4. Что такое DNS?
• Коротко:
highloadlab.com 178.248.233.7
• Длинно:
(список
неполон)
5. DNS-серверы
• minidns dns server
https://code.google.com/p/minidns/source/browse/minidns
“wc -l minidns”
107 (!!!)
6. DNS-серверы
• minidns dns server
https://code.google.com/p/minidns/source/browse/minidns
“wc -l minidns”
107 (!!!)
7. DNS-серверы
• minidns dns server
https://code.google.com/p/minidns/source/browse/minidns
“wc -l minidns”
107 (!!!)
• Authoritative.
There can be only one!
• Caching.
The cache is out there...
8. А что мы хотим?
• Скорость
• Устойчивость
• Производительность
9. А что мы хотим?
• Скорость
• Устойчивость
• Производительность
SUPER
Authoritative
Server
SLOW
Authoritative
Server
SUPER
Caching
Server
QUERIES
QUERIES
10. А что мы хотим?
• Скорость
• Устойчивость
• Производительность
SUPER
Authoritative
Server
SLOW
Authoritative
Server
SUPER
Caching
Server
QUERIES
• Доменов: МАЛО
• Запросов: МНОГО
QUERIES
33. Подводные камни. Global.
Камень
Контр-камень
• UDP
• BCP38
Мне кажется, пакет пришел оттуда... Но я не
гарантирую это!
• DNS cache poisoning (Kaminsky)
Адрес поменялся! Иди сюда!
Когда случится счастье – нам не ведомо!
• DNSSec
Это счастье есть, но мало кто пользуется
34. Подводные камни. Global.
Камень
Контр-камень
• UDP
• BCP38
Мне кажется, пакет пришел оттуда... Но я не
гарантирую это!
• DNS cache poisoning (Kaminsky)
Когда случится счастье – нам не ведомо!
• DNSSec
Адрес поменялся! Иди сюда!
Это счастье есть, но мало кто пользуется
• Стать DNS Amplifier
• Можно самостоятельно:
- закрыть рекурсию извне
- RRL (DROP, SLIP)
- DROP пакетов с src_port 53
Чтобы не быть жертвой - надо не быть жертвой
- dig isoc.org ANY (26 vs 2435)
- открытая рекурсия