Чтение онлайн

Чтобы составить представление о том, насколько важна достоверность DNS, взглянем на один реальный пример (названия фигурирующих в этой истории компаний упоминаться не будут).

Несколько лет назад на московском рынке широкополосного доступа к Интернету появился новый игрок – один из крупнейших (впрочем, можно сказать, самый крупный) общегородских операторов связи. Новый провайдер, используя доступные практически в каждой квартире абонентские линии, предлагал широкополосный (то есть очень быстрый) и качественный доступ к Интернету по весьма и весьма разумной цене, да еще и построенный с помощью «верных технологий».

На момент появления этого игрока основными поставщиками широкополосного квартирного Интернета в столице являлись разнообразные домовые сети –

небольшие компании (иногда даже не имевшие юридических оснований для своей работы), подключавшие квартиры и дома к Глобальной сети с помощью технологий построения локальных вычислительных сетей, а именно Ethernet. Мы не станем сейчас обсуждать технические особенности сетей интернет-доступа и преимущества различных технологий. Нам важно отметить один момент: с приходом на рынок упомянутого крупного игрока домовые сети «почуяли», что грядет конец их существования. Особенно плохо себя почувствовали мелкие сети, так как начался стремительный отток клиентов: новый провайдер предлагал более выгодные тарифы и более качественные услуги, противопоставить которым было нечего.

Разумеется, у нового игрока имелся красивый корпоративный сайт, где рассказывалось о тарифах и способах подключения. Потенциальные клиенты, узнав о новом провайдере из рекламы (например, по телевидению), направлялись на корпоративный сайт, чтобы подробнее ознакомиться с услугами. Вполне естественный и понятный способ формирования клиентской базы.

Понимали это и владельцы – администраторы домовых сетей. А также они понимали, что их клиенты для доступа к корпоративному сайту провайдера-конкурента будут пользоваться домовой сетью: другого способа подключения к Интернету у клиентов нет.

Так вот, администраторы одной из домовых сетей (скорее всего, «находка» использовалась не только в этой сети) изменили записи своей локальной DNS таким образом, что доступ к сайту конкурента для клиентов этой сети оказывался невозможным. (Тут нужно отметить, что клиентов того или иного интернет-провайдера традиционно обслуживают его DNS-серверы. И конечно, настройки этих DNS-серверов целиком находятся в руках администраторов локальной сети.)

Записи в «локальном DNS» были изменены таким образом, что с точки зрения пользователя все выглядело так, будто «сетевая неисправность» находится на стороне корпоративного сайта конкурента домовой сети. Посетитель набирал в адресной строке браузера имя домена, увиденное в рекламе, и попадал на «испорченный» сайт, в итоге перебрасывавший браузер на веб-страницу головной компании холдинга, в который входил конкурирующий с домовой сетью оператор. При этом в адресной строке браузера отображался именно адрес из рекламы – домен корпоративного сайта провайдера, – и пользователь был уверен, что все делает правильно.

Рассерженные пользователи из этой домовой сети, ничего не подозревавшие о подмене DNS, изливали гнев на интернет-форумах: «Ничего не понимаю! У них сайт не работает, ничего найти нельзя. Как же так можно! Бред! Я не стану пользоваться услугами оператора, который даже собственный сайт “из рекламы” не умеет наладить!» При этом, подчеркнем, для всего остального Интернета сайт из рекламы конкурента домовой сети хорошо работал и внятно доносил до своих посетителей информацию об услугах. Эти посетители из других уголков Интернета долго вообще не могли понять, что имеют в виду их обозленные «коллеги» по общению на форумах. «Да как же? Вот же ссылка – все об услугах написано!» – возражали они, так как в их браузерах открывался совсем другой сайт, хоть и под тем же доменным именем. Обманутые же с помощью DNS клиенты домовой сети «попадали не туда», совершенно об этом не подозревая.

Целью акции, несомненно, являлось отпугивание клиентов от услуг конкурента. Понятно, что подобное мероприятие можно отнести лишь к разряду поступков «обезумевшего администратора». В итоге подлог довольно быстро раскрылся, ведь Интернет существует и вне «обиженной» домовой сети, а клиенты, узнав об истинном положении вещей (некоторых оно шокировало), полностью утратили доверие к нагло обманувшему их провайдеру. Домовая сеть не «прожила»

после этого и полугода, что, впрочем, только подчеркивает важность проблемы с подделкой ответов DNS.

Администратор, официально зарегистрировавший домен, должен понимать: сам факт регистрации совсем не гарантирует, что другие пользователи Сети увидят под этим доменом именно тот сайт, который разместил администратор. К сожалению, DNS, находящаяся в данном случае между владельцем домена и конечным пользователем Интернета, позволяет провайдерам на местах подделать соответствие домена и сайта.

Нужно отметить весьма важный момент: сама по себе DNS не является пособником хакеров, подделывающих сетевые адреса. Напротив, тщательное соблюдение стандартов и протоколов DNS приведет к тому, что все адреса окажутся настоящими, а система будет работать без сбоев. Корень проблемы в другом: DNS не позволяет противодействовать активным злоумышленникам, которые осознанно нарушают протоколы и стандарты. Другими словами, не являясь источником зла, классическая DNS этому злу попустительствует.

При этом действенных мер, позволяющих бороться с подделкой ответов DNS о сайтах, пока не выработано. Хотя проблема специалистам понятна, и способы ее решения ищутся. Например, одним из методов противодействия подделке ответов DNS является технологическая инициатива DNSSEC , предлагающая набор мероприятий, которые позволят DNS-серверам, ответственным за тот или иной конкретный домен, подписывать ответ с помощью электронной подписи и механизма сертификации. Введение DNSSEC позволяет на стороне операционной системы компьютера конечного пользователя проверять корректность полученных от локального DNS-сервера ответов об адресах сайтов.

Другой способ, позволяющий помочь администратору домена удостовериться, что конечные пользователи будут видеть под доменом именно тот сайт, который разместил там администратор, – это введение дополнительных защищенных каналов связи между браузером конечного пользователя и неким авторитативным сервером. Пользователя обязательно придется уведомить об этом по каналам, в той или иной мере независимым от провайдера, хотя бы с помощью защищенной электронной почты.

DNS играет важную роль и в блокировании запрещенного контента (не будем называть это «цензурой Интернета»), проводимого по указанию государственных ведомств. Так, в России рекомендации Роскомнадзора по блокированию доступа на сетях интернет-провайдеров, учитывают информацию, получаемую из DNS. С помощью этой системы предлагается определять действующие IP-адреса блокируемых ресурсов.

Впрочем, неверная реализация метода из рекомендаций крупнейшим российским канальным провайдером однажды привела к блокировке «Яндекса». Ключевую роль опять сыграла DNS. Владельцы заблокированного ресурса просто взяли и перенастроили свой домен так, что он стал показывать на IP-адреса «Яндекса». Это можно сделать с любым доменом, никаких проблем тут нет. В результате в список блокировки попали адреса «Яндекса», и один из ключевых сервисов российского сегмента Интернета оказался в течение примерно часа недоступен для большой части интернет-пользователей.

Эта история показывает, что среди основных угроз существованию современного Интернета числится и блокирующая «Красная кнопка», которая однажды может попасть в неумелые руки.

Конечно, общепринятые (но не имеющие юридической силы) правила работы в Интернете запрещают провайдерам нарушать связность сети и валидность DNS.

А подделка сетевых реквизитов числится в ряду самых серьезных нарушений. Тем не менее провайдеры правила нарушают – с умыслом и без – по разным причинам: будь то цензура содержимого Сети (как в описанном выше случае с домовой сетью), системный сбой или хакерская атака. Радует только одно: такие нарушения пока не носят массового характера.