Устойчивый DNS

DNS (англ. Domain Name System — система доменных имён) — распределённая компьютерная  система серверов имен для получения информации о доменах.

Атаки на DNS

Вместо атаки на сам сайт можно атаковать сервер DNS, отвечающий за хранение информации о домене этого сайта. В этом случае браузеры пользователей не смогут определить его IP-адрес, и сайт для них окажется недоступен.

Злоумышленник может постоянно генерировать запросы DNS для сервера DNS с целью исчерпать его ресурсы - это несложно, так как на каждый запрос сервер тратит в тысячи раз больше процессорного времени, чем клиент на создание этого запроса. В протоколе UDP не проверяется легитимность соединения, и это упрощает процесс подделки исходящего адреса запросов. Так как пакеты выглядят совершенно легитимными, NS-сервер должен ответить на все. Без наличия специальной защиты единственными способами нейтрализовать атаку является повышение мощности NS-серверов

Кроме того, что постоянное наращивание мощности сервера DNS проблематично, такой сервер сам может использоваться злоумышленниками для организации дальнейших атак на других жертв.

Описание услуги 

Защита от атак этого типа обеспечивается предоставлением дополнительного сервера DNS Qrator. В нем реализованы передовые методы нейтрализации подобных атак и реализована специальная логика обработки запросов «ботов», отличная от логики обработки легитимных пользовательских запросов.

Чтобы воспользоваться нашей услугой защиты, необходимо выбрать один из возможных вариантов её реализации:

1. Qrator Secondary DNS (защита с раскрытием зоны). Клиент разрешает передачу зоны со своего текущего основного (Primary) NS-сервера нашему серверу ns.qrator.net,после чего указывает IP адрес, выделенный Qrator, как адрес авторитативного сервера для своей зоны (заменяя или дополняя существующие). Со стороны Qrator настраивается передача  файла зоны с основного NS-сервера клиента, адрес которого теперь неизвестен злоумышленникам (такая конфигурация носит название Hidden Primary).

2. Qrator DNS Reverse Proxy (защита без раскрытия зоны). В некоторых случаях у клиента нет возможности (например, из соображений безопасности) передавать нашему серверу управление своей доменной зоной. В этом случае достаточно сообщить нам IP-адрес(а) авторитативных серверов (а лучше всего, такого же Hidden Primary NS-сервера, данных о котором нет в публичной сети) и указать IP адрес, выделенный Qrator, как адрес авторитативного сервера для свой зоны (заменяя или дополняя существующие). При таком подключении NS-сервер Qrator будет выступать сервером-рекурсором с кэшэм данных о подключенной зоне клиента. В случае отсутствия у нашего сервера информации о какой-либо записи, он пошлет запрос к upstream-серверу, и сохранит ответ у себя. При этом будут также учитываться все возможные варианты развития вектора атаки.

Преимущества Устойчивого DNS Qrator:

  • облачное решение на сети Qrator – клиент не устанавливает дополнительное ПО и не покупает дополнительное оборудование;
  • в случае атаки на DNS хотя бы один сервер остается функционирующим всегда;
  • простота подключения;
  • улучшение стабильности работы защищаемого ресурса даже без атаки.