Domain Name System (DNS) je jedním ze základů internetu, ale většina lidí mimo sítě si pravděpodobně neuvědomuje, že jej používají každý den ke své práci, kontrole e-mailů nebo ztrátě času jejich smartphony.
Ve své nejzákladnější podobě je DNS adresář názvů, které se shodují s čísly. Čísla, v tomto případě jsou IP adresy, které počítače používají ke vzájemné komunikaci. Většina popisů DNS používá analogii telefonního seznamu, což je vhodné pro lidi starší 30 let, kteří vědí, co je telefonní seznam.
Pokud je vám méně než 30 let, představte si DNS jako seznam kontaktů vašeho chytrého telefonu, který spojuje jména lidí s jejich telefonními čísly a e-mailovými adresami. Potom vynásobte tento seznam kontaktů všemi ostatními na planetě.
Stručná historie DNS
Když byl internet velmi, velmi malý, bylo pro lidi snazší přiřadit konkrétní IP adresy konkrétním počítačům, ale to netrvalo dlouho, protože více zařízení a lidé se připojili k rostoucí síti. Stále je možné zadat konkrétní IP adresu do prohlížeče, abyste se dostali na webovou stránku, ale tehdy, stejně jako nyní, lidé chtěli adresu složenou ze snadno zapamatovatelných slov, typu, který bychom poznali jako název domény (např. networkworld.com) dnes. V 70. letech a na počátku 80. let byla tato jména a adresy přidělena jednou osobou – Elizabeth Feinlerovou ze Stanfordu – která vedla hlavní seznam všech počítačů připojených k internetu v textovém souboru nazvaném HOSTS.TXT.
Toto byla zjevně neudržitelná situace, protože internet rostl, v neposlední řadě proto, že Feinler vyřizoval požadavky pouze před 18:00. Kalifornského času a vzal si volno na Vánoce. V roce 1983 dostal Paul Mockapetris, výzkumník z USC, za úkol přijít s kompromisem mezi více návrhy, jak se s problémem vypořádat. V podstatě je všechny ignoroval a vyvinul vlastní systém, který nazval DNS. I když se od té doby očividně dost změnil, na základní úrovni stále funguje stejně jako před téměř 40 lety.
Jak fungují servery DNS
Adresář DNS, který odpovídá názvu číslům, není umístěn na jednom místě v nějakém temném koutě internetu. S více než 332 miliony doménových jmen uvedených na konci roku 2017 by jeden adresář byl skutečně velmi velký. Stejně jako samotný internet je adresář distribuován po celém světě a je uložen na serverech doménových jmen (obecně zkráceně označovaných jako DNS servery), které spolu velmi pravidelně komunikují, aby poskytovaly aktualizace a redundanci.
Autoritativní servery DNS vs. rekurzivní servery DNS
Když chce váš počítač najít IP adresu spojenou s názvem domény, nejprve odešle požadavek na rekurzivní server DNS, také známý jako rekurzivní překladač< em>. Rekurzivní překladač je server, který je obvykle provozován poskytovatelem internetových služeb nebo jiným poskytovatelem třetí strany a ví, které další servery DNS potřebuje požádat, aby přeložil název webu s jeho IP adresou. Servery, které skutečně mají potřebné informace, se nazývají autoritativní servery DNS.
Servery DNS a adresy IP
Každá doména může odpovídat více než jedné adrese IP. Ve skutečnosti mají některé stránky stovky nebo více IP adres, které odpovídají jedinému názvu domény. Například server, na který váš počítač dosáhne pro www.google.com, je pravděpodobně zcela odlišný od serveru, na který by se někdo v jiné zemi dostal zadáním stejného názvu webu do prohlížeče.
Dalším důvodem pro distribuovanou povahu adresáře je množství času, které by vám trvalo, než byste dostali odpověď, když jste hledali web, pokud by pro adresář existovalo pouze jedno umístění sdílené mezi miliony, pravděpodobně miliardami lidí, kteří zároveň hledají informace. To je jedna dlouhá řada pro použití telefonního seznamu.
Co je ukládání do mezipaměti DNS?
Aby se tento problém vyřešil, informace DNS jsou sdíleny mezi mnoha servery. Informace o nedávno navštívených webech se však také ukládají do místní mezipaměti na klientských počítačích. Je pravděpodobné, že google.com používáte několikrát denně. Namísto toho, aby se váš počítač pokaždé dotazoval na IP adresu google.com na DNS serveru, jsou tyto informace uloženy ve vašem počítači, takže nemusí přistupovat k serveru DNS, aby přeložil název s jeho IP adresou. K dalšímu ukládání do mezipaměti může dojít na směrovačích používaných k připojení klientů k internetu a také na serverech poskytovatele internetových služeb (ISP) uživatele. Při tolika probíhajícím ukládání do mezipaměti je počet dotazů, které se ve skutečnosti dostávají na jmenné servery DNS, mnohem nižší, než by se zdálo.
Jak najdu svůj DNS server?
Obecně řečeno, DNS server, který používáte, bude automaticky zřízen vaším poskytovatelem sítě, když se připojíte k internetu. Pokud chcete vidět, které servery jsou vaše primární jmenné servery – obecně rekurzivní překladač, jak je popsáno výše – existují webové nástroje, které mohou poskytnout řadu informací o vašem aktuálním síťovém připojení. Browserleaks.com je dobrý a poskytuje spoustu informací, včetně vašich aktuálních serverů DNS.
Mohu použít 8.8.8.8 DNS?
Je však důležité mít na paměti, že ačkoli váš ISP nastaví výchozí server DNS, nejste povinni jej používat. Někteří uživatelé mohou mít důvod vyhýbat se DNS svého ISP – například někteří ISP používají své DNS servery k přesměrování požadavků na neexistující adresy na stránky s reklamou.
Pokud chcete alternativu, můžete místo toho nasměrovat svůj počítač na veřejný server DNS, který bude fungovat jako rekurzivní překladač. Jedním z nejvýznamnějších veřejných serverů DNS je server společnosti Google; jeho IP adresa je 8.8.8.8. Služby DNS společnosti Google bývají rychlé, a přestože existují určité otázky ohledně postranních úmyslů, které má Google pro nabízení bezplatné služby, nemohou od vás ve skutečnosti získat žádné další informace, které již nezískají z Chromu. Google má stránku s podrobnými pokyny, jak nakonfigurovat váš počítač nebo router pro připojení k DNS společnosti Google.
Jak DNS zvyšuje efektivitu
DNS je organizován v hierarchii, která pomáhá udržovat věci v chodu rychle a hladce. Pro ilustraci předstírejme, že jste chtěli navštívit networkworld.com.
Počáteční požadavek na IP adresu se odešle na rekurzivní překladač, jak je uvedeno výše. Rekurzivní překladač ví, které další servery DNS potřebuje požádat o překlad názvu webu (networkworld.com) s jeho IP adresou. Toto vyhledávání vede ke kořenovému serveru, který zná všechny informace o doménách nejvyšší úrovně, jako jsou .com, .net, .org a všech doménách těchto zemí, jako jsou .cn (Čína) a .uk (Spojené království). Kořenové servery jsou umístěny po celém světě, takže vás systém obvykle nasměruje na ten nejbližší geograficky.
Jakmile požadavek dosáhne správného kořenového serveru, přejde na názvový server domény nejvyšší úrovně (TLD), kde jsou uloženy informace pro doménu druhé úrovně, tedy slova použitá předtím, než se dostanete na .com, .org , .net (například informace pro networkworld.com je „networkworld“). Požadavek pak jde na server doménových jmen, který uchovává informace o webu a jeho IP adrese. Jakmile je IP adresa objevena, je odeslána zpět klientovi, který ji nyní může použít k návštěvě webové stránky. To vše trvá pouhé milisekundy.
Protože DNS funguje již více než 30 let, většina lidí to považuje za samozřejmost. Při budování systému se také nepočítalo s bezpečností, takže toho hackeři plně využili a vytvořili různé útoky.
Útoky založené na odrazu DNS
Útoky založené na odrazu DNS mohou zaplavit oběti velkým objemem zpráv ze serverů DNS resolveru. Útočníci požadují velké soubory DNS od všech otevřených překladačů DNS, které mohou najít, a činí tak pomocí falešné IP adresy oběti. Když překladače zareagují, oběť obdrží záplavu nevyžádaných DNS dat, která zahltí jejich počítače.
Otrava mezipaměti DNS
Otrava mezipaměti DNS může uživatele přesměrovat na škodlivé webové stránky. Útočníkům se daří vkládat falešné záznamy o adresách do DNS, takže když potenciální oběť požádá o rozlišení adresy pro jednu z otrávených stránek, DNS odpoví IP adresou jiné stránky, kterou ovládá útočník. Jakmile se oběti objeví na těchto falešných stránkách, mohou být oklamáni, aby se vzdali hesel nebo utrpěli stahování malwaru.
Vyčerpání zdrojů DNS
Útoky na vyčerpání zdrojů DNS mohou ucpat infrastrukturu DNS poskytovatelů internetových služeb a blokovat jejich zákazníky v přístupu na stránky na internetu. Toho lze dosáhnout tak, že si útočníci zaregistrují název domény a použijí jmenný server oběti jako autoritativní server domény. Pokud tedy rekurzivní překladač nemůže poskytnout IP adresu spojenou s názvem webu, zeptá se jmenného serveru oběti. Útočníci generují velké množství požadavků na svou doménu a zavádějí neexistující subdomény, aby se spustili, což vede k tomu, že na jmenný server oběti je vypalován proud požadavků na řešení, který jej zahltí.
Co je DNSSec?
DNS Security Extensions se snaží zajistit bezpečnější komunikaci mezi různými úrovněmi serverů zapojených do vyhledávání DNS. Byl navržen Internetovou korporací pro přidělená jména a čísla (ICANN), organizací odpovědnou za systém DNS.
ICANN si uvědomila slabá místa v komunikaci mezi adresářovými servery nejvyšší, druhé a třetí úrovně DNS, které by mohly útočníkům umožnit unést vyhledávání. To by útočníkům umožnilo reagovat na žádosti o vyhledání legitimních stránek s IP adresou škodlivých stránek. Tyto stránky by mohly uživatelům nahrávat malware nebo provádět phishingové a pharmingové útoky.
DNSSEC by to řešil tak, že by každá úroveň serveru DNS digitálně podepisovala své požadavky, což zajišťuje, že požadavky zaslané koncovými uživateli nebudou zabaveny útočníky. To vytváří řetězec důvěry, takže v každém kroku vyhledávání je ověřena integrita požadavku.
Navíc DNSSec dokáže určit, zda doménová jména existují, a pokud ne, nedovolí, aby byla podvodná doména doručena nevinným žadatelům, kteří se snaží o vyřešení názvu domény.
S tím, jak se vytváří více doménových jmen a stále více zařízení se připojuje k síti prostřednictvím zařízení internetu věcí a dalších „chytrých“ systémů, a jak stále více webů migruje na IPv6, bude potřeba udržovat zdravý ekosystém DNS. Růst velkých dat a analýz také přináší větší potřebu správy DNS.
SIGRed: Chyba v DNS s červivostí
Svět se nedávno pořádně podíval na druh chaosu, který by slabé stránky DNS mohly způsobit zjištěním chyby na serverech DNS systému Windows. Potenciální bezpečnostní díra, přezdívaná SIGRed, vyžaduje složitý řetězec útoků, ale může zneužít neopravené servery DNS systému Windows k případné instalaci a spuštění libovolného škodlivého kódu na klientech. A exploit je "wormable", což znamená, že se může šířit z počítače na počítač bez lidského zásahu. Tato zranitelnost byla považována za natolik alarmující, že americké federální agentury dostaly na instalaci oprav jen několik dní.
DNS přes HTTPS: Nové prostředí ochrany soukromí
V době psaní tohoto článku je DNS na pokraji jednoho z největších posunů ve své historii. Google a Mozilla, které společně ovládají lví podíl na trhu prohlížečů, podporují přechod k DNS přes HTTPS nebo DoH, ve kterém jsou požadavky DNS šifrovány stejným protokolem HTTPS, který již chrání většinu webového provozu. V implementaci Chrome prohlížeč zkontroluje, zda servery DNS podporují DoH, a pokud ne, přesměruje požadavky DNS na 8.8.8.8 Google.
Je to krok, který není bez kontroverze. Paul Vixie, který provedl velkou část raných prací na protokolu DNS již v 80. letech, nazývá tento krok „katastrofou“ z hlediska bezpečnosti: například firemní IT bude mít mnohem obtížnější sledovat nebo řídit provoz DoH, který prochází jejich sítí. Přesto je Chrome všudypřítomný a DoH bude brzy ve výchozím nastavení zapnuto, takže uvidíme, co přinese budoucnost.
(Keith Shaw je bývalý hlavní editor pro Network World a oceněný spisovatel, editor a recenzent produktů, který psal pro mnoho publikací a webových stránek po celém světě.)
(Josh Fruhlinger je spisovatel a editor, který žije v Los Angeles.)
Připojte se ke komunitám Network World na Facebooku a LinkedIn a komentujte témata, která jsou na prvním místě.
