Чего только не придумают!

Автор: Антошка | Рубрика: домены

На днях я начитался ужастиков про DNS. Domain name system – DNS – это такая мировая система по управлению доменными именами, а доменные имена – это те адреса, что вы используете при доступе к любым сайтам, например yandex.ru – доменное имя, и оно управляется NS Яндекса. А NS – name server – входят в состав DNS. Ну а дальше будет много непонятного, что наверное уже не будет так подробно расшифровано. Так что, внимание, далее научный контент!!

У меня появилась мысль, что возможно изменение по одиночке записей на различных slave NS-серверах, несвязанных между собой. Да и неграмотные DNS – вообще, оказывается, брешь в системе безопасности вашей локальной сети, домена, почты, сайта (да-да, так много вещей сразу попадает под удар), если эти DNS настроены плохо или не контролируются вами.

Случай первый. Безопасность почты. Давайте предположим, что у нас есть домен wikileaks.ltd, который добавлен на три DNS – два из них вторичные (slave) и один – первичный (master). slave-1 стоит в Москве, а slave-2 – в Чикаго. Внезапно master выходит из строя на долгий срок, нигде в мире на DNS не сохранился кэш, либо его срок действия уже истек, зону начинают обрабатывать только slave сервера. В этот же момент хакер проник на один из slave-серверов, допустим на тот, что в Чикаго (slave-2), и изменил зону домена, теперь MX записи у него стали не от Google Apps, а от Яндекс.Почты. Итак, получилась ситуация, что домен есть на двух вторичных NS, но на одном у нас MX Google (как и должно быть), а на другом – Яндекс (что неверно). Хакер запарковал домен в почту Яндекса и ждет двух важных и секретных писем – одно отправлят с сервера в Бразилии, а другое – с сервера в Казахстане. Получит ли хакер секретные письма? Оба, только одно или все-таки ни одного? Или почта раздвоится и будет отправлена и в Google, и в Яндекс?

По непроверенной информации, есть шанс, что Google настолько продвинут, что поддержит зону своим кэшем не один день. Но и Яндекс не лыком шит, думаю, что-то придумал. Но вот если MX записи у нас будут ни Google или Яндекс, а хостинг-1 и хостинг-2 с минималистическим кэшем, да и NS у такого хостинга почему-то по одному, проще говоря – пара VPS на разных континентах, где есть только один NS. Безусловно можно протестировать такую схему, но трудозатраты тут большие, но секретные письма из Бразилии и Казахстана этого могут стоить :)

Случай второй. Безопасность локальной сети. Это вариант для тех, у кого есть свои DNS, есть своя локальная сеть, компьютеры в ней и есть что из этой сети тащить. Здесь DNS нам тоже предлагает брешь, все дело в том, что при неправильной настройке сервера NS, с него можно стащить зонный файл и узнать записи домена, т.е. компьютеры, субдомены, IP. Далее я просто процитирую буквы из другой статьи, там все понятно:

Конфигурируя сервер, администраторы часто забывают правильно настроить службу DNS . После такой настройки служба DNS работает корректно: IP-адреса разрешаются в имена компьютеров, а символьные имена без проблем преобразуются в IP-адреса. На этом большинство администраторов и останавливаются: главное, чтобы работало. Работать-то оно работает, но неправильно настроенный сервер DNS может стать огромной дырой в системе безопасности компании. Одно дело, когда сервер DNS обслуживает локальную сеть без выхода в Интернет: даже, если кто-то и попытается “взломать” сервер, то вычислить “хакера” довольно просто. А вот, если сеть предприятия подключена к Интернет, то узнать, кто же пытался взломать (или взломал) вашу сеть довольно сложно. Ущерб от взлома может обойтись компании в кругленькую сумму.
Прежде, чем приступить к взлому сети или отдельной системы злоумышленник (или группа злоумышленников) пытается собрать как можно больше информации: имена компьютеров сети, имена пользователей, версии установленного программного обеспечения. Целой кладовой полезной для взломщика информации станет неправильно настроенная служба DNS (BIND). Рассмотрим небольшой пример: запустите программу nslookup и введите команду:
ls server.com
Если администратор забыл правильно настроить трансфер зоны, то кто угодно получит список компьютеров нашей сети:
[comp2.server.com]
server.com. 323.111.200.2
server.com. server = comp1.server.com
server.com. server = comp2.server.com
server.com. server = comp3.server.com
mail 323.111.200.17
gold 323.111.200.22
www.ie 323.111.200.11
jersild 323.111.200.25
comp1 323.111.200.1
comp3 323.111.200.3
parasit3 323.111.200.20
www.press 323.111.200.30
comp1 323.111.200.1
www 323.111.200.2

Примечание. Чтобы не было недоразумений, указаны несуществующие IP-адреса

Дабы не случилось непоправимого, разрешите передачу зону только одному компьютеру – вторичному серверу DNS вашей компании, если такой, конечно, имеется. В файле конфигурации сервиса named – /etc/named.conf – измените секцию options следующим образом:
options{
allow-transfer
{
192.168.1.2;
};
};
Вторичный сервер DNS , как правило, не передает никакой информации о зоне, поэтому обязательно укажите следующую строку в его файле конфигурации /etc/named.conf (в секции options):
allow-transfer { none; }
Если у вас нет вторичного сервера DNS , добавьте вышеуказанную строку в файл конфигурации основного сервера DNS .
Как любой хороший администратор, вы хотите, чтобы ваш сервер DNS быстро обслуживал запросы клиентов. Но к вашему серверу могут подключаться пользователи не из вашей сети, например, из сети конкурирующего провайдера. Тогда вас сервер будет обслуживать “чужих” клиентов. Непорядок! Опция allow-query позволяет указать адреса узлов и сетей, которым можно использовать наш сервер DNS:
allow-query { 192.168.1.0/24; localhost; };
В данном примере мы позволяем использовать наш сервер узлам из сети 192.168.1.0 и узлу localhost. Целесообразно разрешить рекурсивные запросы только из сети 192.168.1.0 и узлу localhost:
allow-recursion { 192.168.1.0/24; localhost; };
Обычно взлом любой сети начинается со сбора информации – о структуре сети, об установленном программном обеспечении и версиях этого ПО и т.д. Мы можем заставить сервер DNS сообщать не номер своей версии, а произвольное сообщение:
version “Made in USSR”;
Все вышеперечисленные опции должны быть указаны в секции options файла конфигурации named.conf:
options {
allow-query { 192.168.1.0/24; localhost; };
allow-recursion { 192.168.1.0/24; localhost; };
allow-transfer { 192.168.1.2; };
version “Made in USSR”;
}

Ну и на последок даю список бесплатных DNS хостингов. Для чего? Дабы, во-первых, парковать туда свои домены и быть он-лайн в своей почте, во-вторых, быстро (“на горячую”) менять A-запись для домена, а не ждать обновления NS у регистратора. (В 21-м веке “на горячую” смена происходит уже не только HDD-дисков, но и местоположения сайта.)

netbreeze.net/dns – максимум одна зона в бесплатном пакете, есть одномегабайтный хостинг (под визитку или редирект), суппорт может настроить трансфер зоны, три NS
pdd.yandex.ru/help/section9/ – два NS от Яндекса
ypdns.com – пять NS, 10 бесплатных зон
cloudns.net – три зоны, четыре NS, в бесплатном варианте много ограничений, но работать с этим вполне реально
freedns.ws
freedns.afraid.org – есть редактор
everydns.com
zoneedit.com – держит зону *.gov, нет редактора зоны, бесплатно 5 зон
editdns.net
xname.org
ns2.trifle.net – только вторичный NS

Что в имени тебе моём

Автор: Антошка | Рубрика: домены

На заре появления моего блога я написал много чего полезного о доменах (см. запись от 25 мая 2009 года). Сегодня мы продолжим выяснять что творится в доменном мире. Ударение в слове “домен” надо ставить строго на последний слог, т.к. доменные (ударение на первый слог) бывают только печи. Итак, не стоит думать, что доменный мир – это отвлеченный от реальности рынок по продаже имен или какая-то очередная он-лайн игра. На самом деле, доменный мир очень крепно связан с миром реальным, только вот события из доменного мира редко попадают на какие-то известные ленты или в СМИ. Это связано скорее всего с тем, что мало кто понимает значимость доменов или вообще что это такое.
Но для начала я расскажу историю о том, как доменный рынок появился в России. Ну, для начала о терминах. Под словом “рынок” понимается какая-то площадка или, скажем так, место сбора людей, где они могут купить и продать доменные имена. Не забывайте, что домен – такой же предмет купли-продажи, как автомобили, яхты или недвижимость. В США купля-продажа доменных имен существовала еще в 90-х годах 20-го века, но в России, возьмем больше – во всем остальном мире об этом мало кто задумывался, так как свободных доменов тогда было много… Да, немного о том, что же тут продают. Продают, как вы понимаете, имена, которые зарегистрированы и можно использовать для создания сайта или продать еще раз. Почему это надо продавать спросите вы, а точнее покупать. Все дело в том, что любой домен в наличии всегда как одна штука, не больше. Просто пример: Вася решил создать свой сайт или блог, и хочет иметь адрес vasja.ru, а также почту super {at} vasja.ru, но вот не задача – такой домен зачем-то занял Петя. Вася пишет письмо ему. К слову все контакты владельцев доменов можно найти, используя специальный сервис под названием WhoIs [Кто Есть]. Правда, сейчас есть функции, когда можно скрыть персону зарегистрировавшую домен, телефон и прочее – это довольно гибко настраивается и зависит от доменной зоны. Но email то скрывать особо смысла нет. Вообщем, Вася написал Пете, а Петя дал ответ, что домен он готов продать за 5000 долларов. Вася был шокирован этим. Но в этом и заключается доменный бизнес. Петя зарегистрировал домен за три доллара, и тратит столько же каждый год, чтобы продлить срок регистрации, но в случае продажи просит намного больше. Если пересчитать прибыль в проценты, то она превысит прибыль от любых акций, пифов, покупки-продажи недвижимости или нефти и вообще всего, что можно представить. Причем, и работать то особо не надо, зарегистрировав домен, и сиди жди, пока не объявится Вася на Бентли. Таким образом, это сплошная спекуляция, но не всегда домен – это гарантировано деньги, но об этом позже. До 2004 года в российском Интернет не было такого сайта, где внятно и понятно было написано по-русски что такое домен. Были лишь люди, такие как Петя, которые зарегистрировали много доменов и по тихоньку продавали их. Но в 2004-м году некий человек – Александр Чернышев, который в ранней молодости мигрировал из России в США решил создать какой-то сайт, не знаю точно о чем, но первое что он сделал – взял домен в зоне Соединенных Штатов – .us. Через некоторое время ему на email пришло предложение на английском о выкупе его домена. Александр, толком не понимая что это такое, решил поискать что-то в Интернет на эту тему. В Рунете он не нашел ничего, но вот англоязычный ресурс нашелся – это был форум Namepros.com – пожалуй, самый крупный форум о доменах в мире, где Александр выяснил, что письмо СПАМ и не сулит ему выгоды, тогда он решает создать в Рунете форум аналогичный Namepros на домене DomenForum.net. В итоге в конце 2004-го года форум был запущен, и был сверх очень похож на тот англоязычный, только всё на русском.
Форум существует и по сей день, являясь самым крупным и самым первым форумом о доменах в Рунете. Там “тусуются” люди, которых называют домейнерами, они продают домены друг другу, обсуждают внутренние вопросы доменного рынка, а также ищут и обсуждают большое количество доменных имен.
Цель всего этого состоит в создании идеальных сайтов с хорошими звучными адресами, как у Яндекса или ВКонтакте, а также в спекуляциях доменами, продаже своих доменов различным несведующим в этом деле “Васям”. И “Васям” приходится покупать, потому что то название компании уже занято очередным домейнером, то название нового продукта (например, iPhone – iphone.ru). В итоге выходит так, что домейнеры застолбили ну просто всё нормальное, что кому-либо может понадобится. Но если и другая сторона у этого, не всегда можно строго брать домен только с названием продукта или компании, можно подойти и более гибко, добавив или убрав некоторые символы из имени, но сделать это красиво, а то есть подобрать имя, опять же может только домейнер со знаниями и специальными программами. Простой пользователь придумает каку :) И только поэтому вовсе не любой домен стоит денег. Услуга по придумыванию имен называется “нейминг”, и в России пока этим занимаются единицы, о ее качестве тоже что-то сказать сложно, так как заказывают такую услугу только те, кому лень думать самому и не жалко денег. На западе же нейминг может стоить и десять тысяч долларов, но популярность этого там намного выше.
Так что, теперь, я надеюсь, вы поняли, что обыкновенные названия ваших любимых сайтов либо придумываются с большим трудом, либо выкупаются на доменных площадках, как зарубежных, так и отечественных, за большие деньги. И все эти коллосальные траты идут лишь за движение мозгами какого-нибудь домейнера, который, сидя дома, придумал vkоntаktе.ru, например, и зарегистрировал его на день раньше Павла Дурова.
Каким бы не казался спекулятивным этот бизнес, но в нем есть много полезного, но об этом в следующих записях, а то и эта запись вышла довольно длинной.

Назовём вещи своими именами

Автор: Антошка | Рубрика: домены

Сегодня я расскажу вам про интересную вещь Интернета под звонким названием “домен” или “доменное имя”, что одно и тоже. Так как я планирую часто в будущем обращаться к этому термину, я решил, что пора ввести читателя в курс дела. Нет, это не основная тема моего блога, просто это одна из интересных тем, и я решил  о ней рассказать – поделиться с читателем тем, что знаю. Наверное, многие из вас слышали, но скорее читали на бесконечных просторах Интернета это слово. Я не думаю, что кому-то приходило в голову выяснять что это, так как, скорее всего, многим может показаться, что под этим словом скрывается что-то чрезвычайно технически сложное, но это не так… К делу!

Домен (от англ. domain — область, территория) – это web-адрес сайта, который может быть представлен в виде словосочения из определенного количества букв, цифр или/и дефиса и определенной доменной зоны. Так гласит определение, которое я дал слову “домен” очень давно. Например, “toha.name”, “vkontakte.ru” – это домены. Неожиданный поворот, правда? Оказывается, что “домен” – это всего-навсего слово, никакой сложной технической или математической основы под ним нету. Таким образом, домен – это всего лишь адрес, а не какой-нибудь сервер, компьютер в Сети, место на жестком диске и т.д. Адресация в виде доменов в Интернет появилась в 1985 году, т.е. на заре Интернета. Цель доменов – заменить ввод цифровых IP-адресов, простыми и понятными человеку буквами, которые можно складывать в слова. Да, чтобы зайти на какой-нибудь сайт, до 1985 года приходилось бы набрать IP-адрес, т.е. строку, визуально состоящую из четырех цифр, разделенных точками. Думаю, любой более-менее продвинутый пользователь Интернет видел такие адреса. Ну для примера напишу: 123.45.67.89 – вот так выглядит IP-адрес. Кроме эстетического восприятия IP-адресация имеет много других минусов, которые устраняет доменная адресация. Вообщем, домены – лучшее решение в плане адресации для Интернет. Домены также можно называть доменными именами, что одно и тоже.

В определении было сказано, что домен состоит из словосочетания и доменной зоны. Действительно, любой домен можно разбить на две части – всё, что до точки и после точки. До точки называется именем домена и является словом или словосочетанием из определенного количества символов. После точки – доменная зона. Если имена доменов могут быть любые, какие вздумается его регистратору, то зоны строго определенные, такие, как .ru, .com, .net, .org и многие другие, всем известные. А имена доменов – это vkontakte., yandex., toha. и т.д.

Давайте рассмотрим вкратце как это работает. Ничего не существует просто так – нигде и ни в чем. Для работы доменов в Интернет создана сложнейщая и самая важная система в Сети под названием Domain Names System [Система Доменных Имен] (аббревиатура DNS). Система была организована еще в 1985 году. В Сети существует множество серверов, которые задействованы в этой системе DNS. Каждый такой сервер называется Name Server [Сервер Имен] (аббревиатура NS), иногда такие сервера называют Domain Name Server [Сервер Доменных Имен], так что, тут легко запутаться. Давайте не будем вдаваться в подробности, а просто скажем, что есть некая система DNS, в которой множество серверов NS. Все сервера сообщаются между собой через Интернет по средствам того, что для них установлен определенный порт для передачи, и установлены определенные стандарты. Во всей этой системе существуют самые главные сервера, которые называются корневыми. Поскольку систему можно представить в виде дерева, то эти сервера являются корнями этого дерева. В Интернет существует всего 13 корневых серверов, которые находятся на пяти контенетах. Это мощнейшие машины, которые стоят в НИИ или дата-центрах. Их задача обеспечивать работоспособность доменной зоны. Т.е. это они знают, что существует такая зона, как, например, .com или .net. Далее для понимания процесса того, как это всё работает, давайте перейдем сразу же к компьютеру пользователя. Допустим, наш пользователь набирает в адресной строке браузера “vkontakte.ru” и нажимает “перейти”. Браузер передает запрос NS серверам, которые стоят на площадке провайдера пользователя. Задача любого NS сервера направить пользователя на нужный сервер с определенным IP. В данном случае, нам нужно направить пользователя на сервер ВКонтакте. NS сервера имеют способность записывать IP-адреса серверов и сразу же направлять пользователя туда. Но для сложности допустим, что этого не произошло. Итак, пользовать набрал адрес и решил по нему перейти, NS сервера связываются с корневыми NS серверами, которые знают о том, на каком сервере надо спрашивать про домены в зоне .ru – запрос отправляется туда. Сервер зоны .ru сообщает на каком сервере надо спрашивать про домен vkontakte.ru – запрос идет туда, и уже там удается узнать IP-адрес, который возвращается назад на NS сервера провайдера, а потом уже в браузер пользователя. Как видно, схема может быть очень сложной. Цепочка может состоят из десятков NS серверов – всё зависит от адреса и зоны. В реальности такие запросы обрабатываются моментально. Кроме того, существует механизм кэшерования – когда уже о запрошенных кем-либо адресах локальный сервер провайдера помнит нужный IP. Кэш есть у большинства серверов, поэтому механизм зачастую упрощается. Кэш не постоянен, он перекэшеруется постоянно, так как IP-адреса серверов могут меняться.

Итак, надеюсь, идея того, как это работает стала ясна. Но почему же так много уделяют внимания этому вопросу, спросите вы.  Домены – это не просто средство адресации, но и бизнес. Доменные имена можно перепродавать дороже и покупать дешевле. Домены – это невещественные вещи, которые стоят денег, чтобы их зарегистрировать. Домен нужно каждый год продлевать, опять же оплачивая их. Цена продления и регистрации, как правило равны, и колеблятся в пределах от 2 до 200 долларов в год – зависит от зоны. Зон с бесплатным продлением или/и регистрацией единицы. Сейчас вторичный рынок доменных имен достаточно небольшой, но уже сегодня сделки в миллионы превосходят расходы. Не в одном бизнесе не может быть таких космических прибылей. Например, самый дорогой домен – sex.com – несколько лет назад был продан за 14 миллионов долларов, при цене регистрации и продления в районе 7 долларов в год. Конечно, такой домен был не раз перепродан, чтобы его цена достигла 14 млн. долл., но с такими ценами товар на вещественном рынке увидишь редко, а тут было продано всего лишь имя, которое даже и пощупать то нельзя :) Примеров подобных продаж много, о них я расскажу как-нибудь в другой раз.

В доменном мире еще существует много технических, юридических, экономических аспектов. Все это очень интересно и познавательно. Доменный бизнес по праву такой же бизнес, как нефтяной, такой же важный и влиятельный, только вот о его влиянии и значимости догадываются немногие. Но, надеюсь, я теперь объяснил вам что такое “домен”, и для чего он нужен, а в слудующих записях я расскажу как это влияет на общество.