Новые домены, DNSSEC и главный рубильник

На фоне озвучиваемых в СМИ планов по созданию новых государственных сервисов в национальном кириллическом домене интересно взглянуть на адресацию в Интернете с точки зрения “главных рубильников”.

Понятно, что всякий интернет-сервис намертво привязан к двум фундаментальным штукам: DNS (то есть, имена доменов) и IP (то есть, сами адреса, по которым доставляются пакеты данных). В этом кроется принципиальное отличие интернет-среды от, скажем, радиоэфира.

Радиоэфир общий по своей физической сути. Есть международные соглашения, регулирующие использование спектра частот. Но, по большому счёту, если вдруг очень сильно потребуется организовать вещание на той или иной частоте, то ни у одной международной (или просто коммерческой) организации не найдётся средств, чтобы технически вещание полностью заблокировать. Да, можно ставить помеху, блокируя приём передач в некотором кусочке пространства. Можно, в общем, вести РЭБ. Но просто взять, нажать кнопку, и отключить доступ к частоте для всех слушателей и для вещателя – такого, очевидно, нельзя сделать.

Совсем другое дело – системы интернет-адресации. Здесь есть главные рубильники, и главные кнопки, которые позволяют очень быстро отключить частоту. Самый простой пример – удаление домена из файла зоны. Удалить можно не только домен второго уровня, но и домен первого уровня. В результате все сайты из него станут недоступны. Так как опрос DNS всегда начинается с корневых серверов, то внесение изменений в корневую зону позволяет не только отключить любой домен первого уровня, но и, например, перенаправить трафик внутри этого домена на другие адреса. Конечно, требуется административный доступ к корневой зоне DNS.

Посмотрим на сценарий с DNS чуть более детально. Предположим, что кому-то требуется перехватить управление некоторым национальным доменом. Адресация в национальном домене глобально определяется серверами имён, которые указаны для него в корневой зоне. Первый путь для перехвата: изменяется запись в корне, новая версия указывает на другие сервера имён. Часто можно услышать, что корневую зону поддерживает большое число корневых серверов (их – 13), узлы которых распределены по всему миру и находятся под управлением разных компаний. Это так. Но файл корневой зоны все эти серверы получают из одного источника, со скрытого сервера, управляемого компанией VeriSign. Соответственно, если изменить адреса в исходном файле, то при очередном обновлении изменения распространятся на все экземпляры корневой зоны.

После изменения адресов серверов имён в корневой зоне начнётся постепенное вытеснение старой информации об адресации в зоне (а она касается всех доменов уровнем ниже), из глобальной DNS. Постепенное – потому что записи на разных серверах кэшируются.

Понятно, что на новых серверах домена верхнего уровня может быть прописана совсем другая адресация. Но можно и сохранить имевшуюся на момент перехвата управления. Для этого потребуется заблаговременно получить файл зоны с действующих серверов имён. Этот файл содержит все записи о доменах уровнем ниже. Разместив на новых серверах имён копию старого файла зоны, можно замаскировать перехват: для пользователей ничего не изменится. (Конечно, файл зоны может быть “засекречен”, но, на уровне положения администраторов корня DNS, такой расклад выглядит непрактичным: ну реально ж попросить свежую копию заранее.)

Забрав управление доменом описанном незаметном режиме, новый администратор может переадресовать только какие-то ключевые сайты, оставив основную часть адресных настроек без изменений. Этот способ особенно хорош в том случае, если новый администратор не желает, чтобы под удар попали лояльные к нему интернет-сервисы: ведь понятно, что если “снести” домен полностью, то недоступными окажутся все ресурсы сразу; копирование установленной адресации – сильно смягчает ситуацию для рядовых пользователей. (Да, старые администраторы не смогут менять настройки доменов и т.п., и т.д. но это не так страшно.)

Заметьте, что изменение DNS коснётся и электронной почты в домене. Она начнёт ходить “не туда”.

Вывод: в отличие от, например, радиоэфира, получается, что в Интернете не только можно отключить “главным рубильником” вещателей и слушателей, но и избирательно подменить вещателей (скорректировав адресные записи для выбранных доменов второго уровня). Все изменения делаются центрально и сразу во всём виртуальном пространстве. Никакой “РЭБ” вести невозможно, а главный тот, у кого рубильник.

И это мы ещё не рассмотрели ни DNSSEC, которая повышает эффективность “отключения частот”, добавляя новые “главные рубильники”, сильно затрудняя развёртывание альтернативных корней DNS, ни IP-адресацию. Последняя, кстати, позволяет отобрать управление доменом верхнего уровня, не прибегая к изменению записей в корневой зоне DNS. Достаточно подкорректировать распределение номеров автономных систем и забрать IP-адреса, по которым доступны действующие серверы имён. При этом для IP-маршрутизации в Интернете также скоро появится аналог DNSSEC, который криптографическими методами усилит управление адресацией.

(А при этом IP-адреса корневых серверов зашиты в системном программном обеспечении. Изменить их можно, но только в ручном режиме, при условии, тысячи системных администраторов будут действовать согласованно.)

Да, конечно, всё это теоретические сценарии. Но интересные. Так что, думаю, в следующих записках разбор темы можно продолжить. Тем более, что актуальность Интернета у нас растёт семимильными шагами.

Адрес записки: https://dxdt.ru/2010/06/21/3218/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 10

  • 1 <t> // 21st June 2010, 19:49 // Читатель qehgt написал:

    https/SSL спасёт от таких сценариев.

  • 2 <t> // 21st June 2010, 21:44 // Александр Венедюхин:

    Как сказать. Собственно, это было продолжение: в случае с SSL структура такая же, как и в DNSSEC; а вопрос в том, кто удостоверяет ключи и ставит корневые сертификаты в браузеры.

  • 3 <t> // 21st June 2010, 22:05 // Читатель RedElf написал:

    [quote]корневую зону поддерживает большое число корневых серверов (их ? 13), узлы которых распределены по всему миру и находятся под управлением разных компаний. Это так. Но файл корневой зоны все эти серверы получают из одного источника, со скрытого сервера…[/quote]
    …и ты Нео, должен пройти к Источнику и подменить файл корневой зоны, тогда Город 001 падет!
    ))

    Хм, это вот как будут бороться с файлообменом – торрент-треккеры будут отключать централизованно.

  • 4 <t> // 21st June 2010, 22:58 // Александр Венедюхин:

    И ещё отслеживать трафик.

    Но с файлообменом-то – там проще, другие протоколы: система распределённая и одноранговая.

  • 5 <t> // 22nd June 2010, 00:04 // Читатель qehgt написал:

    >а вопрос в том, кто удостоверяет ключи и ставит корневые сертификаты в браузеры.
    Подумал, согласился.

    Если нет доверия к организации-владельцу корневого сертификата, то вся иерархия подписанных им сертификатов теряет смысл.

    Интересно, можно ли как-нибудь настроить браузер, чтобы выдавалось предупреждение о том, что сертификат данного сайта изменился?

  • 6 <t> // 22nd June 2010, 09:31 // Читатель arcman написал:

    > Но с файлообменом-то ? там проще, другие протоколы: система распределённая и одноранговая.

    Bit Torrent и не рассчитан на то что бы с ним боролись – это изначально легальный протокол, созданный для распространения больших объемов данных пользователям.

    Скоро появится следующее поколение P2P – распределённая децентрализованная сеть с шифрацией и маскировкой трафика.
    Заодно и пользователей отмажет – доказать что конкретный человек чего то там незаконно распространял будет гораздо сложнее.

  • 7 <t> // 22nd June 2010, 11:57 // Читатель jno написал:

    Есть такое “непопулярное средство РЭБ” как ядерный взрыв в ионосфере – “лечит” кучу частот (разумеется, КВ первым делом) без разбора свой/чужой (за что и непопулярен) на заметное время…

    > можно ли как-нибудь настроить браузер
    плагин написать

    > Заодно и пользователей отмажет
    Это ежели никакого бреда, вроде DMCA не примут…
    Иначе сядешь просто за наличие “вредоносной программы”.

  • 8 <t> // 22nd June 2010, 12:04 // Читатель jno написал:

    Кстати, любой провайдер в принципе имеет возможность рулить тем, как “видят интернет” его юзеры – именно его (кеши) DNS опрашиваются первыми и именно его маршрутизаторы определяют *реальных* получателей пакетов, адресованных конкретным IP…

  • 9 <t> // 22nd June 2010, 12:22 // Александр Венедюхин:

    Как раз с этим и можно эффективно бороться с помощью DNSSEC+SSL+sBGP (или варианты). Я вот напишу всё ж, наверное, подробную заметку позже. Вкратце: новая криптографическая инфраструктура строится для того, чтобы все эти провайдеры больше не смогли устраивать свой искажённый Интернет (типа, “кривить” анонсы Google; вывешивать для своих юзеров всякие глупые уведомления на чужих зонах DNS, и т.п.), а управление оказалось более жёстко закреплено в руках тех, кому, так сказать, положено управлять.

    Запирается структура в два шага: первый – вводится PKI на всех протоколах адресации; второй – поддержка этой PKI проталкивается непосредственно на клиентские машины (обновление известной массовой ОС). Всё. Новый Интернет готов. Мелкие провайдеры – под контролем.

  • 10 <t> // 22nd June 2010, 17:31 // Читатель jno написал:

    Да, против PKI не попрёшь…