The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Консорциум ISC представил реализацию технологии пассивного DNS

05.12.2010 20:00

Организация Internet System Consortium (ISC), занимающаяся разработкой открытого программного обеспечения для нужд сети интернет (в частности, bind, dhcp, aftr, ntp, inn), представила новый проект, направленный на борьбу с интернет-мошенничеством — DNSDB@ISC, использующий технологию пассивного DNS (pDNS).

Идея pDNS была предложена в 2004 году Флорианом Веймером (Florian Weimer). Вкратце, она состоит в следующем: большая сеть снифферов (pDNS sensors) регистрирует DNS-трафик и передает полученную информацию в единую базу данных. Используя эту базу, можно получить различную информацию, полезную в борьбе с интернет-мошенничеством. К такой информации, в частности, относятся:

  • «История» доменного имени (список IP-адресов или CNAME-псевдонимов, на которые оно указывало в прошлом);
  • Факт обслуживания доменного имени конкретным NS-сервером. Особенно полезны запросы вида «получить список доменов, использующих заданные NS-сервера», которые не могут быть решены в рамках классического DNS;
  • Факт принадлежности адреса, на который указывает доменное имя, к некоторой подсети. Аналогично с предыдущим пунктом, наиболее интересны запросы вида «получить список доменных имен, указывающих на адреса из заданного блока»;
  • Список поддоменов, существующих в рамках заданного домена.

Ключевыми принципами pDNS являются эффективность и сохранение тайны частной жизни (privacy). pDNS еще на этапе сбора информации отфильтровывает только нужные сообщения, составляющие сравнительно небольшую долю общего DNS-трафика, и поэтому обеспечивает более высокую эффективность в сравнении традиционным логгированием DNS-запросов. Кроме того, pDNS не регистрирует адреса клиентов, выполняющих запросы, и поэтому данная технология не может быть использована для вмешательства в частную жизнь.

Сенсоры pDNS устанавливаются на DNS-серверах и сканируют трафик запросов от рекурсивных резолверов к авторитативным NS-серверам и ответов эти запросы. Периодически собранная информация отправляется на серверы-коллекторы, откуда она поступает в общую базу данных (DNSDB). Даже на очень сильно загруженных DNS-серверах трафик, создаваемый при передаче данных от сенсоров на коллекторы, не превышает нескольких мегабайт в минуту.

ISC предоставляет кластер серверов для поддержки базы DNSDB (DNSDB@ISC), а также программный инструментарий для развертывания сенсоров и коллекторов — ISC Security Information Exchange (SIE). Используемые меры защиты предотвращают доступ посторонних лиц к собранной информации. На данном этапе, право на такой доступ имеют лишь операторы, установившие pDNS-сенсоры на своих серверах и прошедшие процедуру проверки в ISC.

ISC призывает администраторов DNS-серверов устанавливать на свои сервера pDNS-сенсоры, тем самым поддерживая глобальную инициативу по борьбе с интернет-преступностью. Например, в случае получения спам-трафик с некоторого домена, можно, используя DNSDB, получить список других доменов, указывающих на тот же IP-адрес. Высока вероятность, что такие домены либо уже являются источниками спама, либо станут ими в ближайшем будущем. Аналогичным образом можно получить список доменов, использующих те же NS-сервера, что и домен-источник спама. Такие домены тоже могут оказаться потенциально опасными.

Разработчиками из ISC подготовлены пакеты программного обеспечения для развертывания pDNS-сенсоров на RHEL/CentOS и Debian, а также на FreeBSD.

  1. Главная ссылка к новости (http://www.isc.org/community/b...)
  2. Сайт проекта DNSDB@ISC
  3. Сайт проекта ISC SIE
  4. OpenNews: Пол Викси предлагает использовать концепцию DNSBL для борьбы с мошенниками
Автор новости: Sergey Ptashnick
Тип: Программы
Короткая ссылка: https://opennet.ru/28890-dns
Ключевые слова: dns, security, sniffer
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:47, 05/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    объясните пожалуйста по проще
     
     
  • 2.3, анонимус (??), 21:05, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну вот ты админ. Ставишь исковский бинд. Ну и сенсор впридачу. и этот сенсор отправляет статистику "куданадо"
     

  • 1.2, Dmitry (??), 20:51, 05/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все понятно и совсем не понятно одновременно. Как это поможет существенно защититься от мошенничества и в чем подвох?
     
     
  • 2.5, анон (?), 21:24, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, дпоустим, есть некий ботнет, который лезет за инструкциями на управляющий сервер ahmgnclbhdskv.com. Достучались до регистратора, заблокировали домен. А боты тут же на следующее имя переключились (qlrkefndfvmnwjkr.org какой-нибудь), и ботнет дальше себе работает.

    А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю сотню доменов, которые на него указывали.

     
     
  • 3.19, Аноним (-), 01:17, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, дпоустим, есть некий ботнет, который лезет за инструкциями на управляющий сервер
    > ahmgnclbhdskv.com. Достучались до регистратора, заблокировали домен. А боты тут же на
    > следующее имя переключились (qlrkefndfvmnwjkr.org какой-нибудь), и ботнет дальше себе
    > работает.
    > А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю
    > сотню доменов, которые на него указывали.

    как на воде вилами... только не очень умный человек будет управляющие домены располагать на одном ип-е.

     
  • 3.30, whip (?), 09:56, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А так - сразу узнали айпишник управляющего сервера, и скопом отозвали всю сотню доменов, которые на него указывали.

    на каком основании? а как-же презумпция невиновности

     
     
  • 4.36, User294 (ok), 12:41, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А это сейчас не в моде. Сейчас модно отнимать домены без суда и следствия, называть неугодных террористами, etc. Пусть ISC заборет сперва фишинг от США вида "отобрали без суда и следствия домен, вывесили надпись seized", а потом уже раздает своих зондов, имхо. Иначе как-то лицемерно получается: с мелочью разберемся, а на крупные проблемы - забьем. Самым крупным фишером является само США, нагло присвоившее себе права отнимать любые неугодные домены и вывешивать там картинки рассказывающие об этом.
     
  • 3.34, Аноним (-), 11:37, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    То есть что бы остановить яндексовский народ.ру достаточно будет раздать оттуда команды боту? :)
     

  • 1.4, о (?), 21:10, 05/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всех послушают и запишут в базу.

    Потом будут сидеть и искать аномалии.
    А если что то случиться, будут типа логи для анализа.

     
     
  • 2.6, Pahanivo (ok), 21:26, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    причем тут аномалии? что аномального можно увидеть в ДНС трафике своего резолвера ))
    я так понял что ребята просто хотят собрать статистику по доменан и на ее основаниие выявлять айпи паразитов
    только бы все это не превратилось в очередной "спамхаус" шантажирующий владельцев валидных доменов
     

  • 1.10, poor_man (?), 23:06, 05/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Дурацкая идея. Якобы под благовидным предлогом защиты от мошенников в сеть  вставляется еще один зонд. Можно подумать нету других способов борьбы со спамерами итд.

    Действительно пора заменять централизованный DNS на p2p-модель.

     
     
  • 2.11, Аноним (-), 23:51, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Дурацкая идея. Якобы под благовидным предлогом защиты от мошенников в сеть
    > вставляется еще один зонд. Можно подумать нету других способов борьбы со
    > спамерами итд.
    > Действительно пора заменять централизованный DNS на p2p-модель.

    Там черным по белому написано, что IP локальной системы вырезаются, данные анонимны. Параноики могут посмотреть скрипты, там стандартные утилиты используются и видно какие поля собираются.

     
     
  • 3.16, poor_man (?), 00:51, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно всего лишь немного фантазии: например представим что у юзера в системе DNS-ом прописан 8.8.8.8.

    С мира по нитке и паутина готова.

     

  • 1.13, Etch (?), 00:34, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея интересная, только непонятно как они собираются защищать эту базу от поддельных данных, отправленных теми же фишерами.
     
     
  • 2.18, Etch (?), 01:00, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже дошло, данные легко проверяются обычным ДНС-запросом. Отличная штука получается, у меня уже был опыт блокирования спама по NS отвечающему за MX - очень эффективно работает, только находить такие NS уж очень сложно было. Надеюсь, что эта штука значительно облегчит поиск.
     

  • 1.14, Аноним (-), 00:35, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а оно поможет в борьбе с Правительством США? или оно самому Правительству будет помогать?
     
     
  • 2.20, Аноним (-), 01:20, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > а оно поможет в борьбе с Правительством США? или оно самому Правительству
    > будет помогать?

    Скорее второе.

     
     
  • 3.33, Аноним (-), 11:04, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    как раз для выявления wikileaks
     

  • 1.15, Александр (??), 00:46, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что, отзывать домены на основании сниффинга уже можно? Насколько помню, такого пункта при покупке домена в договоре нет.

    Да и вообще, если вдуматься, доменное имя и активность гада, который живет на IP, на который какая-то из записей домена указывает - это разные вещи.

    Но вот что интересно - подозреваю, после установки зонда мне должны бы предложить еще и скрипт загрузки и блокировки доменов из черного списка поставить... А иначе зонд лично мне и не нужен как бы вовсе напрямую.

     
     
  • 2.31, Sw00p aka Jerom (?), 10:54, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а трекерами кто будет ?
     
     
  • 3.32, pavel_simple (ok), 10:55, 06/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > а трекерами кто будет ?

    trackerless -- DHT and others

     
     
  • 4.37, Sw00p aka Jerom (?), 10:26, 07/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ))

    ага а как будет вестись поиск ? что п2п это полностью децентрализованная пиринговая сеть ?

     
     
  • 5.39, pavel_simple (ok), 12:40, 07/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > ))
    > ага а как будет вестись поиск ? что п2п это полностью децентрализованная
    > пиринговая сеть ?

    ну я так понял что ты не асилил прочитать что есть DHT и другие подобные

    суть трекера понимать? отличаеш от портала на котором ведётся поиск? результат этого поиска тебе понятен?

    для тупых -- да p2p может быть полностью децентрализованной.

     

  • 1.21, Аноним (-), 01:39, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Например, в случае получения спам-трафик с некоторого домена, можно, используя DNSDB, получить список других доменов, указывающих на тот же IP-адрес. Высока вероятность, что такие домены либо уже являются источниками спама, либо станут ими в ближайшем будущем.

    Сейчас и так в dnsbl-ы заносится ip-ы отправляющего сервера, а не доменные имена, т.е. отсекаются разом все домены на конкретном ип-е. вопрос: нафига тогда городить огород с той же редиской, только более дорогой?

    А так, я прямо вижу уже... шаред хостинг... на дырявую пхпбб васи пупкина залили фишинг страничку, хостер как и полагается васю заблочил, но информация уже просочилась и понесся браузер-бан ("эта страничка может содержать бяку-информацию") всех подряд клиентов хостера...

    Или проделегировал я домен на нс-ы предоставляемые регистратором, а с какого-то домена, зарегестрированного на эти же нс-ы отправляли спам, в результате у меня не принимает почту пол-интернета и фиг поймешь, что делать, и как вести разборки полетов...

    короче: имей свой домен, к нему имей свои нс-ы на своих ип-ах, которые входят в свою ас-ку. нафиг такое чудо нужно?

     
  • 1.24, devlink (?), 03:40, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    вообще если реализация будет точно прозрачной и анонимной, то для построения p2p DNS она бы не помешала.
     
  • 1.26, Sylvia (ok), 07:03, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    отслеживать историю изменений адресов для dyndns/no-ip и прочих динамических доменов это будет нарушением приватности
     
  • 1.29, Аноним (-), 09:51, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как прекрасно. Одни предлагают создать децентрализованый DNS, а другие явно помогают дядям с централизацией. И всё это opensource :D
     
  • 1.35, Zenitur (?), 12:25, 06/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Об этом стоит зачать статью на Википедии
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру