Чтение онлайн

Есть и рубильники поменьше, позволяющие отключить только какой-то сегмент адресного пространства, например сайты, размещенные у заданного хостинг-провайдера, или домены, размещенные в заданной доменной зоне. Конечно, не стоит делать выводы, что тот или иной «главный рубильник» будет использован. Пока что таких прецедентов не было. Тем не менее «рубильники» существуют.

Разберем ситуацию с рубильником от DNS на простых примерах. Удалить из доменной зоны можно не только домен второго уровня, но и домен первого уровня. Оба этих момента мы рассмотрели ранее. В результате все сайты в домене станут недоступны. Так как опрос DNS начинается с корневых серверов, то внесение изменений в корневую зону позволяет не только отключить любой домен первого уровня, но и, например, перенаправить трафик внутри этого домена на другие адреса.

Конечно, требуется административный доступ к корневой зоне DNS.

Посмотрим на катастрофический сценарий с DNS чуть более детально. Предположим, что кому-то требуется перехватить управление некоторым национальным доменом. Адресация в национальном домене глобально определяется серверами имен, которые заданы для него в корневой зоне. Путь для перехвата: изменяется запись в корне, новая версия указывает на другие сервера имен. Все корневые серверы получают файл доменной зоны из одного источника. Соответственно, если изменить адреса в исходном файле, то при очередном обновлении изменения распространятся на все экземпляры распределенной корневой зоны.

После изменения адресов серверов имен в корневой зоне начнется постепенное вытеснение старой информации об адресации в зоне (а она касается всех доменов уровнем ниже) из глобальной DNS. Постепенное, потому что записи на разных серверах кэшируются.

Понятно, что на новых серверах домена верхнего уровня может быть прописана совсем другая адресация для имен уровнем ниже. Но можно и сохранить имевшуюся на момент перехвата управления адресацию. Для этого потребуется заблаговременно получить файл зоны с действующих серверов имен, содержащий все записи о доменах уровнем ниже. Разместив на новых серверах имен копию старого файла зоны, можно замаскировать перехват: для пользователей ничего не изменится. (Конечно, файл зоны может быть «засекречен», но на уровне положения операторов корня DNS такой расклад выглядит непрактичным: они могут попросить свежую копию заранее.)

Забрав управление доменом в описанном незаметном режиме, новый администратор может переадресовать только какие-то ключевые сайты, оставив основную часть адресных настроек без изменений. Этот способ особенно хорош в том случае, если новый администратор не желает, например, чтобы под удар попали лояльные к нему интернет-сервисы: ведь понятно, что если удалить домен полностью, то недоступными окажутся все ресурсы сразу; копирование установленной адресации сильно смягчает ситуацию для рядовых пользователей. (Да, администраторы не смогут менять настройки доменов и т. п., и т. д. но это не так страшно.)

Заметьте, что изменение DNS коснется и электронной почты в домене. Она начнет ходить «не туда».

Вывод: в отличие, например, от радиоэфира, в Интернете не только можно отключить «главным рубильником» вещателей и слушателей, но и избирательно подменить вещателей (скорректировав адресные записи для выбранных доменов второго уровня). Все изменения делаются централизованно, сразу во всем виртуальном пространстве.

Впрочем, описанный катастрофический сценарий скрывает в себе «второй конец палки». Развернув ключевые особенности реализации в обратную сторону, можно, например, в рамках некоторых автономных сетей, подключенных к Интернету, изменить адресацию в выбранных внешних доменах DNS. Делается это так. Предположим, нам нужно переадресовать (или заблокировать доступ) домен facebook.com. Из легитимной DNS можно легко узнать IP-адреса серверов имен (NS), которые отвечают за этот домен. Теперь «пограничный» маршрутизатор (устройство, обеспечивающее связь автономной сети с Интернетом) настраивается таким образом, что отправляет копии запросов, предназначенных NS домена facebook.com, специальным подставным компьютерам, находящимся под контролем «нужных администраторов».

Отличить запросы в трафике – задача элементарная: они фильтруются по адресам, ранее определенным с помощью DNS. Задача подставных компьютеров – ответить на запрос быстрее, чем это сделают настоящие NS. Ответ, естественно, может содержать совсем другие адреса серверов, а не те, которые назначили администраторы глобального домена facebook.com. Если подставной компьютер находится физически ближе к сети, трафик которой перенаправляется, то ответить быстрее легального NS – несложно. А в случае, если нужно более жестко переопределить адресацию, можно

не опережать ответы легальных серверов имен, а просто блокировать их – сразу перенаправляя запросы на подставной сервер.

Я описывал методы DNS-инъекции в прошлом издании книги, вышедшем весной 2011 года. Эти методы, между тем, настолько хороши, что их, как стало известно в 2013 году из опубликованных секретных документов, с успехом использовало на практике Агентство национальной безопасности США (служба, занимающаяся электронной разведкой).

Понятно, конечно, что для уверенной реализации данного метода искажения DNS нужно обладать «уровнем доступа» интернет-провайдера. Аналогичный фокус можно проделать и с корневыми серверами DNS, правда, схема несколько усложняется, но зато можно переопределить сразу всю систему доменных имен. Схема применима в качестве меры борьбы против гипотетического отъема национального домена, но для успешной реализации нужно заранее взять на вооружение такие технологии, как Anycast (что, например, частично сделано в доменах RU и РФ).

Может показаться, что мы только что нашли меру противодействия контролю над DNS, позволяющую превратить грубый «главный рубильник» в мягкий колокольчик, по сигналу которого запускается механизм перехвата запросов и пользователи отдельно взятого сегмента Сети оказываются спасены. Но это не совсем так. Мера эффективна только до тех пор, пока в DNS и на клиентских компьютерах не развернута технология DNSSEC, которая начисто лишает «подмену ответа» эффективности. Про DNSSEC – чуть позже в этой главе, а пока вернемся к менее масштабным вопросам администрирования доменов.

Как мы выяснили ранее, домены не продаются, но за деньги можно приобрести право управления доменным именем. Права управления, полученные администратором домена, требуют надежного фиксирования и не менее надежных механизмов авторизации, иначе у администратора возникнут трудности с проведением прав в жизнь. Права по управлению доменом фиксируются в специальных базах данных, которые имеются у администраторов доменов первого уровня и у компаний-регистраторов.

Что угрожает администратору домена? Самая серьезная угроза – «угон» домена, то есть неправомерный переход домена под контроль злоумышленников. Как ни странно, «угон» может быть произведен с помощью разнообразных инструментов, причем некоторые из них вовсе не требуют использования высоких интернет-технологий.

Например, злоумышленники могут подделать нужные документы (заявления, доверенности) и выполнить процедуру смены администратора домена. Именно с целью предотвращения подобных проблем регистраторы в домене RU и требуют представления довольно большого количества бумаг и личного присутствия администратора домена в офисе. В некоторых случаях при сомнительных операциях по раскрученным и хорошо известным доменам регистратор может провести и дополнительную проверку «легитимности», скажем, перезвонив руководству компании – владельца домена по телефону и т. п.

Одна из самых больших проблем, создающих серьезные риски, – неверное делегирование полномочий по управлению доменом внутри компаний и официальных организаций.

Хрестоматийный пример касается корпоративных сайтов. Сейчас даже самая небольшая фирма считает нужным иметь свой сайт. У маленьких компаний нет ни юридического департамента, ни службы ИТ, поэтому корпоративный сайт поручают изготовить и запустить тому сотруднику, который, по мнению руководителя фирмы, наиболее близок к Интернету. Нередки случаи, когда эта «почетная обязанность» достается секретарше директора, умеющей «поискать в Интернете». Также кандидатами на создание сайта часто оказываются «обобщенные программисты», дизайнеры, заместители директора по техническим вопросам, так называемые эникейщики и др. Несложно догадаться, что создание сайта достается случайному сотруднику, никак с сайтостроением не связанному.