DNS

хранятся символьные имена сетей и ЭВМ вместе с их IP-адресами.
BIND

(Berkrley Internet Name Domain)
В качестве транспорта используется UDP или TCP, порт 53

(RFC-4033(RFC-4033, -4034(RFC-4033, -4034, -4035(RFC-4033, -4034, -4035, -5155) RFC2536, RFC2671, RFC2672, RFC2929, RFC2931, RFC3110, RFC3225, RFC3226 и RFC3597.

2010 году появился русскоязычный домен .рф
Каждому узлу (прямоугольнику на рисунке)

соответствует имя, которое может содержать до 63 символов. Только самый верхний, корневой узел не имеет имени.

досуг
.biz Организация, относящаяся к сфере бизнеса
.com Коммерческая организация
.coop Кооперативная организация
.firm Коммерческое предприятие
.gov Государственное учреждение (США)
.info Открытая

TLD-структура (регистрация имен доменов)
.org Бесприбыльная организация
.edu Учебное заведение
.jobs Работодатели
.mil Военное предприятие или организация
.mobi Cайты и сервисы, для мобильных и беспроводных устройств
.museum Имя домена музея
.name Имя домена частного лица
.net Большая сеть
.pro Профессионал, достойный доверия. Управляется RegistryPro (http://www.nic.pro/);

Хотя существует домен bbc.tv, а регистрация в этой зоне в

РФ процветает (см. Ru center, официального статуса в качестве TLD этот домен не получил. В базе данных IANA (см. Национальные коды доменов в Интернет этот домен записан по-прежнему за TUVALU
.arpa Специальный домен для преобразования IP в имя
.web Организация, вовлеченная в WEB-активность

Секции .mil и .gov принадлежат исключительно американским сетям (хотя и многие другие трехсимвольные секции адреса, например .edu, чаще, но не всегда, принадлежат американским университетам и другим учебным организациям

Поле флаги определяет характер запрашиваемой процедуры, а также кодировку отклика.

Каждый вопрос состоит из символьного имени домена, за которым следует тип запроса и класс запроса

содержит одно или более субполей, начинающихся с байта длины (0-63).

Поле завершается 0. В реальной нотации байты длины субполя могут иметь два старших бита равные 1, что преобразует интервал значений из 0-63 в 192-255.
Существует два вида запросов: рекурсивные и итеративные. Первый вид предполагает получение клиентом IP-адреса, а второй - адреса сервера, который может сообщить адрес.

его дополнить, например имя ns может быть преобразовано в ns.itep.ru.
Каждый

сервер содержит лишь часть дерева имен. Эта часть называется зоной ответственности сервера. Зона представляет собой часть субдерева имен
Первичный и вторичный серверы должны быть независимыми и работать на разных ЭВМ, так чтобы отказ одного из серверов не выводил из строя систему в целом.
Число вторичных серверов не лимитировано
Имя для IP-адреса 192.148.166.137 (если оно существует) содержится в домене с именем 137.166.148.192.IN-ADDR.ARPA

5 Каноническое имя
SOA 6 Начало списка серверов. Большое число полей, определяющих

часть иерархии имен
MB 7 Имя домена почтового ящика.
WKS 11 well-known service - стандартная услуга.
PTR 12 Запись указателя.
HINFO 13 Информация об ЭВМ.
MINFO 14 Информация о почтовом ящике или списке почтовых адресов.
MX 15 Запись о почтовом сервере
TXT 16 Связывает имя ЭВМ с адресом ISDN.
ISDN 16 Не интерпретируемая строка ASCII
AXFR 252 Запрос зонного обмена
* или ANY 255 Запрос всех записей
Поле класс запроса позволяет использовать имена доменов для произвольных объектов (все официальные имена Интернет относятся к одному классу [IN] - 1).

RR-записей.
Значение параметра Type (тип) для ресурсной записи DNSKEY равно

48.
CNAME - каноническое имя узла или ЭВМ, иногда называемое также псевдонимом (alias).
Поле время жизни (TTL) содержит время (в секундах), в течение которого запись о ресурсах может храниться в буферной памяти (в кэше). Обычно это время соответствует двум дням.
Ресурсная запись SOA говорит о том, что сервер имен является источником данных для данного домена. Записи SOA содержат электронный адрес администратора данной зоны.

имеет непосредственной связи с Интернет, но желает участвовать в почтовом

обмене.
Адресат не доступен и предпринимается попытка доставить почтовое сообщение альтернативной ЭВМ.
Создание виртуальных ЭВМ, куда можно пересылать почту.
Обычно реализация сервера имен предполагает наличие трех конфигурационных файлов:
named.boot - файл начальной загрузки сервера имен; named.local - стартовый файл клиента DNS; named.ca - исходный буфер имен и адресов.
В последнее время развивается технология DDNS динамического обновления ресурсных записей зоны DNS внешними ЭВМ или процессами (Dynamic DNS; RFC-2136).
host -t hinfo ns.itep.ru
ns.itep.ru HINFO SparcStation-1 SunOS-4.1.3

с административной целью. Например, itep.ru - зона, а ns.itep.ru -

конкретная машина в этой зоне. Зона может состоять из одного домена или нескольких субдоменов. В субдоменах могут быть свои серверы имен.
Базовая версия протокола DNS имеет ряд уязвимослей, которые позволяют хакерам предпринять атаки:
Осуществить разведку, просматривая DNS-отклики.
В случае версии Man-in-the-middle перехватывать поток и фальсифицировать отклики с целью перенаправления запросов клиентов на вредоносные сайты.
Перенаправлять запросы на фальшивые DNS-серверы.

и подписантов делегирования (DS) RRsets образуют цепочку подписанных данных, каждый

узел цепочки подтверждает корректность предыдущего. Ресурсная запись DNSKEY используется для верификации подписи, покрывающей DS RR, и позволяет DS RR быть аутентифицированной.
Расширения безопасности протокола DNS (DNSSEC) представляют собой коллекцию новых ресурсных записей (RR) и модификаций протокола, которые реализуют аутентификацию происхождения данных и целостность информации DNS.
Безопасное расширение система доменных имен (DNS) предоставляет аутентификацию происхождения данных, а также целостность и гарантированность сервисов в отношении DNS-данных, включая механизмы аутентифицированного отрицания существования DNS-данных

подписи. Эти цифровые подписи записываются в новой ресурсной записи -

RRSIG.
Ресурсная запись подписанта делегирования (DS) упрощает некоторые административные задачи делегирования подписания данных при переходе через границы зон ответственности.
DNSSEC вводит концепцию подписанных зон (signed zones). Подписанная зона имеет записи общедоступного ключа DNS (DNSKEY), сигнатуру ресурсной записи (RRSIG), Next Secure (NSEC), и (опционно) Delegation Signer (подписант делегирования) (DS). Зона, которая не имеет этих рекордов, считается неподписанной зоной. DNSSEC требует изменения определения ресурсной записи CNAME ([RFC1035]).

является флагом ключа зоны (Zone Key). Если бит 7 равен

1, тогда рекорд DNSKEY содержит ключ зоны DNS, а имя владельца ресурсной записи DNSKEY должно быть именем зоны.
DNSSEC обеспечивает аутентификацию путем ассоциирования с DNS RRsets криптографически формируемой подписи. Эти цифровые подписи записываются в новой ресурсной записи - RRSIG.

зон (signed zones). Подписанная зона имеет записи общедоступного ключа DNS

(DNSKEY), сигнатуру ресурсной записи (RRSIG), Next Secure (NSEC), и (опционно) Delegation Signer (подписант делегирования) (DS).

который покрыт для этого рекорда RRSIG.
Поле кода алгоритма идентифицирует криптографический

алгоритм, использованный при формировании подписи

число без знака, первым следует старший бит. Поле длина Salt

представляет собой октет без знака, характеризующий длину поля Salt в октетах.

Поле итерации содержит 16-битовое целое число без знака, первым следует

старший бит. Длина Salt характеризуется одним октетом без знака.\
Поле Salt добавляется к исходному имени владельца до хэширования и является псевдослучайным кодом.

в 2014-ом превысила 400 Гбит/c
Ущерб от этих атак в 2012

году составил 1 млн. долларов в день (США)