Консорциум ISC представил реализацию технологии пассивного DNS

Организация Internet System Consortium (ISC), занимающаяся разработкой открытого программного обеспечения для нужд сети интернет (в частности, bind, dhcp, aftr, ntp, inn), представила новый проект, направленный на борьбу с интернет-мошенничеством — DNSDB@ISC, использующий технологию пассивного DNS (pDNS).

Идея pDNS была предложена в 2004 году Флорианом Веймером (Florian Weimer). Вкратце, она состоит в следующем: большая сеть снифферов (pDNS sensors) регистрирует DNS-трафик и передает полученную информацию в единую базу данных. Используя эту базу, можно получить различную информацию, полезную в борьбе с интернет-мошенничеством. К такой информации, в частности, относятся:

  • «История» доменного имени (список IP-адресов или CNAME-псевдонимов, на которые оно указывало в прошлом);
  • Факт обслуживания доменного имени конкретным NS-сервером. Особенно полезны запросы вида «получить список доменов, использующих заданные NS-сервера», которые не могут быть решены в рамках классического DNS;
  • Факт принадлежности адреса, на который указывает доменное имя, к некоторой подсети. Аналогично с предыдущим пунктом, наиболее интересны запросы вида «получить список доменных имен, указывающих на адреса из заданного блока»;
  • Список поддоменов, существующих в рамках заданного домена.

Ключевыми принципами pDNS являются эффективность и сохранение тайны частной жизни (privacy). pDNS еще на этапе сбора информации отфильтровывает только нужные сообщения, составляющие сравнительно небольшую долю общего DNS-трафика, и поэтому обеспечивает более высокую эффективность в сравнении традиционным логгированием DNS-запросов. Кроме того, pDNS не регистрирует адреса клиентов, выполняющих запросы, и поэтому данная технология не может быть использована для вмешательства в частную жизнь.

Сенсоры pDNS устанавливаются на DNS-серверах и сканируют трафик запросов от рекурсивных резолверов к авторитативным NS-серверам и ответов эти запросы. Периодически собранная информация отправляется на серверы-коллекторы, откуда она поступает в общую базу данных (DNSDB). Даже на очень сильно загруженных DNS-серверах трафик, создаваемый при передаче данных от сенсоров на коллекторы, не превышает нескольких мегабайт в минуту.

ISC предоставляет кластер серверов для поддержки базы DNSDB (DNSDB@ISC), а также программный инструментарий для развертывания сенсоров и коллекторов — ISC Security Information Exchange (SIE). Используемые меры защиты предотвращают доступ посторонних лиц к собранной информации. На данном этапе, право на такой доступ имеют лишь операторы, установившие pDNS-сенсоры на своих серверах и прошедшие процедуру проверки в ISC.

ISC призывает администраторов DNS-серверов устанавливать на свои сервера pDNS-сенсоры, тем самым поддерживая глобальную инициативу по борьбе с интернет-преступностью. Например, в случае получения спам-трафик с некоторого домена, можно, используя DNSDB, получить список других доменов, указывающих на тот же IP-адрес. Высока вероятность, что такие домены либо уже являются источниками спама, либо станут ими в ближайшем будущем. Аналогичным образом можно получить список доменов, использующих те же NS-сервера, что и домен-источник спама. Такие домены тоже могут оказаться потенциально опасными.

Разработчиками из ISC подготовлены пакеты программного обеспечения для развертывания pDNS-сенсоров на RHEL/CentOS и Debian, а также на FreeBSD.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.