу:use-id-poolyes;Эта опция включает режим, вкотором идентификаторы DNS-запросов выбираются случайным образом.5. Отключаемfetch-glue:fetch-glue no;Этим мызапрещаем дополнительный поиск IP-адресов DNS-серверов.6. Запретить динамические обновления зон можно следующим способом:zone «example.com»{type master;file «db.example.com»;allow-update {localhost;key allowed-updater.;};};Компромиссным может быть разрешение обновления только сжестко заданных IP-адресов или защищенных списком валидных TSIG-ключей.7. Тут же можно убедитьсявотключении уведомлений ипереносе доменных зон наваш сервер для всех желающих, перечислив вблоке ACL список доверенных серверов, этим возможно обезопасить себя отнекоторых потенциальных махинаций:acl «trusted» {11.22.33.44;55.66.77.99;};allow-notify { trusted; };allow-transfer { trusted; };8. Повозможности внастройках лучше всегда применять новые, более мощные механизмы— например расширение DNSSEC для создания большей безопасности ивозможностей DNS-сервера.Вариантом для прошлого примера (трансфер зоны) может быть использование TSIG, вот пример аналогичной конфигурации:keytsig-signing. {algorithm hmac-md5;secret “ff3d7REQwDAE8Aedae56345==”;};zone “example.com” {type master;file “db.example.com”;allow-transfer { key tsig-signing; };};9. Обязательным является выполнение предварительной фильтрации DNS-трафика, для этого втаблице нижесобраны все типовые случаи. Необходимо обратить внимание наномера портов— распространенным заблуждениемявляется утверждение, что запросы DNS передаются через 53/UDP, атрансфер зон— через 53/TCP. Это является «полуправдой»: 53/TCP также может бытьиспользованным идля «длинных запросов», авверсиях BIND 8/9 частоприменяют порты выше 1023 для операций сзапросами[10].Таблица 1.РольОписаниеЕР-источникПорт-источникЕР-назначениеПорт-назначениеПубличныйNSВходящиезапросыЛюбой53/ибр,53Лср,>1023/ибрг>1023ЛсрСервер имен53/ис1р;53ДсрПубличныйNSОтветы на запросыСерверимен53/ибр,53 ЛерЛюбой53/ис1р;53Лср,>1023/ибр.>1023АсрВнутреннийNSЗапросы от клиентовВнутренняясеть>1023/ибрг>1023ЛсрСервер имен53/ис1р;53ЛсрВнутреннийNSОтветыклиентамСерверимен53/ибр,53АсрВнутренняясеть>1023/ибр.>1023АсрВнутреннийNSИсходящиерекурсивныезапросыСерверимен53/ибр,53Аср,>1023/ибрг>1023ЛсрЛюбой53/ис1р;53ЛсрВнутреннийNSОтветы на рекурсивные запросыЛюбой53/ибр,53АсрСервер имен53/ис1р;53Лср,>1023/ибр.>1023АсрДля контроля трафика вBINDтакженеобходимо использовать самые современные средства, например DNSRPZ(DNS ResponsePolicyZone) –новый «брандмауэр для DNS».ЗАКЛЮЧЕНИЕВ данной курсовой работе проводилось исследование методов повышения защиты данных при передаче их с помощью компьютерных сетей.Для достижения цели курсовой работы, были выполнены следующие задачи:изучен принцип работы протокола DNSкомпьютерной сети;были исследованы виды угроз на протокол DNS и их отрицательное воздействие на работу компьютерных сетей;проанализированы средства защиты DNS-систем от несанкционированного доступа;изучены методы защитыDNS-систем от несанкционированного доступа к ним.Проведенный анализ угроз беспроводных сетей показал, что наиболее расстроенными угрозами являются:подмена DNS-ответа; применение ложного DNS-сервера;атака на кеш DNS-сервера / подмена вышестоящего DNS-сервера (атака Каминского);атака посредством отражённых DNS-запросов;атаки типа DNS-флуд, атаки с помощью рекурсивных DNS-запросов / Garbage-атаки;В работе были предложены советы по настройке DNS-сервера на основе BIND для снижения риска вмешательства в его работу злоумышленников.В ходе исследования все поставленные задачи были выполнены. Цель курсовой работы достигнута.СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫАстахова, И.Ф. Компьютерные науки. Деревья, операционные системы, сети / И.Ф. Астахова, И.К. Астанин и др. - М.: Физматлит, 2013. - 88 c. Бройдо В. Л., Ильина О. П. Вычислительные системы, сети и телекоммуникации; Книга по Требованию - Москва, 2011. - 560 c..Кузин, А.В. Компьютерные сети: Учебное пособие / А.В. Кузин.. - М.: Форум, НИЦ ИНФРА-М, 2013. - 192 c.Кузьменко, Н.Г. Компьютерные сети и сетевые технологии / Н.Г. Кузьменко. - СПб.: Наука и техника, 2013. - 368 c.Куроуз, Д. Компьютерные сети. Нисходящий подход / Д. Куроуз, К. Росс. - М.: Эксмо, 2016. - 912 c.Луганцев, Л.Д. Компьютерные сети / Л.Д. Луганцев. - М.: МГУИЭ, 2001. - 452 c.Максимов, Н.В. Компьютерные сети: Учебное пособие для студентов учреждений среднего профессионального образования / Н.В. Максимов, И.И. Попов. - М.: Форум, НИЦ ИНФРА-М, 2013. - 464 c.Олифер, В. Компьютерные сети. Принципы,технологии,протоколы: Учебник для ВУЗов / В. Олифер. - СПб.: Питер, 2012. - 944 c.Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. Стандарт третьего поколения / В.Г. Олифер, Н.А. Олифер.. - СПб.: Питер, 2013. - 944 c.Попов, И.И. Компьютерные сети / И.И. Попов, Н.В. Максимов. - М.: Форум, 2004. - 336 c.Прончев, Г.Б. Компьютерные коммуникации. Простейшие вычислительные сети: Учебное пособие / Г.Б. Прончев. - М.: КДУ, 2009. - 64 c.Столлингс, В. Компьютерные сети, протоколы и технологии Интернета / В. Столлингс. - СПб.: BHV, 2005. - 832 c.Таненбаум, Э. Компьютерные сети / Э. Таненбаум. - СПб.: Питер, 2013. - 960 c.Шелухин, О.И. Обнаружение вторжений в компьютерные сети (сетевые аномалии): Учебное пособие для вузов / О.И. Шелухин, Д.Ж. Сакалема, А.С. Филинова. - М.: Гор.линия-Телеком, 2013. - 220 c.Эд Уилсон Мониторинг и анализ сетей. Методы выявления неисправностей / Эд Уилсон. - М.: ЛОРИ, 2012. - 386 c.