Menu
RSS
НЕЗАВИСИМОЕ ОБОЗРЕНИЕ

DNSSEC для чайников

2320Почему в России «пропал интернет»?

«Интернет в зоне .RU лег по всей России», «Это крупнейший сбой в работе интернета в истории», «Российский интернет полностью отключился в результате украинской операции Шулиiка – Коршун». Такие сообщения наводнили сеть вечером 30 января 2024. Однако многие пользователи не заметили сбоев в работе онлайн сервисов, а те, кто столкнулся с проблемой, получили доступ к интернет ресурсам практически сразу.
Эксперты прокомментировали ситуацию как «результат технической проблемы, связанной с глобальной инфраструктурой DNSSEC». Примерно через час после первых сообщений о неполадках Минцфиры сообщили, что «в настоящее время для абонентов Национальной системы доменных имен проблема решена».
Ситуацией воспользовались охотники за хайпом и фейкометы всех мастей. Одни заявили, что перед нами попытка отключения России от глобального интернета. Другие – что российский интернет сломали украинские хакеры. Они якобы взломали один из серверов Минобороны, после чего перестали работать «Яндекс» и «ВКонтакте». Третьи – что отсутствие доступа в Сеть – это наказание за наши грехи (да, такие версии тоже встречались). На самом деле, произошел технический сбой. Причем, в прошлом и позапрошлом годах такое уже было, но не в России, а в Австралии и других странах, которые не атакуют украинские хакеры.
Однако рядовой пользователь из-за обилия технических терминов так и не понял, что случилось. Простыми словами объясняем, в чем заключался технический сбой.

История проблемы

Сбой в настройках протокола DNSSEC – случай не частый, однако не уникальный. Как это было 30 января в России, многие пользователи могут вовсе не заметить неполадки, если о ней не будут истерически рассказывать гонящиеся за просмотрами СМИ.
Одним из самых известных примеров подобного сбоя в работе DNSSEC является перебои в работе службы австралийского домена .AU 22 марта 2022 года. Как и 30 января в России, проблема затронула небольшое количество пользователей и была устранена менее чем за два часа. Расследование причины выявило ошибку в процессе генерации записей цифровой подписи DNSSEC. Проблема затронула конечных пользователей, которые использовали один из публичных DNS-резольверов – переводчиков названия сайта с привычного пользователю написания имени сайта буквами на понятный компьютеру набор цифр (подробнее про этот механизм читайте ниже).

2321
Похожая ситуация повторилась в Австралии осенью 2023. Австралийские домены оставались недоступными в течение часа, а браузеры выдавали ошибку соединения. «В процессе переподписания ключа система сгенерировала некорректную запись. В результате пользователи, чьи интернет-провайдеры применяют DNSSEC, не смогли получить доступ к австралийским URL-адресам», – говорилось в сообщении управляющей национальным доменом Австралии регистратуры auDA.
Только в 2023 году со сбоями, вызванным проблемами с конфигурацией DNSSEC, столкнулись национальные домены Мексики .MX, Новой Зеландии .NZ и Венесуэлы .VE. Стоит признать, что протокол DNSSEC, призванный повысить безопасность системы DNS и исключить возможность определенных атак, стал источником проблем из-за связанных с его правильной настройкой сложностей, сообщали эксперты.

2322

Что такое DNS простыми словами

- Представьте, что интернет – это большой мегаполис, состоящий из миллионов веб-сайтов и сервисов. Каждый из них можно посетить в любое время дня и ночи, указав точный адрес в навигаторе.
- В данном случае навигатор – это поисковая строка вашего браузера (например, Яндекс Браузер, Opera, Mozilla, Safari). А адрес – полное название сайта (например, войнасфейками.рф или kremlin.ru).
- Однако компьютеры не понимают человеческий язык, поэтому браузер обращается к «единой телефонной книге интернета» – системе доменных имен (DNS). Здесь удобный для человека веб-адрес (войнасфейками.рф или kremlin.ru) будет переведен в понятный машине IP-адрес, состоящий из цифр. По сути, DNS сопоставит имя сайта с соответствующим цифровым адресом, как в телефонном справочнике имя абонента соответствует определенному телефонному номеру.
- После эти манипуляций браузер моментально телепортирует вас на нужный сайт.

Для справки: В «телефонной книге интернета» DNS все имена написаны латиницей (как kremlin.ru). Поэтому, если вы хотите попасть на сайт с доменом, содержащим символы национальных алфавитов, например, на кириллице, арабском или китайском, в цепочку действий добавляется еще один шаг. Ваш браузер сначала конвертирует его в соответствующий набор латинских символов – символьную кодировку Punycode. Например, домен войнасфейками.рф на секунду отобразится в вашем браузере как xn--80aaenqccitej3b1b.xn--p1ai.

2323

DNSSEC – это охранник интернета

В конце 1990 компьютерные эксперты поняли, что традиционная «телефонная книга» DNS имеет уязвимость. Злоумышленники могли подменить читаемый компьютером IP-адрес и перенаправить пользователя на поддельный сайт с целью завладеть данными его банковской карты, паролем и другими личными данными.
Чтобы решить проблему около каждого дома в «интернет мегаполисе» поставили охранника, который дополнительно проверяет соответствие введенного человеком веб-адреса с соответствующим IP-адресом из телефонной книги. Эти охранники – система DNSSEC.
После этого многие страны мира, в том числе и Россия, начали вводить систему DNSSEC для обеспечения дополнительной безопасности своих доменов верхнего уровня (.RU, .US и так далее).

DNSSEC – гарантия безопасности в интернете?

Обращаем внимание, что DNSSEC укрепляет безопасность, но не полностью защищает от потенциальных уязвимостей. Пользователю необходимо внимательно проверять достоверность сайтов, на которые он перешел, особенно перед вводом любой личной информации.

2324

Примеры атак DNS

Отравление кэша
В 2008 году эксперт по информационной безопасности Дэн Камински обнаружил возможность замены адреса, введенного пользователем, путем «отравление кэша». Кэш – короткая память вашего «навигатора» (браузера), где хранятся последние переводы доменных имен в IP-адреса. Внося в этот кэш ложную информацию, злоумышленники могут ввести компьютеры в заблуждение, заставив их думать, что они переходят на нужный сайт, в то время как на самом деле они направлялись на поддельный сайт, контролируемый злоумышленником.
Так, переходя на страницу с оплатой покупки в интернет магазине, пользователь может попасть на страницу мошенников, которая выглядит точно также как и оригинальная. Только вот данные банковской карты отправятся не в банк, а попадут в руки злоумышленников.

2325

Атаки «человек посередине» (Man in the middle)
В этом сценарии злоумышленник перехватывает связь между пользователем и DNS-сервером. Затем злоумышленник отвечает на DNS-запросы мошеннической информацией, перенаправляя пользователя на вредоносные веб-сайты или перехватывая конфиденциальные данные при передаче. Этот тип атаки особенно эффективен при использовании незащищенных публичных сетей Wi-Fi, например в кафе или отеле.

Перехват DNS маршрутизатора
Некоторые злоумышленники взламывают маршрутизаторы, чтобы изменить настройки DNS. Когда пользователи в этой сети пытаются зайти на сайты, манипулируемый маршрутизатор направляет их на вредоносные сайты, контролируемые злоумышленником. Это может повлиять на все устройства, подключенные к взломанному маршрутизатору.

DDoS-атаки с использованием DNS-усиления
Используется, чтобы парализовать работу компьютера-жертвы. Например, такой атаке в 2018 году подверглась популярная платформа для размещения кода программистов GitHub. Этот способ атаки регулярно пытается использовать киевский режим для дестабилизации работы российских интернет-ресурсов. Злоумышленник посылает короткий запрос неправильно настроенному DNS-серверу, который отвечает на запрос значительно большим по размеру пакетом информации. Если в качестве исходного IP-адреса при отправке запроса использовать адрес компьютера жертвы, то с увеличением количества таких бесполезных запросов он перестает справляться с потоком информации и выходит из строя из-за перегрузки.

Это лишь краткий список уязвимостей для иллюстрации возможных атак, которые могут совершить злоумышленники на ваш компьютер. Будьте осторожны и всегда соблюдайте элементарные правила интернет безопасности. Не переходите по подозрительным ссылкам и всегда обновляйте программное обеспечение до последней версии.

Война с фейками. Аналитика

Последнее изменениеПонедельник, 05 Февраль 2024 13:04

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

Наверх