Операционные оболочки

Для преобразования имен доменов и IP-адресов в DNS используется распределенная система из специальных  серверов. Каждый из серверов обслуживает  свой «набор клиентов», выполняя для  них преобразования адресов. Среди серверов DNS существует иерархия «доверия» и распределение «зон ответственности»: тот или иной сервер может отвечать за определенный набор доменов. При этом DNS-серверы, входящие в глобальную систему DNS Интернета, связаны между собой и обмениваются информацией по достаточно сложным протоколам. Например, между серверами передаются данные об изменении адресации в той или иной доменной зоне. Все это направлено на обеспечение успешного преобразования всех адресов, входящих в DNS, по запросу от любого компьютера, подключенного к Интернету, где бы этот компьютер ни находился.

Наиболее важны так  называемые корневые серверы DNS, обеспечивающие работу всей системы доменных имен Интернета в целом. Существует 13 таких серверов, и они принадлежат  техническому центру ICANN. Ключевую роль играют также корневые серверы доменов первого уровня (например, RU), обеспечивающие распространение по всему Интернету DNS-информации о домене, находящемся в их зоне ответственности.

С точки зрения пользователя и в сильно упрощенном виде алгоритм работы DNS по поиску адресов web-сайтов можно описать следующим образом. Когда пользователь вводит в адресной строке браузера адрес web-сайта, например, site.nic.ru, компьютер выполняет запрос к тому или иному известному этому компьютеру серверу DNS, «спрашивая» сервер о том, какой IP-адрес связан с «доменным адресом», указанным пользователем. В ответ сервер DNS, проверив соответствие по своим внутренним таблицам или выполнив запрос к другим серверам DNS, присылает искомый IP-адрес. Далее браузер устанавливает соединение с web-сайтом уже по IP-адресу.

Система доменных имён разработана  в 80-х годах прошлого века и продолжает успешно обеспечивать удобство работы с адресным пространством Интернета  по сей день. Технологии DNS развиваются. Одним из важных и самых ожидаемых интернет-общественностью нововведений в DNS является повсеместное внедрение доменных имен, записываемых с помощью символов национальных алфавитов (например, кириллический домен первого уровня .РФ).

Возможности серверов DNS:

1. DNS-cepвep, соответствующий стандартам RFC. Служба DNS поддерживает открытый протокол и соответствует промышленным стандартам (RFC).
2. Способность взаимодействовать с другими реализациями серверов DNS. Поскольку служба DNS соответствует стандартам DNS и "понимает" форматы стандартных файлов данных DNS и форматы ресурсных записей, она успешно работает совместно с большинством других реализаций DNS, например, использующих программное обеспечение Berkeley Internet Name Domain (BIND).
3. Поддержка Active Directory. Служба DNS обязательна для работы Active Directory. При установке Active Directory на компьютере под управлением Windows 2000 Server операционная система автоматически (но с согласия пользователя) устанавливает и конфигурирует службу DNS для поддержки Active Directory.
4. Интеграция с другими сетевыми службами Microsoft. Служба DNS обеспечивает интеграцию с другими службами Windows 2000 и содержит функции, не описанные в RFC. Это касается интеграции со службами WINS иОНСР.
5. Улучшенные административные инструменты. Windows 2000 предоставляет оснастку с улучшенным графическим интерфейсом пользователя для управления службой DNS. Windows 2000 Server содержит несколько новых мастеров конфигурации для выполнения повседневных задач по администрированию сервера. Также имеется ряд дополнительных средств, помогающих управлять и поддерживать серверы DNS и клиентов в сети.
6. Поддержка протокола динамического обновления в соответствии с RFC. Служба DNS позволяет клиентам динамически обновлять ресурсные записи при помощи динамического протокола обновления DNS (стандарт RFC 2136). Это облегчает администрирование DNS, избавляя от необходимости вносить эти записи вручную. Компьютеры под управлением Windows 2000 могут динамически регистрировать свои имена DNS и IP-адреса.
7. Поддержка инкрементных зональных передач между серверами. Зональные передачи используются между серверами DNS для частичного копирования информации. Инкрементная зональная передача используется, чтобы копировать только измененные части зоны. Зона — набор записей, относящихся к одному домену.
8. Поддержка новых типов ресурсных записей. Служба DNS включает поддержку нескольких новых типов ресурсных записей (RR): записи SRV (расположение службы) и АТМА (адрес ATM), что значительно расширяет возможности использования DNS в глобальных сетях.

Возможности клиентов DNS:

1. Клиентское кэширование. Ресурсные записи (RR), полученные как ответы на запросы, добавляются в клиентский кэш. Эта информация хранится в пределах заданного времени и может использоваться для ответа на последующие запросы.
2. Кэширование отрицательных ответов. В дополнение к кэшированию положительных ответов на запросы от серверов DNS, служба DNS также кэширует отрицательные ответы на запросы. Отрицательный ответ приходит, если ресурсная запись с запрошенным именем не существует. Кэширование отрицательных ответов предотвращает повторные запросы для несуществующих имен, снижающие производительность клиентской службы.
3. Блокировка неотвечающих серверов DNS. Клиентская служба DNS использует список поиска серверов, упорядоченных по предпочтению. Этот список включает все серверы DNS, настроенные для каждого из активных сетевых подключений в системе. Windows 2000 перестраивает этот список, основываясь на следующих критериях: предпочтительные серверы DNS имеют высший приоритет, а остальные серверы DNS чередуются. Неотвечающие серверы временно удаляются из списка.

Проблемы функционирования DNS-службы.

Вспомним DNS-алгоритм удаленного поиска IP-адреса по имени в Сети: хост посылает на IP-адрес DNS-сервера своего домена (он задается при настpойке пpотокола IP в сетевой ОС) DNS-запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти. DNS-сервер, получив запрос, просматривает свою базу имен на наличие в ней содержащегося в запросе имени. В случае, если имя найдено, а следовательно, найден и соответствующий ему IP-адрес, на запросивший хост DNS-сервер отправляет DNS-ответ, в котором записан искомый IP-адрес. Если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то DNS-запрос отсылается DNS-сервером на один из корневых DNS-серверов, адреса которых содержатся в файле настроек DNS-сервера root.cache, и описанная в этом пункте процедура повторяется, пока имя не будет найдено.

Анализируя с точки  зрения безопасности уязвимость этой схемы удаленного поиска с помощью  протокола DNS, можно сделать вывод о возможности некорректного функционирования DNS-сервиса, а именно можно выделить две основные причины неправильного функционирования:

• удаленные атаки на DNS-сервер, а именно: удаленная атака – “Ложный объект РВС” (распределенной вычислительной системы), т.е. внедрение пpомежуточного хоста, чеpез котоpый будет идти поток инфоpмации между атакуемым объектом и сеpвеpом или подмена (исправление) информации о зоне;
• межсегментная удаленная атака – атака на DNS путем фальсификации ответа DNS – сервера;
• ошибочные действия администратора DNS-сервера, т.е. неправильное указание соответствия между IP-адресом хоста и его именем.

2.2. Службы WINS.

Служба WINS (Windows Internet Name Service, служба имен Windows) обеспечивает поддержку распределенной базы данных для динамической регистрации и разрешения имен NetBIOS для компьютеров и групп, используемых в сети. Служба WINS отображает пространство имен NetBIOS и адресное пространство IP друг на друга и предназначена для разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS поверх TCP/IP. Имена NetBIOS используются более ранними версиями операционных систем Microsoft для идентификации компьютеров и других общедоступных ресурсов.

Хотя протокол NetBIOS может  применяться с другими сетевыми протоколами, помимо TCP/IP (например, NetBEUI или IPX/SPX), служба WINS была разработана для поддержки NetBIOS поверх TCP/IP (NetBT). WINS упрощает управление пространством имен NetBIOS в сетях на базе TCP/IP.

WINS применяется для  распознавания имен NetBIOS, но для ускорения разрешения имен клиенты должны динамически Добавлять, удалять или модифицировать свои имена в WINS.

На рис. 8 показаны основные процессы, производимые клиентами WINS. 

Рис. 8. Обмен информацией между клиентом и сервером WINS

1. Постоянные соединения. Теперь можно настроить каждый WlNS-сервер на обслуживание постоянного соединения с одним или большим количеством партнеров репликации. Это увеличивает скорость репликации и снижает затраты на открытие и завершение соединений.
2. Управление "захоронением". Можно вручную отмечать записи для захоронения (отметка для дальнейшего удаления, tombstoning). Состояние "захоронения" записи копируется для всех серверов WINS, что предотвращает восстановление копии из баз данных других серверов.
3. Улучшенная утилита управления. Утилита управления WINS реализована в виде оснастки ММС, что упро'щает использование WINS для администратора.
4. Расширенная фильтрация и поиск записей. Улучшенная фильтрация и новые поисковые функции помогают находить записи, показывая только записи, соответствующие заданным критериям. Эти функции особенно полезны для анализа очень больших баз данных WINS.
5. Динамическое стирание записей и множественный выбор. Эти особенности упрощают управление базой данных WINS. При помощи оснастки WINS можно легко манипулировать с одной (или более) записью WINS динамического или статического типа.
6. Проверка записей и проверка прави<span class="dash041e_0431_044b_0447_