Организация Internet System Consortium (ISC), занимающаяся разработкой открытого программного обеспечения для нужд сети интернет (в частности, bind, dhcp, aftr, ntp, inn), представила новый проект, направленный на борьбу с интернет-мошенничеством — DNSDB@ISC, использующий технологию пассивного DNS (pDNS).

Идея pDNS была предложена в 2004 году Флорианом Веймером (Florian Weimer). Вкратце, она состоит в следующем: большая сеть снифферов (pDNS sensors) регистрирует DNS-трафик и передает полученную информацию в единую базу данных. Используя эту базу, можно получить различную информацию, полезную в борьбе с интернет-мошенничеством. К такой информации, в частности, относятся:

  • «История» доменного имени (список IP-адресов или CNAME-псевдонимов, на которые оно указывало в прошлом);
  • Факт обслуживания доменного имени конкретным NS-сервером. Особенно полезны запросы вида «получить список доменов, использующих заданные NS-сервера», которые не могут быть решены в рамках классического DNS;
  • Факт принадлежности адреса, на который указывает доменное имя, к некоторой подсети. Аналогично с предыдущим пунктом, наиболее интересны запросы вида «получить список доменных имен, указывающих на адреса из заданного блока»;
  • Список поддоменов, существующих в рамках заданного домена.

Ключевыми принципами pDNS являются эффективность и сохранение тайны частной жизни (privacy). pDNS еще на этапе сбора информации отфильтровывает только нужные сообщения, составляющие сравнительно небольшую долю общего DNS-трафика, и поэтому обеспечивает более высокую эффективность в сравнении традиционным логгированием DNS-запросов. Кроме того, pDNS не регистрирует адреса клиентов, выполняющих запросы, и поэтому данная технология не может быть использована для вмешательства в частную жизнь.

Сенсоры pDNS устанавливаются на DNS-серверах и сканируют трафик запросов от рекурсивных резолверов к авторитативным NS-серверам и ответов эти запросы. Периодически собранная информация отправляется на серверы-коллекторы, откуда она поступает в общую базу данных (DNSDB). Даже на очень сильно загруженных DNS-серверах трафик, создаваемый при передаче данных от сенсоров на коллекторы, не превышает нескольких мегабайт в минуту.

ISC предоставляет кластер серверов для поддержки базы DNSDB (DNSDB@ISC), а также программный инструментарий для развертывания сенсоров и коллекторов — ISC Security Information Exchange (SIE). Используемые меры защиты предотвращают доступ посторонних лиц к собранной информации. На данном этапе, право на такой доступ имеют лишь операторы, установившие pDNS-сенсоры на своих серверах и прошедшие процедуру проверки в ISC.

ISC призывает администраторов DNS-серверов устанавливать на свои сервера pDNS-сенсоры, тем самым поддерживая глобальную инициативу по борьбе с интернет-преступностью. Например, в случае получения спам-трафик с некоторого домена, можно, используя DNSDB, получить список других доменов, указывающих на тот же IP-адрес. Высока вероятность, что такие домены либо уже являются источниками спама, либо станут ими в ближайшем будущем. Аналогичным образом можно получить список доменов, использующих те же NS-сервера, что и домен-источник спама. Такие домены тоже могут оказаться потенциально опасными.

Разработчиками из ISC подготовлены пакеты программного обеспечения для развертывания pDNS-сенсоров на RHEL/CentOS и Debian, а также на FreeBSD.

Источник: http://www.opennet.ru/opennews/art.shtml?num=28890